未分类

路由VPN配置整理.pdf 11页

Posted by acevpns on

网络技术应用网CISCO路由 VPN配置拓扑图 实验目的配置 IKE協商、配置IPSEC的協商、 配置端口的應用、配置 ACL訪問控制列表、PC1和 PC3 可 PING通、 PC2 且不可PING 通 PC3 操作步驟配置 PC IPVPCS 1 >ip 24VPCS 2 >ip 24VPCS 3 >ip 24配置各端口ip 及静态 路由Router>enableRouter#config tRouter(config)#hostname aaaaaa(config)#interface e1/0aaa(config-if)ip addressaaa(config-if)no shutaaa(config-if)exitaaa(config)#interface e1/1aaa(config-if)#ip addressaaa(config-if)#no shuaaa(config-if)#exitaaa(config)#interface e1/2aaa(config-if)#ip addressaaa(config-if)#no shuaaa(config-if)#exitaaa(config)#ip routeaaa(config)#ip route专业和专注企业网络技术 ,服务器 , 网络安全 应用网络技术应用网aaa(config)#exit aaa#config t 配置 VPN 步骤: aaa(config)#crypto isakmp enable aaa(config)#crypto isakmp policy 1 aaa(config-isakmp)#hash aaa(config-isakmp)#hash md aaa(config-isakmp)#hash md5 aaa(config-isakmp)#encryption 3des aaa(config-isakmp)#authentication pre-share aaa(config-isakmp)#exit aaa(config)#crypto isakmp policy 1 aaa(config-isakmp)#lif aaa(config-isakmp)#lifetime 10000 aaa(config-isakmp)#exit aaa(config)#crypto isakmp key 123 address aaa(config)#access-list 101 permit ip 55 55 aaa(config)#$c transform-set benet ah-md5-hmac esp-des esp-md5-hmac aaa(cfg-crypto-trans)#exit aaa(config)#crypto map zixu 1 ipsec-isakmp aaa(config-crypto-map)#set peer aaa(config-crypto-map)#set transform-set benet aaa(config-crypto-map)#match address 101 aaa(config-crypto-map)#exit aaa(config)#interface e1/0 aaa(config-if)#crypto map zixu aaa(config-if)#exit Router#config telminal` bbb(config)#hostname bbb bbb(config)#hostname bbb bbb(config)#interface e1/0 bbb(config-if)#ip address bbb(config-if)#no shu bbb(config-if)#exit bbb(config)#interface e1/1 bbb(config-if)#ip address bbb(config-if)#exit bbb(config-if)#exit bbb(config)#ip routebbb(config)#ip routebbb(config)#ip routebbb(config)#exit Router>en Router#config t 专业和专注企业网络技术 ,服务器 , 网络安全 应用网络技术应用网Router(config)#hostname cccccc#interface e1/0ccc(config-if)#ip addressccc(config-if)#no shutccc(config-if)#exitccc(config)#interface e1/1ccc(config-if)#ip addressccc(config-if)#no shutccc(config-if)#exitccc(config)#ip routeccc(config)#ip routeccc(config)#ip routeccc(config)#exitccc(config)#crypto isakmp policy 1ccc(config-isakmp)#hash md5ccc(config-isakmp)#encryption 3desccc(config-isakmp)#authentication pre-shareccc(config-isakmp)#lifetime 10000ccc(config-isakmp)#exitccc(config)#crypto isakmp key 123 addressccc(config)#$c transform-set benet ah-md5-hmac esp-des esp-md5-hmacccc(cfg-crypto-trans)#exitccc(config)#crypto map zixu 1 ipsec-isakmpccc(config-crypto-map)#set peerccc(config-crypto-map)#set transform-set benetccc(config-crypto-map)#match address 101ccc(config-crypto-map)#exitccc(config)#interface e1/1ccc(config-if)#crypto map zixuccc(config-if)#exitccc(config)#interface e1/0ccc(config-if)#crypto map zixuccc(config-if)#exitccc(config)#interface e1/1ccc(config-if)#crypto maccc(config-if)#crypto map zixu问题总结: 1、 简述 VPN 的技术原理,一个报文如何通过VPN 链路发送到对端?答; VPN 应用加密技术和隧道技术。

明文-访问控制 -报文加密 – 报文认证 -IP 封装 -IP 隧道 -公共 IP网络 – 公共 IP 隧道 -IP 解封装 – 报文认证 -报文解密 -控制访问 – 明文 2 、 IPSecVPN主要由哪几部分组成?答:私有性、完整性、真实性、防重放; 3、 在配置IPSEC VPN的时候,配置ACL 访问控制列表的作用是什么?专业和专注企业网络技术 ,服务器 , 网络安全 应用网络技术应用网答:可以对一些网段或一些数据进行加密。他在VPN 的隧道中定义什么样的报文将被IPSEC 加密传输,什么样的报 中小企业安全路由器VPN配置 对于中小企业, VPN 相对于专线, 在成本效益上的优点适合作为远程接入或是多 个公司间联机的基础。企业信息化的风潮,包括ERP、财务软件、 CRM、CAD/CAM 的引入,更让不同的企业都感受到VPN的必要。对于略具规模的中小企业,利 用现有的宽带接入,建置一个安全的远程或特定点之间的联机,显然很有必要。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠 性。但是对于初次接触的中小企业,或是有特殊需求的网管,仍时常发生有所 不足的问题。

以下就 Qno侠诺接触中小企业的经验,针对不同问题, 加以说明如 下: 项问题解决功能 目IPSec 、PPTP、 1 有那些 VPN标准 ?该如何选择 ?SmartLink 、SSL行动用户如何进行配置?该使用那一种客户端软窗口操作系统、 VPN客 2件?户端软件联机双方没有固定IP 怎么办 ?如何设置动态DDNS动态 DDNS功能、 DDNS 3 功能 ?如何加强 DDNS稳定性 ?是否有 DDNS备援功备援功能能?多 WANVPN有那些特性 ?如何简化外点的配置 ? 是SmartLink VPN 功能、 4 否能提供 VPN备援功能 ?是否能于中央点一次完成中央控管功能所有点的监控 ? 5 是否能解决跨网VPN不稳定问题 ?策略路由不同外点之间是否可以通联?在 VPN上架设 VoIP 6VPN Hub 功能需要用到什么功能 ?如何给予 VPN封包较高的处理权限 ?如何确保 VPN 7带宽管理封包得到较多的带宽 ?以下一一介绍相关功能一、 IPSec 、PPTP、SmartLink 、SSL VPN协定 专业和专注企业网络技术 ,服务器 , 网络安全 应用网络技术应用网选定适合的 VPN协调是一个规划VPN网管会碰到的问题。

以下先介绍一个可 用于规划 VPN所使用的流程1. 依 VPN应用及宽带接入决定总需要带宽, 再决定总部线路及分支点线路, 以及采用路由器 WAN口数。2. 如分支点散布在不同ISP 区域,需作跨网 VPN规划,总部需申请不同ISP 线路。3. 依应用需要决定 VPN协议,常见的情况是混用不同的协议。网对网互联 用 IPSec 或 SmartLink( 侠诺科技特有的基于IPSec 协议的简化的VPN 连接方 式) 。简化管理可用 SmartLink 。单一用户或行动用户可用PPTP或 IPSec,并决 定适用 VPN客户端软件。4. 建立管理政策,列出优先保留带宽的应用,及需加以管理排除的应用。5. 依需要 WAN口及运算能力进行选型,决定总部及分支点产品。6. 进行网络拓朴规划及各接入点功能规划7. 加入网络安全及防护相关功能考虑在以上的流程中, VPN协议是一个需要决定的重大问题,必须根据远程访问 的需求与目标而定。 Qno侠诺的 VPN提供不同的协议,可应用于不同的情况, 主要支持的协议包括IPSec, PPTP, SmartLink, SSL 。以下分别介绍:1. IP_SECURITY协议 (IPSec): 是互联网工程任务组 (IETF) 为 IP 安全推荐的 一个协议。

通过相应的通道技术,可实现VPN、IPSec 有 两种模式:通道模式和 传输模式。 IPSec 协议包括 ESP(Encapsulating Security Payload)封装安全负 载、 AH(Authentication Header)报头验证协议及IKE 密钥管理协议等,可以用 在公共 IP 网络上确保数据通信的可靠性和完整性,能够保障数据安全穿越公网 而没有被侦听。它的特点是安全性极高,适用于点对点的VPN配置。 Qno侠诺 科技 IPSec 通过国际 VPNC认证,可以完成与其它VPN厂商的 VPN设备相连接。2. SSL 的英文全称是“ Secure Sockets Layer”,中文名为“安全套接层 协议层”,它是网景 (Netscape) 公司提出的基于WEB应用的安全协议。 SSL协议 指定了一种在应用程序协议( 如 Http 、Telenet 、NMTP和 FTP等) 和 TCP/IP 协议 之间提供数据安全性分层的机制,它为 TCP/IP 连接提供数据加密、 服务器认证、 消息完整性以及可选的客户认证。它的特点是无需客户端软件,使用方便, 适用 于用户安装配置不易或是特定应用情况。

3. PPTP(Point to Point Tunneling Protocol)点对点隧道协议 : 是一种支 持多协议虚拟专用网络的协议。通过该协议,远程用户能够跨越Microsoft Windows NT工作站、 Windows2000 和 Windows XP 操作系统以及其它点对点激 专业和专注企业网络技术 ,服务器 , 网络安全 应用网络技术应用网活系统安全访问共同网络, 并通过拨号本地互联网服务提供商安全链接它们互联 网上的共同网络。优点也是简单易配置,对于初阶应用安全性足以因应。4. SmartLink VPN协议:这是 Qno基于 IPSec 协议,所发展出特有 SmartLink VPN功能,强调简易的配置及管理。Qno侠诺 QVM路由器的功能里通过设置确认 联机后,路由器将大部份的设定参数交由VPN网关自动完成,只要进行简单的 总部服务器 IP 、用户名、及密码输入就能建立IPSec 设定,也能轻易穿透不同 的 IP 环境,建立方便、快捷的 VPN连接。有着 PPTP简易配置的优点, 又有 IPSec 的高度安全性,适用于点对点的联机。当前企业需要安全的点对点连接,或用单一装置进行远程访问,并且让企业 拥有管理所有远程访问使用能力,应视使用的情况决定采用的技术为宜。

IPSec 可以保护任何IP 流量,而 SSL专注于应用层流量。IPSec 适合长期的连接,即 宽带、持续和网络层连接要求。SSL 仅适合于个别的,对应用层和资源的连接, 而且支持的应用没有IPSec 多。实现外出出差员工通过PPTP拨号或 VPN软件连 接等方式连接公司网络完成相关工作。二、行动用户 VPN软件对于在外的行动用户而言, 除了 SSL 以外,往往都需要使用客户端软件才能 建立 VPN。由于用户对配置了解程度不够,因此移动用户的客户端VPN 软件,对 网管造成相当的支持负担。Qno侠诺 VPN支持不同的客户端软件,包括常见的窗 口操作系统的 IPSec/PPTP客户端、 TauVPN、 Greenbow VPN、Symantec VPN、 Fortinet 、SoftRemote 、SSH都支持。对于注重成本的用户, 可以选择窗口操作系统内建的客户端软件或是免费的 CVP客户端软件, 例如 TauVPN或是 SSH。其它的用户则可采用付费的商用软件, 可得到对应的技术支持服务。三、动态 DDNS功能有了远程配置, 中小企业的网管还面临另一个问题,就是一般企业用的ADSL 线路使用的为动态IP 地址。

也就是 IP 地址是会变动的,今天和明天的IP 不一 定相同,这个小时和下个小时的IP 也不一定相同。那网管要从家中,根本就找 不到路由器了, 要如何进行管理呢 ?还好, 为了这个问题, 市面上提供了动态域 名的服务,用户的IP 即使时时变动,也能通过固定的域名,对应到特定的路由 器,可解决以上的问题。用户可以登记例如的域名,就 再也不用记 IP 地址了。Qno侠诺路由器支持动态域名服务,为了服务侠诺用户,也建置了动态域名 系统,提供给最新产品的用户使用。用户可到/ddns 上进行 登记,即可拥有,可作远程登入, 也可作为架设公共服务 器使用。该服务未来也将在侠诺现有产品新的软件版本上使用。 专业和专注企业网络技术 ,服务器 , 网络安全 应用网络技术应用网图一:侠诺提供动态域名服务, 部份产品型号用户只要键入电子邮件及产品序列号,即可申请免费的侠诺动态域名服务。同时,现有 Qno侠诺路由器也支持免费的3322.org 动态域名服务,用户也 可申请。一个 WAN连络设定双重动态域名,可以起到动态域名备援的作用,进 一步增加安全性。在路由器中,也必须在” 进阶功能配置 ” 菜单中的 “DDNS动态域 名解析服务中 ” ,进行相关的设定, 依动态域名服务做对应的配置,才能开始运 作。

四、SmartLink 快速配置网管面临一个问题, 就是外点不容易配置。 例如一个公司在外部有十个分支 点,因为一般的分支点往往没有具备网管能力的人员,因此VPN的配置就成问 题。网管人要么需搭车到各地进行配置,要么就要利用电话,进行相关的配置。 另外很多地方的ISP 提供的 IP 地址都是虚拟IP ,对于一般的 VPN配置会产生 无法透通的困难。QVM系列路由器提供了方便配置的SmartLink 功能,方便网管或集成商轻易 的建置 VPN。另外它也支持不同网络的透通功能,减少以后 VPN 因 NAT转换而无 法建立,需要另外配置的问题。SmartLink 配置的方法介绍如下:1). 简单建立 VPN,解决了传统 VPN建立复杂的缺点,只需用户名及密码就 可以完成。2). 用户在客户端上输入用户名以及密码,和服务端建立连接是通过Qno侠 诺独有的 SmartLink IPSec VPN的方式建立连接的。3). 中央控管功能,让所有外点或分公司的VPN联机状态清楚且可直接在总 部中心点中控画面,进入外点做设定。 专业和专注企业网络技术 ,服务器 , 网络安全 应用网络技术应用网4).VPN 断线备份机制,营运商掉线可从另一广域网端口重建,让ISP 断线 困扰造成外点或分公司资料无法对总公司传送问题顺利解决。

图二: QVM服务端配置画面,简化的配置省去网管配置客户端的时间。图三: QVM客户端配置画面,由原本二十多个参数减少到三个参数。五、 QVM中央控管功能很多网管在进到办公室网络都需要一一登入到不同外点的VPN网关,以确定 联机正常,这个工作占去了很多时间。以下这个功能可以简化这个工作:中央控管功能让总部VPN服务器管理画面上可看到所有分点联机情形,无需 一一作远程登入,一眼即可了解整体VPN网络运作情况。同时它可支持直接登 入各分点进行配置, 远程控管功能让网管免于奔波轻松管理,省时省费用。如图, 我们可以点击远程用户“sunny ”登录远程对路由器进行控制。 专业和专注企业网络技术 ,服务器 , 网络安全 应用网络技术应用网图四:中央控管的服务状态显示,一个昼面即能显示多个点的VPN联机情况。六、 VPN 备援掉线是网管在管理VPN时另一个害怕的问题。 当所有的业务都依赖VPN进行 时,一旦掉线,所有的人都会找网管要求解决。传统的VPN支持单线,如果因 为线路问题,完全无计可施。 不过侠诺的多 WAN路由器支持备援功能路由器设置vpn, 可提供更 进一步的稳定保证。VPN备援功能是采用SmatLink VPN连络时另一强大的功能。

对于要求稳定 的用户,它可增加 VPN网络稳定性。 输入 QVM路由器中心端备援连接的IP 或是 网域名,一旦断线可从中心服务端路由器的另一个WAN端口自动建立 VPN联机, 确保 VPN服务永不断线,保证数据传输的安全。图五:线路备援配置,可选择从不同条线路重新播入中心端。七、 VPN Hub 功能很多企业建置 VPN是为了建置 VoIP ,以达到较佳的通话质量,可是在建立 之后才发现只能建立各外点和中心点的VoIP 连络,外点与外点之间无法通话。 这是因为 IPSec VPN是点对点互通的,并没有让各个外点互通,因此星状的VPN 网络间,各外点间是不通的。VPNHub功能就是打通这个限制,让各外点间可以 通过总部中心点互通的,这大大增加了数据分享及分散管理的方便性。分点与总部连通后, 可以让分点之间实现互联互通,不用再去各分点的设备 之间建立通道, 方便管理,更能节省资源。 不同运营商电信网通线路可通过总部 中央点进行转换, 让联机速度不延迟, 解决跨网 VPN联机很卡的问题。 同时还能 结合侠诺专长的带宽管理功能, 让总部的网管人员可以控制不同分支持点间的互 相联机,达到更严密控管的功能。

专业和专注企业网络技术 ,服务器 , 网络安全 应用网络技术应用网图六:VPN配置画面的 VPN Hub功能只能配合Qno专有的 SmartLink VPN 使用。八、策略路由有些企业由于经营的特性, 在国内不同区域或国外都有分支办公室,都想经 由 VPN交流信息。但由于中国存在” 南电信北网通 ” 情况,位于南方的办公室往 往采用电信线路,而位于北方的办公室则采用网通线路,因此总公司位于大都市, 往往较有机会申请到二家运营商的线路。在采用单一线路时, 若是总公司采用电 信线路时,从网通线路建立VPN的办公室,会发生不稳定或VPN掉线情况 ; 反之 若总公司采用网通线路由,则从电信建立VPN也会不稳定。若是采用多WAN路 由器,总部可同时连接不同运营商线路,配合策略路由, 指定不同运营商的分支 办公室,各自由对应的线路建立VPN通道,则可解决南电信北网通跨网瓶颈。Qno侠诺路由器中均配备有自动策略路由配置,内部建有不同 ISP 的网段进 行判断,用户只要启用即可。如果没有设定的范围,也可经由绑定协议或指定 路由设定,或是手动键入方式达成。 这样可解决企业面临的跨网VPN不稳定问题。

九、 VPN 及 QoS带宽管理对于上网人数较多又需要采用VPN的企业路由器设置vpn,网管往往希望能将VPN带宽及一 般上网带宽分开,以免互相受到影响。多WAN路由器可支持多条线路,网管可 将上网及 VPN带宽分开,在这种情况下,VPN应用不致受到上网用户,例如BT 下载的影响,而VPN应用需要带宽时,也不会限制一般用户的上网。对于 VPN数据的传输是加密的, 在传输过程以 GRE/ESP的封包位于网络传输 协议的网络层,如果我们需要对VPN的流量做 QoS设定,比如保证 VPN传输的 质量,我们可以在 QoS带宽管理将 GRE/ESP的封包传输服务的优先级别调到最高 级别来保证 VPN联机的稳定畅通。 专业和专注企业网络技术 ,服务器 , 网络安全 应用网络技术应用网图七: ESP/GRE封包传输优先级设定小结VPN的配置,已成为成长型中小企业必备基础。如何在安全之外,还能作到 方便,相信对于很多网管是很需要的。Qno侠诺经由提供各种适用不同情况的 功能,对于许多企业可以发挥到投入小效益大的效果。 专业和专注企业网络技术 ,服务器 , 网络安全 应用

Leave a Reply