网络安全论文
本科生毕业设计
湖南蓝狐网络公司网络规划与建设—广域网、无线、安全建设
院系计算机科学与技术学院
专业计算机科学与技术
班级
学号
学生姓名
联系方式155********
指导教师马慧职称:讲师
陈艳格职称:助教
2011年4月
独创性声明
本人郑重声明:所呈交的毕业论文(设计)是本人在指导老师指导下取得的研究成果。除了文中特别加以注释和致谢的地方外,论文(设计)中不包含其他人已经发表或撰写的研究成果。与本研究成果相关的所有人所做出的任何贡献均已在论文(设计)中作了明确的说明并表示了谢意。
签名:
年月日
授权声明
本人完全了解许昌学院有关保留、使用本科生毕业论文(设计)的规定,即:有权保留并向国家有关部门或机构送交毕业论文(设计)的复印件和磁盘,允许毕业论文(设计)被查阅和借阅。本人授权许昌学院可以将毕业论文(设计)的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编论文(设计)。
本人论文(设计)中有原创性数据需要保密的部分为:。
签名:
年月日
指导教师签名:
年月日
摘要
随着信息技术的飞速发展,人们对网络通信的需求不断提高,在Internet访问的持续性、移动性和适应性等方面取得很大进展。无线网络、VPN、防火墙等技术的发展在企业网领域占据了主流地位,这表明它们有着传统网络不可比拟的优势。
本论文阐述的是蓝狐网络公司企业网中无线局域网、广域网以及安全的设计。其中,无线局域网解决了组网的灵活性;VPN解决了企业总部和远程站点以及外出办公人员的私网连通性和机密性;防火墙隔离了企业内网和外网,有效的保护企业内网免受来自Internet 的攻击。这些技术为本企业的应用提供了一个全新的网络通信环境,也从根本上加强并促进了群体工作成员之间的信息交流、资源共享、科学计算及技术合作,进而推动了生产的发展。
关键字:Internet;无线网络;VPN;防火墙
ABSTRACT
With the rapid development of information technology, people’s demand to the communication network has increased, and the continuity, mobility and adaptability of Internet access have made great progress. The development of wireless networks, VPN, firewalls and other technology has been the main position in the enterprise networks. This shows that they have the advantages that the traditional network can not be compared with.
This paper describes the Bluefox Networks Enterprise Network Wireless LAN, WAN and security design. Wireless LAN networking flexibility to solve. The VPN solves the private network connectivity and confidentiality among the corporation headquarters, remote sites and the outside office staff. The firewall isolates the inside and outside enterprise network, and effectively protects the enterprise network against attacks from the Internet. The application of these technologies for the enterprise network provides a new communications environment, and also strengthens and promotes the group exchange of information, sharing of resources, scientific and technical cooperation between members, thus promoting the development of production. Key words: Internet; Wireless network; VPN;Firewall
目录
第1章引言 (1)
第2章企业网需求分析 (2)
2.1 企业建设背景 (2)
2.2 企业需求分析 (3)
2.2.1广域网需求 (3)
2.2.2无线需求 (4)
2.2.3安全需求 (4)
第3章广域网技术实现 (6)
3.1 广域网技术网络拓扑 (6)
3.2 广域网技术选择 (6)
3.3 专线技术选择 (7)
3.4 VPN的技术选择 (7)
3.4.1通用路由封装协议 (7)
3.4.2IPSEC VPN (7)
3.4.3GRE O VER IPSEC (8)
3.4.4E ASY-VPN (8)
3.5 项目设备选型 (9)
3.6 项目实施方案 (10)
3.6.1总部R5的配置 (11)
3.6.2总部R6的配置 (11)
3.6.3分部R7配置 (13)
3.6.4项目调试 (14)
第4章无线局域网技术实现 (17)
4.1 无线局域网拓扑 (17)
4.2 无线局域网的技术选择 (17)
4.3 无线局域网的设备选型 (18)
4.4 无线局域网的实施方案 (18)
4.5 无线局域网的安全 (19)
第5章网络安全及管理技术实现 (21)
5.1 防火墙 (21)
5.1.1防火墙部署方案 (21)
5.1.2防火墙配置 (22)
5.2 AAA (22)
5.2.1AAA部署方案 (23)
5.2.2AAA服务器端配置 (23)
5.2.3AAA客户端配置 (24)
5.3 802.1X (24)
5.3.1802.1X部署方案 (24)
5.3.2802.1X配置 (26)
5.4 DHCP安全威胁解决技术 (27)
5.4.1DHCP安全部署方案 (27)
5.4.2接入交换机安全配置 (28)
结束语 (29)
参考文献 (30)
致谢 (31)
第1章引言
网络时代的全面来临,企业与互联网的关系日趋紧密。CNNIC最新数据表明:94.8%的中小企业配备了电脑、92.7%的中国中小企业接入互联网;57.2%的中小企业正在利用互联网与客户沟通及为客户提供咨询服务。
Internet为中小企业带来了迅速发展的契机,企业规模扩张迅速,因此办公场地频繁迁移,使VPN技术全面发展。与此相对应的传统有线网络,无论是组网灵活性还是投资成本方面,均已无法满足中小企业的快速发展需要。无线局域网在步入11N(300Mbps)时代后,逐渐成为中小企业组网首选。
虚拟专用网(VPN)可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
无线网络推动了数据通信进入了新的里程碑,让办公、工作、学习不再受“线”制。方便实现了移动办公,组建临时工作组,召开紧急会议等不再需要复杂的布线拆线,无线覆盖区域直接可以通过无线进行通信。企业园区网内,可以让员工在不同场所连接上Internet。随着无线网络在各个领域的成功案例以及人们对它的关注程度,无线网络定是未来通信的发展方向,也定能在各领域中得到很好的应用。
随着企业的人员增多,信息点的增加,企业的网络互联大多是通过设备连到信息点,这类网络必然面临着众多问题,例如黑客侵入企业内网、无线网络安全等。
当企业意识到网络问题的严重性时,通常会不断对网络进行改造升级。例如:边界网关部署防火墙,则更换具备管理功能的设备;需要无线网络时,则又单独购置无线AP等设备;需要对访客进行隔离时,可能会采用交换机划分VLAN解决……如此下去,使得本就有限的办公环境,充斥着各种功能的设备,管理也很复杂。上面的一些问题,使得现企业开始对功能全面、管理简便、部署简单的设备,一体化的网络管理设备产生了需求。安全无线局域网、专线、VPN、防火墙、AAA、8021X等技术充分应用在企业网中。
可以预见,在不久的将来,像这样拥有无线安全网络又拥有VPN、防火墙等技术的企业网架构,必将成为中小企业对企业网设计和升级的最新选择[1]。
第2章企业网需求分析
2.1 企业建设背景
蓝狐网络技术公司是一家从事培训、教育的公司,其下属有多个分支机构,聚集了众多职能部门,各部门中运行多种办公业务,其网络担负着为各部门提供信息查询、远程办公、远程教育、辅助决策的职能。
总公司设在长沙,在湘潭有一家分公司以及临时的移动用户。随着业务的不断发展,目前的网络结构已经不能满足发展的需要。为提高决策水平、教学的多样化和办公效率,实现跨省市的信息交换和资源共享,实现总部与各分部语音和视频服务,以及日后的远程智能电视电话会议等。蓝狐网络技术公司计划全面建设网络化的信息系统,以进一步加强信息系统建设。
为保障蓝狐网络公司企业网络安全、稳定、高效的运作,在设计本公司企业网络时实现了如下目标:
1、园区网内所有办公楼中各个楼层、各个办公室的计算机。
2、用户方便接入到Internet。
3、允许合法用户拨入到企业内网。
4、提供服务的网络服务,实现软件、硬件的资源共享,如Web等。
5、提供企业园区网中长沙总部和湘潭分部可靠实时的业务通信。
基于蓝狐网络公司的组网目标,我们设计的网络拓扑如图2-1所示。
图2-1 蓝狐网络公司拓扑
2.2 企业需求分析
基于对网络拓扑的设计基础,公司对无线、广域网和安全提出如下需求。
2.2.1 广域网需求
选择W AN连接时,应根据组网需求靠虑以下因素:
可用性:每种连接方式在其设计、使用和实施上都有其固定的特点。例如,帧中继服务不是在所有的地区都能获得的。
带宽:W AN带宽时非常昂贵的,企业或组织决不能为他们用不到的额外带宽付费。评估能满足用户需求的性价比最高的W AN连接方式时,确定带宽的使用率时一个必要的步骤。
费用:W AN带宽的使用通常占公司信息服务预算的80%左右,评估W AN服务方式
和W AN服务提供商时,费用是一个主要的考虑因素。例如,如果用户每天的广域网线路
使用时间只有1小时,他可能会选择按需拨号连接,如异步连接或ISDN连接。
易管理性:网络设计者经常要考虑对连接进行管理的难易程度。
可靠性:通过W AN链路传输的数据流的重要程度如何?是否需要备份连接?
接入控制:使用专用连接可能有助于网络接入控制,但除非顾客能够访问公司网络的某些部分,否则电子商务不可能大范围得实现。
服务质量(QOS):当前,企业不会像过去那样在乎W AN费用,他们更加聪明,试图从已有得投入中得到尽可能多的产出。
2.2.2 无线需求
蓝狐公司园区网目标是建设一个可运营、可靠性、可扩展性、安全的网络。对企业无线网络的设计提出了更明确的要求:
1、支持精确的无线入侵、射频干扰、非法AP定位和隔离。
2、冗余的中央服务控制保证校园复杂接入环境的安全无线接入。
3、同时支持端到端的网络可靠性保证技术。
4、所有AP均工作在同一Controller群组(cluster)管理下,可在全网范围内实现无缝漫游、设备定位、自动射频管理和安全控制。
5、有线、无线网络管理相结合,集中与分布式管理相结合,为运营维护提供高效率和低成本。
6、为方便企业网络的部署和未来维护的方便性,企业无线网络应具有灵活部署、易于扩展的特性,支持无线接入点的即插即用功能。当然,企业无线网络要具有良好的性价比。
2.2.3 安全需求
网络企业园区网的接入层交换机端口使用802.1X协议,对接入到该网络的用户进行身份认证以及对PC机的健康状况进行检测,如果认证通过并且PC机的健康状况达到标准,则交换机的端口就进入授权状态,允许接入用户访问企业内网。如果认证成功但PC的健康状况没有达到标准,就把该PC划入到Guest vlan中进行PC的系统升级等,然后可以访问企业内网。如果认证失败则不允许接入用户访问内网。
在服务器区接入一台AAA服务器,使用AAA协议实现网络管理员对全网的设备进行统一管理。
在企业园区网的总部和分部楼宇之间部署无线AP,实现公司员工可以利用无线访问企业园区网和Internet互联网。
在广域网中,用专线技术和VPN虚拟专用网的链路冗余备份,实现总部和分部的连接。专线为主链路,当专线出现故障,传输的业务数据可以迅速的迁移到VPN虚拟专用网中。
企业的远程办公人员可以使用CISCO的EZVPN来接入企业内网实现远程办公,同时提供数据的机密行和用户的身份认证。
在企业网络边界,使用防火墙来对企业网和外部网之间的访问进行控制,允许企业内网访问Internet并且放通返回的流量,同时放通Internet访问企业Web的流量。
由于本公司的所有PC的IP地址都是由DHCP服务器获得的,在企业的接入层交换机上部署一些安全措施。如:IP源保护,防ARP欺骗等。
第3章 广域网技术实现
3.1 广域网技术网络拓扑
广域网(W AN )所建立的数据连接将跨越一个广阔的区域。蓝狐网络公司使用W AN 来连接长沙总部和湘潭分部,同时出差用户可以使用PC 远程接入企业内网,这样就可以在遥远的办公室交换信息。为了保证总部和分部的业务达到99.999%的可靠性,在长沙总部和湘潭分部租用2条E1专线,使用E1专线链路捆绑技术作为主链路。封装PPP 协议,使用CHAP 三次握手实现对等体设备认证。使用GRE over IPSEC 作为备份链路。出差的办公用户使用CISCO 的EZVPN 实现远程接入,规划的WAN 拓扑如图3-1所示。
Internet
R5
R6
R7
MP
GRE over IPSEC
远程接入用户
图3-1 企业广域网拓扑
3.2 广域网技术选择
WAN 技术在OSI 互联参考模型最低的3层上起作用:物理层、数据链路层和网络层。通过WAN 服务提供商提供广域通信服务,以实现广阔的地理范围内的带宽访问。
目前WAN 类型有专线连接、电路交换、分组交换、虚拟专用网四种,综合现有部署网络,本项目中总部和分部之间通信业务量大,而电路交换基于ISDN ,它无法保证业务的连续性和高速率。分组交换基于的是帧中继网络,目前,帧中继网络使用的范围比较小,无法保证总部和分部的接入。专线技术能提供持续专有的高速率业务传输,所以把专线连接作为主链路。同时,虚拟专用网由于它的价格低廉,同时能提供高带宽,把它作为备份链路。
3.3 专线技术选择
专线技术是由ISP为企业远程网络节点之间提供的点——点专有线路连接的WAN链路技术。目前典型的专线技术有DDN专线、E1专线、POS专线三种。DDN专线所能提供的最高带宽为2.048Mbps,无法满足企业对带宽的需求。同时,POS专线所提供的带宽很高,但是它的价格非常昂贵。虽然每根E1专线只能提供2M的带宽,但是可以进行E1的捆绑,根据企业的业务需求可以多租几条E1专线,扩展性比较好。
广域网链路的封装协议有:PPP和HDLC。HDLC协议不能提供设备认证,从而缺乏广域网接入的安全性。PPP提供强大的认证协议,它有两种认证方法,PAP和CHAP。CHAP 是一种比PAP强壮的验证方法。CHAP用在一个链路建立的时候,并且使用三次握手周期性地验证远程节点的身份,并且可以在链路建立以后的任何时候重复。在PPP链路建立阶段结束之后,本地路由器放松一条竞争消息给远程节点。远程节点回应一个经过单向哈希函数(MD5)运算过的值。本地路由器把回应值和自己用哈希算法计算出的期望值比较,如果两值匹配,验证就被认可,否则立即结束连接。CHAP通过使用一个可变的竞争值值能够防止回放攻击,该竞争值是唯一和不可预测的[2]。
3.4 VPN的技术选择
3.4.1 通用路由封装协议
两个具有IP可达性的场点之间的GRE隧道可被称为VPN,因为场点之间传输的私有数据被封装在GRE递送报文中。对某些网络层协议(如IP 和IPX)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。
GRE采用了Tunnel(隧道)技术,因此可以使用GRE隧道通过Internet连接公司的众多场点。但由于GRE固有的风险且没有强大的安全机制,因此很少使用它来传输数据。3.4.2 IPSEC VPN
VPN用户关心的主要问题之一是通过公共网络传输的安全性。换句话说,如何在VPN 中阻止他人恶意窃取数据。
IPSec把几种安全技术结合在一起形成一个较为完整的体系,受到了众多厂商的关注和支持。通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec由IP认证头AH(Authentication Header)、IP安全载荷封载ESP (Encapsulated Security Payload)和密钥管理协议组成。
IPSec协议是一个范围广泛、开放的虚拟专用网安全协议。IPSec适应向IP v6迁移,
它提供所有在网络层上的数据保护,提供透明的安全通信。IPSec用密码技术从三个方面来保证数据的安全。
1、认证。用于对主机和端点进行身份鉴别。
2、完整性检查。用于保证数据在通过网络传输时没有被修改。
3、加密。加密IP地址和数据以保证私有性。
IPSec协议可以设置成在两种模式下运行:一种是隧道模式,一种是传输模式。在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中,这样保护数据从总部到分部的安全性。在隧道模式下,信息封装是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。隧道模式是最安全的,但会带来较大的系统开销[3]。
3.4.3 GRE Over IPSEC
GRE Over IPSEC是指先把数据封装成GRE包,然后再封装成IPSEC包。因为GRE 支持动态路由协议和IP的组播和广播,缺乏安全性。而IPSEC来建立场点和场点的连接性时,在支持动态路由选择协议和IP多播方面存在一定的限制,但是它来提供强大的安全性,所以使用GRE Over IPSEC构建的VPN有四种基本功能。
1、创建GRE隧道。
2、使用IPSEC保护GRE隧道。
3、在GRE端点和IPSEC端点之间提供IP连通性。
4、为终端系统提供可行的穿越GRE隧道的路由选择协议。
3.4.4 Easy-VPN
Easy VPN,来源于Remote VPN的技术原理,客户端配置简单,这样可以将一些小的公司或分支机构,通过路由器连接到中心的VPN Server,这样可以减小客户端VPN的配置。其他配置都是在VPN Server的配置。
Easy VPN有两大模式,client和network模式。
Client模式类似客户端软件拨号的方式,这种方式客户端会从服务器获得一个地址,然后所有客户端在访问总部的内部时,客户端会把自己连接的内网,做一个PA T转换,然后利用转换后的IP地址作为源地址,在经过IPSEC封装,经IPSEC隧道,传输到总部的内部网络。但是这种方式,因为客户端PC访问任何网络,都会被PA T,所以并没有办法访问Internet,总部的用户,也无法直接访问客户端的PC[4]。
在项目中,长沙总部和湘潭分部使用GRE over IPSEC作为备份链路,同时使用CISCO 的EZVPN实现远程办公人员的PC接入。
3.5 项目设备选型
Cisco 2800系列由四个新平台组成:Cisco 2801、Cisco 2811、Cisco 2821和Cisco 2851。与相似价位的前几代思科路由器相比,Cisco 2800系列的性能提高了五倍、安全性和话音性能提高了十倍、具有全新内嵌服务选项,且大大提高了插槽性能和密度,同时保持了对目前Cisco 1700系列和Cisco 2600系列中现有90多种模块中大多数模块的支持,从而提供了极大的性能优势。
Cisco 2800系列能以线速为多条T1/E1/xDSL连接提供多种高质量并发服务。这些路由器提供了内嵌加密加速和主板话音数字信号处理器(DSP)插槽;入侵保护和防火墙功能;集成化呼叫处理和语音留言;用于多种连接需求的高密度接口;以及充足的性能和插槽密度,以用于未来网络扩展和高级应用,Cisco 2811路由器如图3-2所示。
图3-2 Cisco 2811路由器
配备LAN Base软件的Cisco? Catalyst? 2960系列交换机,是一系列采用以太网供电(Power Over Ethernet –PoE) 或非PoE配置,可提供桌面快速以太网和千兆以太网连接,并可为入门级企业、中间市场和分支机构网络实现高级局域网服务的固定配置独立式智能以太网设备。Cisco Catalyst 2960 LAN Base系列可提供集成安全性,包括网络准入控制(NAC)、高级服务质量(QoS) 和为网络边缘提供智能服务的永续性。
Cisco Catalyst 2960 LAN Base系列可实现:
1、为多达24个端口提供完全15.4瓦功率的PoE配置。
2、在网络边缘提供高级访问控制列表(ACL) 和增强安全性等智能化特性。
3、支持千兆以太网上行链路灵活性的两用上行链路,允许使用铜缆或光纤上行链路。其中每个两用上行端口分别拥有一个10/100/1000以太网端口和一个基于小形可插拔(SFP) 的千兆以太网端口,每次有一个端口处于激活状态。
4、采用高级QoS、速率限制、ACL和组播服务,提供网络控制和带宽优化。
5、根据用户、端口和MAC地址,并通过多种不同的身份验证方法、数据加密技术和NAC,提供网络安全性。
6、采用Cisco Network Assistant软件,轻松进行网络配置、升级和故障排除。
7、采用Smartports对专业应用进行自动配置。
8、有限终生硬件保修。
Cisco 2960交换机如图3-3所示。
图3-3 Cisco 2960交换机
Cisco Catalyst 3560系列交换机是一个采用快速以太网配置的固定配置、企业级、IEEE 802.3af和思科预标准以太网电源(PoE)的交换机,提供了可用性、安全性和服务质量(QoS)功能,改进了网络运营。Catalyst 3560系列是适用于小型企业布线室或分支机构环境的理想接入层交换机,这些环境将其LAN基础设施用于部署全新产品和应用,如IP电话、无线接入点、视频监视、建筑物管理系统和远程视频信息等。客户可以部署网络范围的智能服务,如高级QoS、速率限制、访问控制列表、组播管理和高性能IP路由,并保持传统LAN交换的简便性。内嵌在Cisco Catalyst 3560系列交换机中的思科集群管理套件(CMS)让用户可以利用任何一个标准的Web浏览器,同时配置多个Catalyst桌面交换机并对其排障。Cisco CMS软件提供了配置向导,它可以大幅度简化融合网络和智能化网络服务的部署,Cisco 3560交换机如图3-4所示。
图3-4 Cisco 3560 交换机
3.6 项目实施方案
长沙总部和湘潭分部连接专线的边界路由器我们定义为R5,在它上面配置认证数据库,实现对R7的身份认证。作为备份链路的边界路由器定义为R6,它要求的IOS支持VPN功能。分部的边界路由器定义为R7,在它上面配置认证数据库,实现对R5的身份认
证,同时它的IOS要支持VPN功能。
3.6.1 总部R5的配置
总部R5接的是E1专线,具体配置代码如下所示。
R5(config)#usename R7 password R7 //创建认证列表
R5(config)#ppp chap hostname R5
R5(config)#int multilink 1 //进入接口multilink 1
R5(config-if)#ppp multilink //配置为PPP多链路
R5(config-if)#ppp multilink group 1 //创建PPP多链路组1
R5(config-if)#ip address 192.168.33.1 255.255.255.252
R5(config-if)#int s0/0
R5(config-if)#encapsulation ppp //配置数据链路层封装
R5(config-if)#ppp authentication chap //开启chap认证
R5(config-if)#ppp multilink //配置为PPP多链路
R5(config-if)#ppp multilink group 1 //接口加入到PPP多链路组1 R5(config-if)bandwidth 2000 //配置带宽为2M
R5(config-if)#int s0/1
R5(config-if)#encapsulation ppp //配置数据链路层封装
R5(config-if)#ppp authentication chap //开启chap认证
R5(config-if)#ppp multilink //配置为PPP多链路
R5(config-if)#ppp multilink group 1 //接口加入到PPP多链路组1 R5(config-if)bandwidth 2000 //配置带宽为2M
3.6.2 总部R6的配置
总部R6为VPN接入,具体配置代码如下所示。
R6(config)#crypto isakmp policy 10
R6(config-isakmp)#hash md5 //配置hash算法
R6(config-isakmp)#authentication pre-share //配置认证方法
R6(config-isakmp)#group 2
R6(config-isakmp)#encryption des //定义加密算法
R6(config-isakmp)#lifetime 86400
R6(config-isakmp)#exit
R6(config)#crypto isakmp identity address
R6(config)#crypto isakmp key cisco address 0.0.0.0 //预共享密钥
cypto ipsec transform-set wanger esp-3des esp-sha-hmac
R6(cfg-crypto-trans)# mode transport
R6(cfg-crypto-trans)#exit
access-list 101 permit ip host 172.1.1.2 host 172.1.3.2 //配置感兴趣流量
R6(config)#crypto map p1 1 ipsec-isakmp //配置加密图
R6(config-crypto-map)#set peer 172.1.3.2
R6(config-crypto-map)#set transform-set wanger
R6(config-crypto-map)#match address 101
R6(config-crypto-map)#exit
R6(config)#int s0/2
R6(config-if)#crypto map p1 //将加密图绑定接口
R6(config-if)#exit
R6(config)#int tunnel 0 //定义tunnel口
R6(config-if)#ip add 192.168.35.5 255.255.255.252
R6(config-if)#tunnel source 172.1.1.2 //指定tunnel源
R6(config-if)#tunnel destination 172.1.3.2 //指定tunnel目标
R6(config-if)#exit
R6(config)#crypto isakmp client configuration group //EZVPN建立拨入组
R6(config-isakmp-group)#key 123
R6(config-isakmp-group)#pool xiangtan //建立为客户端分配IP地址池
R6(config-isakmp-group)#exit
R6(config)#ip local pool xiangtan 192.168.25.2 192.168.25.254
R6(config)#aaa new-model //启用AAA认证机制
R6(config)#aaa authentication login vpnclient local //建立一个AAA认证列表R6(config)#aaa authorization network vpngroup local //建立一个AAA认证授权列表
R6(config)#username wanger password wanger
R6(config)#crypto dynamic-map ezvpn 1 //定义动态map
R6(config-crypto-map)#set transform-set wanger
R6(config-crypto-map)#exit
R6(config)#crypto map p1 3 ipsec-isakmp dynamic ezvpn //建立静态map,并关联动态
map
R6(config)#crypto map p1 client authentication list vpnclient
R6(config)#crypto map p1 isakmp authorization list vpngroup
R6(config)#crypto map p1 client configuration address respond
R6(config)#int s0/2 //应用到接口
R6(config-if)#crypto map p1
R6(config-if)#exit
3.6.3 分部R7配置
分部R7接入的有E1专线、VPN,具体配置代码如下所示。
R7(config)#usename R5 password R5 //创建认证列表
R5(config)#ppp chap hostname R7
R7(config)#int multilink 1 //进入接口multilink 1
R7(config-if)#ppp multilink //配置为PPP多链路
R7(config-if)#ppp multilink group 1 //创建PPP多链路组1
R7(config-if)#ip add 192.168.33.2 255.255.255.252
R7(config-if)#int s0/0
R7(config-if)#encapsulation ppp //配置数据链路层封装
R7(config-if)#ppp authentication chap //开启chap认证
R7(config-if)#ppp multilink //配置为PPP多链路
R7(config-if)#ppp multilink group 1 //将接口加入到PPP多链路组1 R7(config-if)bandwidth 2000 //配置带宽为2M
R7(config-if)#int s0/1
R7(config-if)#encapsulation ppp //配置数据链路层封装
R7(config-if)#ppp authentication chap //开启chap认证
R7(config-if)#ppp multilink //配置为PPP多链路
R7(config-if)#ppp multilink group 1 //将接口加入到PPP多链路组1 R7(config-if)bandwidth 2000 //配置带宽为2M
R7(config)#crypto isakmp policy 10
R7(config-isakmp)#hash md5 //定义hash算法
R7(config-isakmp)#authentication pre-share //定义认证类型
R7(config-isakmp)#group 2 //定义group
R7(config-isakmp)#encryption des //定义加密算法
R7(config-isakmp)#lifetime 86400
R7(config-isakmp)#exit
R7(config)#crypto isakmp identity address
R7(config)#crypto isakmp key cisco address 172.1.1.2 //定义预共享密钥
cypto ipsec transform-set wanger esp-3des esp-sha-hmac
R7(cfg-crypto-trans)# mode transport
R7(cfg-crypto-trans)#exit
access-list 101 permit ip host 172.1.3.2 host 172.1.1.2 //配置感兴趣流量
R7(config)#crypto map p1 10 ipsec-isakmp //定义加密图
R7(config-crypto-map)#set peer 172.1.1.2
R7(config-crypto-map)#match address 101
R7(config-crypto-map)#exit
R7(config)#int s0/2
R7(config-if)#crypto map p1 //绑定静态map
R7(config-if)#exit
R7(config)#int tunnel 0 //定义tunnel口
R7(config-if)#ip add 192.168.35.6 255.255.255.252
R7(config-if)#tunnel source 172.1.3.2 //指定tunnel源
R7(config-if)#tunnel destination 172.1.1.2 //指定tunnel目标
R7(config-if)#exit
3.6.4 项目调试
PC远程接入VPN采用的是第三方软件,它是图形化操作,如图3-5所示。