Site-to-Site VPN配置和调试实践:构建安全的远程网络连接

这篇具有很好参考价值的文章主要介绍了Site-to-Site VPN配置和调试实践:构建安全的远程网络连接。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Site-to-Site VPN配置和调试实践:构建安全的远程网络连接

【实验目的】

  1. 理解Site to Site VPN的含义。
  2. 掌握Site to Site VPN的含义。
  3. 验证配置。

【实验拓扑】

实验拓扑如下图所示。

Site-to-Site VPN配置和调试实践:构建安全的远程网络连接

实验拓扑

设备参数表如下表所示。

设备参数表

设备

接口

IP地址

子网掩码

默认网关

R1

S0/1/0

69.1.0.1

255.255.255.0

N/A

G0/0/0

192.168.1.1

255.255.255.0

N/A

Internet

S0/1/0

69.1.0.2

255.255.255.0

N/A

S0/1/1

201.106.208.1

255.255.255.0

N/A

R2

S0/1/0

201.106.208.2

255.255.255.0

N/A

G0/0/0

192.168.2.1

255.255.255.0

N/A

【实验内容】

1.基础配置

//R1

Router>ena

Router>enable

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname R1

R1(config)#interface g0/0/0

R1(config-if)#ip address 192.168.1.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#interface s0/1/0

R1(config-if)#ip address 69.1.0.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#

//Internet

Router#conf t

 Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname Internet

Internet(config)#interface s0/1/0

Internet(config-if)#ip address 69.1.0.2 255.255.255.0

Internet(config-if)#no shutdown

Internet(config-if)#interface s0/1/1

Internet(config-if)#ip add 201.106.208.1 255.255.255.0

Internet(config-if)#no shutdown

Internet(config-if)#exit

Internet(config)#

//R2

Router>en

Router>enable

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname R2

R2(config)#interface s0/1/0

R2(config-if)#ip address 201.106.208.2 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#exit

R2(config)#interface g0/0/0

R2(config-if)#ip add 192.168.2.1 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#exit

R2(config)#

2.IP地址与路由配置

在路由器R1、R2上配置IP地址,测试各直连链路的连通性,并配置如下路由:

R1(config)#ip route 0.0.0.0 0.0.0.0 s0/1/0

//公网出口路由器通常会有默认路由指向Internet

Internet(config)#ip route 0.0.0.0 0.0.0.0 s0/1/0

Internet(config)#ip route 0.0.0.0 0.0.0.0 s0/1/1

R2(config)#ip route 0.0.0.0 0.0.0.0 s0/1/0

3.验证配置

Site-to-Site VPN配置和调试实践:构建安全的远程网络连接

//PC1可以ping通PC2,tracert追踪到4条路由

4.配置Site to Site VPN

(1)R1的基本配置

①IKE协商配置。

R1(config)#crypto isakmp enable

//开启isakmp功能

R1(config)#crypto isakmp policy 10

//创建一个isakmp策略,编号为10。可以有多个策略,路由器双发将采用编号最新的策略进行协商

R1(config-isakmp)#encryption des

//配置isakmp采用的加密算法,可以选择3DES、AES和DES

R1(config-isakmp)#authentication pre-share

//配置isakmp采用的身份认证算法,这里采用预共享密钥

R1(config-isakmp)#hash sha

//配置isakmp采用HASH算法,可以选择MD5和SHA

R1(config-isakmp)#group 5

//配置isakmp采用的密钥交换算法,这里采用DH group5,可以选择1,14,15,16,2,5

R1(config-isakmp)#exit

R1(config)#crypto isakmp key cisco address 201.106.208.2

//配置对等体201.106.208.2的预共享密钥为cisco,双方配置的密钥需要一致

R1(config)#

②配置IPsec的协商的传输模式集。

R1(config)#crypto ipsec transform-set TRAN esp-des esp-sha-hmac

//创建ipsec转换集,名称为TRAN,该名称本地有效,这里转换集采用ESP封装,加密算法为DES,HASH算法为sha,可以选择AH很会装封装或AH-ESP封装

③配置感兴趣的数据流。

R1(config)#ip access-list extended VPN

R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

R1(config-ext-nacl)#exit

//定义一个ACL,用来指明需要通过VPN加密的流量,注意这里限定的两个局域网之间的流量才运行加密,其他流量(例如,到Internet)不要加密

④配置VPN加密图与接口应用。

R1(config)#crypto map MAP 10 ipsec-isakmp

//创建加密图,名为MAP,编号为10。名称和编号都本地有效,路由器采用从小小到大逐一匹配

R1(config-crypto-map)#set peer 201.106.208.2

//指明VPN对等体为路由器R2

R1(config-crypto-map)#match address VPN

//指明匹配名为VPN的ACL为VPN流量

R1(config-crypto-map)#exit

R1(config)#interface s0/1/0

R1(config-if)#crypto map MAP

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R1(config-if)#exit

//在接口上应用之前创建的加密图MAP

(2)R2的基本配置

R2(config)#crypto isakmp enable

R2(config)#crypto isakmp policy 10

R2(config-isakmp)#encryption des

R2(config-isakmp)#authentication pre-share

R2(config-isakmp)#hash sha

R2(config-isakmp)#group 5

R2(config-isakmp)#exit

R2(config)#crypto isakmp key cisco address 69.1.0.1

R2(config)#crypto ipsec transform-set TRAN esp-des esp-sha-hmac

R2(config)#ip access-list extended VPN

R2(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

R2(config-ext-nacl)#exit

R2(config)#crypto map MAP 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

R2(config-crypto-map)#set peer 69.1.0.1

R2(config-crypto-map)#match address VPN

R2(config-crypto-map)#exit

R2(config)#interface s0/1/0

R2(config-if)#crypto map MAP

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R2(config-if)#exit

R2(config)#

5.R1、R2的配置VPN的脚本

//R1

crypto isakmp enable

crypto isakmp policy 10

encryption des

authentication pre-share

hash sha

group 5

exit

crypto isakmp key cisco address 201.106.208.2

crypto ipsec transform-set TRAN esp-des esp-sha-hmac

ip access-list extended VPN

permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

exit

crypto map MAP 10 ipsec-isakmp

set peer 201.106.208.2

match address VPN

exit

interface s0/1/0

crypto map MAP

exit

//R2

crypto isakmp enable

crypto isakmp policy 10

encryption des

authentication pre-share

hash sha

group 5

exit

crypto isakmp key cisco address 69.1.0.1

crypto ipsec transform-set TRAN esp-des esp-sha-hmac

ip access-list extended VPN

permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

exit

crypto map MAP 10 ipsec-isakmp

set peer 69.1.0.1

match address VPN

exit

interface s0/1/0

crypto map MAP

exit

6.实验调试

(1)查看路由表

R1#show ip route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area

* - candidate default, U - per-user static route, o - ODR

P - periodic downloaded static route

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

69.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

C 69.1.0.0/24 is directly connected, Serial0/1/0

L 69.1.0.1/32 is directly connected, Serial0/1/0

192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks

C 192.168.1.0/24 is directly connected, GigabitEthernet0/0/0

L 192.168.1.1/32 is directly connected, GigabitEthernet0/0/0

S* 0.0.0.0/0 is directly connected, Serial0/1/0

R1#

(2)显示isakmp策略情况

R1#show crypto isakmp policy

Global IKE policy

Protection suite of priority 10

encryption algorithm: DES - Data Encryption Standard (56 bit keys).

//加密算法

hash algorithm: Secure Hash Standard

//HASH算法

authentication method: Pre-Shared Key

//认证方法

Diffie-Hellman group: #5 (1536 bit)

//密钥交换算法

lifetime: 86400 seconds, no volume limit

//生存时间,即重证时间

R1#

(3)显示ipsec交换集情况

R1#show crypto ipsec transform-set

Transform set TRAN: { { esp-des esp-sha-hmac }

will negotiate = { Tunnel, },

//前面配置的交换集TRAN

Transform set #$!default_transform_set_1: { esp-aes esp-sha-hmac }

will negotiate = { Transport, },

//系统默认的交换集

Transform set #$!default_transform_set_0: { esp-3des esp-sha-hmac }

will negotiate = { Transport, },

//系统默认的交换集

R1#

(4)显示加密图情况

R1#show crypto map

Crypto Map MAP 10 ipsec-isakmp

Peer = 201.106.208.2

//配置的对等体IP

Extended IP access list VPN

//对符合名为VPN的ACL的流量进行加密

access-list VPN permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Current peer: 201.106.208.2

//当前的对等体IP

Security association lifetime: 4608000 kilobytes/3600 seconds

//生存时间,即多长时间或传输了多少字节重新建立会话,保证数据的安全

PFS (Y/N): N

Transform sets={

TRAN: {esp-des esp-sha-hmac},

//使用的交换集为TRAN

}

Reverse Route Injection Enable

//启用反向路由注入,这里并不存在,因为PT不支持这个命令,

命令为reverse-route static

Interfaces using crypto map MAP:

//使用改加密图的接口

Serial0/1/0

R1#

(5)显示ipsec会话情况

R1#show crypto ipsec sa

interface: Serial0/1/0

Crypto map tag: MAP, local addr 69.1.0.1

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)

remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)

//以上是对等体双方的ID

current_peer 201.106.208.2 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4

#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4

//以上是该接口的加解密数据包统计量

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0

#pkts not decompressed: 0, #pkts decompress failed: 0

#send errors 0, #recv errors 0

local crypto endpt.: 69.1.0.1, remote crypto endpt.:201.106.208.2

path mtu 1500, ip mtu 1500, ip mtu idb Serial0/1/0

current outbound spi: 0x0(0)

inbound esp sas:

//入方向的ESP安全会话

spi:0x3183A937(850712129)

//区别会话的一个编号

tranform:esp-des esp-sha-hmac,

//交换集情况

in use settings = {Tunnel, }
//模式:隧道或传输模式
conn id:2001,flow_id:FPGA:1,sibling_flags 80000046,crypto map:MAP

//该会话的ID

sa iming rmaning key Hietime ls (48964203)

//还剩下的生存时间
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
//会话状态
inbound ah sas:
//入方向的AH安全会话,由于我们没有使用AH封装,所以没有AH会话

inbound pcp sas:

outbound esp sas:
//出方向的ESP安全会话
spi: 0x5ADF3820(1524578336)
transform: esp-des esp-sha-hmac ,
in use settings =(Tunnel, )
conn id:2002,flow_id:FPGA:2,sibling_flags 80000046,cryрto map: MAP

sa timing: remaining key lifetime (k/sec): (4408964/2013)
IV síze: 8 bytes
replay detection support: y
Status: ACTIVE

outbound ah sas:

outbound pcp sas:

R1#

7.实验验证

C:\>tracert 192.168.2.10

Tracing route to 192.168.2.10 over a maximum of 30 hops:

1 0 ms 0 ms 0 ms 192.168.1.1

2 0 ms 6 ms 6 ms 201.106.208.2

3 10 ms 1 ms 10 ms 192.168.2.10

Trace complete.

【实验小知识点】

以下是该实验涉及的一些知识点:

  1. Site-to-Site VPN:该实验旨在理解和掌握Site-to-Site VPN的配置和工作原理,Site-to-Site VPN用于连接不同地理位置的网络,通过加密和隧道技术实现安全的数据传输。
  2. 网络拓扑:实验中给出了一个网络拓扑图,包括多个路由器和互联网连接,理解拓扑图中设备的连接方式和接口配置是必要的。
  3. 基础配置:实验开始时进行了基础配置,包括给设备设置主机名、配置接口的IP地址和子网掩码、开启接口等。
  4. IP地址和路由配置:在实验中,通过配置路由器R1和R2的IP地址和静态路由来确保网络中各直连链路的连通性。
  5. IKE(Internet Key Exchange)协商:实验中配置了IKE协商,用于建立安全通信所需的密钥和参数,包括选择加密算法、身份认证算法、HASH算法和密钥交换算法等。
  6. IPsec(IP Security)配置:在实验中,通过配置IPsec来实现加密和身份验证,使用了加密转换集、感兴趣的数据流定义和加密图。
  7. ACL(Access Control List)配置:配置了ACL用于指定需要通过VPN加密的流量,限定了两个局域网之间的流量进行加密。
  8. 路由表查看:通过查看路由表,可以验证路由器上的路由配置是否正确。
  9. 加密图、转换集和IPsec会话查看:实验中使用了加密图、转换集和IPsec会话来监视和验证VPN的配置和状态。

这些知识点涵盖了Site-to-Site VPN的基本原理、配置要求和调试方法,通过实验可以加深对这些概念和技术的理解和应用。

不要害怕失败,每一次实验都是宝贵的经验,将指引你走向成功的道路。文章来源地址https://www.toymoban.com/news/detail-490166.html

到了这里,关于Site-to-Site VPN配置和调试实践:构建安全的远程网络连接的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 深信服调试vpn步骤

    在配置 VPN过程中,如果出现问题,需要进行故障排除,才能让 VPN正常运行。在调试过程中,出现无法连接的问题,则需要进行故障排查,深信服研发团队会对故障原因进行排查。下面给大家分享深信服 VPN调试步骤,希望对大家有所帮助。 1、使用浏览器访问官网。 2、点击左

    2024年02月08日
    浏览(30)
  • 构建企业数据安全的根基:深入解析数据安全治理能力评估与实践框架

    随着数字化转型深入各行各业,数据安全已成为企业不可或缺的重要议题。在这一背景下,有效的数据安全治理框架成为确保企业数据安全的基石。 中国互联网协会于 2021 年发布 T/SC-0011-2021《数据安全治理能力评估方法》,推出了国内首个数据安全治理能力建设及评估框架,

    2024年02月22日
    浏览(43)
  • CI/CD 管道安全:构建和部署之外的最佳实践

    鉴于对快速创新和敏捷方法论采用的需求,持续集成/持续部署 (CI/CD) 管道已成为构建所有 DevOps 流程的基础。他们是高效交付的支柱。  事实上,根据持续交付状态报告,使用 CI/CD 工具与所有指标上更好的软件交付性能相关。 这些管道给组织带来了难以置信的安全风险,后

    2024年02月19日
    浏览(37)
  • RACE IPEMD:构建安全基石的密码学原理与实践

    title: RACE IPEMD:构建安全基石的密码学原理与实践 date: 2024/4/16 16:53:56 updated: 2024/4/16 16:53:56 tags: IPEMD 哈希算法 SHA-1 SHA-2/3 消息摘要 数字签名 安全分析 在当今信息爆炸的时代,数据安全和隐私保护变得尤为重要。密码学作为信息安全领域的重要支柱,扮演着保护数据、通信和

    2024年04月16日
    浏览(31)
  • 构建高效、安全和用户友好的电商平台:现代技术栈实践指南

    在当今数字化时代,电子商务(电商)成为了商业领域的重要组成部分。随着互联网的普及,越来越多的人选择在线购物,这为电商平台的开发提供了巨大的机遇和挑战。本文将介绍一种基于现代技术栈的电商平台开发实践,旨在为开发者提供思路和指导,帮助您构建高效、

    2024年02月13日
    浏览(50)
  • windows .vscode的json文件配置 CMake 构建项目 调试窗口中文设置等

    一、CMake 和 mingw64的安装和环境配置  二、tasks.json和launch.json文件配置 tasks.json launch.json  三、CMakeLists.txt文件 四、头文件和源文件 cat.h cat.cpp main.cpp 五、中文乱码问题解决  CMake C/C++程序输出乱码 Clion CMake C/C++程序输出乱码_cmake message 乱码-CSDN博客https://blog.csdn.net/qq_37274323/

    2024年01月24日
    浏览(52)
  • 混合云构建-VPN打通阿里云和AWS云

    混合云构建是指将本地数据中心(或私有云)与公有云服务(如阿里云和AWS)结合起来,以便数据和应用程序可以在两者之间灵活移动。这种架构可以提高企业的灵活性和扩展性,同时还可以根据需要保持对某些关键数据和应用程序的控制。 在阿里云和AWS之间建立Site to Sit

    2024年03月12日
    浏览(45)
  • Win11配置VPN:L2TP连接尝试失败,因为安全层在初始化与远程计算机的协商时遇到了一个处理错误

    (1)在“开始 运行”中输入regedit.exe,单击“确定”,进入注册表编辑器。 (2)在“注册表编辑器”页面的左侧导航树中,选择“我的电脑 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services PolicyAgent”,在菜单栏上选择“编辑 新建 DWORD值”。 (3)键入AssumeUDPEncapsulationContextOnSendRule,敲击键

    2024年02月08日
    浏览(59)
  • 开发安全之:Cross-Site Scripting: DOM

    Overview 方法 setDestination() 向 Web 浏览器发送非法数据,从而导致浏览器执行恶意代码。 Details Cross-Site Scripting (XSS) 漏洞在以下情况下发生: 1. 数据通过一个不可信赖的数据源进入 Web 应用程序。对于基于 DOM 的 XSS,将从 URL 参数或浏览器中的其他值读取数据,并使用客户端代码

    2024年01月25日
    浏览(32)
  • Hadoop学习-集群配置文件core-site.xml、hdfs-site.xml、yarn-site.xml、mapred-site.xml

    配置核心文件 core-site.xml 编辑core-site.xml(进入hadoop文件夹内) hdfs-site.xml yarn-site.xml mapred-site.xml 配置完后要分发给其他服务器,可以使用之前写的分发脚本xsync进行快速分发 配置workers(各集群节点) 启动集群 如果集群是第一次启动 ,需要在 hadoop102 节点格式化 NameNode(注意:格式

    2024年02月08日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包