數(shù)據(jù)網(wǎng)組建與維護 課件 項目9 異地互聯(lián)組建VPN

項目9

異地互聯(lián)組建VPN用微課學?數(shù)據(jù)網(wǎng)組建與維護—基于華為eNSP（工作手冊式）2項目9異地互聯(lián)組建VPN

項目描述：某企業(yè)有位于兩地的總公司和分公司兩個機構(gòu)，分別構(gòu)建了本地局域網(wǎng)，路由器ZGS_AR_01和FGS_AR_01為本地局域網(wǎng)的出口路由器，企業(yè)網(wǎng)終端連接行政部、研發(fā)部和生產(chǎn)部等部門，網(wǎng)絡(luò)拓撲如圖9-1所示，網(wǎng)絡(luò)功能需要滿足以下需求。1）各個部門單獨劃分子網(wǎng)。2）總公司和分公司局域網(wǎng)通過IPSec隧道構(gòu)建VPN，采用較低的成本，實現(xiàn)異地網(wǎng)絡(luò)數(shù)據(jù)安全互通。圖9-1企業(yè)VPN網(wǎng)絡(luò)拓撲

任務(wù)1GRE隧道實現(xiàn)虛擬專用網(wǎng)9.1.1虛擬專用網(wǎng)

9.1.2GRE隧道VPN的原理與配置任務(wù)2增強VPN網(wǎng)絡(luò)安全9.2.1IPSecVPN技術(shù)原理

9.2.2IPSecVPN配置

主要內(nèi)容任務(wù)1GRE隧道實現(xiàn)虛擬專用網(wǎng)5知識目標：正確描述VPN的應(yīng)用場景、優(yōu)點和分類。正確描述GREVPN的特點?？擅枋鯣RE封裝和解封裝報文的過程。

正確判斷GRE隧道的源地址和目的地址。技能目標：能配置GRE隧道實現(xiàn)VPN的網(wǎng)絡(luò)互聯(lián)。能使用抓包工具分析GER數(shù)據(jù)包。素養(yǎng)目標：提高網(wǎng)絡(luò)安全的意識。具備嚴謹細致、精益求精的網(wǎng)絡(luò)工匠精神。任務(wù)1

GRE隧道實現(xiàn)虛擬專用網(wǎng)學習目標6本任務(wù)通過學習VPN的概念、優(yōu)點和分類，學習GREVPN的應(yīng)用、報文封裝和配置案例，帶領(lǐng)大家掌握GRE隧道實現(xiàn)VPN的網(wǎng)絡(luò)互聯(lián)的方法。任務(wù)分析任務(wù)1

GRE隧道實現(xiàn)虛擬專用網(wǎng)

任務(wù)1GRE隧道實現(xiàn)虛擬專用網(wǎng)9.1.1虛擬專用網(wǎng)

9.1.2GRE隧道VPN的原理與配置任務(wù)2增強VPN網(wǎng)絡(luò)安全9.2.1IPSecVPN技術(shù)原理

9.2.2IPSecVPN配置

主要內(nèi)容8

9.1.1虛擬專用網(wǎng)虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）技術(shù)是指在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。所謂虛擬是相對物理上端到端的專有連接而言的，其僅在用戶通信時才在公共互聯(lián)網(wǎng)（如Internet）的基礎(chǔ)設(shè)施上臨時創(chuàng)建邏輯通道進行連接；所謂專用是相對共用而言的，是邏輯上專用，而非物理上的專用。1、VPN的概念9

9.1.1虛擬專用網(wǎng)2、VPN的優(yōu)點VPN和傳統(tǒng)的公網(wǎng)Internet相比具有如下優(yōu)勢：1）安全：在遠端用戶、駐外機構(gòu)、合作伙伴、供應(yīng)商與公司總部之間建立可靠的連接，保證數(shù)據(jù)傳輸?shù)陌踩?。這對于實現(xiàn)電子商務(wù)或金融網(wǎng)絡(luò)與通訊網(wǎng)絡(luò)的融合特別重要。2）成本低：利用公共網(wǎng)絡(luò)進行信息通訊，企業(yè)可以用更低的成本連接遠程辦事機構(gòu)、出差人員和業(yè)務(wù)伙伴。3）支持移動業(yè)務(wù)：支持出差VPN用戶在任何時間、任何地點的移動接入，能夠滿足不斷增長的移動業(yè)務(wù)需求。4）可擴展性：由于VPN為邏輯上的網(wǎng)絡(luò)，物理網(wǎng)絡(luò)中增加或修改節(jié)點，不影響VPN的部署。10

9.1.1虛擬專用網(wǎng)3、VPN的分類圖9-3租用運營商VPN專線若根據(jù)VPN建設(shè)單位不同可以劃分為以下兩種類型。1）租用運營商VPN專線：

運營商的專線網(wǎng)絡(luò)大多數(shù)都是使用的MPLSVPN。企業(yè)通過購買運營商提供的VPN專線服務(wù)實現(xiàn)總部和分部間的通信需求。11

9.1.1虛擬專用網(wǎng)圖9-4

企業(yè)自建VPN網(wǎng)絡(luò)2）企業(yè)自建VPN網(wǎng)絡(luò)：

企業(yè)自己基于Internet自建VPN網(wǎng)絡(luò)，常見的如IPsecVPN、GREVPN等。企業(yè)自己購買VPN網(wǎng)絡(luò)設(shè)備，搭建自己的VPN網(wǎng)絡(luò)，實現(xiàn)總部和分部的通信，或者是滿足出差員工和總部的通信。12任務(wù)訓練1.說一說，VPN的應(yīng)用場景是什么？2.VPN的優(yōu)點有哪些？3.企業(yè)自建VPN網(wǎng)絡(luò)會采用哪些方案？

9.1.1虛擬專用網(wǎng)

任務(wù)1GRE隧道實現(xiàn)虛擬專用網(wǎng)9.1.1虛擬專用網(wǎng)

9.1.2GRE隧道VPN的原理與配置任務(wù)2增強VPN網(wǎng)絡(luò)安全9.2.1IPSecVPN技術(shù)原理

9.2.2IPSecVPN配置

主要內(nèi)容14GREVPN（GenericRoutingEncapsulation）即通用路由封裝協(xié)議，采用隧道技術(shù)對某些網(wǎng)絡(luò)層協(xié)議（如IP和IPX）的數(shù)據(jù)報進行封裝，使這些被封裝的數(shù)據(jù)報能夠在另一個網(wǎng)絡(luò)層協(xié)議（如IP）中傳輸。GRE解決了跨越異種網(wǎng)絡(luò)的報文傳輸問題。1.GREVPN的概念9.1.2GRE隧道VPN的原理與配置圖9-5GREVPN的應(yīng)用場景15GRE封裝報文時，封裝前的報文稱為凈荷，封裝前的報文協(xié)議稱為乘客協(xié)議，然后先封裝GRE頭部，GRE成為封裝協(xié)議，也叫運載協(xié)議，最后負責對封裝后的報文進行轉(zhuǎn)發(fā)的協(xié)議稱為傳輸協(xié)議。2.GRE報文封裝9.1.2GRE隧道VPN的原理與配置圖9-6GRE報文結(jié)構(gòu)16企業(yè)有北京總部和廣州分支這兩個局域網(wǎng)通過Internet連接，路由器R1和R3是兩個局域網(wǎng)的出口路由器，路由器R2是互聯(lián)網(wǎng)中的路由器。現(xiàn)需要在路由器R1和R3之間建立一條GRE隧道穿越公網(wǎng)搭建VPN。3.GREVPN案例9.1.2GRE隧道VPN的原理與配置圖9-7GREVPN的網(wǎng)絡(luò)拓撲17操作步驟：（1）R1的上創(chuàng)建到廣州網(wǎng)絡(luò)的GRE隧道接口[R1]interfaceTunnel0/0/1--指定隧道接口編號[R1-Tunnel0/0/1]tunnel-protocolgre--隧道使用GRE協(xié)議[R1-Tunnel0/0/1]ipaddress172.16.20.124--指定隧道接口的地址[R1-Tunnel0/0/1]source30.0.0.1--指定隧道的起點（源地址）[R1-Tunnel0/0/1]destination30.0.0.9--指定隧道的終點（目的地址）（2）R3的上創(chuàng)建到北京網(wǎng)絡(luò)的GRE隧道接口[R3]interfacetunnel0/0/1--指定隧道接口編號[R3-Tunnel0/0/1]tunnel-protocolgre--隧道使用GRE協(xié)議[R3-Tunnel0/0/1]ipaddress172.16.20.224--指定隧道接口的地址[R3-Tunnel0/0/1]source30.0.0.9--指定隧道的起點（源地址）[R3-Tunnel0/0/1]destination30.0.0.1--指定隧道的終點（目的地址）[R3-Tunnel0/0/1]quit（3）R1的上的接口IP和路由配置[R1]interfacegigabitethernet0/0/0[R1-GigabitEthernet0/0/0]ipaddress30.0.0.130[R1-GigabitEthernet0/0/0]interfaceethernet0/0/0[R1-Ethernet0/0/0]ipaddress172.16.1.124[R1-Ethernet0/0/0]quit[R1]iproute-static0.0.0.0030.0.0.2--配置到互聯(lián)網(wǎng)的靜態(tài)路由[R1]iproute-static172.16.2.024172.16.20.2--添加到廣州網(wǎng)絡(luò)的靜態(tài)路由，數(shù)據(jù)走GRE隧道9.1.2GRE隧道VPN的原理與配置（4）R2的上的接口IP配置[R2]interfacegigabitethernet0/0/0[R2-GigabitEthernet0/0/0]ipaddress30.0.0.230[R2-GigabitEthernet0/0/0]interfacegigabitethernet0/0/1[R2-GigabitEthernet0/0/1]ipaddress30.0.0.1030（5）R3的上的接口IP和路由配置[R3]interfacegigabitethernet0/0/0[R3-GigabitEthernet0/0/0]ipaddress30.0.0.930[R3-GigabitEthernet0/0/0]interfaceethernet0/0/0[R3-Ethernet0/0/0]ipaddress172.16.2.124[R3-Ethernet0/0/0]quit[R3]iproute-static0.0.0.02430.0.0.10--配置到互聯(lián)網(wǎng)的靜態(tài)路由[R3]iproute-static172.16.1.024172.16.20.1--配置添加到北京網(wǎng)絡(luò)的路由，數(shù)據(jù)走GRE隧道18（6）測試。

用PC1去pingPC2，可以ping通。再抓包分析GRE隧道中的數(shù)據(jù)包格式。選擇R2路由器，單擊“數(shù)據(jù)抓包”，再單擊“GE0/0/0”接口。開始抓包后，用PC1去pingPC2，觀察捕獲的數(shù)據(jù)包，查看GRE封裝，如下圖所示。9.1.2GRE隧道VPN的原理與配置19任務(wù)訓練按照圖9-9所示的拓撲，在路由器R1和R3上配置GRE隧道搭建VPN，讓PC1和PC2能夠互相訪問。圖9-9GREVPN應(yīng)用示例9.1.2GRE隧道VPN的原理與配置任務(wù)2

增強VPN網(wǎng)絡(luò)安全21知識目標：可說出IPSecVPN的應(yīng)用場景?？擅枋鯥PSecVPN兩種封裝模式的應(yīng)用。可歸納GREoverIPSec的配置步驟。技能目標：能熟練配置隧道模式的IPSecVPN。能熟練配置GREoverIPSec實現(xiàn)數(shù)據(jù)安全傳輸。會抓包分析IPSecVPN數(shù)據(jù)包。素養(yǎng)目標：提高網(wǎng)絡(luò)安全的意識。具備嚴謹細致、精益求精的網(wǎng)絡(luò)工匠精神。任務(wù)2增強VPN網(wǎng)絡(luò)安全學習目標22本任務(wù)通過學習IPSecVPN的概念、架構(gòu)、封裝模式和配置案例，帶領(lǐng)大家掌握隧道模式IPSecVPN和GREoverIPSec的配置，能靈活應(yīng)用IPSecVPN解決實際應(yīng)用問題。任務(wù)分析任務(wù)2增強VPN網(wǎng)絡(luò)安全

任務(wù)1GRE隧道實現(xiàn)虛擬專用網(wǎng)9.1.1虛擬專用網(wǎng)

9.1.2GRE隧道VPN的原理與配置任務(wù)2增強VPN網(wǎng)絡(luò)安全9.2.1IPSecVPN技術(shù)原理

9.2.2IPSecVPN配置

主要內(nèi)容24

IPSec是IETF定義的一個框架。通信雙方在IP層通過加密、完整性校驗、數(shù)據(jù)源認證等方式，保證了IP數(shù)據(jù)報文在網(wǎng)絡(luò)上傳輸?shù)臋C密性、完整性和防重放。機密性（Confidentiality）指對數(shù)據(jù)進行加密保護，用密文的形式傳送數(shù)據(jù)。完整性（Dataintegrity）指對接收的數(shù)據(jù)進行認證，以判定報文是否被篡改。防重放（Anti-replay）指防止惡意用戶通過重復發(fā)送捕獲到的數(shù)據(jù)包所進行的攻擊，即接收方會拒絕舊的或重復的數(shù)據(jù)包。1.IPSecVPN的概念9.2.1IPSecVPN技術(shù)原理圖9-10IPsecVPN應(yīng)用場景25IPSec框架由各種協(xié)議組和協(xié)商而成。該框架涉及到的主要有加密算法、驗證算法、封裝協(xié)議、封裝模式、密鑰有效期等。IPSec通過AH和ESP這兩個安全協(xié)議來實現(xiàn)IP數(shù)據(jù)報的安全傳送、通過IKE協(xié)議提供密鑰協(xié)商，建立和維護安全聯(lián)盟SA等服務(wù)。2.IPSecVPN的架構(gòu)9.2.1IPSecVPN技術(shù)原理圖9-11IPsec架構(gòu)26

（1）傳輸模式

傳輸模式（TransportMode）是IPSec的默認模式，又稱端到端（End-to-End）模式，它只適用于PC到PC的場景。3.IPSecVPN的兩種封裝模式9.2.1IPSecVPN技術(shù)原理圖9-12IPsec傳輸模式示意圖

在傳輸模式下，AH或ESP報頭位于IP報頭和傳輸層報頭之間。

特點：IP包頭沒有包裝，只是傳輸?shù)膶嶋H數(shù)據(jù)載荷包裝在VPN報文中。因此，攻擊者在截獲數(shù)據(jù)后無法破解數(shù)據(jù)內(nèi)容，但可以清楚地了解通信雙方的地址信息。27

（2）隧道模式

隧道模式（TunnelMode）使用在兩臺路由器（網(wǎng)關(guān)）之間，站點到站點（Site-to-Site）的通信。參與通信的兩個路由器為本地網(wǎng)絡(luò)提供安全通信服務(wù)，用于總公司和分公司跨廣域網(wǎng)通信、移動用戶訪問公司內(nèi)部資源等多種情況VPN加密數(shù)據(jù)傳輸。3.IPSecVPN的兩種封裝模式9.2.1IPSecVPN技術(shù)原理圖9-13IPsec隧道模式示意圖

在隧道模式下，IPSec會另外生成一個新的IP報頭，并封裝在AH或ESP之前。

隧道模式為整個IP包提供保護，為IP協(xié)議本身而不只是上層協(xié)議提供安全保護，所以當攻擊者截獲數(shù)據(jù)時，他們不僅不能理解實際負載數(shù)據(jù)的內(nèi)容，還不能理解實際通信雙方的地址信息。28

GRE本身并不支持加密，因而通過GRE隧道傳輸?shù)牧髁渴遣患用艿?。將IPSec技術(shù)與GRE相結(jié)合，可以先建立GRE隧道對報文進行GRE封裝，然后再建立IPSec隧道對報文進行加密，以保證報文傳輸?shù)耐暾院退矫苄?，這種技術(shù)稱之為GREoverIPSec。4.GREoverIPSec9.2.1IPSecVPN技術(shù)原理圖9-14GREoverIPSec的應(yīng)用場景299.2.1IPSecVPN技術(shù)原理任務(wù)訓練1.簡述IPSecVPN的技術(shù)優(yōu)勢。2.說一說，IPSecVPN的兩種傳輸模式和應(yīng)用場景。3.描述一下GREoverIPSec應(yīng)用的場景。

任務(wù)1GRE隧道實現(xiàn)虛擬專用網(wǎng)9.1.1虛擬專用網(wǎng)

9.1.2GRE隧道VPN的原理與配置任務(wù)2增強VPN網(wǎng)絡(luò)安全9.2.1IPSecVPN技術(shù)原理

9.2.2IPSecVPN配置

主要內(nèi)容1）定義數(shù)據(jù)流。因為部分流量無需滿足完整性和機密性要求，所以需要對流量進行過濾，可以通過配置ACL來定義選擇出需要IPSec保護的數(shù)據(jù)量。2）配置IPSec安全提議。IPSec提議定義了保護數(shù)據(jù)流所用的安全協(xié)議、認證算法、加密算法和封裝模式。安全協(xié)議包括AH和ESP，兩者可以單獨使用或一起使用。AH支持MD5和SHA-1認證算法；ESP支持兩種認證算法（MD5和SHA-1）和三種加密算法（DES、3DES和AES）。3）創(chuàng)建IKE對等實體。指定用于自動協(xié)商所使用的密碼和隧道的終點地址。為了能夠正常傳輸數(shù)據(jù)流，安全隧道兩端的對等體必須使用相同的安全協(xié)議、認證算法、加密算法和封裝模式。4）配置IPSec安全策略。在IPSec策略中，會應(yīng)用前面IPSec提議中定義的安全協(xié)議、認證算法、加密算法和封裝模式。每一個IPSec安全策略都使用唯一的名稱和序號來標識。IPSec策略可分成manual和isakmp兩個模式，manual模式是指手工建立SA的策略，isakmp模式是指由IKE自動協(xié)商生成各參數(shù)。5）接口應(yīng)用IPSec安全策略。6）添加到遠程網(wǎng)絡(luò)的路由。311.IPSecVPN配置步驟：9.2.2IPSecVPN配置請在路由器AR1和AR2上配置IPSec隧道，使得北京和廣州的網(wǎng)絡(luò)能跨Internet通信。322.IPSecVPN配置案例9.2.2IPSecVPN配置圖9-15IPSecVPN網(wǎng)絡(luò)拓撲（1）3臺路由器上配置好接口IP（略）。（2）AR1上的IPSec配置。1）定義要保護的數(shù)據(jù)流[AR1]acl3000[AR1-acl-adv-3000]rulepermitipsource172.16.1.00.0.0.255destination172.16.2.00.0.0.255[AR1-acl-adv-3000]ruledenyip[AR1-acl-adv-3000]q2）確定安全提議[AR1]ipsecproposalpro1--創(chuàng)建安全提議，名為prol[AR1-ipsec-proposal-prol]espauthentication-algorithmsha1--指定ESP的身份驗證算法為SHA-1[AR1-ipsec-proposal-prol]espencryption-algorithmaes-128--指定ESP的數(shù)據(jù)加密算法為AES-128[AR1-ipsec-proposal-prol]q3）創(chuàng)建對等實體[AR1]ikepeertoguangzhouv1--創(chuàng)建對等實體名稱和版本[AR1-ike-peer-toguangzhou]pre-shared-keysimple111--預享秘鑰為111[AR1-ike-peer-toguangzhou]remote-address30.0.0.9--指定隧道的終點IP地址[AR1-ike-peer-toguangzhou]q33操作步驟：9.2.2IPSecVPN配置4）配置安全策略[AR1]ipsecpolicypolicy110isakmp--策略名為policy1，索引號為10，策略模式為isakmp[AR1-ipsec-policy-isakmp-policy1-10]ike-peertoguangzhou--指定IKE對等實體[AR1-ipsec-policy-isakmp-policy1-10]proposalpro1--指定安全提議[AR1-ipsec-policy-isakmp-policy1-10]securityacl3000--指定數(shù)據(jù)流[AR1-ipsec-policy-isakmp-policy1-10]q5）接口應(yīng)用安全策略[AR1]intg0/0/0[AR1-GigabitEthernet0/0/0]ipsecpolicypolicy1--安全策略應(yīng)用到接口上[AR1-GigabitEthernet0/0/0]q6）添加遠程路由[AR1]iproute-static30.0.0.83030.0.0.2[AR1]iproute-static172.16.2.02430.0.0.2---------注：只配置1條默認路由也可。路由AR2做類似的配置。349.2.2IPSecVPN配置（4）抓包測試。抓包分析IPSec隧道中的數(shù)據(jù)包格式。右擊ISP路由器，單擊“數(shù)據(jù)抓包”，再單擊“GE0/0/0”接口啟用抓包軟件，這時用PC2pingPC2，觀察捕獲的數(shù)據(jù)包，如下圖所示。查看到隧道中的數(shù)據(jù)包被封裝在安全載荷中，不能看到數(shù)據(jù)包的內(nèi)網(wǎng)地址信息。

在該案例中，創(chuàng)建好隧道接口，再將IPSec策略綁定到隧道接口，通過隧道的數(shù)據(jù)就是要保護的數(shù)據(jù)流，這樣就不需要使用ACL確定保護流了。353.GREoverIPSec配置案例9.2.2IPSecVPN配置圖9-17GREoverIPSec案例的網(wǎng)絡(luò)拓撲（1）AR1、AR2和ISP上配置物理接口的IP地址（略）。（2）AR1上的GREoverIPSec配置。1）配置GRETunnel接口[AR1]intTunnel0/0/0[AR1-Tunnel0/0/0]ipadd172.16.20.124[AR1-Tunnel0/0/0]tunnel-protocolipsec[AR1-Tunnel0/0/0]source30.0.0.1[AR1-Tunnel0/0/0]destination30.0.0.92）配置路由[AR1]iproute-static0.0.0.0030.0.0.2[AR1]iproute-static172.16.2.024172.16.20.23）確定IPSec安全提議[AR1]ipsecproposalprop[AR1-ipsec-proposal-prol]quit4）創(chuàng)建IKE對等實體[AR1]ikepeertoguangzhouv2[AR1-ike-peer-toguangzhou]peer-id-typeip[AR1-ike-peer-toguangzhou]pre-shared-keysimple111[AR1-ike-peer-toguangzhou]q5）配置IPSec安全策略[AR1]ipsecprofileprofile1[AR1-ipsec-policy-isakmp-policy1-10]ike-peertoguangzhou[AR1-ipsec-policy-isakmp-policy1-10]proposalprop[AR1-ipsec-policy-isakmp-policy1-10]q6）在Tunnel接口上應(yīng)用安全策略[AR1]intTunnel0/0/0[AR1-Tunnel0/0/0]ipsecprofileprofile1[AR1-Tunnel0/0/0]q36操作步驟：9.2.2IPSecVPN配置（3）AR2上的GREoverIPSec配置。1）配置GRETunnel接口[AR2]intTunnel0/0/0[AR2-Tunnel0/0/0]ipadd172.16.20.224[AR2-Tunnel0/0/0]tunnel-protocolipsec[AR2-Tunnel0/0/0]source30.0.0.9[AR2-Tunnel0/0/0]destination30.0.0.12