任务8.2 站点到站点VPN的配置

计算机网络安全管理技术项目八任务8.2站点到站点VPN的配置VPN技术的应用【任务目标】

1．理解站点到站点VPN的工作原理；2．学会配置站点到站点VPN的操作，实现站点之间的安全通讯。【任务环境】1、主流PC机一台2、GNS3软件

任务8.2站点到站点VPN的配置

【网络拓扑图】

任务8.2站点到站点VPN的配置【网络IP地址分配表】

设备名接口IP地址/子网掩码默认网关R1s1/012.12.12.1/24----f0/0192.168.1.1/24----R2s1/012.12.12.2/24----s1/123.23.23.2/24----f0/02.2.2.1/24----R3s1/123.23.23.3/24----f0/0192.168.2.1/24----PC1e0192.168.1.2/24192.168.1.1PC2e02.2.2.2/242.2.2.1PC3e0192.168.2.2/24192.168.2.1任务8.2站点到站点VPN的配置

【任务要求】在该任务中，PC1模拟公司总部电脑，PC3模拟公司分部电脑，PC2模拟外网服务器。现要求在R1和R3上配置站点到站点VPN，使得PC1和PC3可以通过VPN相互访问，同时还不影响访问PC2。任务8.2站点到站点VPN的配置

【任务实施】1、绘制网络拓扑图2、根据网络IP地址分配表，配置设备接口IP地址等参数

任务8.2站点到站点VPN的配置3、网络基本环境的搭建

1）在R1和R3上配置静态默认路由，使得R1、R2和R3外网间连通主要配置命令如下：R1(config)#iproute0.0.0.00.0.0.0s1/0R3(config)#iproute0.0.0.00.0.0.0s1/1任务8.2站点到站点VPN的配置

2）在R1上配置NAT，使得PC1可以访问外网主要配置命令如下：R1(config)#access-list101denyip192.168.1.00.0.0.255192.168.2.00.0.0.255R1(config)#access-list101permitip192.168.1.00.0.0.255any//注意要将要走VPN隧道的流量拒绝掉R1(config)#ipnatinsidesourcelist101ints1/0overloadR1(config)#intf0/0R1(config-if)#ipnatinsideR1(config-if)#exitR1(config)#ints1/0R1(config-if)#ipnatoutside任务8.2站点到站点VPN的配置

3）在R3上配置NAT，使得PC3可以访问外网主要配置命令如下：R3(config)#access-list101denyip192.168.2.00.0.0.255192.168.1.00.0.0.255R3(config)#access-list101permitip192.168.2.00.0.0.255anyR3(config)#ipnatinsidesourcelist101ints1/1overloadR3(config)#intf0/0R3(config-if)#ipnatinsideR3(config-if)#exitR3(config)#ints1/1R3(config-if)#ipnatoutside任务8.2站点到站点VPN的配置

4）验证在R1上pingR3的串口地址以及在PC1和PC3上pingPC2应该都是成功的，但是在PC1上pingPC3则会失败。任务8.2站点到站点VPN的配置

4、站点到站点VPN的配置1）配置感兴趣流量主要配置命令如下：R1(config)#access-list100permitip192.168.1.00.0.0.255192.168.2.00.0.0.255//创建编号为100的扩展访问控制列表，允许192.168.1.0/24网段访问192.168.2.0/24网段任务8.2站点到站点VPN的配置2）配置IKE（ISAKMP）策略主要配置命令如下：R1(config)#cryptoisakmppolicy1//创建ISAIMP策略1R1(config-isakmp)#encryption3des//加密方式为3desR1(config-isakmp)#hashsha//hash算法为shaR1(config-isakmp)#authenticationpre-share//认证方式为Pre-SharedKeysR1(config-isakmp)#group2//密钥算法为group2R1(config-isakmp)#exitR1(config)#cryptoisakmpkeyP@ssw0rdaddress23.23.23.3//定义Pre-SharedKey为cisco，并指向地址23.23.23.3任务8.2站点到站点VPN的配置

3）配置IPsectransform主要配置命令如下：R1(config)#cryptoipsectransform-setipsecesp-3desesp-sha-hmac//创建名为ipsec的transform-set，其中数据封装使用esp加3des加密，并且使用esp结合sha做hash计算，IPsecmode默认为tunnel模式任务8.2站点到站点VPN的配置

4）配置cryptomap主要配置命令如下：R1(config)#cryptomapmap10ipsec-isakmp//创建名为map的映射R1(config-crypto-map)#setpeer23.23.23.3//设置对端节点地址23.23.23.3R1(config-crypto-map)#settransform-setipsec//调用名为ipsec的transform-setR1(config-crypto-map)#matchaddress100//匹配编号为100访问控制列表的感兴趣流量任务8.2站点到站点VPN的配置5）应用cryptomap主要配置命令如下：R1(config)#ints1/0R1(config-if)#cryptomapmap//将名为map的映射应用到s1/0接口上任务8.2站点到站点VPN的配置

6）类似的方法去配置R3，注意相关的匹配主要配置命令如下：R3(config)#access-list100permitip192.168.2.00.0.0.255192.168.1.00.0.0.255R3(config)#cryptoisakmppolicy1R3(config-isakmp)#encryption3desR3(config-isakmp)#hashshaR31(config-isakmp)#authenticationpre-shareR3(config-isakmp)#group2R3(config-isakmp)#exitR3(config)#cryptoisakmpkeyciscoaddress12.12.12.1任务8.2站点到站点VPN的配置

R3(config)#cryptoipsectransform-setipsecesp-3desesp-sha-hmacR3(config)#cryptomapmap10ipsec-isakmpR3(config-crypto-map)#setpeer12.12.12.1R3(config-crypto-map)#settransform-setipsecR3(config-crypto-map)#matchaddress100R3(config)#ints1/1R3(conf