IPSec VPN之移动用户接入实验

已于 2024-08-26 20:20:10 修改
阅读量438 收藏 6
点赞数 5
分类专栏: 网络安全 文章标签: 网络
于 2024-08-12 10:02:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65150735/article/details/141122364
版权

实验背景

某公司/单位有出差人员,基于网络安全和访问便捷的需求,希望实现出差人员可以访

问到公司/单位内网,在公网之间传输数据进行加密

实验设备

Router三台(cisco)

VPC一台(模拟企业总部服务器)

Win 7 一台(模拟移动用户终端)

实验拓扑

实验步骤

Win 7

新建一个网络 net cloud0,临时将主机直接与网络 net cloud0 互联,完成从物理主

机复制工具文件(cisco vpn client)到 Win 7 主机

开机后,Win 7主机开启远程桌面服务,且查看主机自动获得的ip地址:

物理主机启动ftp-server

Win 7主机下载文件 

解压并安装 

关机,重新将 Win 7 主机按照拓扑要求互联

开机重新配置 Win 7主机 IP 参数:

Ip地址:192.168.20.1                 网络掩码:255.255.255.0

网关:192.168.20.254                DNS: 114.114.114.114

Router3

酒店边界路由器

Router(config)#int g0/1
Router(config-if)#no shutdown
Router(config-if)#ip address 192.168.20.254 255.255.255.0
Router(config-if)#ip nat inside
Router(config-if)#exit

Router(config)#int g0/0
Router(config-if)#no shutdown
Router(config-if)#ip add 202.103.95.112 255.255.255.0
Router(config-if)#ip nat outside
Router(config-if)#exit

Router(config)#ip route 0.0.0.00.0.0.0 202.103.95.111  指向公网路由器

Router(config)#access-list 1 permit any
Router(config)#ip nat inside source list 1 interface g0/0 overload  酒店客房访问公网

Router2

公网路由器

Router(config)#int g0/1
Router(config-if)#no shutdown
Router(config-if)#ip address 202.103.95.111 255.255.255.0
Router(config-if)#exit

Router(config)#int gO/0
Router(config-if)#no shutdown
Router(config-if)#ip address 202.103.96.111 255.255.255.0
Router(config-if)#exit

Router1

总部边界路由器 

Router(config)#int g0/1
Router(config-if)#no shutdown
Router(config-if)#ip address 192.168.10.254 255.255.255.0  内网网段
Router(config-if)#exit

Router(config)#int g0/0
Router(config-if)#no shutdown
Router(config-if)#ip address 202.103.96.112 255.255.255.0
Router(config)#ip route 0.0.0.0 0.0.0.0 202.103.96.111 指向公网路由器

配置IE阶段1安全策略
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#encryption des
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#hash md5
Router(config-isakmp)#group 2
Router(config-isakmp)#exit

Router(config)#access-list 101 permit ip 192.168.10.00.0.0.255 any  指定移动用户可以访问的总部内网网段
Router(config)#ip local pool vpn 192.168.200.1 192.168.200.254  给移动终端分配地址
Router(config)#crypto isakmp client configuration group zhangsan  指定移动用户的身份 ID为zhangsan

设备身份认证的pre-shared key 绑定地址池
Router(config-isakmp-group)#key zhangsan
Router(config-isakmp-group)#pool vpn
Router(config-isakmp-group)#ac 101 调用 acl,最终在 vpn 接入时,为终端生成路由
Router(config-isakmp-group)#exit

开启认证功能
Router(config)#aaa new-model
Router(config)#username zhangsan password zhangsa  创建用户名和密码
Router(config)#aaa authenticationloginvpnlocal 开启对登陆 vpn 的用户进行认证,定义认证列表名为 vpn
Router(config)#aaa authorizationnetworkvpnLocal 对认证通过用户授权,定义授权列表为 vpn
Router(config)#crypto ipsec transform-set1esp-md5-hmacesp-des 配置IKE 阶段2策略 1
Router(cfg-crypto-trans)#mode tunnel
Router(cfg-crypto-trans)#exit

创建动态隧道映射表,名为vpn
Router(config)#crypto dynamic-map vpn 1
Router(config-crypto-map)#set transform-set 1
Router(config-crypto-map)#exit

Router(config)#cryptomapipsecvpn 1 ipsec-isakmpdynamicvpn 创建静态隧道映射表并把动态映射表 vpn 绑定其上
Router(config)#crypto map ipsecvpn client configuration address respond 建立时,分配地址给移动终端
Router(config)#crypto map ipsecvpn client authentication list vpn绑定认证列表 vpn
Router(config)#crypto map ipsecvpn isakmp authorization list vpn绑定授权列表 vpn

Router(config)#int g0/0    绑定静态隧道映射表到出接口
Router(config-if)#crypto map ipsecvpn
Router(config-if)#exit

 PC1

企业总部服务器

VPCS>ip 192.168.10.1 255.255.255.0 192.168.10.254
VPCS>ip dns 114.114.114.114

实验结果 

接下来,在出差人员的 Win 7 主机终端上运行 Cisco vpn client 与总部 vpn 网关建立 IPSEC隧道

         

        

测试,Win 7 主机与企业总部内网的 IP 连通可达

查看 Win 7 主机的网络连接,增加了一个 cisco vpn 虚拟网卡,并从 vpn 网关获取到 IP 地址,Win 7 主机就是用这个接口与 VPN 隧道建立映射并使用其 IP 为源与总部互通,将访问总部内网的数据送入到 vpn 隧道中,vpn 建立后修改了 Win 7 主机的路由表

提问

虚拟IP池里面的IP可以随意设置吗?

可以,但是一定要考虑回包路由的问题。

PC 登陆 vpn之后,数据是如何进入隧道的?

通过虚拟 IP 进入隧道,虚拟网卡对数据进行重新加密封装,将数据送入 VPN 隧道

数据流量流动的路径?

无泡汽水
关注
专栏目录
实验二:Windows下的路由器和VPN服务器和管理
google20的博客
09-20 479
网路服务配置与管理实验二:Windows下的路由器和VPN服务器和管理
思科防火墙建立IPSEC VPN以及NAT穿越问题(大学生易读版)
qq_74338624的博客
12-28 1230
具体思路如上,在可视化界面上也要按照如此顺序依次配置。
锐捷ipsec野蛮模式(积极模式)配置实验+命令解释
m0_62621003的博客
04-01 1585
IPSEC动态隧道一般应用于分支节点较多的总分拓扑结构,在中心点配置动态隧道接受各分支的IPSEC VPN拨入。中心点配置简单、易于维护、可扩展性强。同时由于各分支的IP地址不固定,无法通过IP地址来指定不同的预共享密钥。所有分支使用相同的预共享密钥将极易造成密钥泄露,威胁网络安全。使用域名认证的方法很好地解决了这个问题,通过每个分支配置使用不同的域名,同时在中心点上针对不同的域名指定不同的密钥,保证了密钥安全。
【思科】IPsec VPN 实验配置(地址固定)
2301_77161465的博客
01-17 2431
本篇文章是关于思科的IPsec VPN里面的,但它的情况是两端的IP地址都是固定的,里面的配置的话,每行都会有注释,会更详细些,有问题可以评论区见啦
锐捷ipsec动态模式实验——命令解释
m0_62621003的博客
03-31 367
crypto ipsec transform-set cs esp-des esp-md5-hmac #配置转换集,指定ipsec使用esp封装des加密、MD5检验。crypto map fz 10 ipsec-isakmp dynamic cs #将策略cs绑定在fz模板上。crypto dynamic-map cs 5 #指定动态加密模板。set transform-set cs #设置转换集。
三、IPSec VPN原理
u012451051的博客
11-03 2178
由于IP协议未考虑安全性,而且Internet上有大量的不可靠用户和网络设备,所以用户业务数据要穿越这些未知网络,根本无法保证数据的安全性,数据易被伪造、篡改或窃取。因此,迫切需要一种兼容IP协议的通用的网络安全方案。为了解决上述问题,IPSec(Internet Protocol Security)应运而生。IPSec是对IP的安全性补充,其工作在IP层,为IP网络通信提供透明的安全服务。定义PSec是一组开放的网络安全协议。
MPLS vpnIPSEC vpn
weixin_69884785的博客
04-13 6563
vpn主要隧道技术协议有PPTP,L2TP,ipsec,ssl vpn,TLS vpnpptp和L2TP的区别和联系L2TP:第二层隧道协议,自身不提供认证加密和可靠性验证功能,可以与安全协议搭配使用,实现数据的加密传输。PPTP:PPTP是一种点对点的协议,将控制包和数据包分开,控制包采用tcp控制,数据包先封装在ppp协议中,然后封装到GRE V2中。
IPSEC VPN安全介绍以及相关实验
Innocence_0的博客
05-28 1180
一、IPSEC相关的安全服务二、IPSEC的安全协议三、实验IPSEC一组协议集合,用于确保在IP网络上进行通信时的安全性和保密性。它提供了一种标准化的方法,用于对IP数据包进行加密、身份验证和完整性保护。IPSEC通常用于建立虚拟私人网络VPN连接,但也可用于保护单个数据流或通信链路。
华为路由器配置IPSEC VPN
aaheguosong的博客
05-07 646
AR1为企业分支网关,AR2为企业总部网关,分支与总部通过公网建立通信。分支子网为10.0.10.0/24,总部子网为10.0.20.0/24。企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于分支子网较为庞大,有大量需要IPSec保护的数据流,可基于虚拟隧道接口方式建立IPSec隧道,对Tunnel接口下的流量进行保护,不需使用ACL定义待保护的流量特征。
VPN远程同时连接:IPsec站点到站点方式及L2TPoverIPsecVPN方式
earthtoearth的博客
08-15 820
255.255.255.255 255.255.255.255 在链路上 127.0.0.1 455。255.255.255.255 255.255.255.255 在链路上 155.1.2.10 450。来自 10.1.12.10 的回复: 字节=32 时间=9ms TTL=254。来自 10.1.12.10 的回复: 字节=32 时间=8ms TTL=254。3、总部VPN拨号:L2TP模式、虚拟接口、拨号用户。
IPSec VPN配置与管理:详细教程帮助您搭建安全的IPSec VPN
# 第一章: 简介 ## 1.1 什么是IPSec VPN IPSec全称为Internet Protocol Security...IPSec VPN的主要作用是保护远程访问用户、分支机构与总部之间的数据传输安全,并确保数据在互联网上的私密性。与传统的远程访问方式
锐捷网络VPN功能—IPSec VPN 常见问题和故障
君逍遥o
09-13 3723
IPSec (IP Security )是一种由IETF设计的端到端的确保IP层通信安全的机制。 IPSec协议可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击。 IPSec不是一个单独的协议,而是一组协议,IPSec协议的定义文件包括了12个RFC文件和几十个Internet草案,已经成为工业标准的网络安全协议。
SSL VPN移动接入资源发布技术
weixin_53946822的博客
12-20 155
WEB应用通过SSL设备反向代理技术实现用户访问内网服务器。支持应用类型:HTTP,HTTPS。
移动终端VPN接入——Android终端VPN接入
君逍遥o
09-26 2772
移动终端VPN接入——Android终端VPN接入
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
最新发布
2401_84466224的博客
10-15 753
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
WireShark过滤器
ngczx的博客
10-11 697
Wireshark的过滤器规则可以分为**捕获过滤器**和**显示过滤器**,这两种过滤器有不同的编写规则
Linux系统性能调优技巧详解
运维人生
10-13 586
Linux系统性能调优是一个复杂而持续的过程,需要综合考虑硬件、软件、内核参数、进程管理等多个方面。通过合理的调优措施和持续的监控调整,可以显著提升Linux系统的运行效率和稳定性,为业务提供强有力的支持。性能调优是一个持续的过程,需要不断地监控、分析和调整,以适应不断变化的工作负载和系统环境。希望本文的介绍和代码示例能够帮助您在Linux系统性能调优方面取得更好的效果。
找到占用5601端口的进程ID
m0_46695127的博客
10-13 274
找到占用5601端口的进程ID
gre over ipsec vpn实验
04-24
您想了解有关 GRE over IPSec VPN 实验的信息吗?我可以为您提供一些基本的解释。GRE(Generic Routing Encapsulation)是一种隧道协议,可将不同类型的协议数据单元进行归档和封装,以方便通过网络传输。IPSec(Internet Protocol Security)是一种网络协议,用于安全地传输数据。当这两种协议结合使用时,可以创建一个虚拟专用网络VPN),用于在两个或多个远程位置之间安全地传输数据。在 GRE over IPSec VPN 中,GRE 协议用于封装传输的数据包,而 IPSec 协议用于提供安全性和保护数据的完整性。这种技术广泛应用于各种企业和组织网络中,以提供安全、高效的远程访问和分支间通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值