课程设计报告VPN体系结构设计说明

课程设计VPN体系结构设计姓名院（系）专业年级学号指导教师职称起止时间课程设计目录设计目的设计思路2.1VPN定义2.2VPN结构和分类2.3VPN工作原理2.4VPN的关键技术主要元器件与设备设计过程4.1VPN实验拓扑图4.2VPN实验容VPN配置命令五、系统调试与结果六、课程设计体会设计目的a)能够配置VPN，使VPN客户能够通过VPN远程接入企业网络中心和企业分支结构PC能ping总部部服务器。b)了解VPN的基本概念c)熟悉VPN的工作原理d)了解VPN的加密算法e)熟悉IPsecVPN技术f)能够在Cisco路由器上配置IPsecVPN设计思路2.1VPN定义VPN（VirtualPrivateNetwork虚拟专用网）是通过在两台计算机之间建立一条专用连接从而达到在共享或者公共网络（一般是指Internet）上传输私有数据的目的，即所谓的“化公为私”的这样一种技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台（Internet、ATM、FrameRelay等）之上的逻辑网络，用户数据在逻辑链路中传输。通过采用相应的加密和认证技术来保证用部网络数据在公网上安全传输，从而真正实现网络数据的专用性。这样，各个组织可以通在Internet上建立私有的WAN，来和自己的分支组织以及远程用户通信，从而进一步拓展了业务。它的吸引人之处在于它基于分布广泛、全球化的Internet，并提供了一种快速、安全、廉价的建立通信的办法。下图即为典型的企业VPN的系统组成。2.2VPN的结构和分类2.3VPN的工作原理2.4VPN的关键技术安全隧道技术信息加密技术用户认证技术访问控制技术主要元器件与设备1、专有Windows操作系统的PC。2、Cisco模拟软件3、2811型号路由器、2960型号交换机、总部服务器Server-PT、集线器Hub-PT、PC等设计过程4.1VPN实验拓扑图4.2VPN实验容实验拓扑图：R1模拟总部VPN网关，R0模拟Internet网，R2模拟能上Internet网的接入路由器（该路由器具有NAT功能）。R3模拟企业分支结构的路由器，外出移动办公的笔记本能通过R2进行VPN连接到公司总部的Web服务器。分支结构的PC能和总部PC进行互ping。R0、R1、R2、R3都选用2821型号的路由器，它们之间通过DCE线连接；笔记本、服务器与路由器之间通过交叉线相连。IP地址规划如下：总部服务器Server-PT：192.168.1.1/24。总部路由器R1：fa0/0:192.168.1.254/24，Se0/3/0:100.1.1.2/24。Internet路由器R0：Se0/1/0:200.1.1.1Se0/2/0:150.1.1.1Se0/3/0:100.1.1.1远端接入路由器R2：Se0/3/0:200.1.1.2/24，fa0/0:172.16.1.254/24。企业分支结构路由器R3：fa0/1：192.168.1.2/24Se0/3/0150.1.1.1办公笔记本Laptop-PT：172.16.1.1/241、总部路由器R1的配置：R1>enaR1#conftR1(config)#intfa0/0R1(config-if)#ipaddress192.168.1.254255.255.255.0R1(config-if)#noshutdownR1(config-if)#exitR1(config)#intS0/3/0R1(config-if)#ipaddress100.1.1.2255.255.255.0R1(config-if)#noshutdownR1(config-if)#exit为R1配置静态路由R1(config)#iproute0.0.0.00.0.0.0100.1.1.12、Internet路由器R0的配置R0>enaR0#conftR0(config)#intS0/1/0R0(config-if)#ipaddress200.1.1.1255.255.255.0R0(config-if)#noshutdownR0(config-if)#exitR0(config)#intS0/2/0R0(config-if)#ipaddress150.1.1.1255.255.255.0R0(config-if)#noshutdownR0(config-if)#exitR0(config)#intS0/3/0R0(config-if)#ipaddress100.1.1.1255.255.255.0R0(config-if)#noshutdown3、远端接入路由器R2的配置R2>enaR2#conftR2(config)#intS0/3/0R2(config-if)#ipaddress200.1.1.2255.255.255.0R2(config-if)#ipnatoutside//定义NAT对外接口R2(config-if)#noshutdownR2(config-if)#exitR2(config)#intfa0/0R2(config-if)#ipaddress172.16.1.254255.255.255.0R2(config-if)#ipnatinside//定义NAT对接口R2(config-if)#noshutdownR2(config-if)#exitR2(config)#ipnatinsidesourcelist1interfaceS0/3/0overload为R2配置静态路由R2(config)#iproute0.0.0.00.0.0.0200.1.1.1配置列表R2(config)#access-list1permit172.16.1.00.0.0.255//定义访问列表4、企业分支结构路由R3的配置R3>enaR3#conftR3(config)#intS0/3/0R3(config-if)#ipaddress150.1.1.2255.255.255.0R3(config-if)#ipnatoutside//定义NAT对外接口R3(config-if)#noshutdownR3(config-if)#exitR3(config)#intfa0/1R3(config-if)#ipaddress192.168.1.2255.255.255.0R3(config-if)#ipnatinside//定义NAT对接口R3(config-if)#noshutdownR3(config-if)#exitR3(config)#ipnatinsidesourcelist1interfaceS0/3/0overload为R3配置静态路由R3(config)#iproute0.0.0.00.0.0.0150.1.1.1配置列表R3(config)#access-list1permit192.168.1.00.0.0.255//定义访问列表4、为服务器和笔记本配置IP地址为总部服务器Server-PT配置IP地址：192.168.1.1/24，默认网关：192.168.1.254。为办公笔记本Laptop-PT配置IP地址：172.16.1.1/24，默认网关：172.16.1.254。为分支结构的PC配置IP地址:PC0：192.168.1.3/24PC1:192.168.1.4/24PC2:192.168.5/24默认网关：192.168.1.2544.3VPN配置命令在总部路由器R1上做VPN配置，其配置如下：1、配置认证策略开启AAA认证R1(config)#aaanew-modelR1(config)#aaaauthenticationloginezalocal命配置对远程接入IPSec连接的授权，组名为ezoR1(config)#aaaauthorizationnetworkezolocal创建用户名和密码R1(config)#usernamechenzhihuipassword113对IPSEC阶段一的安全参数进行配置R1(config)#cryptoisakmppolicy10R1(config-isakmp)#hashmd5R1(config-isakmp)#authenticationpre-shareR1(config-isakmp)#group2为VPN客户端接入后分配地址R1(config)#iplocalpoolez192.168.2.1192.168.2.10VPN的组和密码配置R1(config)#cryptoisakmpclientconfigurationgroupmyezR1(config-isakmp-group)#key113R1(config-isakmp-group)#poolez对IPSEC阶段二的配置R1(config)#cryptoipsectransform-settimesp-3desesp-md5-hmac动态加密R1(config)#cryptodynamic-mapezmap10R1(config-crypto-map)#settransform-settim对VPN认证、授权配置（list是调用上面的AAA配置名）R1(config)#cryptomaptomclientauthenticationlistezaR1(config)#cryptomaptomisakmpauthorizationlistezoR1(config)#cryptomaptomclientconfigurationaddressrespond进行动态加密的静态绑定R1(config)#cryptomaptom10ipsec-isakmpdynamicezmap绑定到接口R1(config)#interfaceS0/3/0R1(config-if)#crR1(config-if)#cryptomR1(config-if)#cryptomaptom系统调试与结果调试一：VPN客户能够通过VPN远程接入企业网络中心首先，在拓扑图上双击笔记本Laptop-PT，选择“Desktop”，再选择“commandpormpt”，ping一下总部的公网地址100.1.1.2，通了后再ping总部的服务器192.168.1.1，此时是无法ping通的。接下来进行VPN连接：依然在“Desktop”下选择“VPN”，依次输入如下信息：GroupName:myezGroupkey:113HostIP:100.1.1.2Username:chenzhihuiPassword:113点击“connect”后，会提示连接正常，并会显示一个192.168.2.X的地址。可以通过在“Desktop”下的WebBrowser中输入IP：192.168.1.1，来访问总部的Web服务器调试二：企业分支结构的PC能ping总部部服务器在拓扑图上双击PC1，选择“Desktop”，再选择“commandpormpt”，ping总部的服务器192.168.1.1调试截图：能ping总公司的地址100.1.1.2不能ping总部部服务器192.168.1.1V