65【网络安全】【构建站点到站点IPsec VPN(预共享密钥)】

网络安全实验教程构建站点到站点IPsecVPN（预共享密钥）【实验名称】构建站点到站点IPsecVPN（预共享密钥）【实验目的】学习配置站点到站点（Site-to-Site）的IPsecVPN隧道，加深对IPsec的理解。【背景描述】假设北京的某公司在上海设立了新的分公司，分公司要远程访问总公司的各种网络资源，例如：CRM系统、FTP服务器等。在Internet上传输数据本身存在安全隐患，这家公司希望通过IPsecVPN技术实现数据的安全传输。【需求分析】需求：解决上海分公司和北京总公司之间通过Internet进行数据传输的安全问题。分析：IPsecVPN技术通过隧道技术、加解密技术、密钥管理技术、认证技术等有效地保证了数据在Internet传输的安全性，是目前最安全、使用最广泛的VPN技术。因此我们可以通过建立IPsecVPN的加密隧道，实现分公司和总公司之间的安全的数据传输。【实验拓扑】PC1VPNAInternetF0/0F0/1Routereth0eth1VPNBPC2eth0eth1【实验设备】RG-WALLVPN网关2台PC2台路由器1台【预备知识】网络基础知识网络安全基础知识VPN基础知识IPsec工作原理IKE工作原理【实验原理】IPsec（IPsecurity，IP安全性）的主要作用是为IP数据通信提供安全服务。IPsec不是一个单独协议，它是一套完整的体系框架，包括AH、ESP和IKE三个协议。IPsec使用了多种加密算法、散列算法、密钥交换方法等为IP数据流提供安全性，它可以提供数据的160第四章安全VPN技术实验机密性、数据的完整性、数据源认证和反重放等安全服务。在使用IKE为IPsec提供协商机制时，可以使用两种对等体认证方式：预共享密钥和数字签名（或称数字证书），本实验我们使用预共享密钥认证方式。【实验步骤】第一步：准备好PC准备好PC1和PC2后，先在PC1和PC2上安装VPN管理软件。具体的安装步骤不在这里详述。第二步：搭建拓扑，配置IP地址按照拓扑图搭建实验拓扑，并根据如下编址方案配置各设备的IP地址:VPN网关A的eth1接口地址：192.168.1.1VPN网关A的eth0接口地址：10.1.1.1PC1的IP地址：192.168.1.2PC1的网关地址：192.168.1.1VPN网关B的eth1口地址：192.168.2.1VPN网关B的eth0口地址：10.1.2.1PC2的IP地址：192.168.2.2PC2的网关地址：192.168.2.1Router的F0/0地址：10.1.1.2Router的F0/1地址：10.1.2.2这里PC及Router地址的配置方式不再进行详述。1、通过PC1的超级终端，在命令行下配置VPN网关A的eth1口地址，操作如下：2、通过PC1上的VPN管理软件登录VPN网关A，然后配置eth0口地址，操作如下：161网络安全实验教程设置eth0口地址：3、通过PC2的超级终端，在命令行下配置VPN网关B的eth1口地址，操作如下：直接双击eht0接口图标缺省路由直接在外出接口处配置162第四章安全VPN技术实验4、通过PC2上的VPN管理软件登录VPN网关B，然后配置eth0口地址，操作如下：设置eth0口地址：需要设置那个接口就双击该接口的图标163网络安全实验教程第三步：配置VPN网关A的IPsecVPN隧道1、进行设备配置配置隧道请点击该图标缺省路由直接在外出接口处配置164第四章安全VPN技术实验该页面的设置通常不需要修改165网络安全实验教程2、进行隧道配置选择刚添加的设备，再点击“添加隧道”图标166第四章安全VPN技术实验添加完隧道后的界面截图：第四步：配置VPN网关B的IPsecVPN隧道1、进行设备配置选择需要的算法，但要和VPN网关B上的配置保持一致。也可以选择默认配置。167网络安全实验教程配置隧道请点击该图标168第四章安全VPN技术实验2、进行隧道配置该页面的设置通常不需要修改选择刚添加的设备，点击“添加隧道”图标169网络安全实验教程选择需要的算法，但要和VPN网关A上的配置保持一致。也可以选择默认配置。170第四章安全VPN技术实验添加完隧道后的界面截图：第五步：启动隧道第六步：验证测试：隧道启动后可以在“隧道协商状态”栏目下看到隧道的协商状态。如果协商的“隧道状态”显示“第二阶段协商成功”，则表示VPN网关A到VPN网关B的加密隧道已建立成功。选择隧道，点击“启动隧道”图标。VPN网关A和B只需要选择在一边执行启动隧道操作即可。171网络安全实验教程第七步：进行隧道通信VPN隧道的通信是可以双向的，因此即可以从PC1去访问PC2，也可以从PC2去访问PC1。从PC1PingPC2的地址，现在因为有了VPN隧道所以Ping是可以成功的。（没有VPN隧道前Ping会是失败的）VPN隧道的通信情况可以在“隧道通信状态”中查看到，如下图：【注意事项】z实验环境地址可以随意定义，但请不要使用1.1.1.0这个网段的IP，因为某些功能实现的需要，系统内部已占用该网段的部分IP。z该实验中，VPN网关的防火墙规则为全部开放。但在实际的网络环境中，如果VPN网关直接连接Internet网络，则一定需要启用防火墙规则。172