62【网络安全】【Access VPN用户授权通信实验】

实验七AccessVPN用户授权通信实验【实验名称】AccessVPN用户授权通信实验【实验目的】学习配置RemotetoSite的IPSecVPN隧道，熟悉移动办公方式下的VPN隧道建立和防火墙规则的配置。【背景描述】假设某员工正在外地出差，但需要访问公司内部的服务器资源，而这些服务器资源因安全性考虑并不直接在公网上开放，因此该员工必须通过先和公司建立VPN隧道，再获得访问内部资源的权利。另外一方面，该员工和公司建立隧道后，公司只允许员工访问规定的服务，这时就要求在VPN设备上启用防火墙规则。【需求分析】需求：解决出差员工和公司之间通过Internet进行信息安全传输的问题。分析：IPSecVPN技术通过隧道技术、加解密技术、密钥管理技术、和认证技术有效的保证了数据在Internet网络传输的安全性，是目前最安全、使用最广泛的VPN技术，另外，锐捷VPN自带有成熟的防火墙技术。因此我们可以通过建立IPSecVPN的加密隧道，实现出差员工和公司之间的信息安全传输。【实验拓扑】如图7-1所示网络拓扑是某公司的技术人员在外地和公司建立VPN的拓扑结构，希望通过公网使用AccessVPN用户授权通信方式，访问公司内部的服务器资源，需要解决出差员工和公司之间通过Internet进行信息安全传输的问题。图7-1某公司建立VPN的拓扑结【实验设备】设备型号数量备注锐捷VPN设备RG-WALLV501台锐捷VPN远程接入系统RG-SRA1套软件程序锐捷路由器设备1台Windows系统的PC机推荐WinXP系统1台Windows系统的服务器1台建议开设FTP服务或者Web服务直连线2根交叉线1根【预备知识】1、网络基础知识、网络安全基础知识、VPN基础知识；2、IPSec协议的基本内容、其工作模式；3、IKE协议的基本工作原理；4、防火墙的基本工作原理。【实验原理】PC机模拟出差员工的PC，与VPN设备A（模拟公司出口VPN设备）通过IKE自动协商建立起IPSec的VPN加密隧道。由于VPN设备启用了防火墙技术，可以对用户做不同的授权，使得PC机只能安全访问到VPN设备A所保护的特定内部服务器。实验时，可以在服务器上开设FTP服务或者Web服务，并开设邮件服务器。在VPN隧道建立成功后，PC机将能够访问到FTP服务或者Web服务，但无法访问邮件服务器。移动用户（即PC机）在和VPN设备建立VPN隧道前，需要先获得VPN设备的身份验证许可。该实验所采用的用户身份验证为口令方式，并且口令账号的颁发由VPN设备A来完成。移动用户（即PC机）在通过VPN设备A的身份验证后，VPN设备A会自动将VPN隧道建立（即IKE协商）所需要的配置下发给PC机，然后PC机与VPN设备A之间自动开始IKE协商，协商成功后VPN隧道即建立成功。整个过程系统自动完成，无需人为干预，是免配置的典型方式。【实验步骤】第一步：准备好PC机和服务器。1)实验中即可以通过PC机来管理VPN设备A，也可以通过服务器来管理VPN设备A，请用户自行选择。假设决定用服务器来管理VPN设备A，则请在服务器上安装VPN管理软件（见随机附带的光盘）2)在PC机上安装RG-SRA软件程序，安装步骤请看随机附带的光盘，这里不详述。注意：RG-SRA是VPN客户端软件程序，如果PC机上已预装其它厂家的VPN客户端程序，请先卸载其它厂家的VPN客户端程序，否则可能RG-SRA无法正常工作。RG-SRA作为安全产品，安装后会对系统的网卡、端口、协议等方面有改动，因此会和部分防火墙或者防病毒程序不兼容。目前经过测试，已知和市场主流的杀毒软件、防火墙是兼容的有：瑞星、天网、Symentec、微软等产品都兼容。已知的不兼容的软件有：卡巴司基、Sygate。因此建议用于测试的PC机卸载这两个程序。推荐用户使用没有安装任何第三方防火墙、防病毒程序的机器来作实验。第二步：搭建图示实验拓扑，然后配置PC机、服务器、VPN设备A、route的IP及必要路由。示例如下：VPN设备A的eht1口地址：192.168.2.1VPN设备A的eth0口地址：10.1.1.1PC机的IP地址：10.1.2.1PC机的网关地址：10.1.2.2服务器的IP地址：192.168.2.2服务器的网关地址：192.168.2.1Route的F0/0地址:10.1.1.2Route的F0/1地址:10.1.2.2注意：PC机及路由器的详细配置这里省略，请参考相关操作手册。RG-WALLV50设备接口标识为“WAN”口，对应系统内部显示为“eth1”的接口；接口标识为“LAN”口，对应系统内部显示为“eth0”的接口。VPN设备A接口及缺省路由配置如下：1)通过服务器的超级终端，在命令行下配置VPN设备A的eth1口地址，操作如图7-2所示：图7-2配置VPN设备A的eth1口地址注意：锐捷VPN出厂时eth1口默认地址为192.168.1.1。2)通过服务器上的VPN管理软件登录VPN设备A，配置eth0口地址，操作如图7-3所示：直接双击eht0接口图标图7-3配置eth0口地址设置eth0口地址，如图7-4所示：缺省路由直接在外出接口处配置图7-4设置eth0口地址验证测试：VPN设备A可Ping通路由器的F0/0口；PC机可以Ping通路由器的F0/1口；PC机可以Ping通VPN设备A的eth0口；服务器可以Ping通VPN设备A的eth1口。第三步：配置IPSecVPN隧道（VPN设备A端）1)进入远程移动用户VPN隧道配置的界面登录VPN设备A的管理界面，选择进入“远程用户管理”界面，如图7-5所示：图7-5进入远程用户管理界面2)首先配置“允许访问子网”，如图7-6所示；图7-6配置子网访问方式3)配置“本地用户数据库”，如图7-7、图7-8所示；图7-7配置本地用户数据库图7-8配置本地用户数据库注意：添加完用户后一定要点击“用户生效”按钮，否则新添加的用户依然不可使用，如图7-9、图7-10所示。图7-9添加完用户图7-10添加完用户4)配置“虚IP地址池”，如图7-11、图7-12所示；图7-11配置虚IP地址池图7-12配置虚IP地址池注意：分配PC机的虚拟IP地址，既可以是定义一个地址池，由VPN设备自动分配；也可以是管理员一个IP对应一个用户的分配。本实验我们选择地址池方式，由系统自动分配。并且选择定义“子网地址”的地址池。虚IP是网络管理员分配给远程移动用户的IP，表示只有拥有该IP的PC机才能获得局域网内部的访问权限。因此，管理员设置的虚IP一定不要与远程PC的IP、以及局域网内部的IP互相冲突，否则远程PC在和VPN设备建立隧道后，因地址冲突的问题，也无法访问局域网内部的服务器。本实验中虚IP地址池我们选择定义一个完全没有使用的网段，如图7-13、图7-14所示。图7-13配置虚IP地址池图7-14配置虚IP地址池5)配置“用户特征码表”，如图7-15、图7-16所示；图7-15配置用户特征码表图7-16配置用户特征码表配置说明：“用户特征码表”是为需要将远程PC的硬件和分配给用户的身份信息绑定的需求而设计的。选择了“允许接入并自动绑定”功能，则VPN设备会将远程用户的PC硬件特征码与该用户的身份认证信息相互绑定，绑定后该用户将无法用自己的身份信息再在其它PC设备上建立VPN隧道。该实验中我们既可以选择“允许接入”，也可以选择“允许接入并自动绑定”。系统默认配置是“禁止接入”。图示选择的是“允许接入”，这表示该用户的身份信息不会和其使用的PC硬件绑定。其它注意事项：此次实验，移动用户身份认证方式采用的是口令方式，关于“数字签名”的方式将再另外的专题实验中练习。“远程用户管理”界面的其它配置项，例如：“内部DNS服务器”、“内部WINS服务器”、“认证参数”，用户可以根据实际需要选择设置。但该实验因为不涉及这些应用，故不需要进行设置。第四步：配置防火墙规则：1、定义对象1）定义IP地址：登录VPN设备A的管理界面，选择进入“防火墙”=〉“对象管理”=〉“IP地址对象”界面，如图7-17所示：图7-17配置防火墙规则选择“添加对象”，命名为“出差人员”，如图7-18所示；图7-18添加用户对象点击添加成员来定义“出差人员”的IP地址，如图7-19所示；-19添加用户对象IP地址图7续选择“添加对象”，命名为“服务器”，如图7-20所示；击添加成员来定义“服务器”的IP地址，如图7-21所示继图7-20添加服务器对象点图7-21添加服务器IP地址2）定义网络服务对象：登录VPN设备A的管理界面，选择进入“防火墙”=〉“对在“对象配置”栏目中可以自行对具体的网络服务进行定义；我们在这里使用系统默认的象管理”=〉“网络服务对象”界面，如图7-22所示：图7-22配置网络服务对象，“常用服务”，其配置如图7-23所示：图7-23配置网络服务对象3）定义时间对象：登录VPN设备A的管理界面，选择进入“防火墙”=〉“对象管理”=〉“时间对象”界面，如图7-24所示：图7-24配置时间服务对象在“时间对象”一栏，我们有默认的三种时间对象如下，也可以自行定义其他一些时间段，如图7-25、图7-26、图7-27所示：图7-25配置时间服务对象图7-26配置时间服务对象图7-27配置时间服务对象2、定义规则：在做好了以上对象定义以后，就可以进入规则定义的界面了，如图7-28所示：图7-28配置访问规则在访问规则界面，我们选择“添加规则”如图7-29所示：7-29添加访问规则规则定义窗口，分队对“源对象”、“目的对象”、“网络服务”、“工作时间”作以下定义，图在如图7-30所示：图7-30添加访问规则点击确定以后，会出现以下界面，如图7-31所示：图7-31查看添加访问规则由于我们新添加的规则默认位于最后一条，而且位于“允许所有”和“拒绝所有”两条规则之后，按照规则列表由上至下匹配的顺序来看，新规则在这样的排列下是不会生效的；所以，要是规则生效，我们必须把它移动到最顶端，如图7-32所示：图7-32调整访问规则顺序以上步骤完成后，防火墙规则定义部分完成。第五步：配置IPSecVPN隧道（PC端）：1）第一次运行RG-SRA程序后，如图7-33所示：图7-33运行RG-SRA程序2)建立一个与VPN设备A的隧道连接点击“新建连接”按钮，如图7-34所示：图7-34新建VPN设备连接填写基本信息，如图7-35所示：填写VPN设备A的eth0口地址可以随意定义该实验我们选择的是网关本地认证图7-35填写连接基本信息填写后如图7-36所示：图7-36配置VPN设备连接标识点击“确定”后如图7-37所示：图7-37新建VPN设备连接3)运行该隧道连接，建立VPN隧道，如图7-38所示。图7-38建立VPN隧道输入身份认证所必须的账号，即在VPN设备A上添加的用户，如图7-39所示。图7-39输入身份认证所必须的账号点击“连接”按钮后，系统自动进行身份认证，并且开始IKE的协商，如图7-40所示：图7-40自动进行身份认证完成身份认证和隧道建立的过程后，RG-SRA程序会自动缩小图标显示在屏幕的右下角，如图7-41所示：图7-41完成身份认证和隧道建立验证测试：1、鼠标右键点击RG-SRA图标，在菜单中选择“详细配置”，可以查看到隧道信息，如图7-42、图7-43所示：图7-42查看到隧道信息“可访问”表示隧道已建立成功，如果是“不可访问”则表示隧道没有建立成功。图7-43查看到隧道信息2、在VPN设备A的管理界面也可看到已经建立成功的隧道信息。隧道启动后可以在“隧道协商状态”栏目下看到隧道的协商状态，“隧道状态”显示“第二阶段协商成功”，如图7-44、图7-45所示。该IP为VPN设备A从虚地址池中自动分配给该PC的虚IP。图7-44查看隧道协商状态隧道名称是系统自动定义的图7-45查看隧道协商状态第六步：进行隧道通信从PC机上去访问服务器提供的服务，服务应该成功。或者先在PC机上Ping一下服务器的IP，应该能够Ping通。