VPN实验指导书.docx
- 文档编号:18584970
- 上传时间:2023-08-19
- 格式:DOCX
- 页数:19
- 大小:145.45KB
VPN实验指导书.docx
《VPN实验指导书.docx》由会员分享,可在线阅读,更多相关《VPN实验指导书.docx(19页珍藏版)》请在冰点文库上搜索。
VPN实验指导书
实验一:
L2TP接入
【实验目的】
1)学习并深入了解L2TP的工作和配置流程
2)熟悉LNS如何查看用户信息
【实验环境】
1)Sepcpath1000/100/10任意一台。
2)Secpoint客户端软件。
【实验拓扑】
【配置环境参数】
如图。
【组网需求】
1.首先,移动用户通过窄带拨号或ADSL接入internet,或直接通过固定IP接入Internet。
在这种情况下,移动用户也可以经过NAT网关。
2.然后,移动用户采用L2TP软件拨号。
可以采用如下L2TP软件:
Secpoint;Enternet500;Win2K/XP自带的VPN软件。
【主要配置】
[LNS]
l2tpenable
使能L2TP
#
local-uservpnuser@passwordsimplevpnuser
L2TP用户名和密码
#
aaaenable
启用AAA
#
ippool110.1.2.1010.1.2.20
给L2TP分配的地址池
#
interfaceVirtual-Template0
使能L2TP的虚接口
ipaddress10.1.2.1255.255.255.0
remoteaddresspool1
给L2TP客户分配地址池1中的地址
#
l2tp-group1
创建L2TP组
undotunnelauthentication
取消隧道验证。
默认启用,这时LAC和LNS必须配置隧道验证字。
allowl2tpvirtual-template0
在虚接口0上启用L2TP
#
【Secpoint主要配置】
1、打开Secpoint,新建一个VPN连接。
选择正确的网卡,如果对外用的是拨号连接,注意选择相关的虚拟或PPP适配器。
输入LNS服务器地址(可输入一主一备),去掉启用IPSEC。
完成新建连接。
2、按右键,打开新建连接的属性。
1)在基本设置中,可以选择或去掉“连接成功后不允许访问internet”。
如果选中,Secpoint连接成功后会自动将公网的网关删除,并添加动态获得的私网地址为自己的默认网关。
这样,用户就只访问私网数据,如果访问公网,则可通过接入到的对端LNS的公网出口出去(假设有的话)。
如果不选中,用户需要在高级中路由设置中将所需访问的私网网段定义出来,网关指向对端的虚接口地址,这时,用户即可以上公网,又可以访问私网。
2)在高级中的L2TP设置中,可以定义自己的隧道名字、验证方式、验证字等。
如果对端VPNserver定义了这些内容,则必须与Server保持一致。
3、双击该连接,输入用户名和密码,拨号。
如果有RSA的TokenID,则还需要输入当前钥匙盘上显示的Token码。
4、拨号成功后,通过“ipconfig”可以看到所获得的IP地址。
【WinXP主要配置】
1、新建连接,选择“连接到我的工作场所的网络”,选择“虚拟专用网络连接”,输入名称,建议选择“不拨初始连接”,输入LNS地址。
完成新建连接。
2、打开新建连接的属性。
1)在安全设置中,选择高级。
“数据加密”一栏中,选择“可选加密(没有加密也可以连接)”,“可允许这些协议”一项中,选择“PAP”和“CHAP”。
3、双击该连接,输入用户名和密码,拨号。
4、拨号成功后,通过“ipconfig”可以看到所获得的IP地址。
说明:
1、Windows下的L2TP功能缺省启动证书方式的IPSEC,应当首先在注册表中禁用。
方法如下:
执行regedit命令,找到如下位置
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
加入如下注册项:
ValueName:
ProhibitIpSec
DataType:
REG_DWORD
Value:
1
2、Secpoint注意采用最新版本。
【备注】
1、以从客户端发往总部的数据为例,分析报文格式如下:
可见,L2TP采用UDP封装,因此可以轻松穿越NAT。
实验二:
GRE隧道配置
【实验目的】
1)学习并深入了解GRE的工作和配置流程
2)了解GRE封包格式,理解VPN的原理
【实验环境】
1)Sepcpath1000/100/10任意两台。
2)配置用PC。
【实验拓扑】
【配置环境参数】
如图,采用Loopback地址模拟内网网段,检测实验结果。
【组网需求】
通过GRE隧道技术实现武汉到北京总部跨internet的互连。
【配置结果】
1.所有隧道接口地址可以互相ping通。
2.所有内网(loopback地址)可以互相ping通。
【主要配置】
[Secpath1-beijing]
interfaceGigabitEthernet0/0
ipaddress202.38.1.1255.255.255.0
#
interfaceTunnel0
配置GRE隧道接口
ipaddress192.168.1.1255.255.255.0
sourcegigabitEthernet0/0
指定隧道源
destination202.38.1.2
指定隧道目的
grekey12345
指定隧道验证字,双方要一致,可不配
#
iproute-static10.1.2.0255.255.255.0192.168.1.2preference60
指定去往武汉分部私网的路由
#
[Secpath2-wuhan]
interfaceGigabitEthernet0/0
ipaddress202.38.1.2255.255.255.0
#
interfaceTunnel0
配置DVPN隧道接口
ipaddress192.168.1.2255.255.255.0
sourcegigabitEthernet0/0
指定隧道源端口
destination202.38.1.1
指定隧道目的端口
grekey12345
#
iproute-static10.1.1.0255.255.255.0192.168.1.1preference60
指定去往北京总部私网的路由
#
【备注】
1、常见错误为路由设置问题。
没有去往对端私网或公网的路由。
2、以武汉去北京的数据为例,分析报文格式如下:
实验三:
IPSEC主模式配置
【实验目的】
1)学习并深入了解IPSEC的工作和配置流程
2)了解IPSEC如何利用SA加密数据
【实验环境】
1)Sepcpath1000/100/10任意两台。
2)配置用PC。
【实验拓扑】
【配置环境参数】
如图。
【组网需求】
1.实现武汉和北京两个私网地址(loopback地址)的互通。
两个VPN网关必须有公网地址,且必须是静态地址。
2.要求私网两个网段之间的数据流量采用IPSEC加密传输。
3.采用隧道模式。
【说明】
1.由于传输模式仅适用于两台主机之间的相连,实际使用意义不大,本处省略。
使用中可参考隧道配置。
2.两边的VPN网关可以为路由器或Secpath专用VPN网关。
【主要配置】
[Secpath1-beijing]
ikepeer1
配置IKE参数
pre-shared-key12345
配置预共享字。
两端必须一致。
有些路由器版本需要加”extrangemain”启动主模式。
一般,默认即为主模式。
remote-address202.38.1.2
配置隧道对端地址。
#
ipsecproposalp1
创建安全提议,可采用默认安全提议内容。
默认为:
ESP隧道封装,DES加密,MD5验证。
通过”displayipsecproposal”可以查看提议内容。
包括加密方法、数据认证方法等。
如需更改,则在安全提议模式下更改
#
ipsecpolicypolicy11isakmp
创建ipsec策略,其安全内容采用IKE自动协商。
securityacl3000
指定哪些数据流需要加密
ike-peer1
引用IKE对等体
proposalp1
引用安全提议
#
interfaceEthernet0/0/0
ipaddress202.38.1.1255.255.255.0
ipsecpolicypolicy1
在外网接口上启用IPSEC策略,加密相关私网数据
#
aclnumber3000
rule0permitipsource10.1.1.00.0.0.255destination10.1.2.00.0.0.255
指定去往对端私网的数据流
rule1denyip
#
iproute-static0.0.0.00.0.0.0202.38.2.2preference60
注意:
一定要有去往对端的路由,包括公网和私网地址。
也就是说,设备需要知道去往10.1.2.0的路径,通过路由发到公网口上。
#
[Secpath2-wuhan]
ikepeer1
配置IKE参数
pre-shared-key12345
配置预共享字。
两端必须一致。
有些路由器版本需要加”extrangemain”启动主模式。
remote-address202.38.1.1
配置隧道对端地址。
#
ipsecproposalp1
创建安全提议,可采用默认安全提议内容。
通过”displayipsecproposal”可以查看提议内容。
包括加密方法、数据认证方法等。
如需更改,则在安全提议模式下更改
#
ipsecpolicypolicy11isakmp
创建ipsec策略,其安全内容采用IKE自动协商。
securityacl3000
指定哪些数据需要加密
ike-peer1
引用IKE对等体
proposalp1
引用安全提议
#
interfaceEthernet0/0/0
ipaddress202.38.1.2255.255.255.0
ipsecpolicypolicy1
在外网接口上启用IPSEC策略,加密相关私网数据
#
aclnumber3000
rule0permitipsource10.1.2.00.0.0.255destination10.1.1.00.0.0.255
指定去往对端私网的数据流,注意与对端的ACL应为镜像,这样双方才能互相对数据加解密。
rule1denyip
#
iproute-static0.0.0.00.0.0.0202.38.2.1preference60
注意:
一定要有去往对端的路由
【备注】
1、常见错误为路由设置问题。
没有去往对端私网的路由。
2、以武汉去往北京的报文为例,报文格式如下:
可见,在这种模式下由于无TCP/UDP端口号,无法穿越NAPT网关。
实验四:
IPSEC野蛮模式配置
【实验目的】
1)学习并深入了解IPSEC野蛮模式的工作和配置流程
2)了解IPSEC野蛮模式的应用环境
3)了解NAT穿越的应用
【实验环境】
1)Sepcpath1000/100/10任意三台,普通交换机1台。
2)配置用PC。
【实验拓扑】
【配置环境参数】
如图。
【组网需求】
1.实现武汉和北京两个私网地址(loopback地址)的互通。
2.北京总部必须是静态地址,武汉分部可以是动态获得也可以是静态配置,为私网地址,去Internet需经过ISP的NAT网关。
3.要求私网两个网段之间的数据流量采用IPSEC隧道加密传输。
【主要配置】
[Secpath1-beijing]
ikelocal-namebeijing
配置本端IKE名称
#
ikepeer1
配置IKE参数
exchange-modeaggressive
配置为野蛮模式
pre-shared-key12345
配置预共享字做身份验证,双方必须一致
id-typename
采用名字作为协商ID
remote-namewuhan
指定对端IKE名称
nattraversal
配置NAT检测。
如果发现中间经过了NAT,则采用NAT穿越报文格式。
当配置该参数时,IPSEC会自动检测隧道中间是否经过了NAT。
如果经过了NAT,则采用NAT穿越报文格式,如果没有发现NAT,则扔采用正常报文格式。
所以推荐在任何情况下都配置该参数。
#
ipsecproposalp1
创建安全提议,采用默认参数
#
ipsecpolicy-templatetemp1
创建IPSEC模板,并引用IKE和安全提议。
在模板中不需要引用ACL,Secpath会自动根据对端的数据设定加密的数据流。
ike-peer1
proposalp1
#
ipsecpolicypolicy11isakmptemplatetemp
利用模板创建ipsec策略。
Secpath会自动根据对端的数据设定加密的数据流。
#
interfaceEthernet0/0/0
ipaddress202.38.1.1255.255.255.0
ipsecpolicypolicy1
在外网接口上启用IPSEC策略,加密相关私网数据
#
iproute-static0.0.0.00.0.0.0202.38.1.2preference60
注意:
一定要有去往对端的路由
#
[Secpath2-wuhan]
ikelocal-namewuhan
配置本端IKE名称
#
ikepeer1
配置IKE参数
exchange-modeaggressive
配置为野蛮模式
pre-shared-key12345
配置预共享字做身份验证,双方必须一致
id-typename
采用名字作为协商ID
remote-namebeijing
指定对端通道名称
remote-address202.38.1.1
注意:
分部必须指定总部VPN网关的IP地址。
而且只能由分部来发起IKE连接。
nattraversal
配置NAT检测。
如果发现中间经过了NAT,则采用NAT穿越报文格式。
#
ipsecproposalp1
引用安全提议
#
ipsecpolicypolicy11isakmp
创建ipsec策略,其安全参数采用IKE自动协商。
securityacl3000
指定哪些数据需要加密
ike-peer1
引用IKE对等体
proposalp1
引用安全提议
#
interfaceEthernet0/0/0
ipaddress172.16.1.2255.255.255.0
ipsecpolicypolicy1
在外网接口上启用IPSEC策略,加密相关私网数据
#
aclnumber3000
rule0permitipsource10.1.2.00.0.0.255destination10.1.1.00.0.0.255
指定去往对端私网的数据流
rule1denyip
#
iproute-static0.0.0.00.0.0.0172.16.1.2preference60
注意:
一定要有去往对端的路由
【备注】
1、NAT网关配置略。
2、常见错误为路由设置问题。
没有去往对端私网的路由。
3、以武汉去往北京的报文为例,报文格式如下:
可见,在这种模式下,可以穿越NAPT。
实验五:
DVPN配置
【实验目的】
1)学习并深入了解DVPN的工作和配置流程
2)了解DVPN的应用环境
【实验环境】
3)Sepcpath1000/100/10任意三台,普通交换机1台。
4)配置用PC。
【实验拓扑】
【配置环境参数】
如图,采用Loopback地址模拟内网网段,检测实验结果。
【组网需求】
1.武汉和上海两个分部接入北京总部,所有VPN设备均有公网地址可互通。
其中,分部公网地址可以是静态也可以是动态获得。
2.通过DVPN连接总部和两个分部,并实现分部之间DVPN隧道的自动建立。
【配置结果】
1.所有隧道接口可以互相ping通。
2.所有内网(loopback地址)可以互相ping通。
3.武汉和上海分部之间的隧道为动态建立。
【说明】
DVPN目前仅在secpath专用VPN网关上支持。
【主要配置】
[Secpath1-beijing]
interfaceGigabitEthernet0/0
ipaddress202.38.1.1255.255.255.0
#
interfaceTunnel0
配置DVPN隧道接口
ipaddress192.168.1.1255.255.255.0
tunnel-protocoludpdvpn
采用使用UDP协议的DVPN隧道技术。
DVPN支持GRE和UDP两种封装,推荐使用UDP封装。
sourceGigabitEthernet0/0
指定隧道源端口
dvpninterface-typeserver
北京总部需指定为Server工作方式。
默认为client方式
dvpnvpn-id100
指定DVPN的VPNID,所有需要互通的分部其VPNID也必须相同
dvpnudp-port8005
指定本端DVPN采用的端口号
#
iproute-static10.1.2.0255.255.255.0192.168.1.2preference60
指定去往武汉分部私网的路由
注意:
不要仅指定为出接口(tunnel口),否则在多点连接时无法找到下一跳。
iproute-static10.1.3.0255.255.255.0192.168.1.3preference60
指定去往上海分部私网的路由
#
[Secpath2-wuhan]
interfaceGigabitEthernet0/0
ipaddress202.38.1.2255.255.255.0
#
interfaceTunnel0
配置DVPN隧道接口
ipaddress192.168.1.2255.255.255.0
tunnel-protocoludpdvpn
采用使用UDP协议的DVPN隧道技术
sourceGigabitEthernet0/0
指定隧道源端口
dvpnservertest-server
本端作为DVPN的客户端,指定要连接的DVPNserver
dvpnvpn-id100
指定DVPN的VPNID,所有需要互通的分部其VPNID也必须相同
dvpnregister-typewant
必须配置want参数,要求总部转发其他分部的信息。
dvpnudp-port8001
指定本端DVPN采用的端口号
#
dvpnclasstest-server
配置DVPNserver的息
public-ip202.38.1.1
Server公网地址
private-ip192.168.1.1
Server私网地址
udp-port8005
Server的DVPN端口号
iproute-static10.1.1.0255.255.255.0192.168.1.1preference60
指定去往北京总部私网的路由
iproute-static10.1.3.0255.255.255.0192.168.1.3preference60
指定去往上海分部私网的路由
#
[Secpath3-shanghai]
参考武汉节点的配置
【备注】
1.常见错误为路由设置问题。
没有去往对端私网或公网的路由。
2.隧道必须由分部发起,因为仅靠配置,总部无法知道分部的公网地址。
3.以武汉去北京的数据为例,分析报文格式如下:
从其报文格式看,由于采用UDP协议,所有私网数据包装在UDP的数据中,因此DVPN可以天然的穿越NAT。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN 实验 指导书