68【网络安全】【Intranet VPN桥模式下通信实验】

实验八IntranetVPN桥模式下通信实验【实验名称】IntranetVPN桥模式下通信实验【实验目的】学习配置桥模式下SitetoSite的IPSecVPN隧道，加深对IPSec协议的理解。【背景描述】假设北京的某公司在上海开了新的分公司，分公司要远程访问总公司的各种服务器资源，例如：CRM系统、FTP系统等。Internet上的网络传输本身存在安全隐患，这家公司希望通过采用IPSecVPN技术实现数据的安全传输，但不改变目前拓扑。【需求分析】需求：解决上海分公司和北京总公司之间通过Internet进行信息安全传输的问题分析：IPSecVPN技术通过隧道技术、加解密技术、密钥管理技术、和认证技术有效的保证了数据在Internet网络传输的安全性，是目前最安全、使用最广泛的VPN技术。因此我们可以通过建立IPSecVPN的加密隧道，实现分公司和总公司之间的信息安全传输。另外，不改变目前拓扑，只要对VPN设备采取桥模式连接就可以实现。【实验拓扑】如图8-1所示网络拓扑是某公司的上海分公司和北京总公司建立VPN的拓扑结构，上海新开的分公司希望通过公网访问公司内部的服务器资源，需要解决上海分公司和北京总公司之间通过Internet进行信息安全传输的问题，公司希望通过采用IPSecVPN技术实现数据的安全传输。并且使用IntranetVPN桥模式下通信。图8-1某公司建立VPN的拓扑结构实验设备】设备型号数量【锐捷RGVPN设备-WALLV502台锐捷路由器设备1台Windows系统的PC机2台直连线2根交叉线2根VPN设备ABri0Bri0PC1PC2RouteVPN设备BF0/0F0/1【预备知识】础知识、网络安全基础知识、VPN基础知识；【实验原】出口的VPN设备（A和B）之间通过IKE自动协商建立起IPSec的VPN加密隧实验步骤】PC1和PC2后，先在PC1和PC2上安装VPN管理软件（见随机附带的光盘）第二步：搭建图示实验拓扑，然后配置PC1、PC2、VPN设备A、VPN设备B、route的IP及的br0口地址：10.1.1.11.2.1意：PC机及路由器的详细配置这里省略，请参考相关操作手册。“eth1”的接口；接1、网络基2、IPSec协议的基本内容、其工作模式；3、IKE协议的基本工作原理。理两个局域网道。使得这两个局域网内部的PC机1和PC机2之间的通信，在这两个局域网间（VPN设备A到VPN设备B的路径）是被加密传输的。【第一步：准备好必要路由。示例如下：VPN设备APC1的IP地址：10.1.1.3PC1的网关地址：10.1.1.1VPN设备B的br0口地址：10.PC2的IP地址：10.1.2.3PC2的网关地址：10.1.2.1Route的F0/0地址:10.1.1.2Route的F0/1地址:10.1.2.2注RG-WALLV50设备接口标识为“WAN”口，对应系统内部显示为口标识为“LAN”口，对应系统内部显示为“eth0”的接口。1、VPN设备A接口及缺省路由配置如下：1)通过PC1的超级终端，在命令行下配置VPN设备A的br0口地址，操作如图8-2所示：（10.1.1.1图8-2配置VPN设备A的br0口地址（2)然后分别把eth0和eth1加入br0口，步骤如图8-3所示：图8-3把eth0和eth1加入br0口2、VPN设备B接口及缺省路由配置如下：（1)通过PC1的超级终端，在命令行下配置VPN设备A的br0口地址，操作如图8-4所示：10.1.2.1图8-4配置VPN设备A的br0口地址（2)然后分别把eth0和eth1加入br0口，步骤如图8-5（1）、（2）所示：图8-5把eth0和eth1加入br0口（1）图8-5把eth0和eth1加入br0口（2）（3)通过PC1上的VPN管理软件登录VPN设备A，然后查看接口状态如图8-6所示：图8-6登录VPN设备查看接口状态验证测试：PC1可以Ping通VPN设备A的br0口；VPN设备A可Ping通VPN设备B（反之亦可）；PC2可以Ping通VPN设备B的br0口。第三步：配置IPSecVPN隧道1、在VPN设备A上进行IPSecVPN隧道配置：（1)进行设备配置，如图8-7、图8-8所示图8-7进行设备配置图8-8进行设备配置配置隧道请点击该图标注意：此次实验IKE的协商选择“预共享密钥”方式（即PSK方式），关于“数字签名”的2)进行隧道配置，如图8-10、图8-11、图8-12所示；方式将再另外的专题实验中练习，如图8-9所示。图8-9选择预共享密钥协商方式该页面的设置通常不需要修改选择刚添加的设备，再点击“添加隧道”图标图8-10进行隧道配置图8-11进行隧道配置选择需要的算法，但要和VPN设备B上的配置保持一图8-12进行隧道配置2、在VPN设备B上进行IPSecVPN隧道配置：（1)进行设备配置，如图8-13、图8-14、图8-15所示图8-13进行设备配置配置隧道请点击该图标致。也可以选择默认配置。图8-14进行设备配置该页面的设置通常不需要修改图8-15进行设备配置（2)进行隧道配置，如图8-16、图8-17、图8-18所示选择刚添加的设备，点击“添加隧道”图标图8-16进行隧道配置图8-17进行隧道配置选择需要的算法，但要和VPN设备A上的配置保持一致。也可以选择默认配置。图8-18进行隧道配置添加完隧道后的界面截图，如图8-19所示：图8-19添加完隧道后的界面第四步：启动已配置好的隧道，如图8-20所示VPN设备A和B只需要选择在一边执行启动隧道操作即可。选择隧道，点击“启动隧道”图标。图8-20启动配置好的隧道验证测试：隧道启动后可以在“隧道协商状态”栏目下看到隧道的协商状态。如果协商的“隧道状态”显示“第二阶段协商成功”，则表示VPN设备A到VPN设备B的加密隧道已建立成功，如图8-21、图8-22所示。图8-21查看隧道协商状态图8-22查看隧道协商状态第五步：进行隧道通信VPN隧道的通信是可以双向的，因此你即可以从PC1去访问PC2，也可以从PC2去访问PC1。最简单的访问方式就是Ping，因此你可以先从PC1去Ping一下PC2的地址，现在因为有了VPN隧道所以Ping是可以成功的。（没有VPN隧道前Ping会是失败的）“隧道通信状态”中查看到，如图8-23、图8-24所示：图8-23查看隧道通信状态zVPN设备A和许有冲突和包含关系。IPSec协议本身无法实现相同内部子网间的通信。针对此问题，锐捷VPN有自己独有的解决办法，但将在另外的实验中练习。验中，VPN设备的防火墙规则为全部开放。但在实际的网络环境中，如果VPN【参考配置如何VPN隧道的通信情况可以在图8-24查看隧道通信状态【注意事项】z实验环境IP可以随意定义，但请不要使用1.1.1.0这个网段的IP，因为某些功能实现的需要，系统内部已占用该网段的部分IP。VPN设备B保护的内部子网不允z该实设备直接连接Internet网络，则一定需要启用防火墙规则，关于防火墙规则的使用不在该实验中祥述。】使用VPN管理软件其操作如下：打开【开始】→【程序】→【锐捷VPN管理平台】，启动锐捷VPN管理平台。您若是第一次打可以从【文件】→【新建】→【网关组】，添加一个网关组，如图8-25所示。开VPN管理平台，里面是没有任何VPN设备的，需要依次添加网关组与网关。图8-25新建网关组添加完网关组后，便可添加网关，从【文件（F）】→【新建（N）】→【网关（W）】,可以添加网关，在打开的属性框中，填写网关的属性，如图8-26所示。图8-26填写网关属性填写完成后，点【确定】，便回到锐捷VPN管理平台的主界面，如图8-27所示。图8-27成功添加一个网关