远程访问VPN配置与验证实验:构建安全的远程连接

news2024/12/30 0:49:18

远程访问VPN配置与验证实验:构建安全的远程连接

【实验目的】

  1. 理解远程访问 VPN的含义。
  2. 掌握远程访问 VPN的含义。
  3. 掌握VPN Client软件的使用。
  4. 验证配置。

【实验拓扑】

实验拓扑如下图所示。

实验拓扑

设备参数表如下表所示。

设备参数表

设备

接口

IP地址

子网掩码

默认网关

R1

s0/1/0

69.1.0.1

255.255.255.0

N/A

g0/0/0

192.168.1.1

255.255.255.0

N/A

Internet

s0/1/0

69.1.0.2

255.255.255.0

N/A

S0/1/0

 

201.106.208.1

255.255.255.0

N/A

R2

s0/1/0

201.106.208.2

255.255.255.0

N/A

g0/0/0

192.168.2.1

255.255.255.0

N/A

PC1

g0/0/0

192.168.1.100

255.255.255.0

192.168.1.1

PC2

g0/0/0

192.168.2.100

255.255.255.0

192.168.2.1

【实验内容】

1.IP地址与路由配置

//R1

enable

conf t

hostname R1

interface g0/0/0

ip address 192.168.1.1 255.255.255.0

no shutdown

exit

interface s0/1/0

ip address 69.1.0.1 255.255.255.0

no shutdown

exit

//Internet

enable
conf t
hostname Internet
interface s0/1/0
ip address 69.1.0.2 255.255.255.0
no shutdown
interface s0/1/1
ip add 201.106.208.1 255.255.255.0
no shutdown
exit

//R2

enable

conf t

hostname R2

interface s0/1/0

ip address 201.106.208.2 255.255.255.0

no shutdown

exit

interface g0/0/0

ip add 192.168.2.1 255.255.255.0

no shutdown

exit

2.IP地址与路由配置

在路由器R1、R2上配置IP地址,测试各直连链路的连通性,并配置如下路由:

//R1

ip route 0.0.0.0 0.0.0.0 s0/1/0

//R2

ip route 0.0.0.0 0.0.0.0 s0/1/0

外网出口路由器通常会使用NAT,R1的模拟配置如下:

interface s0/1/0

ip nat outside

int g0/0/0

ip nat inside

exit

access-list 10 permit 192.168.1.0 0.0.0.255

ip nat inside source list 10 interface s0/1/0 overload

测试从R1能否ping通R2的公网接口。在PC上配置IP地址和网关,测试能否ping通VPN网关路由器R2(201.106.208.2)。

 

3.在路由器R2上配置远程访问VPN

(1)R2的配置VPN的脚本

//R2
crypto isakmp enable
// 启用ISAKMP,用于安全密钥交换和建立VPN隧道
crypto isakmp policy 10
// 设置ISAKMP策略编号为10
encryption 3des
// 使用3DES算法进行数据加密
authentication pre-share
// 使用预共享密钥进行身份验证
hash sha
// 使用SHA算法进行数据完整性校验
group 2
// 设定Diffie-Hellman群组为2,用于密钥交换
exit

// 以下是设置推送到客户端的组策略:

ip local pool REMOTE-POOL 192.168.3.1 192.168.3.250
// 配置本地IP地址池,用于为远程客户端分配IP地址范围
ip access-list extended EXVPN
// 创建扩展访问列表EXVPN
permit ip 192.168.2.0 0.0.0.255 any
// 允许192.168.2.0/24网段与任意目的地进行通信
permit ip 192.168.3.0 0.0.0.255 any
// 允许192.168.3.0/24网段与任意目的地进行通信
exit

crypto isakmp client configuration group VPN-REMOTE-ACCESS
// 配置VPN客户端组VPN-REMOTE-ACCESS
key MYVPNKEY
// 设置预共享密钥为MYVPNKEY
pool REMOTE-POOL
// 指定分配给VPN客户端的IP地址池为REMOTE-POOL
save-password
// 允许客户端保存密码
acl EZVPN
// 创建访问控制列表EZVPN
exit

aaa new-model
// 启用AAA(认证、授权、会计)模型
aaa authorization network VPN-REMOTE-ACCESS local
// 配置本地用户进行VPN-REMOTE-ACCESS网络授权
crypto map CLIENTMAP isakmp authorization list VPN-REMOTE-ACCESS
// 将ISAKMP授权列表设置为VPN-REMOTE-ACCESS
crypto map CLIENTMAP client configuration address respond
// 配置响应客户端请求时使用动态分配的地址
crypto isakmp keepalive 60
// 配置ISAKMP保持活动状态的时间间隔为60秒
crypto ipsec transform-set VPNTRANSFORM esp-3des esp-sha-hmac
// 创建IPsec转换集VPNTRANSFORM,指定加密算法和哈希算法
crypto dynamic-map DYNMAP 10
// 创建动态加密映射DYNMAP,优先级为10
set transform-set VPNTRANSFORM
// 将转换集设置为VPNTRANSFORM
reverse-route
// 允许根据IPsec流量自动添加逆向路由
exit

crypto map CLIENTMAP 65535 ipsec-isakmp dynamic DYNMAP
// 创建加密映射CLIENTMAP,并将其与ISAKMP和动态映射关联

aaa authentication login VPNUSERS local
// 配置本地用户进行VPN用户身份验证
username vpnuser secret cisco
// 创建用户名为vpnuser,密码为cisco的用户
crypto map CLIENTMAP client authentication list VPNUSERS
// 将客户端身份验证列表设置为VPNUSERS
crypto isakmp xauth timeout 20
// 配置ISAKMP的XAuth身份验证超时时间为20秒
interface s0/1/0
// 进入接口s0/1/0的配置模式
crypto map CLIENTMAP
// 将加密映射CLIENTMAP应用于接口
exit

4.实验验证

(1)PC进行VPN连接

//PC1

 

如果配置正确并连接成功,在客户机CMD中使用“ipconfig”命令可以看到获取了一个之前配置的地址池中的IP地址,结果如下:

 

通过ping对端局域网IP,验证两局域网之间是否可以进行通信。

 

(2)检查路由表

在VPN网关路由器上也多出了一条指向客户端的主机路由,路由表如下:

R2#show ip route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area

* - candidate default, U - per-user static route, o - ODR

P - periodic downloaded static route

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks

C 192.168.2.0/24 is directly connected, GigabitEthernet0/0/0

L 192.168.2.1/32 is directly connected, GigabitEthernet0/0/0

192.168.3.0/32 is subnetted, 2 subnets

S 192.168.3.1/32 [1/0] via 69.1.0.1

S 192.168.3.2/32 [1/0] via 69.1.0.1

209.106.208.0/24 is variably subnetted, 2 subnets, 2 masks

C 209.106.208.0/24 is directly connected, Serial0/1/0

L 209.106.208.2/32 is directly connected, Serial0/1/0

S* 0.0.0.0/0 is directly connected, Serial0/1/0

R2#

【知识点】

  • VPN(Virtual Private Network)的概念和含义:了解VPN的作用和原理,以及在实验中实现远程访问的目的。
  • IP地址和子网掩码的配置:学习如何给网络设备配置IP地址和子网掩码,以便实现网络的连通性。
  • 路由配置和默认路由:了解如何配置路由表,包括设置默认路由,以确保网络流量能够正确转发。
  • 网络地址转换(NAT):学习如何配置NAT,实现内部网络和外部网络之间的通信。
  • 加密协议和策略配置:了解加密协议(如3DES)、认证方式和哈希算法的选择,以及如何配置加密策略。
  • AAA(Authentication, Authorization, and Accounting)的基本概念和配置:了解AAA的作用,并学习如何配置用户认证和授权。
  • 动态加密映射和映射到特定接口:学习如何创建动态加密映射并将其应用到特定的接口,以实现VPN的功能。

【收获】

  • 对VPN的理解和实现能力的提升:通过实验,能够加深对VPN的概念、原理和配置的理解,掌握远程访问VPN的方法和步骤。
  • 网络配置和路由的实践经验:通过配置IP地址、子网掩码、路由表等,加强对网络设备和网络连通性的理解,并获得相关的实践经验。
  • 安全性和加密相关知识的学习:通过配置加密协议、认证方式和哈希算法等,了解网络安全的重要性,并学习如何保护数据传输的安全性。
  • AAA的应用和用户认证授权的实践:通过配置AAA相关设置,学习如何实现用户认证和授权,加深对网络安全管理的认识。
  • 实验操作和故障排除的技能提升:通过实验配置和验证的过程,提升网络设备的操作技能,同时在遇到问题时,学习故障排除的方法和技巧。
  • 这些知识点和收获将有助于学习者深入理解网络连接和安全性的概念,提升对网络设备配置和故障排除的技能,并为未来在网络领域的学习和工作奠定坚实的基础。

每一次实验都是你追寻知识的航程,每一步都会让你更接近网络技术的巅峰。继续前进,你将获得属于你的辉煌。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/660772.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【软件设计】模块设计耦合的七种类型

一.什么是高内聚、低耦合? 在结构化分析与模块设计方法中,模块化是一个很重要的概念,它是将一个待开发的软件分解成为若干个小的模块,每个模块可以独立地开发、测试。使得复杂问题的“分而治之”,令程序的结构清晰、易…

ubuntu 20.04 linux6.3.8 qemu arm64 平台 制作ext4根文件系统

前言 可以参考 ubuntu 20.04 qemu linux6.0.1 制作ext4根文件系统 因为需要验证 aarch64 平台下的 glib 库,所以重新搭建了 Linux qemu arm64 的 测试环境 这一篇,开始制作 rootfs 根文件系统,让qemu arm64 平台上的 Linux 系统跑起来 开…

一个springboot项目的jenkins持续集成配置

目录 1.项目基本情况 2.jenkins的下载 1) 安装jdk 2)下载、启动和配置jenkins 3. 启动Jenkins 4. 安装Jenkins插件 5. 重启jenkins 6.jenkins工具的配置 1) jdk的路径配置 7.创建springboot项目的持续集成任务 1) 新建项目 2)代…

倒闭了

前两天在群里听到有人发消息,说是「有陪」倒闭了,然后我去看了相应的消息,看到了下面的图。 一些老的读者可能知道我之前有一段创业经历,这段创业经历就是有陪,我从恒大的时候就开始给有陪做事,那时候我一个…

stm32 滑膜观测器+PLL 锁相环 FOC 无感无刷电机控制

上一期为大家介绍了滑膜观测器正反切的应用案例,收到不少小伙伴的反馈是否有PLL的案例,大概看了一下网上的资料,讲理论的很多,能转化成源码的几乎没有。前半年工作和家里的事情都比较多,一拖再拖,终于在6月…

Attention U-Net:Learning Where to Look for the Pancreas论文总结和代码实现

论文: https://arxiv.org/abs/1804.03999 中文版:https://blog.csdn.net/hhw999/article/details/110134398 源码: https://github.com/ozan-oktay/Attention-Gated-Networks 目录 一、论文背景和出发点 二、创新点 三、Attention U-Net的…

【5G MAC】5G中传输块(TBS)大小的计算方式

博主未授权任何人或组织机构转载博主任何原创文章,感谢各位对原创的支持! 博主链接 本人就职于国际知名终端厂商,负责modem芯片研发。 在5G早期负责终端数据业务层、核心网相关的开发工作,目前牵头6G算力网络技术标准研究。 博客…

【学习日记2023.6.18】之 分布式缓存redis持久化_redis主从_reids哨兵_redis分片集群

文章目录 分布式缓存1. Redis持久化1.1 RDB持久化1.1.1 执行时机1.1.2 RDB原理1.1.3 小结 1.2 AOF持久化1.2.1 AOF原理1.2.2 AOF配置1.2.3 AOF文件重写 1.3 RDB与AOF对比 2 Redis主从2.1 搭建主从架构2.1.1 准备实例和配置2.1.2 启动2.1.3 开启主从关系2.1.4 测试 2.2 主从数据…

计算服务资源调度管理

文章目录 前言总体架构“ULT”和“KLT”抽象“内核”“容器”“虚容器” 内存抽象虚拟存储(容器调用) 多机器调度 前言 今天复习了一下操作系统,系统过了一下,感觉还有点时间,那么顺便来讨论一下,关于我的…

.maloxx勒索病毒数据怎么处理|数据解密恢复,malox/mallox

导语: 随着科技的快速发展,数据成为了企业和个人不可或缺的财富。然而,网络安全威胁也日益增多,其中Mallox勒索病毒家族的最新变种.maloxx勒索病毒的出现给我们带来了巨大的困扰。但不要担心!91数据恢复研究院将为您揭…

一、Docker介绍

学习参考:尚硅谷Docker实战教程、Docker官网、其他优秀博客(参考过的在文章最后列出) 目录 前言一、Docker是什么?二、Docker能干撒?三、容器虚拟化技术 和 虚拟机有啥区别?1.虚拟机2.容器虚拟化技术3.对比 四、Docker组成4.1 镜像…

python自动化办公——定制化将电子签名批量签写到PDF文件

python自动化办公——定制化将电子签名批量签写到PDF文件 文章目录 python自动化办公——定制化将电子签名批量签写到PDF文件1、安装依赖2、需求分析3、代码 1、安装依赖 首先需要下载所需要的库 pip install pdf2image pip install img2pdf pip install opencv-python此外还…

【工作记录】基于可视化爬虫spiderflow实战天气数据爬取@20230618

前言 之前写过一篇关于可视化爬虫spiderflow的文章,介绍了基本语法并实战了某校园新闻数据的爬取。 还有一篇文章介绍了基于docker-compose快速部署spiderflow的过程,需要部署的话可参考该文章。 文章链接如下: 可视化爬虫框架spiderflow入门及实战【…

基于SpringBoot+Vue+微信小程序的电影平台

✌全网粉丝20W,csdn特邀作者、博客专家、CSDN新星计划导师、java领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战✌ 🍅文末获取项目下载方式🍅 一、项目背景介绍: 研究背景:…

【通过Data Studio连接openGauss---快速入门】

【通过Data Studio连接openGauss---快速入门】 🔻 一、访问openGauss🔰 1.1 确认连接信息(单节点)🔰 1.2 使用gsql访问openGauss(本地连接数据库)🔰 1.3 使用gsql访问openGauss&…

多道程序设计(操作系统)

目录 1 单道程序设计的缺点 2 多道程序设计的提出 3 多道程序设计的问题 多道程序设计目标: 多道程序设计是操作系统所采用最基本、最重要的技术,其根本目标是提高整个计算机系统的效率。衡量系统效率有一个尺度,那就是吞吐量。 提高系统…

clDice-一种新的分割标准-能够促进管状结构分割的连接性

clDice-a Novel Topology-Preserving Loss Function for Tubular StructureSegmentation论文总结 论文:clDice-A Novel Topology-Preserving Loss Function for Tubular Structure 源码:GitHub - jocpae/clDice 目录 一、论文背景和出发点 二、创新点 …

动态规划III (买股票-121、122、123、188、309)

CP121 买股票的最佳时机 题目描述: 给定一个数组 prices ,它的第 i 个元素 prices[i] 表示一支给定股票第 i 天的价格。你只能选择 某一天 买入这只股票,并选择在 未来的某一个不同的日子 卖出该股票。设计一个算法来计算你所能获取的最大利…

Advanced-C.04.函数

函数 函数的定义 包括两个部分,“函数头"和"函数体” 返回值类型 函数名(形参1,形参2,...)//函数头{}//函数体 函数类型决定返回值类型,执行函数需要调用 函数的返回值和参数可以是任何类型,包括空类型!!函…

Android adb shell命令捕获systemtrace

Android adb shell命令捕获systemtrace (1)抓取trace文件: adb shell perfetto -o /data/misc/perfetto-traces/trace_file.perfetto-trace -t 20s sched freq idle am wm gfx view binder_driver hal dalvik camera input res memory -t 时长,20s&a…