4.6 提高企业内网数据传输的安全

单元2网络综合布线系统设计单元1网络安全系统集成概述目录单元3网络工程设计单元5网络工程的实施与测试验收单元4网络系统安全设计单元6网络系统安全管理如图所示的网络拓扑结构中详细规划了IP地址及VLAN，在总部和分部的网络出口分别部署了一台ASA5505 防火墙，提供NAT功能，使总部用户能够访问Internet 中公网服务器资源；同时提供IPSecVPN功能，实现总部用户PC1 和分部用户之间安全互访；公网用户能够访问DMZ的公共服务器或通过SSLVPN访问内部服务器的资‍源。

任务场景

回顾VPN基本概念。

探究GREVPN的应用场合和规划方法。

研究IPsecVPN的应用场合和规划方法。

研究SSLVPN的应用场合和规划方‍法

任务布置VPN是在两个网络实体之间建立的一种受保护连接，这两个实体可以通过点到点的链路直接相连，但通常情况下它们的距离相隔较远。VirtualPrivateNetwork 中的“Virtual”一词意为“虚拟的”，通过隧道（Tunnel）技术使用不同的封装协议对原始数据包进行重新封装来实现；“Private”一词意为“专用的”，通过安全（Security）机制对原始数据包进行加密等来实现；“Network”一词意为“网络”，通常指组织机构所使用的RemoteAccess、Intranet、Extranet 等类型的网络。4.6.1VPN的概念

1．按隧道协议分类（1）点到点隧道协议（2）第二层隧道协议（3）通用路由封装协议（4）IP安全协议（5）安全套接层协议（6）多协议标签交换协议4.6.1VPN的概念

2．按应用领域分类（1）站点到站点VPN

（2）远程访问VPN4.6.1VPN的概念

VPN技术有两种基本的连接模式：传输模式和隧道模式。这两种模式实际上定义了两台实体设备之间传输数据时所采用的不同封装过‍程。（1）传输模式

（2）隧道模式4.6.2VPN的连接模式

GREVPN技术主要用在内部网络的数据需要通过公共网络来传输，扩大包含跳数受限协议（如RIP）的网络工作范围，将一些不连续的子网连接起来等技术领域。（1）GREVPN的部署其连接到IP私网的物理接口和Tunnel0 接口属于私网路由域，它们采用一致的私网路由策‍略。4.6.3GREVPN的应用场景

（2）GREVPN的配置举例使用GREVPN的目的是搭建点到点VPN，即将用户的两个或多个局域网使用现有的Internet 出口，通过Internet 搭建广域网。为了加深读者对GRE隧道技术的理解，下面以一个具体实例来说明GREVPN的配置过‍程。4.6.3GREVPN的应用场景

（2）GREVPN的配置举例拓扑设计IP地址规划配置接口IP地址配置公网路由配置GRE隧‍道配置私网路由（使用静态路由）配置私网路由（使用OSPF动态路由协议）测试GREVPN网络连通性并进行数据包分‍析4.6.3GREVPN的应用场景

1．IPsecVPN的部署

IPsecVPN的应用范围非常有限，主要应用在点到点、站点之间安全传输数据和安全远程访问（需要预先安装和配置IPsecVPN客户端软件）等技术领域。选择合适的安全策略选择合适的路由协议选择合适的运行模式考虑NAT对IPsecVPN的影响最大化节省部署成本4.6.4IPsecVPN的应用场景

2．IPsecVPN配置举例

下面通过一个具体实例来说明IPsecVPN的配置过‍程。拓扑设计IP地址规划配置接口IP地址配置公网路由定义第一阶段ISAKMP/IKESA策略定义第二阶段IPsecSA策略定义CryptoMap在出向接口上调用CryptoMap网络连通性测试IPsec 协议协商结果查看4.6.4IPsecVPN的应用场景

1．双臂组网模‍式采用双臂组网模式时，SSLVPN网关跨接在内网和外网之间。4.6.5SSLVPN的应用场景

2．单臂组网模‍式

采用单臂组网模式时，SSLVPN网关并不跨接在内网和外网之间，而像一台服务器一样与内网相连。4.6.5SSLVPN的应用场景

1.网络基本配置。2.配置总部防火墙接口。3.配置ISP路由器接口IP地址和路由。4.配置分部防火墙接口及路由。5.验证基本配置结果。6.配置总部NAT。7.配置扩展分组。8.配置SSLVPN。9.配置IPsecVPN。任务实施按照如图所示的拓扑图，在R1 上配置单臂路由，允许网段 192.168.1.0/24 和 192.168.2.0/24 内的主机相互通信，在R1 上配置NAT，允许内网用户访问Internet。在R1 和R2 上配置GRE+IPsec，使用IPsec 技术对数据进行加