Site-to-Site VPN配置和调试实践:构建安全的远程网络连接

news2024/11/23 2:44:47

Site-to-Site VPN配置和调试实践:构建安全的远程网络连接

【实验目的】

  1. 理解Site to Site VPN的含义。
  2. 掌握Site to Site VPN的含义。
  3. 验证配置。

【实验拓扑】

实验拓扑如下图所示。

实验拓扑

设备参数表如下表所示。

设备参数表

设备

接口

IP地址

子网掩码

默认网关

R1

S0/1/0

69.1.0.1

255.255.255.0

N/A

G0/0/0

192.168.1.1

255.255.255.0

N/A

Internet

S0/1/0

69.1.0.2

255.255.255.0

N/A

S0/1/1

201.106.208.1

255.255.255.0

N/A

R2

S0/1/0

201.106.208.2

255.255.255.0

N/A

G0/0/0

192.168.2.1

255.255.255.0

N/A

【实验内容】

1.基础配置

//R1

Router>ena

Router>enable

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname R1

R1(config)#interface g0/0/0

R1(config-if)#ip address 192.168.1.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#interface s0/1/0

R1(config-if)#ip address 69.1.0.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#

//Internet

Router#conf t

 Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname Internet

Internet(config)#interface s0/1/0

Internet(config-if)#ip address 69.1.0.2 255.255.255.0

Internet(config-if)#no shutdown

Internet(config-if)#interface s0/1/1

Internet(config-if)#ip add 201.106.208.1 255.255.255.0

Internet(config-if)#no shutdown

Internet(config-if)#exit

Internet(config)#

//R2

Router>en

Router>enable

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname R2

R2(config)#interface s0/1/0

R2(config-if)#ip address 201.106.208.2 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#exit

R2(config)#interface g0/0/0

R2(config-if)#ip add 192.168.2.1 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#exit

R2(config)#

2.IP地址与路由配置

在路由器R1、R2上配置IP地址,测试各直连链路的连通性,并配置如下路由:

R1(config)#ip route 0.0.0.0 0.0.0.0 s0/1/0

//公网出口路由器通常会有默认路由指向Internet

Internet(config)#ip route 0.0.0.0 0.0.0.0 s0/1/0

Internet(config)#ip route 0.0.0.0 0.0.0.0 s0/1/1

R2(config)#ip route 0.0.0.0 0.0.0.0 s0/1/0

3.验证配置

//PC1可以ping通PC2,tracert追踪到4条路由

4.配置Site to Site VPN

(1)R1的基本配置

①IKE协商配置。

R1(config)#crypto isakmp enable

//开启isakmp功能

R1(config)#crypto isakmp policy 10

//创建一个isakmp策略,编号为10。可以有多个策略,路由器双发将采用编号最新的策略进行协商

R1(config-isakmp)#encryption des

//配置isakmp采用的加密算法,可以选择3DES、AES和DES

R1(config-isakmp)#authentication pre-share

//配置isakmp采用的身份认证算法,这里采用预共享密钥

R1(config-isakmp)#hash sha

//配置isakmp采用HASH算法,可以选择MD5和SHA

R1(config-isakmp)#group 5

//配置isakmp采用的密钥交换算法,这里采用DH group5,可以选择1,14,15,16,2,5

R1(config-isakmp)#exit

R1(config)#crypto isakmp key cisco address 201.106.208.2

//配置对等体201.106.208.2的预共享密钥为cisco,双方配置的密钥需要一致

R1(config)#

②配置IPsec的协商的传输模式集。

R1(config)#crypto ipsec transform-set TRAN esp-des esp-sha-hmac

//创建ipsec转换集,名称为TRAN,该名称本地有效,这里转换集采用ESP封装,加密算法为DES,HASH算法为sha,可以选择AH很会装封装或AH-ESP封装

③配置感兴趣的数据流。

R1(config)#ip access-list extended VPN

R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

R1(config-ext-nacl)#exit

//定义一个ACL,用来指明需要通过VPN加密的流量,注意这里限定的两个局域网之间的流量才运行加密,其他流量(例如,到Internet)不要加密

④配置VPN加密图与接口应用。

R1(config)#crypto map MAP 10 ipsec-isakmp

//创建加密图,名为MAP,编号为10。名称和编号都本地有效,路由器采用从小小到大逐一匹配

R1(config-crypto-map)#set peer 201.106.208.2

//指明VPN对等体为路由器R2

R1(config-crypto-map)#match address VPN

//指明匹配名为VPN的ACL为VPN流量

R1(config-crypto-map)#exit

R1(config)#interface s0/1/0

R1(config-if)#crypto map MAP

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R1(config-if)#exit

//在接口上应用之前创建的加密图MAP

(2)R2的基本配置

R2(config)#crypto isakmp enable

R2(config)#crypto isakmp policy 10

R2(config-isakmp)#encryption des

R2(config-isakmp)#authentication pre-share

R2(config-isakmp)#hash sha

R2(config-isakmp)#group 5

R2(config-isakmp)#exit

R2(config)#crypto isakmp key cisco address 69.1.0.1

R2(config)#crypto ipsec transform-set TRAN esp-des esp-sha-hmac

R2(config)#ip access-list extended VPN

R2(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

R2(config-ext-nacl)#exit

R2(config)#crypto map MAP 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

R2(config-crypto-map)#set peer 69.1.0.1

R2(config-crypto-map)#match address VPN

R2(config-crypto-map)#exit

R2(config)#interface s0/1/0

R2(config-if)#crypto map MAP

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R2(config-if)#exit

R2(config)#

5.R1、R2的配置VPN的脚本

//R1

crypto isakmp enable

crypto isakmp policy 10

encryption des

authentication pre-share

hash sha

group 5

exit

crypto isakmp key cisco address 201.106.208.2

crypto ipsec transform-set TRAN esp-des esp-sha-hmac

ip access-list extended VPN

permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

exit

crypto map MAP 10 ipsec-isakmp

set peer 201.106.208.2

match address VPN

exit

interface s0/1/0

crypto map MAP

exit

//R2

crypto isakmp enable

crypto isakmp policy 10

encryption des

authentication pre-share

hash sha

group 5

exit

crypto isakmp key cisco address 69.1.0.1

crypto ipsec transform-set TRAN esp-des esp-sha-hmac

ip access-list extended VPN

permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

exit

crypto map MAP 10 ipsec-isakmp

set peer 69.1.0.1

match address VPN

exit

interface s0/1/0

crypto map MAP

exit

6.实验调试

(1)查看路由表

R1#show ip route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area

* - candidate default, U - per-user static route, o - ODR

P - periodic downloaded static route

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

69.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

C 69.1.0.0/24 is directly connected, Serial0/1/0

L 69.1.0.1/32 is directly connected, Serial0/1/0

192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks

C 192.168.1.0/24 is directly connected, GigabitEthernet0/0/0

L 192.168.1.1/32 is directly connected, GigabitEthernet0/0/0

S* 0.0.0.0/0 is directly connected, Serial0/1/0

R1#

(2)显示isakmp策略情况

R1#show crypto isakmp policy

Global IKE policy

Protection suite of priority 10

encryption algorithm: DES - Data Encryption Standard (56 bit keys).

//加密算法

hash algorithm: Secure Hash Standard

//HASH算法

authentication method: Pre-Shared Key

//认证方法

Diffie-Hellman group: #5 (1536 bit)

//密钥交换算法

lifetime: 86400 seconds, no volume limit

//生存时间,即重证时间

R1#

(3)显示ipsec交换集情况

R1#show crypto ipsec transform-set

Transform set TRAN: { { esp-des esp-sha-hmac }

will negotiate = { Tunnel, },

//前面配置的交换集TRAN

Transform set #$!default_transform_set_1: { esp-aes esp-sha-hmac }

will negotiate = { Transport, },

//系统默认的交换集

Transform set #$!default_transform_set_0: { esp-3des esp-sha-hmac }

will negotiate = { Transport, },

//系统默认的交换集

R1#

(4)显示加密图情况

R1#show crypto map

Crypto Map MAP 10 ipsec-isakmp

Peer = 201.106.208.2

//配置的对等体IP

Extended IP access list VPN

//对符合名为VPN的ACL的流量进行加密

access-list VPN permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Current peer: 201.106.208.2

//当前的对等体IP

Security association lifetime: 4608000 kilobytes/3600 seconds

//生存时间,即多长时间或传输了多少字节重新建立会话,保证数据的安全

PFS (Y/N): N

Transform sets={

TRAN: {esp-des esp-sha-hmac},

//使用的交换集为TRAN

}

Reverse Route Injection Enable

//启用反向路由注入,这里并不存在,因为PT不支持这个命令,

命令为reverse-route static

Interfaces using crypto map MAP:

//使用改加密图的接口

Serial0/1/0

R1#

(5)显示ipsec会话情况

R1#show crypto ipsec sa

interface: Serial0/1/0

Crypto map tag: MAP, local addr 69.1.0.1

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)

remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)

//以上是对等体双方的ID

current_peer 201.106.208.2 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4

#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4

//以上是该接口的加解密数据包统计量

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0

#pkts not decompressed: 0, #pkts decompress failed: 0

#send errors 0, #recv errors 0

local crypto endpt.: 69.1.0.1, remote crypto endpt.:201.106.208.2

path mtu 1500, ip mtu 1500, ip mtu idb Serial0/1/0

current outbound spi: 0x0(0)

inbound esp sas:

//入方向的ESP安全会话

spi:0x3183A937(850712129)

//区别会话的一个编号

tranform:esp-des esp-sha-hmac,

//交换集情况

in use settings = {Tunnel, }
//模式:隧道或传输模式
conn id:2001,flow_id:FPGA:1,sibling_flags 80000046,crypto map:MAP

//该会话的ID

sa iming rmaning key Hietime ls (48964203)

//还剩下的生存时间
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
//会话状态
inbound ah sas:
//入方向的AH安全会话,由于我们没有使用AH封装,所以没有AH会话

inbound pcp sas:

outbound esp sas:
//出方向的ESP安全会话
spi: 0x5ADF3820(1524578336)
transform: esp-des esp-sha-hmac ,
in use settings =(Tunnel, )
conn id:2002,flow_id:FPGA:2,sibling_flags 80000046,cryрto map: MAP

sa timing: remaining key lifetime (k/sec): (4408964/2013)
IV síze: 8 bytes
replay detection support: y
Status: ACTIVE

outbound ah sas:

outbound pcp sas:

R1#

7.实验验证

C:\>tracert 192.168.2.10

Tracing route to 192.168.2.10 over a maximum of 30 hops:

1 0 ms 0 ms 0 ms 192.168.1.1

2 0 ms 6 ms 6 ms 201.106.208.2

3 10 ms 1 ms 10 ms 192.168.2.10

Trace complete.

【实验小知识点】

以下是该实验涉及的一些知识点:

  1. Site-to-Site VPN:该实验旨在理解和掌握Site-to-Site VPN的配置和工作原理,Site-to-Site VPN用于连接不同地理位置的网络,通过加密和隧道技术实现安全的数据传输。
  2. 网络拓扑:实验中给出了一个网络拓扑图,包括多个路由器和互联网连接,理解拓扑图中设备的连接方式和接口配置是必要的。
  3. 基础配置:实验开始时进行了基础配置,包括给设备设置主机名、配置接口的IP地址和子网掩码、开启接口等。
  4. IP地址和路由配置:在实验中,通过配置路由器R1和R2的IP地址和静态路由来确保网络中各直连链路的连通性。
  5. IKE(Internet Key Exchange)协商:实验中配置了IKE协商,用于建立安全通信所需的密钥和参数,包括选择加密算法、身份认证算法、HASH算法和密钥交换算法等。
  6. IPsec(IP Security)配置:在实验中,通过配置IPsec来实现加密和身份验证,使用了加密转换集、感兴趣的数据流定义和加密图。
  7. ACL(Access Control List)配置:配置了ACL用于指定需要通过VPN加密的流量,限定了两个局域网之间的流量进行加密。
  8. 路由表查看:通过查看路由表,可以验证路由器上的路由配置是否正确。
  9. 加密图、转换集和IPsec会话查看:实验中使用了加密图、转换集和IPsec会话来监视和验证VPN的配置和状态。

这些知识点涵盖了Site-to-Site VPN的基本原理、配置要求和调试方法,通过实验可以加深对这些概念和技术的理解和应用。

不要害怕失败,每一次实验都是宝贵的经验,将指引你走向成功的道路。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/650884.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

一组网格加载动画

先看效果&#xff1a; 再看代码&#xff1a; <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><title>网格动画</title><style>import url("https://fonts.googleapis.com/css2?familyOrb…

蓝牙ble的常见概念

蓝牙广播 包组成结构 低功耗蓝牙一共有40个信道&#xff0c;频段范围从2402Mhz-2480Mhz&#xff0c;每2Mhz一个信道&#xff0c;37 38 39 是广播信道&#xff0c;其余为数据信道 一个广播信道最长37字节&#xff0c;有6字节用作蓝牙设备的MAC地址&#xff0c;我们只需要关注剩…

tftp服务器环境搭建与nfs服务器环境搭建

目录 tftp 服务器环境搭建 实验步骤&#xff1a; nfs 服务器环境搭建 实验步骤 tftp 服务器环境搭建 实验步骤&#xff1a; 一、 tftp 服务器环境搭建 1 、 打开一个命令行终端&#xff0c;执行如下命令查看是否已安装 tftp 服务器 $ dpkg -s tftpd-hpa 若显示如下信…

vue可视化面板创建项目

前端项目初始化步骤 安装 vue 脚手架 通过vue脚手架创建项目 在命令行输入vue ui 等待可视化界面打开 填写项目名称&#xff08;必须英文&#xff09;和仓库信息(可选填&#xff09;&#xff0c;然后点击下一步进入“预设面板” 这里根据需要选择一个选项&#xff0c;然后…

Node.js入门之 - 初识Node.js

初识 Node.js 1. 起源 Node.js 起源于 2009 年,由 Ryan Dahl 开发,起初的目的是为了解决一些网络应用运行缓慢的问题。 在 Node.js 之前,一般会采用 LAMP(Linux Apache MySQL PHP)或者 MEAN等技术栈开发 web 应用。这些技术通常会采用请求-响应模型: 客户端(浏览器)发送一…

机器学习 day19(使用python和np实现前向传播)

烤咖啡豆模型 使用一维数组来表示这些向量和参数&#xff0c;所以只有一个方括号W1_1&#xff1a;表示layer 1的第一个神经元的WZ1_1&#xff1a;表示 W1_1和输入X之间的点积&#xff0c;再与b1_1相加a1_1&#xff1a;表示应用Z1_1的sigmoid函数a1&#xff1a;表示把a1_1&…

Explain和索引基本优化示例

一、Explain介绍 1、Explain不用版本的使用 在mysql8.0版本只能用explain&#xff0c;已经弃用了explain extended和explain partitions&#xff0c;用了都会出现语法问题&#xff0c;只能用explain&#xff1b;在explain语句后面加上show warnings;可以查看mysql优化后的语句…

市场·分析

寡头垄断市场 完全竞争市场 完全垄断 垄断竞争 博弈论与寡头竞争理论 寡头市场的特征&#xff1a; 少量的企业竞争策略互动纯寡头 -生产相同产品的企业 -市场上只有一个价格差异化寡头 -生产差异化产品的企业 -价格成为决策变量 博弈论基础 博弈论模型描述个体在知道他所采…

用flex布局实现一个流程设计器

最近接到一个需求&#xff0c;要做一个流程设计的功能&#xff0c;大概长下面这个样子&#xff1a; 支持添加、编辑和删除节点&#xff0c;节点只有四种类型&#xff1a;开始节点、普通节点、分支节点、结束节点。 因为每个节点只有一个进和一个出&#xff0c;且节点不需要支持…

一文扫盲 OA、CRM、ERP、MES、HRM、SCM、WMS、KMS 等B端系统

OA系统 &#xff08;Office Automation System&#xff0c;办公自动化系统&#xff09;&#xff1a;OA系统是一种用于协调、管理和优化办公流程的软件系统&#xff0c;包括电子邮件、日程安排、文档管理、工作流程管理等功能模块&#xff0c;帮助企业提高工作效率和管理水平。…

C#程序的内存映射文件解析

一、背景 前段时间训练营里有朋友问 内存映射文件 是怎么玩的&#xff1f;说实话这东西理论我相信很多朋友都知道&#xff0c;就是将文件映射到进程的虚拟地址&#xff0c;说起来很容易&#xff0c;那如何让大家眼见为实呢&#xff1f;可能会难倒很多人&#xff0c;所以这篇我…

《项目实战》构建SpringCloud alibaba项目

文章目录 1、概要2、整体架构流程2.1、技术结构组成部分 3、技术名词解释4、技术细节4.1、构建父工程4.1.1、选择构建Maven项目4.1.2、修改父工程文件4.1.3、修改父工程pom.xml配置4.1.3.1、添加springboot支持4.1.3.2、修改JDK版本、编码、springboot版本配置4.1.3.3、添加Spr…

自定义MaterialEditText

自定义MaterialEditText 日记 现在都不流行写博客了&#xff0c;因为这玩意都认为对于面试没啥用&#xff0c;我感觉很多事情不应该太功利。所谓博客还是更多的应该用来进行自己日常学习的归纳和总结&#xff0c;而不是去贪图所谓的面试加分。因为面试可能是一时的&#xff0…

Apple Vision Pro的价格并没有看起来那么疯狂

When Apple announced the price of their groundbreaking new mixed reality headset, the Vision Pro, jaws around the world collectively dropped. At a hefty $3,499, it’s not for everyone, but is it really so unreasonable if we take a closer look? 当苹果宣布其…

CSS特性、背景属性和显示模式

CSS特性 CSS特性&#xff1a;化简代码 / 定位问题&#xff0c;并解决问题 继承性层叠性优先级 继承性 继承性&#xff1a;子级默认继承父级的文字控制属性。 注意&#xff1a;如果标签有默认文字样式会继承失败。 例如&#xff1a;a 标签的颜色、标题的字体大小。 层叠性 …

前端 sentry 接入钉钉机器人

sentry 接入钉钉机器人 打开钉钉,添加机器人 此时会得到Webhook地址,记录一下,以后会用到 sentry 端设置 看看这里有木有钉钉插件,有的话开启插件,并配置这里我说一下没有的情况下,我们何如设置 这里需要填写webhook url 这个的url 需要是一个公网的地址,不可以是本地…

HID协议学习

HID协议学习 0. 文档资料 USB_HID协议中文版_USB接口HID设备_AUJsRmB9kg.pdf HID报告描述符精细说明_mgCxM8_ci9.pdf hut1_22_U3cvnwn_ZZ.pdf 1. 基本概念 HID协议是一种基于USB的通讯协议&#xff0c;用于在计算机和输入设备之间进行数据传输。HID协议定义了标准的数据格…

动态规划算法(子数组专题1)

动态规划算法专辑之子数组问题&#xff08;1&#xff09; 本专栏将从状态定义、状态转移方程、初始化、填表顺序、返回值这五大细节来详细讲述动态规划的算法的解题思路及代码实现一、什么是子数组 子数组&#xff1a;子数组是数组中的一个连续部分的集合&#xff0c;子序列可…

Python+Selenium UI自动化测试环境搭建及使用

目录 一、什么是Selenium &#xff1f; 二、Selenium环境搭建 三、WebDriver API 总结&#xff1a; 一、什么是Selenium &#xff1f; Selenium 是一个浏览器自动化测试框架&#xff0c;它主要用于web应用程序的自动化测试&#xff0c;其主要特点如下&#xff1a;开源、免费…

缅怀(上次写博客是2009年10月24日)

这里写自定义目录标题 欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题&#xff0c;有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants 创建一个自定义列表如何创建一个…