日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網營銷解決方案
應用實例:VPN技術配置及相關路由配置

應用實例:VPN技術配置及相關路由配置,寬帶普及以后,經常面臨VPN技術配置的問題。所以,今天我準備向大家介紹VPN技術配置技巧,希望本文能教會你更多東西,為大家的生活帶來方便。

創(chuàng)新互聯(lián)公司是一家專注于網站設計、成都網站設計與策劃設計,沅江網站建設哪家好?創(chuàng)新互聯(lián)公司做網站,專注于網站建設十年,網設計領域的專業(yè)建站公司;建站業(yè)務涵蓋:沅江等地區(qū)。沅江做網站價格咨詢:13518219792

VPN技術配置是企業(yè)實現(xiàn)安全遠程互聯(lián)的有效方法。本文根據(jù)一個應用實例,具體描述VPN技術配置的配置和實施過程。其主要應用特點包括:基于封裝安全負載標準ESP-DES(Encapsulating Securiry Payload - Data Encryption Standard)的IPSec;專有網絡通過端口地址轉換(PAT)技術訪問Internet。

一、 網絡基本情況

該單位公司總部在北京,全國有3個分支機構。要求做到在4個地點的數(shù)據(jù)能夠實時查詢,便于業(yè)務員根據(jù)具體情況作出正確決策。早期方案是使用路由器,通過速率為256Kbps的DDN專網連接北京總部。

但技術人員通過市場調研,發(fā)現(xiàn)該網絡運營成本過高。通過進一步的咨詢和調整,最終方案是分支機構使用DDN在本地接入Internet,總部使用以太網就近接入Internet。并對互聯(lián)的路由器進行配置,使用VPN技術配置,保證內部數(shù)據(jù)通過Internet安全傳輸。

二、配置過程及測試步驟

在實施配置前,需要檢查硬件和軟件是否支持VPN技術配置。對于Cisco路由器,要求IOS版本高于12.0.6(5)T,且?guī)PSec功能。本配置在Cisco路由器上配置通過。以下是分支網絡1的路由器實際配置過程,其他路由器的配置方法與此基本一致,只需修改具體的環(huán)境參數(shù)(IP地址和接口名稱)即可。以下黑體字為輸入部分,< Enter >為鍵盤對應鍵,^Z為Ctrl+Z組合鍵。

VPN技術配置配置路由器的基本參數(shù),并測試網絡的連通性

◆進入路由器配置模式:將計算機串口與路由器console口連接,并按照路由器說明書配置"終端仿真"程序。執(zhí)行下述命令進入配置模式。

Router>en

Router#config terminal

Router(config)#

◆配置路由器的基本安全參數(shù):主要是設置特權口令、遠程訪問口令和路由器名稱,方便遠程調試。

Router(config)#enable secret xxxxxxx

Router(config)#line vty 0 4

Router(config-line)#password xxxxxx

Router(config-line)#exit

Router(config)#hostname huadong

huadong(config)#

◆配置路由器的以太網接口,并測試與本地計算機的連通性,注意: 配置前,請將線纜與相關設備連接好。其中ethernet0/0端口接內部網絡,serial0/0端口接外部網絡。外部網絡接口地址由ISP分配,至少一個地址,多者不限。以下假定為一個,使用PAT模式,地址為210.75.32.9,上級路由器為210.75.32.10。內部網絡地址如附圖所標示。關鍵是配置IP地址和啟用以太網接口。測試時,使用基本的測試命令ping。#p#

huadong(config)#inter eth0/0

huadong(config-if)#ip address 172.17.1.1 255.255.255.0

huadong(config-if)#no shutdown

以下是VPN技術配置測試命令:

huadong#ping 172.17.1.1

!!!!!

huadong#ping 172.17.1.100

!!!!!

在IP地址為172.17.1.100的計算機上:

c:>ping 172.17.1.1

Pinging 172.17.1.1 with 32 bytes of data:

Reply from 172.17.1.1: bytes=32 time=5ms TTL=255

……

結果證明連接及配置正確。

◆VPN技術配置配置路由器的串口,并測試與上級路由器的連通性,與以太網口的配置方法類似,而且需要指定帶寬和包的封裝形式。同時,注意將Cisco設備特有的CDP協(xié)議關掉,保證基本的安全。

huadong(config)#inter serial0/0

huadong(config-if)#ip address 210.75.32.9 255.255.255.252

huadong(config-if)#bandwidth 256

huadong(config-if)#encapsulation ppp

huadong(config-if)#no cdp enable

huadong(config-if)#no shutdown

以下是測試命令:

huadong#ping 210.75.32.9

……

!!!!!

……

huadong#ping 210.75.32.10

……

!!!!!

……

結果證明連接及配置正確。

配置路由器NAT網絡

◆配置外出路由并測試,主要是配置缺省路由。

huadong(config)#ip route 0.0.0.0 0.0.0.0 210.75.32.9

huadong#ping 211.100.15.36

……

!!!!!

……

結果證明本路由器可以通過ISP訪問Internet。

◆配置PAT,使內部網絡計算機可以訪問外部網絡,但不能訪問總部和分支機構。主要是基于安全目的,不希望內部網絡被外部網絡所了解,而使用地址轉換(NAT)技術。同時,為了節(jié)約費用,只租用一個IP地址(路由器使用)。所以,需要使用PAT技術。使用NAT技術的關鍵是指定內外端口和訪問控制列表。在訪問控制列表中,需要將對其他內部網絡的訪問請求包廢棄,保證對其他內部網絡的訪問是通過IPSec來實現(xiàn)的。

huadong(config)#inter eth0/0

huadong(config-if)#ip nat inside

huadong(config-if)#inter serial0/0

huadong(config-if)#ip nat outside

huadong(config-if)#exit

以上命令的作用是指定內外端口。

huadong(config)#route-map abc permit 10

huadong(config-route-map)#match ip address 150

huadong(config-route-map)#exit

以上命令的作用是指定對外訪問的規(guī)則名。

huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.16.0.0 0.0.255.255

huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.17.2.0 0.0.0.255

huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.17.3.0 0.0.0.255

huadong(config)#access-list 150 permit ip 172.17.1.0 0.0.0.255 any

以上命令的作用是指定對外訪問的規(guī)則內容。例如,禁止利用NAT對其他內部網絡直接訪問(當然,專用地址本來也不能在Internet上使用),和允許內部計算機利用NAT技術訪問Internet(與IPSec無關)。

huadong(config)#ip nat inside source route-map abc interface serial0/0 overload

上述命令的作用是聲明使用串口的注冊IP地址,在數(shù)據(jù)包遵守對外訪問的規(guī)則的情況下,使用PAT技術。下是測試命令,通過該命令,可以判斷配置是否有根本的錯誤。例如,在命令的輸出中,說明了內部接口和外部接口。并注意檢查輸出與實際要求是否相符。

huadong#show ip nat stat

Total active translations: 0 (0 static, 0 dynamic; 0 extended)

Outside interfaces:

Serial0/0

Inside interfaces:

Ethernet0/0

……

在IP地址為172.17.1.100的計算機上,執(zhí)行必要的測試工作,以驗證內部計算機可以通過PAT訪問Internet。

c:>ping 210.75.32.10

……

Reply from 210.75.32.10: bytes=32 time=1ms TTL=255

……

c:>ping

……

Reply from 211.100.15.36: bytes=32 time=769ms TTL=248

……

此時,在路由器上,可以通過命令觀察PAT的實際運行情況,再次驗證PAT配置正確。

huadong#show ip nat tran

Pro Inside global Inside local Outside local Outside global

icmp 210.75.32.9:1975 172.17.1.100:1975 210.75.32.10:1975 210.75.12.10:1975

……

以上測試過程說明,NAT配置正確。內部計算機可以通過安全的途徑訪問Internet。當然,如果業(yè)務要求,不允許所有的內部員工/計算機,或只允許部分內部計算機訪問Internet,那么,只需要適當修改上述配置命令,即可實現(xiàn)。#p#

配置ESP-DES IPSec并測試

以下配置是配置VPN技術配置的關鍵。首先,VPN技術配置隧道只能限于內部地址使用。如果有更多的內部網絡,可在此添加相應的命令。

huadong(config)#access-list 105 permit ip 172.17.1.0 0.0.0.255 172.16.0.0 0.0.255.255

huadong(config)#access-list 106 permit ip 172.17.1.0 0.0.0.255 172.17.2.0 0.0.0.255

huadong(config)#access-list 107 permit ip 172.17.1.0 0.0.0.255 172.17.3.0 0.0.0.255

指定VPN技術配置在建立連接時協(xié)商IKE使用的策略。方案中使用sha加密算法,也可以使用md5算法。在IKE協(xié)商過程中使用預定義的碼字。

huadong(config)#crypto isakmp policy 10

huadong(config-isakmp)#hash sha

huadong(config-isakmp)#authentication pre-share

huadong(config-isakmp)#exit

針對每個VPN技術配置路由器,指定預定義的碼字。可以一樣,也可以不一樣。但為了簡明起見,建議使用一致的碼字。

huadong(config)#crypto isakmp key abc2001 address 211.157.243.130

huadong(config)#crypto isakmp key abc2001 address 202.96.209.165

huadong(config)#crypto isakmp key abc2001 address 192.18.97.241

為每個VPN技術配置(到不同的路由器,建立不同的隧道)制定具體的策略,并對屬于本策略的數(shù)據(jù)包實施保護。本方案包括3個VPN技術配置隧道。需要制定3個相應的入口策略(下面只給出1個)。

huadong(config)#crypto map abc 20 ipsec-isakmp

huadong(config-crypto-map)#set peer 211.157.243.130

huadong(config-crypto-map)#set transform-set abc-des

huadong(config-crypto-map)#match address 105

huadong(config-crypto-map)#exit

使用路由器的外部接口作為所有VPN技術配置入口策略的發(fā)起方。與對方的路由器建立IPSec。

huadong(config)#crypto map abc local-address serial0

IPSec使用ESP-DES算法(56位加密),并帶SHA驗證算法。

huadong(config)#crypto ipsec transform-set abc-des esp-des esp-sha-hmac

指明串口使用上述已經定義的策略。

huadong(config)#inter serial0/0

huadong(config-if)#crypto map abc

在IP地址為172.17.1.100的計算機上驗證:

c:>ping 172.16.1.100

……

Reply from 172.16.1.100: bytes=32 time=17ms TTL=255

……

huadong#show crypto engine conn acti

ID Interface IP-Address State Algorithm Encrypt Decrypt

1 < none > < none > set HMAC_SHA+DES_56_CB 0 0

2000 Serial0/0 210.75.32.9 set HMAC_SHA+DES_56_CB 0 452

2001 Serial0/0 210.75.32.9 set HMAC_SHA+DES_56_CB 694 0

同時,這種連接使用了IPSec,而沒有使用NAT技術。

三、VPN技術配置測試

將所有路由器按照上述過程,根據(jù)具體的環(huán)境參數(shù),做必要修改后,完成VPN技術配置的配置。網絡部分任務完成,可以順利開展業(yè)務應用了。如果需要,路由器本身提供更詳細的調試命令:

debug crypto engine connections active

debug crypto isakmp sa

debug crypto ipsec sa

在調試時,需要注意,在對應路由器上也執(zhí)行相應的調試命令。然后,在一臺客戶機(172.17.1.100)上執(zhí)行如下命令:

c:>ping 172.16.1.100 -n 1

最后,對比2個路由器的輸出,觀察出現(xiàn)問題的提示--這是隧道不能建立的主要原因。針對此提示,做必要的修改工作,便可圓滿完成VPN技術配置的配置計劃。在實際中,該方案完全滿足用戶需求,并充分驗證了VPN技術配置的可用性和實用性。至今運行正常,用戶非常滿意。


新聞名稱:應用實例:VPN技術配置及相關路由配置
標題URL:http://m.5511xx.com/article/codcopc.html