网络基础信息及安全 12

任务4VPN技术的应用——项目一IPSecVPN配置课程设计和制作：

徐龙泉，王祯琳电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02VPN简介VPN的应用场景VPN按架构分类IPSecVPN简介子任务1配置FW_A的基础配置03子任务2配置FW_A的IPSec策略04子任务3配置FW_B的基础配置05子任务4配置FW_B的IPSec策略0601任务规划任务规划根据华为交换机安全加固和维护指南，需要完成如下加固任务。企业A与企业B之间需要跨互联网相互访问业务，由于业务涉及公司机密，希望通过保密的方式进行业务互访。本任务以网络A与网络B模拟企业A与企业B，网络A和网络B通过FW1和FW2连接到Internet。通过组网实现FW1和FW2之间建立IKE方式的IPSec隧道，网络A和网络B的用户可通过IPSec隧道互相访问，访问过程中在互联网的报文被IPSecVPN的加密，达到保密需求。本任务采用华为模拟器eNSP实施。任务规划网络拓扑图如下：任务规划设备接口与IP地址规划表如下：设备接口IP地址安全区域FW1GE0/0/11.1.3.1/24untrustGE0/0/310.1.1.1/24trustFW2GE0/0/11.1.5.1/24untrustGE0/0/310.1.2.1/24trust本任务的环境Windows10操作系统，已经安装eNSP和VMwareWorkstation。“02相关知识相关知识——4.1VPN简介VPNVPN(VirtualPrivateNetwork)，又称虚拟专用网，是一种运用通用网络（如Internet）建立专用网络的技术。其主要作用是通过一种加密算法将源端网络通信数据，封装成一个特定的数据包，在隧道网络中进行传输，然后在目标端网络解包还原出源端数据。相关知识——4.1VPN简介VPNVPN技术能够利用公用网络提供的资源，同时对数据进行加密和身份验证，保障网络传输的安全性和隐私保密，使得企业和个人用户在使用公网进行远程或者分支机构间通讯时，既可享受专线般安全可靠，同时兼具互联网的低廉和方便。此外，VPN技术能够实现虚拟专用网络的隔离，使得隧道内和隧道外两个网络环境相互隔离，从而在网络上实现安全的通信。相关知识——4.1VPN简介VPN的整体概念简介（1）虚拟“虚拟”是VPN的实现方式。既然是通过封装方式建立逻辑隧道来跨越公有网络传输数据，这就意味着VPN不同于租用专线网络所采用的物理连接方式。从理论上说，这表示只要通信双方在协议层面可以互通，它们就可以建立起逻辑的网络。相关知识——4.1VPN简介VPN的整体概念简介（2）专用“专用”描述了VPN的一大核心需求，也就是让跨越公共媒介的通信方获得类似于连接在同一个网络中的通信体验。VPN最初的目的就是为了让同一家企业能够跨越公共媒介进行通信。相关知识——4.1VPN简介VPN的整体概念简介（3）网络VPN常常是一条点对点的隧道，但这些VPN隧道也可以组成复杂的网络，实现多点之间的资源共享。在实际使用中，VPN拓扑也包含了点对点连接、星型（hub-and-spoke）连接等不同的网络结构。好学深思互联网基建加速国产化

筑牢数字经济自主根基通过使用国产化的路由器和交换机，可以减少对外国技术的依赖，增强国家信息安全，避免潜在的安全风险。此外，国产化还能促进国内信息技术产业的发展，提升整体网络安全水平。中国品牌的华为、中兴通讯、新华三、锐捷网络等企业的路由器和交换机等设备一直在市场上占据重要地位。相关知识——4.2VPN的应用场景VPN的应用场景VPN技术因其灵活性和安全性，在多种场景下都是保障数据安全和网络访问的重要工具。VPN的应用场景非常广泛，以下是一些常见的应用实例：（1）远程办公。企业员工可以通过VPN远程访问公司内部网络，以便在任何地方进行工作。（2）跨地域网络连接。通过VPN，多个地理位置不同的网络可以连接起来，实现安全通信，方便数据共享和协作。（3）加密通信。VPN可以加密数据传输，保障通信的安全性和隐私性。相关知识——4.2VPN的应用场景VPN的应用场景VPN技术因其灵活性和安全性，在多种场景下都是保障数据安全和网络访问的重要工具。VPN的应用场景非常广泛，以下是一些常见的应用实例：（4）公共Wi-Fi网络。通过连接VPN，可以避免在公共Wi-Fi网络中敏感数据被黑客窃取。（5）商务用途。允许公司将分支机构和远程用户连接到内部网络上，以便进行文件共享、视频会议等等。（6）保护个人计算机和设备。VPN提供加密和防火墙保护，可以保护设备免受网络攻击和病毒感染。相关知识——2.3VPN按架构分类VPN按架构分类

除了按照VPN的实现协议来分类之外，还有一种VPN的分类方式非常常见，那就是按照VPN的架构进行分类。按照这种分类方式，VPN至少可以分为以下几类：（1）站点到站点VPN顾名思义，站点到站点VPN就是在两个站点之间跨越某个网络建立VPN。因此站点到站点VPN连接的是两个站点中的一台VPN端点设备，目的是以这个端点设备作为VPN隧道的起点和终点，在两个站点之间建立起服务于这两个站点之间通信的逻辑信道。相关知识——2.3VPN按架构分类VPN按架构分类

除了按照VPN的实现协议来分类之外，还有一种VPN的分类方式非常常见，那就是按照VPN的架构进行分类。按照这种分类方式，VPN至少可以分为以下几类：（1）站点到站点VPN在两个站点之间跨越网络建立VPN连接连接两个站点中的VPN端点设备（防火墙、路由器、三层交换机等）以端点设备作为VPN隧道的起点和终点典型技术：IPSecVPN、GREoverIPsec作用：服务于两个站点之间的通信相关知识——2.3VPN按架构分类VPN按架构分类

除了按照VPN的实现协议来分类之外，还有一种VPN的分类方式非常常见，那就是按照VPN的架构进行分类。按照这种分类方式，VPN至少可以分为以下几类：（2）远程接入VPN顾名思义，站点到站点VPN就是在两个站点之间跨越某个网络建立VPN。因此站点到站点VPN连接的是两个站点中的一台VPN端点设备，目的是以这个端点设备作为VPN隧道的起点和终点，在两个站点之间建立起服务于这两个站点之间通信的逻辑信道。相关知识——2.3VPN按架构分类VPN按架构分类

除了按照VPN的实现协议来分类之外，还有一种VPN的分类方式非常常见，那就是按照VPN的架构进行分类。按照这种分类方式，VPN至少可以分为以下几类：（2）远程接入VPN远程用户通过移动设备拨号与网络建立VPN连接使远程用户能够安全访问网络中的各类资源典型场景：出差员工连接企业网络典型技术：基于客户端的IPSecVPN、SSLVPN相关知识——2.3VPN按架构分类VPN按架构分类

如果按照其他的分类方式，上述VPN有可能产生新的组合。例如，如果按照VPN解决方案的实施主体来看，则VPN可以分为企业VPN和运营商VPN。其中，站点到站点VPN和远程接入VPN（按照架构分类）都属于企业VPN，而MPLSVPN（按照协议分类）则属于运营商VPN。相关知识——2.4IPSecVPN简介IPSecVPN简介IPSecVPN（InternetProtocolSecurityVirtualPrivateNetwork）是一种基于IP层的加密技术，提供数据传输过程中的安全性和完整性。IPSec不是一项协议，而是包含了多种元素的框架，使用者可以对多种元素的具体实现办法进行选择，这些元素包括封装协议、认证和加密算法、密钥管理方式、封装模式等。使用者可以根据实施规模和需求，来选择不同的具体实现方法，从而获得灵活的安全通信通道。相关知识——2.4IPSecVPN简介在IPSec中，可以从以下因素中进行考虑（1）封装协议。ESP和AH。ESP（EncapsulatingSecurityPayload，封装安全负载）提供了数据加密、身份认证和完整性保护。AH（AuthenticationHeader，认证头部）提供了身份认证和完整性保护。需要注意的是，AH并没有提供数据加密功能。正由于它们之间的这一区别，ESP是当前在IPSec中使用最为广泛的封装协议。（2）封装协议使用的认证算法。它包括MD5、SHA1、SHA2等认证算法。相关知识——2.4IPSecVPN简介在IPSec中，可以从以下因素中进行考虑（3）封装协议使用的加密算法。在使用ESP作为封装协议时，需要选择一种加密算法，包括DES、3DES、AES等。用户可以在保证两端参数相同的情况下，根据设备所能支持的参数来自行选择加密算法和认证算法。（4）密钥交换。手动配置、IKE协议。用户可以在建立VPN的源网络设备和目的网络设备上手动配置密钥，这种做法适用于结构相对固定的小规模部署环境，如果考虑到可扩展性，则需要使用IKE协议来实现动态的密钥交换。相关知识——2.4IPSecVPN简介在IPSec中，可以从以下因素中进行考虑（5）密钥交换使用的认证算法和加密算法。在使用IKE实现动态密钥交换的过程中，用户也可以自主选择使用哪种认证算法和加密算法。（6）封装模式：传输模式、隧道模式。传输模式是指利用IPSec封装协议来封装传输层头部+数据负载，并在这些内容之外再封装网络层头部。隧道模式是指利用IPSec封装协议来封装网络层头部+传输层头部+数据负载，并在这些内容之外再封装一个新的网络层头部。03子任务1子任务4-1配置FW_A的基础配置1）任务内容：包括配置接口IP地址、接口加入安全区域、域间安全策略和静态路由。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务4-1配置FW_A的基础配置04子任务2子任务4-2配置FW_A的IPSec策略2）任务内容：在FW_A上配置IPSec策略，并在接口上应用此IPSec策略。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务4-2配置FW_A的IPSec策略05子任务3子任务4-3

配置FW_B的基础配置3）任务内容：包括配置接口IP地址、接口加入安全区域、域间安全策略和静态路由。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务4-3

配置FW_B的基础配置06