AccessVPN通信实验采用USBKey的数字证书方式.doc

实验二 Access VPN通信实验 采用USB Key的数字证书方式 【实验名称】Access VPN通信实验采用USB Key的数字证书方式【实验目的】学习配置Remote to Site的IPSec VPN隧道，熟悉移动办公方式下的VPN隧道建立。同时体会移动用户身份认证的方式采用USB Key设备存储数字证书。【背景描述】你供职的公司的技术总监王总正在外地出差，但需要访问公司内部的服务器资源，而这些服务器资源因安全性考虑并不直接在公网上开放，因此王总必须通过先和公司建立VPN隧道，再获得访问内部资源的权利，作为网管的你，支持他一下吧。移动用户在建立VPN隧道前必须获得公司出口VPN设备的身份许可。为了安全，用户的身份信息不采用传统的口令方式，而是采用USB Key设备的方式（USB Key内存储标示用户身份的数字证书）。【需求分析】需求： 解决出差员工和公司之间通过Internet进行信息安全传输的问题。分析： IPSec VPN技术通过隧道技术、加解密技术、密钥管理技术、和认证技术有效的保证了数据在Internet网络传输的安全性，是目前最安全、使用最广泛的VPN技术。因此我们可以通过建立IPSec VPN的加密隧道，实现出差员工和公司之间的信息安全传输。采用USB Key设备存储用户的数字证书，可以防止数字证书被盗用，这也是目前最为安全的一种身份认证方式。【实验拓扑】 【实验设备】 设 备型 号数 量备 注锐捷VPN设备RG-WALL V501台锐捷VPN远程接入系统RG-SRA1套软件程序锐捷密钥存储器RG-Key1个锐捷证书管理系统RG-CMS1套软件程序锐捷路由器设备1台Windows系统的PC机推荐Win XP系统1台Windows系统的服务器1台建议开设FTP服务或者Web服务直连线2根交叉线1根【预备知识】 l 网络基础知识、网络安全基础知识、VPN基础知识；l IPSec协议的基本内容、其工作模式；l IKE协议的基本工作原理；l 数字证书、CA的基本概念和工作原理。【实验原理】 PC机模拟出差员工的PC，与VPN设备A（模拟公司出口VPN设备）通过IKE自动协商建立起IPSec 的VPN加密隧道。使得PC机能安全访问到VPN设备A所保护的内部服务器。实验时，可以在服务器上开设FTP服务或者Web服务，在VPN隧道建立成功后，PC机将能够访问到这些服务。移动用户（即PC机）在和VPN设备建立VPN隧道前，需要先获得VPN设备的身份验证许可。该实验所采用的用户身份验证为数字证书方式，数字证书由CA中心（即RG-CMS系统）颁发，并存储在USB Key设备（RG-Key）中。移动用户（即PC机）在通过VPN设备A的身份验证后，VPN设备A会自动将VPN隧道建立（即IKE协商）所需要的配置下发给PC机，然后PC机与VPN设备A之间自动开始IKE协商，协商成功后VPN隧道即建立成功。整个过程系统自动完成，无需人为干预，是免配置的典型方式。【实验步骤】第一步：准备好PC机和服务器。1、 实验中即可以通过PC机来管理VPN设备A，也可以通过服务器来管理VPN设备A，请用户自行选择。假设决定用服务器来管理VPN设备A，则请在服务器上安装VPN管理软件（见随机附带的光盘）2、 在服务器上安装RG-CMS系统，具体安装步骤请看随产品附带的光盘, 这里不详述。3、 在PC机上安装RG-SRA软件程序，安装步骤请看随机附带的光盘，这里不详述。注意：RG-SRA是VPN客户端软件程序，如果PC机上已预装其它厂家的VPN客户端程序，请先卸载其它厂家的VPN客户端程序，否则可能RG-SRA无法正常工作。RG-SRA作为安全产品，安装后会对系统的网卡、端口、协议等方面有改动，因此会和部分防火墙或者防病毒程序不兼容。目前经过测试，已知和市场主流的杀毒软件、防火墙是兼容的有：瑞星、天网、Symentec、微软等产品都兼容。已知的不兼容的软件有：卡巴司基、Sygate。因此建议用于测试的PC机卸载这两个程序。推荐用户使用没有安装任何第三方防火墙、防病毒程序的机器来作实验。另外，在安装RG-CMS和RG-SRA过程中，安装程序会提示要安装USB Key（即RG-Key）的驱动，请一定选择安装。第二步：搭建图示实验拓扑，然后配置PC机、服务器、VPN设备A、route的IP及必要路由。示例如下：VPN设备A的eht1口地址：VPN设备A的eth0口地址：PC机的IP地址：PC 机的网关地址：服务器的IP地址：服务器的网关地址：Route的F0/0地址:Route的F0/1地址:注意：PC机及路由器的详细配置这里省略，请参考相关操作手册。 RG-WALL V50设备接口标识为“WAN”口，对应系统内部显示为“eth1”的接口；接口标识为“LAN”口，对应系统内部显示为“eth0”的接口。VPN设备A接口及缺省路由配置如下：1) 通过服务器的超级终端，在命令行下配置VPN设备A的eth1口地址，操作如下：注意：锐捷VPN出厂时eth1口默认地址为。2) 通过服务器上的VPN管理软件登录VPN设备A，然后配置eth0口地址，操作如下：直接双击eht0接口图标设置eth0口地址：缺省路由直接在外出接口处配置验证测试： VPN设备A可Ping通路由器的F0/0口；PC机可以Ping通路由器的F0/1口；PC机可以Ping通VPN设备A的eth0口；服务器可以Ping通VPN设备A的eth1口。第三步：生成VPN设备A的数字证书1、 进入“PKI管理”界面，如下图所示：2、 点击“生成设备证书”按钮，按照界面提示输入信息，如下图所示：“公司名称”和“证书别名”可以不填写。系统默认给出了信息，可以根据需要修改3、点击“确定”后，系统会提示证书生成成功，并要求你保存配置，否则系统重启后，证书信息将丢失。因没有建立隧道，所以提示（1）可以忽略。执行保存配置操作。新生成的数字证书需要执行一次“重载设备证书”的操作，否则VPN系统并没有将该数字证书生效。操作如下图所示：因没有建立隧道，所以该提示可以忽略。点击“确定”后，提示重载操作成功。新生成的设备证书可以在PKI界面的“证书管理”中查看到。注意：数字证书通常由CA中心来颁发，该实验中RG-CMS充当的是CA中心的角色，因此VPN设备A的数字证书应该由RG-CMS来颁发。但锐捷VPN为了大家实验的方便性，简化了CA的操作过程。我们在VPN设备中预置了CA的颁发数字证书的功能，预先定义了CA中心的默认根CA（即锐捷根CA）。大家可以通过PKI界面的“证书管理”“证书颁发机构”界面查看到该默认的锐捷根CA。如下图所示：因此，该实验中，CA中心的根CA我们选择了默认的锐捷根CA。我们可以直接在VPN设备A上生成VPN设备A的数字证书。下面（第五步中）我们在使用RG-CMS为移动用户（即PC机用户）生成数字证书时，注意其CA根证书也要采用锐捷默认根CA。该步骤的提示出现在第一次运行RG-CMS时。一旦选择错误，需要卸载RG-CMS后再重新安装，并重新选择。第四步：在VPN设备A上进行IPSec VPN隧道配置1、 进入远程移动用户VPN隧道配置的界面登录VPN设备A的管理界面，选择进入“远程用户管理”界面，如下图所示：2、首先配置“允许访问子网”3、配置“认证参数”点击“认证参数”后，选择“证书认证设置”页面，将看到的CA根证书前面的方框选中。图示如下：4、 配置“虚IP地址池”注意：分配PC机的虚拟IP地址，既可以定义一个地址池，由VPN设备自动分配；也可以请管理员一个IP对应一个用户的分配。本实验我们选择地址池方式，由系统自动分配。并且选择定义“子网地址”的地址池。 虚IP是网络管理员分配给远程移动用户的IP，表示只有拥有该IP的PC机才能获得局域网内部的访问权限。因此，管理员设置的虚IP一定不要与远程PC的IP、以及局域网内部的IP互相冲突，否则远程PC在和VPN设备建立隧道后，因地址冲突的问题，也无法访问局域网内部的服务器。本实验中虚IP地址池我们选择定义一个完全没有使用的网段。5、配置“用户特征码表”配置说明：“用户特征码表”是为需要将远程PC的硬件和分配给用户的身份信息绑定的需求而设计的。选择了“允许接入并自动绑定”功能，则VPN设备会将远程用户的PC硬件特征码与该用户的身份认证信息相互绑定，绑定后该用户将无法用自己的身份信息再在其它PC设备上建立VPN隧道。该实验中我们既可以选择“允许接入”，也可以选择“允许接入并自动绑定”。系统默认配置是“禁止接入”。图示选择的是“允许接入”，这表示该用户的身份信息不会和其使用的PC硬件绑定。其它注意事项：此次实验，移动用户身份认证方式采用的是数字证书方式，关于其它身份认证方式将在另外的专题实验中练习。 “远程用户管理”界面的其它配置项，例如：“内部DNS服务器”、“内部WINS服务器”、“本地用户数据库”，用户可以根据实际需要选择设置。但该实验因为不涉及这些应用，故不需要进行设置。第五步： 为移动用户颁发数字证书1、在服务器上运行RG-CMS程序第一次运行RG-CMS时，系统会让你选择使用那种CA根证书。因该实验我们采用的是系统默认的锐捷根CA，因此请按照下图做选择：2、进入RG-CMS后，先添加一个新用户。根据界面提示，输入全部的信息。为移动用户颁发证书一定要选择“客户端用户”3、添加完用户后，执行生成该用户的数字证书的操作，如下图所示：4、将数字证书写入RG-Key设备中1、将RG-Key设备先插入服务器的USB口。2、选中该用户证书，鼠标右键的下拉菜单中选择“导出证书和私钥”选项。3、 选择“写入RG-Key”选项。4、 根据界面提示，输入RG-Key的PIN号。RG-Key出厂的默认PIN号是“ruijie”。点击“确定”后，系统开始写私钥文件，私钥写入RG-Key后，界面会提示是否要写“证书”文件，请选择“是”。至此，移动用户的数字证书信息已全部写入了RG-Key设备。第六步：在PC机上运行RG-SRA程序，开始建立VPN隧道：1、 第一次运行RG-SRA程序后，如下图所示：2、 建立一个与VPN设备A的隧道连接点击“新建连接”按钮，如图所示：填写基本信息，如下图所示：该实验我们选择的是数字证书认证可以随意定义填写VPN设备A的eth0口地址填写后如下图所示：点击“确定”后如下图所示：3、将RG-Key插入PC机的USB口。4、运行该隧道连接，建立VPN隧道。点击“获得证书”按钮。选择“从RG-Key中读取”选项。确定后，在“输入pin码”框中输入RG-Key的PIN号。点击“连接”按钮后，系统自动进行身份认证，并且开始IKE的协商，如下图所示：完成身份认证和隧道建立的过程后，RG-SRA程序会自动缩小图标显示在屏幕的右下角，如下图所示：验证测试： 1、鼠标右键点击RG-SRA图标，在菜单中选择“详细配置”，可以查看到隧道信息，如下图所示：该IP为VPN设备A从虚地址池中自动分配给该PC的虚IP。“可访问”表示隧道已建立成功，如果是“不可访问”则表示隧道没有建立成功。2、在VPN设备A的管理界面也可看到已经建立成功的隧道信息。隧道启动后可以在“隧道协商状态”栏目下看到隧道的协商状态，“隧道状态”显示“第二阶段协商成功”。隧道名称是系统自动定义的第四步：进行隧道通信从PC机上去访问服务器提供的服务，服务应该成功。或者先在PC机上Ping一下服务器的IP，应该能够Ping通。（没有VPN隧道前Ping会是失败的）VPN隧道的通信情况可以在“隧道通信状态”中查看到，如下图：【注意事项】l 实验环境IP可以随意定义，但请不要使用这个网段的IP，因为某些功能实现的需要，VPN系统内部已占用该网段的部分IP。l 该实验中，VPN设备的防火墙规则为全部开放。但在实际的网络环境中，如果VPN设备直接连接Internet网络，则一定需要启用防火墙规则，关于防火墙规则的使用不在该实验中祥述。【附录说明】如何