远程访问VPN配置与验证实验：构建安全的远程连接

远程访问VPN配置与验证实验：构建安全的远程连接

【实验目的】

1. 理解远程访问 VPN的含义。
2. 掌握远程访问 VPN的含义。
3. 掌握VPN Client软件的使用。
4. 验证配置。

【实验拓扑】

实验拓扑如下图所示。

实验拓扑

设备参数表如下表所示。

设备参数表

设备

|

接口

|

IP地址

|

子网掩码

|

默认网关

—|—|—|—|—

R1

|

s0/1/0

|

69.1.0.1

|

255.255.255.0

|

N/A

g0/0/0

|

192.168.1.1

|

255.255.255.0

|

N/A

Internet

|

s0/1/0

|

69.1.0.2

|

255.255.255.0

|

N/A

S0/1/0

|

201.106.208.1

|

255.255.255.0

|

N/A

R2

|

s0/1/0

|

201.106.208.2

|

255.255.255.0

|

N/A

g0/0/0

|

192.168.2.1

|

255.255.255.0

|

N/A

PC1

|

g0/0/0

|

192.168.1.100

|

255.255.255.0

|

192.168.1.1

PC2

|

g0/0/0

|

192.168.2.100

|

255.255.255.0

|

192.168.2.1

【实验内容】

1.IP地址与路由配置

//R1

enable

conf t

hostname R1

interface g0/0/0

ip address 192.168.1.1 255.255.255.0

no shutdown

exit

interface s0/1/0

ip address 69.1.0.1 255.255.255.0

no shutdown

exit

//Internet

enable
conf t
hostname Internet
interface s0/1/0
ip address 69.1.0.2 255.255.255.0
no shutdown
interface s0/1/1
ip add 201.106.208.1 255.255.255.0
no shutdown
exit

//R2

enable

conf t

hostname R2

interface s0/1/0

ip address 201.106.208.2 255.255.255.0

no shutdown

exit

interface g0/0/0

ip add 192.168.2.1 255.255.255.0

no shutdown

exit

2.IP地址与路由配置

在路由器R1、R2上配置IP地址，测试各直连链路的连通性，并配置如下路由：

//R1

ip route 0.0.0.0 0.0.0.0 s0/1/0

//R2

ip route 0.0.0.0 0.0.0.0 s0/1/0

外网出口路由器通常会使用NAT，R1的模拟配置如下：

interface s0/1/0

ip nat outside

int g0/0/0

ip nat inside

exit

access-list 10 permit 192.168.1.0 0.0.0.255

ip nat inside source list 10 interface s0/1/0 overload

测试从R1能否ping通R2的公网接口。在PC上配置IP地址和网关，测试能否ping通VPN网关路由器R2（201.106.208.2）。

3.在路由器R2上配置远程访问VPN

(1)R2的配置VPN的脚本

//R2
crypto isakmp enable
// 启用ISAKMP，用于安全密钥交换和建立VPN隧道
crypto isakmp policy 10
// 设置ISAKMP策略编号为10
encryption 3des
// 使用3DES算法进行数据加密
authentication pre-share
// 使用预共享密钥进行身份验证
hash sha
// 使用SHA算法进行数据完整性校验
group 2
// 设定Diffie-Hellman群组为2，用于密钥交换
exit

// 以下是设置推送到客户端的组策略：

ip local pool REMOTE-POOL 192.168.3.1 192.168.3.250
// 配置本地IP地址池，用于为远程客户端分配IP地址范围
ip access-list extended EXVPN
// 创建扩展访问列表EXVPN
permit ip 192.168.2.0 0.0.0.255 any
// 允许192.168.2.0/24网段与任意目的地进行通信
permit ip 192.168.3.0 0.0.0.255 any
// 允许192.168.3.0/24网段与任意目的地进行通信
exit

crypto isakmp client configuration group VPN-REMOTE-ACCESS
// 配置VPN客户端组VPN-REMOTE-ACCESS
key MYVPNKEY
// 设置预共享密钥为MYVPNKEY
pool REMOTE-POOL
// 指定分配给VPN客户端的IP地址池为REMOTE-POOL
save-password
// 允许客户端保存密码
acl EZVPN
// 创建访问控制列表EZVPN
exit

aaa new-model
// 启用AAA（认证、授权、会计）模型
aaa authorization network VPN-REMOTE-ACCESS local
// 配置本地用户进行VPN-REMOTE-ACCESS网络授权
crypto map CLIENTMAP isakmp authorization list VPN-REMOTE-ACCESS
// 将ISAKMP授权列表设置为VPN-REMOTE-ACCESS
crypto map CLIENTMAP client configuration address respond
// 配置响应客户端请求时使用动态分配的地址
crypto isakmp keepalive 60
// 配置ISAKMP保持活动状态的时间间隔为60秒
crypto ipsec transform-set VPNTRANSFORM esp-3des esp-sha-hmac
// 创建IPsec转换集VPNTRANSFORM，指定加密算法和哈希算法
crypto dynamic-map DYNMAP 10
// 创建动态加密映射DYNMAP，优先级为10
set transform-set VPNTRANSFORM
// 将转换集设置为VPNTRANSFORM
reverse-route
// 允许根据IPsec流量自动添加逆向路由
exit

crypto map CLIENTMAP 65535 ipsec-isakmp dynamic DYNMAP
// 创建加密映射CLIENTMAP，并将其与ISAKMP和动态映射关联

aaa authentication login VPNUSERS local
// 配置本地用户进行VPN用户身份验证
username vpnuser secret cisco
// 创建用户名为vpnuser，密码为cisco的用户
crypto map CLIENTMAP client authentication list VPNUSERS
// 将客户端身份验证列表设置为VPNUSERS
crypto isakmp xauth timeout 20
// 配置ISAKMP的XAuth身份验证超时时间为20秒
interface s0/1/0
// 进入接口s0/1/0的配置模式
crypto map CLIENTMAP
// 将加密映射CLIENTMAP应用于接口
exit

4.实验验证

（1）PC进行VPN连接

//PC1

如果配置正确并连接成功，在客户机CMD中使用“ipconfig”命令可以看到获取了一个之前配置的地址池中的IP地址，结果如下：

通过ping对端局域网IP，验证两局域网之间是否可以进行通信。

(2)检查路由表

在VPN网关路由器上也多出了一条指向客户端的主机路由，路由表如下：

R2#show ip route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area

• • candidate default, U - per-user static route, o - ODR

P - periodic downloaded static route

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks

C 192.168.2.0/24 is directly connected, GigabitEthernet0/0/0

L 192.168.2.1/32 is directly connected, GigabitEthernet0/0/0

192.168.3.0/32 is subnetted, 2 subnets

S 192.168.3.1/32 [1/0] via 69.1.0.1

S 192.168.3.2/32 [1/0] via 69.1.0.1

209.106.208.0/24 is variably subnetted, 2 subnets, 2 masks

C 209.106.208.0/24 is directly connected, Serial0/1/0

L 209.106.208.2/32 is directly connected, Serial0/1/0

S* 0.0.0.0/0 is directly connected, Serial0/1/0

R2#

【知识点】

• VPN（Virtual Private Network）的概念和含义：了解VPN的作用和原理，以及在实验中实现远程访问的目的。
• IP地址和子网掩码的配置：学习如何给网络设备配置IP地址和子网掩码，以便实现网络的连通性。
• 路由配置和默认路由：了解如何配置路由表，包括设置默认路由，以确保网络流量能够正确转发。
• 网络地址转换（NAT）：学习如何配置NAT，实现内部网络和外部网络之间的通信。
• 加密协议和策略配置：了解加密协议（如3DES）、认证方式和哈希算法的选择，以及如何配置加密策略。
• AAA（Authentication, Authorization, and Accounting）的基本概念和配置：了解AAA的作用，并学习如何配置用户认证和授权。
• 动态加密映射和映射到特定接口：学习如何创建动态加密映射并将其应用到特定的接口，以实现VPN的功能。

【收获】

• 对VPN的理解和实现能力的提升：通过实验，能够加深对VPN的概念、原理和配置的理解，掌握远程访问VPN的方法和步骤。
• 网络配置和路由的实践经验：通过配置IP地址、子网掩码、路由表等，加强对网络设备和网络连通性的理解，并获得相关的实践经验。
• 安全性和加密相关知识的学习：通过配置加密协议、认证方式和哈希算法等，了解网络安全的重要性，并学习如何保护数据传输的安全性。
• AAA的应用和用户认证授权的实践：通过配置AAA相关设置，学习如何实现用户认证和授权，加深对网络安全管理的认识。
• 实验操作和故障排除的技能提升：通过实验配置和验证的过程，提升网络设备的操作技能，同时在遇到问题时，学习故障排除的方法和技巧。
• 这些知识点和收获将有助于学习者深入理解网络连接和安全性的概念，提升对网络设备配置和故障排除的技能，并为未来在网络领域的学习和工作奠定坚实的基础。

每一次实验都是你追寻知识的航程，每一步都会让你更接近网络技术的巅峰。继续前进，你将获得属于你的辉煌。

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。