基于思科设备得VPN实现(五)

需要的状态交换。ISAKMP提供了对对方进行身份认证的方法，密钥交换时交换信息的方法，以及有定义建立安全关联所需的属性。
 4.2.2 IPSec的工作模式
 IPSec的一个最基本的优点是它可以在共享网络访问设备，甚至是所有的主机和服务器上完全实现，这很大程度避免了升级任何网络相关资源的需要。在客户端，IPSec架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM的PC机和工作站。IPSec通过两种模式在应用上提供更多的弹性：传输模式和隧道模式，如图4.3所示
 
 
 

 图4-3 IPSEC的两种工作模式
 传输模式通常当ESP在一台主机（客户机或服务器）上实现时使用，传输模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。
 隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用，隧道模式处理整个IP数据包－包括全部TCP/IP或UDP/IP头和数据，它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。
 
 4.2.3 GRE路由封装
 通用路由封装（GRE）定义了在任意一种网络层协议上封装任意一个其它网络层协议的协议。
 在大多数常规情况下，系统拥有一个有效载荷（或负载）包，需要将它封装并发送至某个目的地。首先将有效载荷封装在一个 GRE 包中，然后将此 GRE 包封装在其它某协议中并进行转发。此外发协议即为发送协议。当 IPv4 被作为 GRE 有效载荷传输时，协议类型字段必须被设置为 0x800。当一个隧道终点拆封此含有 IPv4 包作为有效载荷的 GRE 包时，IPv4 包头中的目的地址必须用来转发包，并且需要减少有效载荷包的 TTL。值得注意的是，在转发这样一个包时，如果有效载荷包的目的地址就是包的封装器（也就是隧道另一端），就会出现回路现象。在此情形下，必须丢弃该包。当 GRE 包被封装在 IPv4 中时，需要使用 IPv4 协议 47。
 GRE 下的网络安全与常规的 IPv4 网络安全是较为相似的，GRE 下的路由采用 IPv4 原本使用的路由，但路由过滤保持不变 。包过滤要求防火墙检查 GRE 包，或者在 GRE 隧道终点完成过滤过程。在那些这被看作是安全问题的环境下，可以在防火墙上终止隧道。
 第5章 VPN各部分配置的实现
 5.1配置清单及拓扑图
 本试验是通过一个路由器模拟Internet的情况下，实现一个总公司与两个分公司之间得通信。需要的设备如下：四台cisco2600路由器，四台windows2000PC机，若干网线一条双绞线。
 配置拓扑图如图5.1所示

 图5-1 VPN实例配置拓扑图
 注意在连接Internet模拟路由器E0/1与分公司2路由器E0/1时应用双绞线。
 5.2 各路由器配置GRE详解
 5.2.1 模拟Internet路由器配置
 配置路由器serial0/0口地址
 Router>
 Router>en
 Router#
 Router#configure erminal
 Router(config)#
 Router(config)#interface serial 0/0
 Router(config-if)#clock rate 64000
 Router(config-if)#ip address172.16.1.2 255.255.255.0
 Router(config-if)#no shutdown
 Router(config-if)#exit
 Router(config)#
 配置路由器serial0/1口地址
 Router(config)#interface serial 0/1
 Router(config-if)#clock rate 64000
 Router(config-if)#ip address172.16.0.2 255.255.255.0
 Router(config-if)#no shutdown
 Router(config-if)#exit
 Router(config)#
 配置路由器Ethernet0/1口地址
 Router(config)#interface Ethernet0/1
 Router(config-if)#ip address172.16.2.2 255.255.255.0
 Router(config-if)#no shutdown
 Router(config-if)#exit
 Router(config)#
 5.2.2 总公司路由器配置

 配置总公司路由器名为Comany
 Router>     
 Router>enable
 Router#      
 Router#configure terminal    
 Router（config）#
 Router（config）#hostname Comany
 Comany（config）#
 配置总公司路由器内网地址
 Comany（config）#interface Ethernet0/0       
 Comany（config-if）#ip address 192.168.10.10  255.255.255.0
 Comany（config-if）#ip nat inside               
 Comany（config-if）#no shutdown               
 Comany（config-if）#exit
 Comany（config）#
 
 配置总公司serial0/1口的地址
 Comany（config）#interface serial 0/1

首页 上一页 2 3 4 5 6 7 8 下一页 尾页 5/10/10

基于思科设备得VPN实现(五)相关范文