IPSec VPN穿越NAT的通信实验.docVIP

实验五 IPSec VPN穿越NAT的通信实验 【实验名称】 IPSec VPN穿越NAT的通信实验 【实验目的】 学习配置Site to Site的IPSec VPN隧道，加深对IPSec 协议的理解。并且体会IPSec VPN穿越NAT的通信。 【背景描述】 假设北京的某公司在上海开了新的分公司，分公司要远程访问总公司的各种服务器资源，例如：CRM系统、FTP系统等。Internet上的网络传输本身存在安全隐患，这家公司希望通过采用IPSec VPN技术实现数据的安全传输。 上海的分公司组网的时候使用私有地址，在出口部署NAT将私有地址转换为公有地址来接入互联网，就是说两台VPN网关之间还存在NAT设备从原理来说，NAT和IPSec存在一定的矛盾 【实验设备】 设 备 型 号 数 量 锐捷VPN设备 RG-WALL V50 2台 锐捷路由器设备 1台 Windows系统的PC机 2台 直连线 2根 交叉线 2根 【预备知识】 1、网络基础知识、网络安全基础知识、VPN基础知识； 2、IPSec协议的基本内容、其工作模式； 3、IKE协议的基本工作原理； 4、IPSec VPN不能穿越NAT的原因； 5、IPSec VPN穿越NAT的原理。 【实验原理】 两个局域网出口的VPN设备（A和B）之间通过IKE自动协商建立起IPSec 的VPN加密隧道。使得这两个局域网内部的PC机1和PC机2之间的通信，在这两个局域网间（VPN设备A到VPN设备B的路径）是被加密传输的。 VPN网关之间存在NAT设备，锐捷VPN网关已经实现了NAT穿越，并且能自动发现NAT设备，因此对于VPN设备而言配置中不需要对NAT环境作做任何特殊设置。 但需要注意，在NAT环境下，身份认证方式必须采用预共享密钥方式中的自定义标识方式，或者是数字签名方式，不可以采用预共享密钥的地址标识方式。 【实验步骤】 第一步：准备好PC1和PC2后，先在PC1和PC2上 安装VPN管理软件（见随机附带的光盘） 第二步：搭建图示实验拓扑，然后配置PC1、PC2、VPN设备A、VPN设备B、route的IP及必要路由，路由器上要配置NAT。IP地址配置如下： VPN设备A的eht1口地址： VPN设备A的eth0口地址： PC 1的IP地址： PC 1的网关地址： VPN设备B的eth1口地址： VPN设备B的eth0口地址： PC 2的IP地址： PC 2的网关地址： Route的F0/0地址: Route的F0/1地址: 注意：PC机及路由器的详细配置这里省略，请参考相关操作手册。 RG-WALL V50设备接口标识为“WAN”口，对应系统内部显示为“eth1”的接口；接口标识为“LAN”口，对应系统内部显示为“eth0”的接口。 环境中有NAT，需要指出那个设备是NAT设备，并且配置了怎样的NAT规则。 1、VPN设备A接口及缺省路由配置如下： 1) 通过PC1的超级终端，在命令行下配置VPN设备A的eth1口地址，操作如下： 注意：锐捷VPN出厂时eth1口默认地址即为，因此你可以先查看接口配置，如果的确是如此则可以免去该配置步骤。 2) 通过PC1上的VPN管理软件登录VPN设备A，然后配置eth0口地址，操作如下： 设置eth0口地址： 2、VPN设备B接口及缺省路由配置如下： 1) 通过PC2的超级终端，在命令行下配置VPN设备B的eth1口地址，操作如下： 2) 通过PC2上的VPN管理软件登录VPN设备B，然后配置eth0口地址，操作如下： 设置eth0口地址： 验证测试： PC1可以Ping通VPN设备A的eth1口； VPN设备A可Ping通VPN设备B（反之亦可）； PC2可以Ping通VPN设备B的eth1口。 第三步：配置IPSec VPN隧道 1、在VPN设备A上进行IPSec VPN隧道配置： 1) 进行设备配置 该实验是不可以在PSK的地址标识方式下实现的，该实验必须重做。 注意：此次实验IKE的协商选择“预共享密钥”方式（即PSK方式），关于“数字签名”的方式将再另外的专题实验中练习。 2) 进行隧道配置 添加完隧道后的界面截图： 2、在VPN设备B上进行IPSec VPN隧道配置： 1) 进行设备配置 2) 进行隧道配置 添加完隧道后的界面截图： 第四步：启动已配置好的隧道 验证测试： 隧道启动后可以在“隧道协商状态”栏目下看到隧道的协商状态。 如果协商的“隧道状态”显示“第二阶段协商成功”，则表示VPN设备A到VPN设备B的加密隧道已建立成功。 第五步：进行隧道通信 VPN隧道的通信是可以双向的，因此你即可以从PC1去访问PC2，也可以从PC2去访问PC1。