欢迎来到天天文库
浏览记录
ID:57650192
大小:2.45 MB
页数:16页
时间:2020-08-30
《IPSec-VPN穿越NAT的通信实验.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、实验五IPSecVPN穿越NAT的通信实验【实验名称】IPSecVPN穿越NAT的通信实验【实验目的】学习配置SitetoSite的IPSecVPN隧道,加深对IPSec协议的理解。并且体会IPSecVPN穿越NAT的通信。【背景描述】假设北京的某公司在上海开了新的分公司,分公司要远程访问总公司的各种服务器资源,例如:CRM系统、FTP系统等。Internet上的网络传输本身存在安全隐患,这家公司希望通过采用IPSecVPN技术实现数据的安全传输。上海的分公司组网的时候使用私有地址,在出口部署NAT将私
2、有地址转换为公有地址来接入互联网,就是说两台VPN网关之间还存在NAT设备。从原理来说,NAT和IPSec存在一定的矛盾,因此当在有NAT设备的环境,传统的IPSecVPN会出现无法正常工作的现象。但锐捷VPN产品,遵循IETF公布的最新穿越NAT的标准,良好的实现了IPSecVPN对NAT设备的穿越。【需求分析】需求:解决上海分公司和北京总公司之间通过Internet进行信息安全传输的问题分析:IPSecVPN技术通过隧道技术、加解密技术、密钥管理技术、和认证技术有效的保证了数据在Internet网络
3、传输的安全性,是目前最安全、使用最广泛的VPN技术。因此我们可以通过建立IPSecVPN的加密隧道,实现分公司和总公司之间的信息安全传输。另外,VPN设备还必须支持NAT穿越技术。【实验拓扑】VPN设备Aeht0eht1eht0eht1PC1PC2NAT-RVPN设备BF0/0F0/1【实验设备】设备型号数量锐捷VPN设备RG-WALLV502台锐捷路由器设备1台Windows系统的PC机2台直连线2根交叉线2根【预备知识】1、网络基础知识、网络安全基础知识、VPN基础知识;2、IPSec协议的基本内容
4、、其工作模式;3、IKE协议的基本工作原理;4、IPSecVPN不能穿越NAT的原因;5、IPSecVPN穿越NAT的原理。【实验原理】两个局域网出口的VPN设备(A和B)之间通过IKE自动协商建立起IPSec的VPN加密隧道。使得这两个局域网内部的PC机1和PC机2之间的通信,在这两个局域网间(VPN设备A到VPN设备B的路径)是被加密传输的。VPN网关之间存在NAT设备,锐捷VPN网关已经实现了NAT穿越,并且能自动发现NAT设备,因此对于VPN设备而言配置中不需要对NAT环境作做任何特殊设置。但需
5、要注意,在NAT环境下,身份认证方式必须采用预共享密钥方式中的自定义标识方式,或者是数字签名方式,不可以采用预共享密钥的地址标识方式。【实验步骤】第一步:准备好PC1和PC2后,先在PC1和PC2上安装VPN管理软件(见随机附带的光盘)第二步:搭建图示实验拓扑,然后配置PC1、PC2、VPN设备A、VPN设备B、route的IP及必要路由,路由器上要配置NAT。IP地址配置如下:VPN设备A的eht1口地址:192.168.1.1VPN设备A的eth0口地址:10.1.1.1PC1的IP地址:192.1
6、68.1.2PC1的网关地址:192.168.1.1VPN设备B的eth1口地址:192.168.2.1VPN设备B的eth0口地址:10.1.2.1PC2的IP地址:192.168.2.2PC2的网关地址:192.168.2.1Route的F0/0地址:10.1.1.2Route的F0/1地址:10.1.2.2注意:PC机及路由器的详细配置这里省略,请参考相关操作手册。RG-WALLV50设备接口标识为“WAN”口,对应系统内部显示为“eth1”的接口;接口标识为“LAN”口,对应系统内部显示为“et
7、h0”的接口。环境中有NAT,需要指出那个设备是NAT设备,并且配置了怎样的NAT规则。1、VPN设备A接口及缺省路由配置如下:1)通过PC1的超级终端,在命令行下配置VPN设备A的eth1口地址,操作如下:注意:锐捷VPN出厂时eth1口默认地址即为192.168.1.1,因此你可以先查看接口配置,如果的确是如此则可以免去该配置步骤。2)通过PC1上的VPN管理软件登录VPN设备A,然后配置eth0口地址,操作如下:直接双击eht0接口图标设置eth0口地址:缺省路由直接在外出接口处配置2、VPN设备
8、B接口及缺省路由配置如下:1)通过PC2的超级终端,在命令行下配置VPN设备B的eth1口地址,操作如下:2)通过PC2上的VPN管理软件登录VPN设备B,然后配置eth0口地址,操作如下:需要设置那个接口就双击该接口的图标设置eth0口地址:缺省路由直接在外出接口处配置验证测试:PC1可以Ping通VPN设备A的eth1口;VPN设备A可Ping通VPN设备B(反之亦可);PC2可以Ping通VPN设备B的eth1口。第三步:配置IPSe
此文档下载收益归作者所有