【正文】 n /*定義tunnel的目的IP即Headquarter路由器外網(wǎng)口的IP要使Headquarter和Branch能夠通信還需要在這兩臺(tái)路由器上配置路由協(xié)議，這里考慮到內(nèi)網(wǎng)使用的路由協(xié)議時(shí)OSPF所以在Headquarter和Branch上也配置OSPF路由協(xié)議。Headquarter路由器上配置路由協(xié)議：router ospf 100 /*啟用OSPF進(jìn)程 network area 0 /*把f 2/0口參與OSPF進(jìn)程 network area 0 /*把tunnel口參與OSPF進(jìn)程 network area 0 /*把f 0/0口參與OSPF進(jìn)程Branch路由器上配置路由協(xié)議：router ospf 100 /*啟用OSPF進(jìn)程network area 0 /*把f 2/0口參與OSPF進(jìn)程network area 0 /*把tunnel口參與OSPF進(jìn)程至此GRE和路由都配置完畢，現(xiàn)在Headquarter和Branch就能夠通信了從Branch可以ping通Headquarter了，如圖37所示圖37 總部與分部能夠互相通信 PPTP VPN的配置在本設(shè)計(jì)中PPTP VPN使用Windows 2003做VPN服務(wù)器。1）服務(wù)器端的配置（1）配置Internet驗(yàn)證服務(wù)器即RADIUS服務(wù)器的配置這里Internet驗(yàn)證服務(wù)器把路由和遠(yuǎn)程訪問服務(wù)器做為自己客戶端，而這兩個(gè)服務(wù)都在同一臺(tái)電腦上所以填寫的客戶端的IP地址就是本機(jī)自己的IP地址。（2）配置路由和遠(yuǎn)程訪問服務(wù)器在路由和遠(yuǎn)程訪問服務(wù)器上需要配置一個(gè)虛擬IP地址池，這些IP地址是分配給撥入VPN服務(wù)器的客戶端的。在路由和遠(yuǎn)程訪問服務(wù)器里需要配置RADIUS服務(wù)器的信息，就是路由和遠(yuǎn)程訪問服務(wù)器捕獲的驗(yàn)證消息轉(zhuǎn)交給Internet驗(yàn)證服務(wù)器，由Internet驗(yàn)證服務(wù)器來驗(yàn)證用戶是否合法，這里Internet驗(yàn)證服務(wù)器和路由和遠(yuǎn)程訪問服務(wù)器在同一臺(tái)服務(wù)器上所以服務(wù)器的IP為自身的IP地址。 radius身份驗(yàn)證的端口有1812和1645，記賬端口有1813和1646，然后需要配置機(jī)密為123456，也就是在Internet驗(yàn)證服務(wù)器上配置的共享的機(jī)密，如圖38所示。圖38 設(shè)置共享的機(jī)密配置身份驗(yàn)證方法，為了增加安全身份認(rèn)證方法選擇MSCHAP、MSCHAP v2和CHAP，如圖39所示。圖39 設(shè)置身份驗(yàn)證方法（3）配置允許進(jìn)行VPN撥入的賬戶在Active Directory用戶和計(jì)算機(jī)里新建一個(gè)用戶，這個(gè)用戶是客戶端撥入總部所使用的用戶名。2）客戶端的配置（1）在虛擬機(jī)里安裝一臺(tái)Windows XP做為客戶端，在Windows XP中打開網(wǎng)絡(luò)連接，創(chuàng)建一個(gè)新的連接。（2），完成客戶端的配置。（3）客戶端配置完成后現(xiàn)在就可以進(jìn)行VPN的連接了，打開剛才VPN連接，輸入用戶名和密碼，點(diǎn)擊連接。（4）連接成功后的信息，如圖310和圖311所示圖310客戶端PPTP VPN的信息圖311客戶端獲得的IP到此PPTP VPN 配置完畢。 L2TP VPN的配置L2TP（Layer Two Tunneling Protocol，第二層通道協(xié)議）是VPDN（虛擬專用撥號(hào)網(wǎng)絡(luò)）技術(shù)的一種，專門用來進(jìn)行第二層數(shù)據(jù)的通道傳送，即將第二層數(shù)據(jù)單元，如點(diǎn)到點(diǎn)協(xié)議（PPP）數(shù)據(jù)單元，封裝在IP或UDP載荷內(nèi)，以順利通過包交換網(wǎng)絡(luò)（如Internet），抵達(dá)目的地。它使用兩種類型的消息：控制消息和數(shù)據(jù)隧道消息?？刂葡⒇?fù)責(zé)創(chuàng)建、維護(hù)及終止L2TP隧道，而數(shù)據(jù)隧道消息則負(fù)責(zé)用戶數(shù)據(jù)的真正傳輸。L2TP支持標(biāo)準(zhǔn)的安全特性CHAP和PAP，可以進(jìn)行用戶身份認(rèn)證。在安全性考慮上，L2TP僅定義了控制消息的加密傳輸方式，對(duì)傳輸中的數(shù)據(jù)并不加密。L2TP VPN比PPTP VPN的配置就多了一個(gè)IPSec的預(yù)共享密鑰所以只需要在服務(wù)器端和客戶端配置一個(gè)相同的預(yù)共享密鑰就好了。1）服務(wù)器的配置在路由與遠(yuǎn)程訪問服務(wù)器中為L(zhǎng)2TP連接允許定義IPSec策略，并輸入預(yù)共享密鑰123，如圖312所示。圖312 設(shè)置預(yù)共享密鑰2）客戶端的配置 客戶端需要在IPSec中設(shè)置使用預(yù)共享的密鑰作為身份驗(yàn)證，并輸入預(yù)共享密鑰，這里的預(yù)共享密鑰要與服務(wù)器端定義的密鑰是一樣的，否則客戶端不能成功連接VPN服務(wù)器的，輸入用戶名密碼并連接。連接成功后如圖313和314所示。圖313客戶端L2TP VPN的信息圖314連接成功后的信息 IPSec VPN的配置本設(shè)計(jì)中在Headquarter路由器和Branch路由器上建立一條IPSec VPN隧道，是進(jìn)入VPN隧道的數(shù)據(jù)都進(jìn)行加密處理。IPSec VPN配置步驟如下：1）adquarter路由器上IPSec VPN的配置l 首先先定義感興趣的流量，只有這些感興趣的流量才會(huì)進(jìn)入IPSec VPN隧道accesslist 101 permit gre host host /*定義允許走GRE通道的數(shù)據(jù)能夠進(jìn)入IPSec VPN隧道。l 定義IKE1階段策略IKE1階段 強(qiáng)制性階段1在IPSec對(duì)等體之間建立一個(gè)雙向SA，終端設(shè)備之間使用相同密鑰。執(zhí)行對(duì)等體驗(yàn)證，確認(rèn)IPSec端點(diǎn)身份 IKE建立雙向SA時(shí)可以采取2種模式主模式/積極模式 階段一完成參數(shù)協(xié)商 如哈希分發(fā)和變換集。crypto isakmp policy 10 /*定義一個(gè)策略10，建立IPSec VPN兩端的策略要一致 authentication preshare /*認(rèn)證方式有三種預(yù)共享密鑰、rsa數(shù)字簽名、rsa加密 hash sha /*消息完整性算法有兩種sha和MD5默認(rèn)是sha encryption des /*加密算法有三種3des、aes、des默認(rèn)是des group 2 /*定義密鑰交換參數(shù)group有三個(gè)參數(shù)5,1使用768位密鑰，2使用1024位密鑰crypto isakmp key cisco address /*確定使用的預(yù)共享密鑰這里為cisco 和目的路由器的IP地址。l 定義IKE2階段策略IKE2階段 強(qiáng)制性階段2利用階段1同意的參數(shù)在IPSec端點(diǎn)之間實(shí)現(xiàn)單向SA 使用單向SA也就意味著每個(gè)方向都要使用獨(dú)立的密鑰素材，階段2使用IKE的快速模式來建立每個(gè)方向的單向SA。crypto ipsec transformset myset esp3des espmd5hmac /*配置IPSec轉(zhuǎn)換集crypto map mymap 1 ipsecisakmp /*配置加密映射 set peer /*指定對(duì)等體 set transformset myset /*加載加密算法 match address 101 /*加載定義的ACL interface serial1/0 /*進(jìn)入外網(wǎng)接口crypto map mymap /*將定義的密碼圖應(yīng)用到接口上到此Headquarter路由器上的IPSec VPN就配置完畢2）驗(yàn)證IPSec VPN在Headquarter路由器上show crypto isakmp sa查看IPSec VPN狀態(tài)已經(jīng)是出于活動(dòng)狀態(tài)如圖315所示。圖315 查看已經(jīng)建立VPN連接的路由器 在Headquarter路由器上show crypto IPSec sa查看已經(jīng)有數(shù)據(jù)包被加密和被解密，如圖316所示。圖316 查看加密的數(shù)據(jù)包再?gòu)姆植縫ing總部的服務(wù)器地址并在Headquarter路由器外網(wǎng)口抓包所抓到的包都是經(jīng)過ESP加密的，如圖317所示。圖317 VPN通道里加密的數(shù)據(jù)包到此IPSec VPN配置完畢。 Cisco EasyVPN的配置1）服務(wù)器端的配置在Headquarter路由器上配置Easy VPN的server端username xu password cisco /*定義本地用戶數(shù)據(jù)庫(kù)aaa newmodel /*啟用AAA認(rèn)證aaa authorization network easyvpn local /*定義授權(quán)訪問列表這里為easyVPNaaa authentication login nj local /*定義登陸驗(yàn)證列表這里為njip local pool vpool /*定義虛擬IP地址池l IKE1階段策略crypto isakmp policy 10 /*定義一個(gè)策略10authentication preshare /*使用預(yù)共享密鑰hash sha /*定義消息完整性算法encryption 3des /*定義加密算法，客戶端只支持3desgroup 2 /*定義密鑰交換參數(shù)，客戶端只支持group2crypto isakmp client configuration group easyvpn /*調(diào)用授權(quán)訪問列表key cisco /*設(shè)置預(yù)共享密鑰，這里為ciscodomain /*定義客戶端獲得的域名，可選參數(shù)dns /*定義客戶端獲得的DNS服務(wù)器的地址pool vpool /*加載上面定義的虛擬IP地址池l IKE2階段策略crypto IPSec transformset myset esp3des espmd5hmac /*配置裝換集crypto dynamicmap dyn 1 /*動(dòng)態(tài)加密映射set transformset myset /*加載裝換集reverseroute /*反向路由注入crypto map mymap 10 IPSecisakmp dynamic dyn /*將動(dòng)態(tài)映射到靜態(tài)crypto map mymap client authentication list nj /*定義客戶端使用的驗(yàn)證列表crypto map mymap isakmp authorization list easyvpn /*定義授權(quán)訪問列表crypto map mymap client configuration address respond /*向客戶端推送配置interface serial1/0crypto map mymap /*將定義的密碼圖應(yīng)用到接口上2）客戶端的配置 在分部或移動(dòng)的主機(jī)上安裝Cisco VPN Client這個(gè)軟件點(diǎn)擊[new]按鈕添加VPN服務(wù)器的信息Connection Entry自己可以給他起個(gè)名字這里填入headquarter，,Name應(yīng)填寫VPN 服務(wù)器端定義的訪問列表的名字為easyVPN，這里的password是預(yù)共享密鑰為cisco，點(diǎn)擊Save保存。如圖318所示。圖318設(shè)置預(yù)共享密鑰然后點(diǎn)擊Connect 會(huì)出現(xiàn)如下的對(duì)話框，在彈出的對(duì)話框里填入VPN端在用戶數(shù)據(jù)庫(kù)里定義好的一個(gè)用戶這里填入上面定義的一個(gè)用戶，輸入用戶名和密碼，然后確定，如圖319所示。圖319登陸驗(yàn)證3）Cisco Easyvpn的驗(yàn)證連接成功后在客戶端通過ipfig來查看VPN的信息，如圖320。圖320客戶端獲得的IP地址在總部的ping 這個(gè)虛擬IP，并在Branch路由器的外網(wǎng)口進(jìn)行抓包發(fā)現(xiàn)所傳送的數(shù)據(jù)包都是被ESP進(jìn)行加密過的，如圖321所示。圖321 VPN通道里的加密數(shù)據(jù)到此Easy VPN的配置完畢。 Cisco SSL VPN的配置SSL VPN利用內(nèi)置在Web瀏覽器中的SSL加密和驗(yàn)證功能，并與安全網(wǎng)關(guān)相結(jié)合，提供安全遠(yuǎn)程訪問企業(yè)應(yīng)用的機(jī)制，SSL VPN的好處就是客戶端不需要安裝VPN軟件，大大簡(jiǎn)化的用戶的使用難度。1）服務(wù)端的配置因?yàn)檫@里定義的虛擬IP池和內(nèi)網(wǎng)不在同一個(gè)網(wǎng)段，所以要?jiǎng)?chuàng)建一個(gè)環(huán)回口作為SSL VPN客戶端的網(wǎng)關(guān)。 interface loopback0 ip address /*配置回環(huán)口的地址 aaa newmodel /*啟用AAA認(rèn)證aaa authentication login webvpn local ip local pool vpool /*定義虛擬IP地址池username xuaaa password 123 /*定義本地用戶數(shù)據(jù)庫(kù)webvpn gateway sslgateway /*定義webVPN在哪個(gè)端口上監(jiān)聽ip address port 443 /*定義監(jiān)聽端口的IP和端口號(hào)inservice /*啟用webVPN gateway配置exitwebvpn context webcontext /*定義webVPN的上下文gateway sslgateway /*將context和sslgateway關(guān)聯(lián)aaa authentication list webvpn /*將context和sslgateway關(guān)聯(lián)inservice