计算机网络任务3 安装与配置VPN

任务3安装与配置VPN【任务描述】某技工学校有广州校本部和珠海校区，学校领导要求为了提升学校信息办公，珠海校区要远程访问广州校本部的各种服务器资源，如OA系统、FTP系统等，由于Internet上的网络传输本身存在安全隐患，要求通过采用IPSecVPN技术实现数据的安全传输。小东是学校网络中心的网络管理员，应如何配置来实现这一目标呢？本任务的目标是通过对VPN的配置，掌握VPN的概念及实现方式，实现安全访问学校内部。【预备知识】

虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。VPN的核心就是利用公共网络建立虚拟私有网。VPN可以通过特殊的加密的通信协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路，可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。1．VPN术语①隧道：网络中虚拟的点对点连接，用来传输以一种协议封装的（如IP分组）另一种协议的数据流（如加密后的密文）。②加密：将明文转换成密文，使未经授权的用户不可以使用的过程。③解密：将密文转换成明文，使授权用户可以使用的过程。④散列算法：一种单向函数和数据完整性技术，使用一种算法将变长的消息和共享密钥转换成固定长度的比特串。1．VPN术语⑤身份验证：确定用户和进程的身份。⑥加密系统：执行加/解密、用户身份验证、散列算法和密钥交换的系统。⑦认证服务（CA）：受信任的第三服务，通过创建和授予用于加密的数字证书，确保网络用户之间的通信安全。2．OSI各层的加密技术OSI各层都有相应的加密技术可供选择，如图5-8所示。图5-8OSI各层的加密技术2．OSI各层的加密技术①SSH：安全外壳，应用层加密技术，为每种应用提供保护，提供基于Internet的数据安全技术，特别是对身份的验证和加密。

②SSL：安全套接字。SSL为基于TCP的应用提供保密、身份验证和安整性。③IPSec：IP安全协议，保护IP协议安全通信的标准，主要对IP协议分组进行加密和认证。④PPTP：点到点隧道协议。PPTP是在因特网上建立IP虚拟专用网（VPN）隧道的协议，主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。⑤L2TP：第二层隧道协议。L2TP用于创建独立于介质的多协议虚拟拨号专网（VPDN），不支持加密和完整性。⑥GRE：VPN的第三层隧道协议。GRE适合需要多种协议的场点到场点的VPN，不支持加密和完整性。3．IPSec为了保证VPN的安全，应该选择IPSec，网络层保护是最灵活的，同时独立于介质和应用。IPSec由以下两部分组成。①保护分组流的协议。保护分组流的协议分成两个部分，即加密分组流的封装安全载荷（ESP）及较少使用的认证头（AH），认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。②用来建立这些安全分组流的密钥交换协议。目前为止，IKE协议是唯一已经制定的密钥交换协议，IKE的端口号是UDP500。IPSec只支持单播，对于多种协议或多播进行隧道化，就得选择L2TP或GRE。3．IPSecIPSec配置步骤主要包括以下几个。①确定加密策略、确定要保护的主机和网络、确定IPSec对等体、确保现有的ACL与IPSec兼容；②启动IKE，并指定IKE策略和验证配置。③配置IPSec，定义变换集，创建加密ACL，创建映射，将加密映射应用到接口。④测试和验证IPSec。4．加密/解密技术加密技术包括对称加密和非对称加密。（1）对称加密对称密钥加密，密钥既用于加密，也用于解密，发送方和接收方共同拥有单个密钥，典型的对称加密流程如图5-9所示。4．加密/解密技术对称加密用于对大量数据进行加密，在数据交换过程中可以多次修改密钥。①DES：使用最广泛的对称加密技术。DES使用一种加密算法将明文转换成密文，远端使用解密算法将密文恢复为明文，加/解密都必须使用64位的密钥（其中56位随机选择，8位是奇偶检验位）。②3DES：采用112位的密钥进行加密，并执行3次DES操作，对64bit数据块依次进行加密、解密和加密操作，强度是DES的256倍，破解更加困难。4．加密/解密技术（2）非对称加密非对称加密法又称公钥加密。非对称加密需要公开密钥和私有密钥两个不同却相关的密钥，其中公开密钥是公开的，任何人都可以拿到，而私有密钥只有自己才有。非对称加密流程如图5-10所示。4．加密/解密技术发送方使用接受方的公开密钥进行加密，接受方用自己的私有密钥解密。非对称加密算法通常用于数字签名和进行密钥管理，常用的非对等加密算法有RSA。5．散列算法散列算法确保消息的完整性，以确认消息没有被修改过。发送方使用散列函数对消息和公共密钥进行处理，得到一个散列值（将变长的消息转换为定长的比特串，是单向的算法，即通过散列值无法得到原来的消息）；接收方将收到的消息和共用密钥进行散列算法，得到一个值，再与随同消息一起传送过来的散列值作比对，若相同，则表示消息是完整的，没有被修改过的。散列算法有2种。①HMAC-MD5：使用128位共用密钥，将计算出来的散列值附加在消息后一同发送给对方。②HMAC-SHA-1：使用160位共用密钥，将计算出来的散列值附加在消息后一同发送给对方，加密比MD5强。6．IPSec的配置表5-7 Ipsec的配置命令格式解释配置模式ipaccess-list<standard|extended><access-listnumber>

全局配置

模式cryptodynamic-mapWORD<1-65535>创建动态加密映射条目并进行加密映射配置模式cryptoipsectransform-setWORD配置变换集cryptoisakmppolicy<1-10000>定义IKE优先级的策略cryptokey<generate|zeroize>rsa

cryptomapWORD<1-65535>cryptomapWORD<client|isakmp>配置IPSec加密映射6．IPSec的配置命令格式解释配置模式authentication<pre-share|pre-shared|key>配置认证方式IKE策略

配置模式encryption<3des|aes|des>配置加密方式hash<md5|sha>配置数字签名算法group<1|2|5>配置DH方式lifetime<60-86400>配置生存期showcryptoisakmppolicy查看IKE策略特权模式showcryptoisakmpsa查看IKE安全关联showcryptomap查看IPSec映射showcryptoipsectransform-set查看变换集

【任务实施】

实验IPSecVPN的配置某网络管理员想在公司总部和分公司的路由器上配置IPSec，以实现公司总部与分公司的通信，实验拓扑结构如图5-11所示。

【任务实施】

1．硬件的连接在PacketTracer6.0工作台面中添加3台2811路由器、2台PC机，并按实验拓扑结构进行连接。2．软件的设置将PC0的IP地址设置为/24，网关设置为54；PC2的IP地址设置为/24，网关设置为54。

【任务实施】

3．路由器的配置（1）路由器IP地址分配情况

【任务实施】

（2）Router0虚拟成Internet，其配置如下：Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddressRouter(config-if)#noshutdown%LINK-5-CHANGED:InterfaceFastEthernet0/0,changedstatetoupRouter(config-if)#interfaceFastEthernet0/1Router(config-if)#ipaddress