网络安全与防护课程迟恩宇实训指导2.52基于路由器实现分支与总部VPN连接SDM1.pptVIP

计算机网络安全技术与实施 学习情境2：实训任务2.5 基于路由器实现分支与总部VPN连接 内容介绍 任务场景及描述 1 任务相关工具软件介绍 2 任务设计、规划 3 任务实施及方法技巧 4 任务检查与评价 5 任务总结 6 任务场景及描述 任务相关工具软件介绍 思科安全设备管理工具SDM Cisco Security Device Manager，即Cisco安全设备管理工具，简称SDM。是Cisco公司提供的图形化路由器管理工具。SDM在新版CCNP课程ISCW中重点讲解，其利用WEB界面、Java技术和交互配置向导使得用户无需了解命令行接口(CLI)即可轻松地完成IOS路由器的功能配置、状态监控和安全审计，对于一些复杂的配置功能包括：防火墙、QoS、VPN、IDS/IPS、DHCP Server、动态路由协议等都可以利用SDM通过图形界面方式进行轻松配置。SDM可能通过HTTPS连接及SSH v2协议连接到路由器，提供安全保护。多数Cisco的大部分中低端路由器的新版本IOS都可以支持SDM。下面是其安装界面。 任务相关工具软件介绍 在选择SDM的管理程序安装的位置处，可以选择安装在本计算机上，也可以通过本计算机连接到路由器上，将其安装到路由器内。一般仅会将SDM安装在计算机上，因为安装在路由器中对路由器的资源占用很大，无形增加了路由器的内存及CPU开销。因为SDM是利用WEB界面、Java技术和交互配置向导对路由器进行远程配置的，在本计算机上要设置IE等浏览器的安全设置中的ActiveX控件和插件，启用AXTIVE。并将“阻止弹出窗口”关闭。 另外，还要在本机上安装JAVA运行环境。以保证JAVA程序能够正常运行。当IE提示阻止时，点击选择允许，如果出现后台程序脚本，点右键刷新可以看到SDM登录的认证。 任务相关工具软件介绍 1、在安装SDM前首先要安装JAVA运行环境 SDM软件通过WEB方式配置路由器，需要支持JAVA运行环境： 注意：建议安装如下图所示的J2RE的JAVA运行环境，不要安装Java Runtime Environment (java运行时环境) 6.0 Update，更不要同时安装这两者，否则会出现路由器无法用SDM登录，或登录后防火墙及IPS等功能集不可用的情况。 任务相关工具软件介绍 2、利用SDM配置路由器的要求 安装SDM的主机要与路由器的一个接口相连（不是直接相连接也可以），如下图所示，计算机的以太口与路由器的以太接口在可以进行通信。也就是说首先要配置路由器的FE0/0接口的IP，同时配置A计算机网络的IP地址与其在同一网段（这里需要同一网段，实际中只要能进行网络通信就可以）。启动路由器准备SDM连接并进行配置。 3、安装配置SDM软件 在A计算机上启动SDM软件并进行连接 ，如图所示。 A IP: IP: R1 FE0/0 任务相关工具软件介绍 4、对路由器的预配置 在配置路由器之前除了要对接口配置IP地址之外，还要进行相应的配置，可参见SDM安装程序目录下的Help.htm帮助文件。具体命令如下： r1(config)#ip http server r1(config)#ip http secure-server r1(config)#ip http authentication local //当进行HTTP访问是，通过本地的用户名和密码登录验证用户身份。 r1(config)#username cey privilege 15 password 0 cey123 //“privilege 15”说明此用户对路由器有最高的权限。 r1(config)# line vty 0 4 r1(config-line)# privilege level 15 r1(config-line)# login local //ssh通过本地的用户名和密码登录验证。 r1 (config-line)# transport input telnet r1(config-line)# transport input telnet ssh r1(config-line)# exit 此时就可以参照上一步用SDM进行连接路由器r1对其进行配置了： 任务设计、规划 在实际企业环境中，经常有这样的需求，即要把企业总部与其分支机构的两个局域网络利用VPN进行连接，以实现资源的安全共享，其实这种就是前面介绍的VPN结构中的站点到站点（site to site）模式的VPN。如下图所示，长春分公司的内部主机A、B通过VPN实现对北京总部内的C、D主机进行安全通信。 互联网ISP 总公司 地方或远程分公司 北京 长春 0101010