关于IPSEC-VPN-实验详解.docxVIP

关于IPSECVPN实验详解

文章来源：不详作者：佚名

该文章讲述了关于IPSECVPN实验详解.

?

由

于Internet宽带接入的普及，它的带宽与价格非常的便宜（相对于专线而言）.８Ｍ的ADSL价位不到两千元／年.越来越多的企业开始发掘基于宽带接入的增值应用.由于VPN技术的成熟，如对数据的加密技术与VPNQos技术的发展，使得基于Internet接入的VPN应用日趋增多.

VPN技术可用于远程用户的接入（用于取代传统拨号接入技术）访问，用于对主线路的备份作为备份链路，甚至可以取代传统的专线地位用于企业各分支机构的专有网络互联.

用于取代专线或备份线路接入的Site-to-SiteVPN接入技术，用于远程终端用户接入访问的Remote-VPN(也叫EasyVPN，取代传统拨号接入).

基于WEB页面访问的WEBVPN技术.又叫SSLVPN.

１．Site-to-sitevpn(三种类型)

站点间的VPN技术.IKE使用UDP端口500,IpsecESP和AH使用协议号50和51.因此如果要实现VPN穿越，必须在相应接口上配置访问列表以允许VPN流量通过。

??Site-to-SiteVPN的配置通常可分为四个步骤：

??1.传统路由及需互访的流量定义

定义路由设置

????感兴趣的流量（即定义互访的内网主机流量以触发VPN参数协商）

2.定义IKE参数（IKE第一阶段安全关联协商）

????定义ISAKMP策略

????定义ISAKMP对等体和验证密钥

3.定义Ipsec参数（IKE第二阶段安全关联协商）

????定义Ipsec的转换集Transform

????定义Ipsec的加密映射（cryptomap）。

4.将加密映射应用到相应接口。

当路由器收到一个数据包时，它将检查安全策略（即所定义的感兴趣的流量）以决定是否为此数据包提供保护。如果匹配访问列表所定义的流量，则路由器决定采用何种安全服务，并决定IPSEC端点所使用的地址，并检查是否存在一个安全关联（securityassociation）.

如果没有安全关联，则路由器将与对等体协商建立。而IKE用来在站点路由器之间建立一个提供验证的安全通道，并在此安全通道上进行Ipsec安全关联的协商。IKE首先验证它的对等体，可通过预共享密钥，公钥密码或数字签名来实现。一旦对等体被验证通过，Diffe-Hellman协议用来产生一个共有的会话密钥。

1.1静态地址

１.站点间用于建立VPN的两台设备都有静态公网地址.

内部主机通过NAT地址转换后访问Internet.但内部主机之间的访问流量不通过NAT转换，而通过Ipsec加密进行访问。如图所示，在远程站点间，由于专线费用过高，因此考虑与中心站点间采用IPsecVPN技术来实现远程分支站点与中心站点间的私网互联。

因为内网是私有地址，所以在上Internet时必须做NAT地址转换。而通过VPN隧道在内网之间访问的时候，相当于两边私网通过专线互联，因此不需要做NAT。

1路由配置，NAT配置及感兴趣流量的定义

??R1与R3分别是中心站点与分支站点的Internet接入路由器，在接入路由器上通常配置默认路由。

??1.接口及路由配置

R1配置：

interfaceEthernet0/1

ipaddress10.1.1.1255.255.255.0

interfaceSerial1/0

ipaddress201.1.1.1255.255.255.0

iproute0.0.0.00.0.0.0Serial1/0

??R2配置

interfaceSerial1/0

ipaddress201.1.1.2255.255.255.0

!?????????

interfaceSerial1/1

ipaddress202.1.1.1255.255.255.0

R3配置

interfaceEthernet0/1

ipaddress172.16.1.1255.255.255.0

interfaceSerial1/1

ipaddress202.1.1.2255.255.255.0

iproute0.0.0.00.0.0.0Serial1/1

2.NAT配置

在R1和R3上分别做PAT地址转换，定义需要做NAT的访问列表。

R1配置：

R1(config)#inte0/1

R1(config-if)#ipnatinside

R1(config-if)#ints1/0

R1(config-if)#ipnatoutside

ipnatinsidesourcelist102interfaceSeri