×××虚拟专用网配置

×××简介:

 ×××使企业能在价格低廉的共享基础设施上以与专用网络提供的相同策略建立一种安全的 WAN (广域网业务。×××实现与移动工作人员、分公司、合作伙伴、产品供应商、客户间的连接,提高与分公司、客户、供应商和合作伙伴开展业务的能力。简单地说 ,×××Virtual Private Network虚拟专用网络)即是指在公众网络上所建立的企业网络,并且此企业网络拥有与专用网络相同的安全、管理及功能等特点,它替代了传统的拨号访问,利用 INTERNET 公网资源作为企业专网的延续,节省昂贵的长途费用。××× 乃是原有专线式企业专用广域网络的替代方案,××× 并非改变原有广域网络的一些特性,如多重协议的支持、高可靠性及高扩充度,而是在更为符合成本效益的基础上来达到这些特性。 ×××——无论在哪种情况下,××× 都使企业客户可享有与专用网络同样卓越的安全性、优先权、可靠性和易管理性。××× 业务的真正优点在于它能够使服务供应商提供一系列捆绑的××× 解决方案。×××虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,×××是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。×××可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 

编辑本段

***网络协议

IPSec : IPsec(缩写IP Security)是保护IP协议安全通信的标准,它主要对IP协议分组进行加密和认证。   IPsec作为一个协议族(即一系列相互关联的协议)由以下部分组成:(1)保护分组流的协议;

(2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部分:   加密分组流的封装安全载荷(ESP)及较少使用的认证头(AH),认证头提供了对分组流的认证并保证其消息完整性,但提供保密性。目前为止,IKE协议是唯一已经制定的密钥交换协议。   PPTP: Point to Point Tunneling Protocol -- 点到点隧道协议   在因特网上建立IP虚拟专用网隧道的协议,主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。   L2F: Layer 2 Forwarding -- 第二层转发协议   L2TP: Layer 2 Tunneling Protocol --第二层隧道协议   第二层隧道协议:   建立在点对点协议PPP的基础上   先把各种网络协议(IPIPX等)封装PPP帧中,再把整个数据帧装入隧道协议   适用于通过公共电话交换网或者ISDN线路连接   三层:    GRE : General Routing Encapsulation   IPSEC : IP Security Protocol   三层协议:   把各种网络协议直接装入隧道协议   在可扩充性、安全性、可靠性方面优于第二层隧道协议   IPSec 提供两个安全协议   AH (Authentication Header) 认证头协议   ESP (Encapsulation Security Payload)封装安全载荷协议   密钥管理协议   IKEInternet Key Exchange)因特网密钥交换协议

虚拟专用网络(Virtual Private Network ,简称×××)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个×××网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如InternetATM(异步传输模式〉、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。×××主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术

虚拟专用网的提出就是来解决这些问题: 

  ⑴使用×××可降低成本——通过公用网来建立×××,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。 

  ⑵传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性。 

  ⑶连接方便灵活——用户如果想与合作伙伴联网,如果没有虚拟专用网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了虚拟专用网之后,只需双方配置安全连接信息即可。 

  ⑷完全控制——虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源,对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网

实验环境:
两个不同的vlan地址通信,通过两个防火墙实现gre通过ISP提供的internet能相互通信。

说明:由于实验模拟,Internet有路由器代替。

要求:通过启用gre路由封装协议,实现×××通信。

防火墙上的主要的配置

[fire1]inter eth0/4

[fire1-Ethernet0/4]ip add 192.168.101.7 24

[fire1-Ethernet0/4]q    

[fire1]inter loop 1   //添加loopback端口,方便测试

[fire1-LoopBack1]ip add 192.168.1.100 24

[fire1-LoopBack1]q

[fire1]inter Tunnel 10   //添加虚拟通道口

[fire1-Tunnel10]ip add 192.168.4.1 24(虚拟通道地址可以随意配置)

[fire1-Tunnel20]tunnel-protocol gre   //启用gre

[fire1-Tunnel10]source 192.168.101.7

[fire1-Tunnel10]destination 192.168.102.8

[fire1-Tunnel10]q

[fire1]firewall zone untrust 

[fire1-zone-untrust]add interface eth0/4     

[fire1-zone-untrust]add interface Tunnel 10  //tunnel口添加到untrust区域

[fire2]firewall zone trust 

[fire2-zone-trust]add interface eth0/1

[fire1-zone-untrust]q

[fire1]ip route-static 0.0.0.0 0 192.168.101.8

[fire1]ip route-static 192.168.2.0 24 192.168.4.2 (配置tunnel路由)

防火墙上配置时需要注意的问题:防火墙上的接口默认是trust区域,外部需要加入untrust区域,此处不需要端口隔离,在开启子接口时需要取消隔离。

如果防火墙换成路由器的话默认已经开启gre,已经没有开启的命令,其他配置和防火墙上差不多,也不用加untrust区域了。

路由器配置(模拟Internet

[Router]inter e0

[Router-Ethernet0]ip add 192.168.101.8 24

[Router-Ethernet0]inter e1               

[Router-Ethernet1]ip add 192.168.102.7 24

同理,fire2的配置

[fire2]inter eth0/4

[fire2-Ethernet0/4]ip add 192.168.102.8 24

[fire2-Ethernet0/4]q    

[fire2]inter eth0/1

[fire2-Ethernet0/1]ip add 192.168.2.254 24

[fire2]inter Tunnel 20

[fire2-Tunnel10]ip add 192.168.4.2 24

[fire2-Tunnel20]tunnel-protocol gre

[fire2-Tunnel10]source 192.168.102.8

[fire2-Tunnel10]destination 192.168.101.7

[fire2-Tunnel10]q

[fire2]firewall zone untrust 

[fire2-zone-untrust]add interface eth0/4     

[fire2-zone-untrust]add interface Tunnel 20

[fire2]firewall zone trust 

[fire2-zone-trust]add interface eth0/1

[fire2-zone-untrust]q

[fire2]ip route-static 0.0.0.0 0 192.168.102.7

[fire2]ip route-static 192.168.1.0 24 192.168.4.1

测试结果