Access VPN用户授权通信实验.docVIP

实验七 Access VPN用户授权通信实验【实验名称】Access VPN用户授权通信实验【实验目的】学习配置Remote to Site的IPSec VPN隧道，熟悉移动办公方式下的VPN隧道建立和防火墙规则的配置。【背景描述】假设某员工正在外地出差，但需要访问公司内部的服务器资源，而这些服务器资源因安全性考虑并不直接在公网上开放，因此该员工必须通过先和公司建立VPN隧道，再获得访问内部资源的权利。另外一方面，该员工和公司建立隧道后，公司只允许员工访问规定的服务，这时就要求在VPN设备上启用防火墙规则。【需求分析】需求： 解决出差员工和公司之间通过Internet进行信息安全传输的问题。分析： IPSec VPN技术通过隧道技术、加解密技术、密钥管理技术、和认证技术有效的保证了数据在Internet网络传输的安全性，是目前最安全、使用最广泛的VPN技术，另外，锐捷VPN自带有成熟的防火墙技术。因此我们可以通过建立IPSec VPN的加密隧道，实现出差员工和公司之间的信息安全传输。【实验拓扑】 【实验设备】 设 备型 号数 量备 注锐捷VPN设备RG-WALL V501台锐捷VPN远程接入系统RG-SRA1套软件程序锐捷路由器设备1台Windows系统的PC机推荐Win XP系统1台Windows系统的服务器1台建议开设FTP服务或者Web服务直连线2根交叉线1根【预备知识】 1、网络基础知识、网络安全基础知识、VPN基础知识；2、IPSec协议的基本内容、其工作模式；3、IKE协议的基本工作原理；4、防火墙的基本工作原理。【实验原理】 PC机模拟出差员工的PC，与VPN设备A（模拟公司出口VPN设备）通过IKE自动协商建立起IPSec 的VPN加密隧道。由于VPN设备启用了防火墙技术，可以对用户做不同的授权，使得PC机只能安全访问到VPN设备A所保护的特定内部服务器。实验时，可以在服务器上开设FTP服务或者Web服务，并开设邮件服务器。在VPN隧道建立成功后，PC机将能够访问到FTP服务或者Web服务，但无法访问邮件服务器。移动用户（即PC机）在和VPN设备建立VPN隧道前，需要先获得VPN设备的身份验证许可。该实验所采用的用户身份验证为口令方式，并且口令账号的颁发由VPN设备A来完成。移动用户（即PC机）在通过VPN设备A的身份验证后，VPN设备A会自动将VPN隧道建立（即IKE协商）所需要的配置下发给PC机，然后PC机与VPN设备A之间自动开始IKE协商，协商成功后VPN隧道即建立成功。整个过程系统自动完成，无需人为干预，是免配置的典型方式。【实验步骤】第一步：准备好PC机和服务器。1) 实验中即可以通过PC机来管理VPN设备A，也可以通过服务器来管理VPN设备A，请用户自行选择。假设决定用服务器来管理VPN设备A，则请在服务器上安装VPN管理软件（见随机附带的光盘）2) 在PC机上安装RG-SRA软件程序，安装步骤请看随机附带的光盘，这里不详述。注意：RG-SRA是VPN客户端软件程序，如果PC机上已预装其它厂家的VPN客户端程序，请先卸载其它厂家的VPN客户端程序，否则可能RG-SRA无法正常工作。 RG-SRA作为安全产品，安装后会对系统的网卡、端口、协议等方面有改动，因此会和部分防火墙或者防病毒程序不兼容。目前经过测试，已知和市场主流的杀毒软件、防火墙是兼容的有：瑞星、天网、Symentec、微软等产品都兼容。已知的不兼容的软件有：卡巴司基、Sygate。因此建议用于测试的PC机卸载这两个程序。推荐用户使用没有安装任何第三方防火墙、防病毒程序的机器来作实验。第二步：搭建图示实验拓扑，然后配置PC机、服务器、VPN设备A、route的IP及必要路由。示例如下：VPN设备A的eht1口地址：VPN设备A的eth0口地址：PC机的IP地址：PC 机的网关地址：服务器的IP地址：服务器的网关地址：Route的F0/0地址:Route的F0/1地址:注意：PC机及路由器的详细配置这里省略，请参考相关操作手册。 RG-WALL V50设备接口标识为“WAN”口，对应系统内部显示为“eth1”的接口；接口标识为“LAN”口，对应系统内部显示为“eth0VPN设备A接口及缺省路由配置如下：1) 通过服务器的超级终端，在命令行下配置VPN设备A的eth1口地址，操作如下：注意：锐捷VPN出厂时eth1口默认地址为。2) 通过服务器上的VPN管理软件登录VPN设备A，配置eth0口地址，操作如下：直接双击eht0接口图标直接双击eht0接口图标设置eth0口地址：缺省路由直接在外出接口处配置缺省路由直接在外出接口处配置验证测试： VPN设备A可Ping通路由器的F0/0口；PC机可以P