應用實例:VPN技術配置及相關路由配置
應用實例:VPN技術配置及相關路由配置,寬帶普及以后,經常面臨VPN技術配置的問題。所以,今天我準備向大家介紹VPN技術配置技巧,希望本文能教會你更多東西,為大家的生活帶來方便。
VPN技術配置是企業實現安全遠程互聯的有效方法。本文根據一個應用實例,具體描述VPN技術配置的配置和實施過程。其主要應用特點包括:基于封裝安全負載標準ESP-DES(Encapsulating Securiry Payload - Data Encryption Standard)的IPSec;專有網絡通過端口地址轉換(PAT)技術訪問Internet。
一、 網絡基本情況
該單位公司總部在北京,全國有3個分支機構。要求做到在4個地點的數據能夠實時查詢,便于業務員根據具體情況作出正確決策。早期方案是使用路由器,通過速率為256Kbps的DDN專網連接北京總部。
但技術人員通過市場調研,發現該網絡運營成本過高。通過進一步的咨詢和調整,最終方案是分支機構使用DDN在本地接入Internet,總部使用以太網就近接入Internet。并對互聯的路由器進行配置,使用VPN技術配置,保證內部數據通過Internet安全傳輸。
二、配置過程及測試步驟
在實施配置前,需要檢查硬件和軟件是否支持VPN技術配置。對于Cisco路由器,要求IOS版本高于12.0.6(5)T,且帶IPSec功能。本配置在Cisco路由器上配置通過。以下是分支網絡1的路由器實際配置過程,其他路由器的配置方法與此基本一致,只需修改具體的環境參數(IP地址和接口名稱)即可。以下黑體字為輸入部分,< Enter >為鍵盤對應鍵,^Z為Ctrl+Z組合鍵。
VPN技術配置配置路由器的基本參數,并測試網絡的連通性
◆進入路由器配置模式:將計算機串口與路由器console口連接,并按照路由器說明書配置"終端仿真"程序。執行下述命令進入配置模式。
Router>en
Router#config terminal
Router(config)#
◆配置路由器的基本安全參數:主要是設置特權口令、遠程訪問口令和路由器名稱,方便遠程調試。
Router(config)#enable secret xxxxxxx
Router(config)#line vty 0 4
Router(config-line)#password xxxxxx
Router(config-line)#exit
Router(config)#hostname huadong
huadong(config)#
◆配置路由器的以太網接口,并測試與本地計算機的連通性,注意: 配置前,請將線纜與相關設備連接好。其中ethernet0/0端口接內部網絡,serial0/0端口接外部網絡。外部網絡接口地址由ISP分配,至少一個地址,多者不限。以下假定為一個,使用PAT模式,地址為210.75.32.9,上級路由器為210.75.32.10。內部網絡地址如附圖所標示。關鍵是配置IP地址和啟用以太網接口。測試時,使用基本的測試命令ping。#p#
huadong(config)#inter eth0/0
huadong(config-if)#ip address 172.17.1.1 255.255.255.0
huadong(config-if)#no shutdown
以下是VPN技術配置測試命令:
huadong#ping 172.17.1.1
…
!!!!!
…
huadong#ping 172.17.1.100
…
!!!!!
…
在IP地址為172.17.1.100的計算機上:
c:>ping 172.17.1.1
Pinging 172.17.1.1 with 32 bytes of data:
Reply from 172.17.1.1: bytes=32 time=5ms TTL=255
……
結果證明連接及配置正確。
◆VPN技術配置配置路由器的串口,并測試與上級路由器的連通性,與以太網口的配置方法類似,而且需要指定帶寬和包的封裝形式。同時,注意將Cisco設備特有的CDP協議關掉,保證基本的安全。
huadong(config)#inter serial0/0
huadong(config-if)#ip address 210.75.32.9 255.255.255.252
huadong(config-if)#bandwidth 256
huadong(config-if)#encapsulation ppp
huadong(config-if)#no cdp enable
huadong(config-if)#no shutdown
以下是測試命令:
huadong#ping 210.75.32.9
……
!!!!!
……
huadong#ping 210.75.32.10
……
!!!!!
……
結果證明連接及配置正確。
配置路由器NAT網絡
◆配置外出路由并測試,主要是配置缺省路由。
huadong(config)#ip route 0.0.0.0 0.0.0.0 210.75.32.9
huadong#ping 211.100.15.36
……
!!!!!
……
結果證明本路由器可以通過ISP訪問Internet。
◆配置PAT,使內部網絡計算機可以訪問外部網絡,但不能訪問總部和分支機構。主要是基于安全目的,不希望內部網絡被外部網絡所了解,而使用地址轉換(NAT)技術。同時,為了節約費用,只租用一個IP地址(路由器使用)。所以,需要使用PAT技術。使用NAT技術的關鍵是指定內外端口和訪問控制列表。在訪問控制列表中,需要將對其他內部網絡的訪問請求包廢棄,保證對其他內部網絡的訪問是通過IPSec來實現的。
huadong(config)#inter eth0/0
huadong(config-if)#ip nat inside
huadong(config-if)#inter serial0/0
huadong(config-if)#ip nat outside
huadong(config-if)#exit
以上命令的作用是指定內外端口。
huadong(config)#route-map abc permit 10
huadong(config-route-map)#match ip address 150
huadong(config-route-map)#exit
以上命令的作用是指定對外訪問的規則名。
huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.16.0.0 0.0.255.255
huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.17.2.0 0.0.0.255
huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.17.3.0 0.0.0.255
huadong(config)#access-list 150 permit ip 172.17.1.0 0.0.0.255 any
以上命令的作用是指定對外訪問的規則內容。例如,禁止利用NAT對其他內部網絡直接訪問(當然,專用地址本來也不能在Internet上使用),和允許內部計算機利用NAT技術訪問Internet(與IPSec無關)。
huadong(config)#ip nat inside source route-map abc interface serial0/0 overload
上述命令的作用是聲明使用串口的注冊IP地址,在數據包遵守對外訪問的規則的情況下,使用PAT技術。下是測試命令,通過該命令,可以判斷配置是否有根本的錯誤。例如,在命令的輸出中,說明了內部接口和外部接口。并注意檢查輸出與實際要求是否相符。
huadong#show ip nat stat
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Outside interfaces:
Serial0/0
Inside interfaces:
Ethernet0/0
……
在IP地址為172.17.1.100的計算機上,執行必要的測試工作,以驗證內部計算機可以通過PAT訪問Internet。
c:>ping 210.75.32.10
……
Reply from 210.75.32.10: bytes=32 time=1ms TTL=255
……
c:>ping
……
Reply from 211.100.15.36: bytes=32 time=769ms TTL=248
……
此時,在路由器上,可以通過命令觀察PAT的實際運行情況,再次驗證PAT配置正確。
huadong#show ip nat tran
Pro Inside global Inside local Outside local Outside global
icmp 210.75.32.9:1975 172.17.1.100:1975 210.75.32.10:1975 210.75.12.10:1975
……
以上測試過程說明,NAT配置正確。內部計算機可以通過安全的途徑訪問Internet。當然,如果業務要求,不允許所有的內部員工/計算機,或只允許部分內部計算機訪問Internet,那么,只需要適當修改上述配置命令,即可實現。#p#
配置ESP-DES IPSec并測試
以下配置是配置VPN技術配置的關鍵。首先,VPN技術配置隧道只能限于內部地址使用。如果有更多的內部網絡,可在此添加相應的命令。
huadong(config)#access-list 105 permit ip 172.17.1.0 0.0.0.255 172.16.0.0 0.0.255.255
huadong(config)#access-list 106 permit ip 172.17.1.0 0.0.0.255 172.17.2.0 0.0.0.255
huadong(config)#access-list 107 permit ip 172.17.1.0 0.0.0.255 172.17.3.0 0.0.0.255
指定VPN技術配置在建立連接時協商IKE使用的策略。方案中使用sha加密算法,也可以使用md5算法。在IKE協商過程中使用預定義的碼字。
huadong(config)#crypto isakmp policy 10
huadong(config-isakmp)#hash sha
huadong(config-isakmp)#authentication pre-share
huadong(config-isakmp)#exit
針對每個VPN技術配置路由器,指定預定義的碼字。可以一樣,也可以不一樣。但為了簡明起見,建議使用一致的碼字。
huadong(config)#crypto isakmp key abc2001 address 211.157.243.130
huadong(config)#crypto isakmp key abc2001 address 202.96.209.165
huadong(config)#crypto isakmp key abc2001 address 192.18.97.241
為每個VPN技術配置(到不同的路由器,建立不同的隧道)制定具體的策略,并對屬于本策略的數據包實施保護。本方案包括3個VPN技術配置隧道。需要制定3個相應的入口策略(下面只給出1個)。
huadong(config)#crypto map abc 20 ipsec-isakmp
huadong(config-crypto-map)#set peer 211.157.243.130
huadong(config-crypto-map)#set transform-set abc-des
huadong(config-crypto-map)#match address 105
huadong(config-crypto-map)#exit
使用路由器的外部接口作為所有VPN技術配置入口策略的發起方。與對方的路由器建立IPSec。
huadong(config)#crypto map abc local-address serial0
IPSec使用ESP-DES算法(56位加密),并帶SHA驗證算法。
huadong(config)#crypto ipsec transform-set abc-des esp-des esp-sha-hmac
指明串口使用上述已經定義的策略。
huadong(config)#inter serial0/0
huadong(config-if)#crypto map abc
在IP地址為172.17.1.100的計算機上驗證:
c:>ping 172.16.1.100
……
Reply from 172.16.1.100: bytes=32 time=17ms TTL=255
……
huadong#show crypto engine conn acti
ID Interface IP-Address State Algorithm Encrypt Decrypt
1 < none > < none > set HMAC_SHA+DES_56_CB 0 0
2000 Serial0/0 210.75.32.9 set HMAC_SHA+DES_56_CB 0 452
2001 Serial0/0 210.75.32.9 set HMAC_SHA+DES_56_CB 694 0
同時,這種連接使用了IPSec,而沒有使用NAT技術。
三、VPN技術配置測試
將所有路由器按照上述過程,根據具體的環境參數,做必要修改后,完成VPN技術配置的配置。網絡部分任務完成,可以順利開展業務應用了。如果需要,路由器本身提供更詳細的調試命令:
debug crypto engine connections active
debug crypto isakmp sa
debug crypto ipsec sa
在調試時,需要注意,在對應路由器上也執行相應的調試命令。然后,在一臺客戶機(172.17.1.100)上執行如下命令:
c:>ping 172.16.1.100 -n 1
最后,對比2個路由器的輸出,觀察出現問題的提示--這是隧道不能建立的主要原因。針對此提示,做必要的修改工作,便可圓滿完成VPN技術配置的配置計劃。在實際中,該方案完全滿足用戶需求,并充分驗證了VPN技術配置的可用性和實用性。至今運行正常,用戶非常滿意。
