科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道实例讲解VPN网络的搭建和路由设置

实例讲解VPN网络的搭建和路由设置

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

VPN是企业实现安全远程互联的有效方法。本文根据一个应用实例,具体描述VPN的配置和实施过程。

作者:希赛 来源:希赛 2008年7月4日

关键字: VPN 远程接入

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

  (2) 配置PAT,使内部网络计算机可以访问外部网络,但不能访问总部和分支机构

  主要是基于安全目的,不希望内部网络被外部网络所了解,而使用地址转换(NAT)技术。同时,为了节约费用,只租用一个IP地址(路由器使用)。所以,需要使用PAT技术。使用NAT技术的关键是指定内外端口和访问控制列表。

  在访问控制列表中,需要将对其他内部网络的访问请求包废弃,保证对其他内部网络的访问是通过IPSec来实现的。

  huadong(config)#inter eth0/0

  huadong(config-if)#ip nat inside

  huadong(config-if)#inter serial0/0

  huadong(config-if)#ip nat outside

  huadong(config-if)#exit

  以上命令的作用是指定内外端口。

  huadong(config)#route-map abc permit 10

  huadong(config-route-map)#match ip address 150

  huadong(config-route-map)#exit

  以上命令的作用是指定对外访问的规则名。

  huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.16.0.0 0.0.255.255

  huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.17.2.0 0.0.0.255

  huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.17.3.0 0.0.0.255

  huadong(config)#access-list 150 permit ip 172.17.1.0 0.0.0.255 any

  以上命令的作用是指定对外访问的规则内容。例如,禁止利用NAT对其他内部网络直接访问(当然,专用地址本来也不能在Internet上使用),和允许内部计算机利用NAT技术访问Internet(与IPSec无关)。

  huadong(config)#ip nat inside source route-map abc interface serial0/0 overload

  上述命令的作用是声明使用串口的注册IP地址,在数据包遵守对外访问的规则的情况下,使用PAT技术。

  以下是测试命令,通过该命令,可以判断配置是否有根本的错误。例如,在命令的输出中,说明了内部接口和外部接口。并注意检查输出与实际要求是否相符。

  huadong#show ip nat stat

  Total active translations: 0 (0 static, 0 dynamic; 0 extended)

  Outside interfaces:

  Serial0/0

  Inside interfaces:

  Ethernet0/0

  ……

  在IP地址为172.17.1.100的计算机上,执行必要的测试工作,以验证内部计算机可以通过PAT访问Internet。

  c:>ping 210.75.32.10

  ……

  Reply from 210.75.32.10: bytes=32 time=1ms TTL=255

  ……

  c:>ping http://www.ninemax.com

  ……

  Reply from 211.100.15.36: bytes=32 time=769ms TTL=248

  ……

  此时,在路由器上,可以通过命令观察PAT的实际运行情况,再次验证PAT配置正确。

  huadong#show ip nat tran

  Pro Inside global Inside local Outside local Outside global

  icmp 210.75.32.9:1975 172.17.1.100:1975 210.75.32.10:1975 210.75.12.10:1975

  ……

  以上测试过程说明,NAT配置正确。内部计算机可以通过安全的途径访问Internet。当然,如果业务要求,不允许所有的内部员工/计算机,或只允许部分内部计算机访问Internet,那么,只需要适当修改上述配置命令,即可实现

  3. 配置ESP-DES IPSec并测试

  以下配置是配置VPN的关键。首先,VPN隧道只能限于内部地址使用。如果有更多的内部网络,可在此添加相应的命令。

  huadong(config)#access-list 105 permit ip 172.17.1.0 0.0.0.255 172.16.0.0 0.0.255.255

  huadong(config)#access-list 106 permit ip 172.17.1.0 0.0.0.255 172.17.2.0 0.0.0.255

  huadong(config)#access-list 107 permit ip 172.17.1.0 0.0.0.255 172.17.3.0 0.0.0.255

  指定VPN在建立连接时协商IKE使用的策略。方案中使用sha加密算法,也可以使用md5算法。

  在IKE协商过程中使用预定义的码字。

  huadong(config)#crypto isakmp policy 10

  huadong(config-isakmp)#hash sha

  huadong(config-isakmp)#authentication pre-share

  huadong(config-isakmp)#exit

  针对每个VPN路由器,指定预定义的码字。可以一样,也可以不一样。但为了简明起见,建议使用一致的码字。

  huadong(config)#crypto isakmp key abc2001 address 211.157.243.130

  huadong(config)#crypto isakmp key abc2001 address 202.96.209.165

  huadong(config)#crypto isakmp key abc2001 address 192.18.97.241

  为每个VPN(到不同的路由器,建立不同的隧道)制定具体的策略,并对属于本策略的数据包实施保护。本方案包括3个VPN隧道。需要制定3个相应的入口策略(下面只给出1个)。

  huadong(config)#crypto map abc 20 ipsec-isakmp

  huadong(config-crypto-map)#set peer 211.157.243.130

  huadong(config-crypto-map)#set transform-set abc-des

  huadong(config-crypto-map)#match address 105

  huadong(config-crypto-map)#exit

  使用路由器的外部接口作为所有VPN入口策略的发起方。与对方的路由器建立IPSec。

  huadong(config)#crypto map abc local-address serial0

  IPSec使用ESP-DES算法(56位加密),并带SHA验证算法。

  huadong(config)#crypto ipsec transform-set abc-des esp-des esp-sha-hmac

  指明串口使用上述已经定义的策略。

  huadong(config)#inter serial0/0

  huadong(config-if)#crypto map abc

  在IP地址为172.17.1.100的计算机上验证:

  c:>ping 172.16.1.100

  ……

  Reply from 172.16.1.100: bytes=32 time=17ms TTL=255

  ……

  huadong#show crypto engine conn acti

  ID Interface IP-Address State Algorithm Encrypt Decrypt

  1 <none ><none >set HMAC_SHA+DES_56_CB 0 0

  2000 Serial0/0 210.75.32.9 set HMAC_SHA+DES_56_CB 0 452

  2001 Serial0/0 210.75.32.9 set HMAC_SHA+DES_56_CB 694 0

  同时,这种连接使用了IPSec,而没有使用NAT技术。

  三、测试

  将所有路由器按照上述过程,根据具体的环境参数,做必要修改后,完成VPN的配置。网络部分任务完成,可以顺利开展业务应用了。

  如果需要,路由器本身提供更详细的调试命令:

  debug crypto engine connections active

  debug crypto isakmp sa

  debug crypto ipsec sa

  在调试时,需要注意,在对应路由器上也执行相应的调试命令。然后,在一台客户机(172.17.1.100)上执行如下命令:

  c:>ping 172.16.1.100 -n 1

  最后,对比2个路由器的输出,观察出现问题的提示--这是隧道不能建立的主要原因。针对此提示,做必要的修改工作,便可圆满完成VPN的配置计划。

  在实际中,该方案完全满足用户需求,并充分验证了VPN技术的可用性和实用性。至今运行正常,用户非常满意。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章