网络系统建设与运维 课件 P02-10.IPsec VPN组网.pptx

网络系统建设与运维

IPSecVPN是一种跨越运营商的、远程的、安全的企业内网间通信的技术方案，比如公司总部在北京，分公司在深圳，双方之间需要进行安全（数据经过运营商时需要加密）的内网通信，此时就可以使用IPSecVPN来实现。IPSecVPN是由IETF定义的一个协议组，通信双方在IP层通过加密、完整性校验、数据源认证等方式，保证了IP数据报文在网络上传输的机密性、完整性和防重放。在配置上，IPSecVPN的配置步骤较多，且需要一定的网络安全基础知识，本项目介绍了IPSecVPN的基本概念、工作原理和配置过程。提高篇项目10IPsecVPN组网

一、学习目标1、掌握IPsec的应用场合与工作原理；2、掌握IPsec的配置；3、掌握IPsec与NAT的协同工作。二、网络拓扑图提高篇项目10IPsecVPN组网

三、环境与设备要求1、按下列清单准备好网络设备，并依图示搭建网络拓扑图；提高篇项目10IPsecVPN组网设备型号数量路由器Router2（运营商侧）路由器AR32602（公司侧）

2、为计算机和相关接口配置IP地址；提高篇项目10IPsecVPN组网设备连接端口IP地址子网掩码网关PC1R3G0/0/1192.168.1.1255.255.255.0192.168.1.254PC2R4G0/0/1192.168.2.1255.255.255.0192.168.2.254R3G0/0/0R1E0/0/110.0.13.3255.255.255.0--R3G0/0/1PC1192.168.1.254255.255.255.0--R1E0/0/0R2E0/0/010.0.12.1255.255.255.0--R1E0/0/1R3G0/0/010.0.13.1255.255.255.0--R2E0/0/0R1E0/0/010.0.12.2255.255.255.0--R2E0/0/1R4G0/0/010.0.24.2255.255.255.0--R4G0/0/0R2E0/0/110.0.24.4255.255.255.0--R4G0/0/1PC2192.168.2.254255.255.255.0--R1LOOPBACK0--1.1.1.1255.255.255.255--R2LOOPBACK0--2.2.2.2255.255.255.255--R3LOOPBACK0--3.3.3.3255.255.255.255--R4LOOPBACK0--4.4.4.4255.255.255.255--

3、A公司的总部和分公司之间能够进行安全的内网通信；4、A公司的总部和分公司要能正常联通Internet。提高篇项目10IPsecVPN组网

四、认知与配置过程1、配置PC和路由器的接口IP地址略2、配置运营商路由器之间的OSPF路由提高篇项目10IPsecVPN组网[R1]ospf1router-id1.1.1.1[R1-ospf-1]silent-interfaceEthernet0/0/1[R1-ospf-1]area0.0.0.0[R1-ospf-1-area-0.0.0.0]network0.0.0.0255.255.255.255[R2]ospf1router-id2.2.2.2[R2-ospf-1]silent-interfaceEthernet0/0/1[R2-ospf-1]area0.0.0.0[R2-ospf-1-area-0.0.0.0]network0.0.0.0255.255.255.255

3、配置R3和R4上的默认路由与NAT在R3和R4上建立ACL3100，匹配内网访问Internet的流量，注意要屏蔽总部和分公司之间的流量。同时在G0/0/0接口上开启Easy-ip使能NAT功能。3.1配置R3提高篇项目10IPsecVPN组网[R3]iproute-static0.0.0.00.0.0.010.0.13.1[R3]acl3100[R3-acl-adv-3100]rule5denyipsource192.168.1.00.0.0.255destination192.168.2.00.0.0.255[R3-acl-adv-3100]rule10permitipsource192.168.1.00.0.0.255[R3-GigabitEthernet0/0/0]natoutbound3100

3.2配置R4至此，完成了总部和分公司访问Internet的配置。但此时总部和分公司之间仍然不能通信，接下来在R3和R4上配置IPsecVPN，使得总部和分公司之间的通信如同内网间通