課程設計報告-vpn體系結構設計

1、<p>　　課 程 設 計</p><p><b>　　VPN體系結構設計</b></p><p>　　姓 名 </p><p><b>　　院（系） </b></p><p><b>　　專業(yè)年級 </b></p><

2、p>　　學 號 </p><p><b>　　指導教師 </b></p><p><b>　　職 稱 </b></p><p><b>　　起止時間 </b></p><p><b>　　課程設計目錄</b></

3、p><p><b>　　設計目的</b></p><p><b>　　設計思路</b></p><p>　　2.1 VPN定義</p><p>　　2.2 VPN結構和分類</p><p>　　2.3 VPN工作原理</p><p>　　2.4 V

4、PN的關鍵技術</p><p><b>　　主要元器件與設備</b></p><p><b>　　設計過程</b></p><p>　　4.1 VPN 實驗拓撲圖 </p><p>　　4.2 VPN實驗內(nèi)容</p><p><b>　　VPN配置命令</

5、b></p><p>　　五、 系統(tǒng)調(diào)試與結果</p><p><b>　　六、 課程設計體會</b></p><p><b>　　設計目的</b></p><p>　　a) 能夠配置VPN，使VPN客戶能夠通過VPN遠程接入企業(yè)網(wǎng)絡中心和企業(yè)分支結構PC能ping總部內(nèi)部服務器。</p

6、><p>　　b) 了解VPN的基本概念</p><p>　　c) 熟悉VPN的工作原理</p><p>　　d) 了解VPN的加密算法</p><p>　　e) 熟悉IPsec VPN技術</p><p>　　f) 能夠在Cisco路由器上配置IPsec VPN</p><p><b>

7、　　設計思路</b></p><p>　　2.1 VPN定義</p><p>　　VPN（Virtual Private Network虛擬專用網(wǎng)）是通過在兩臺計算機之間建立一條專用連接從而達到在共享或者公共網(wǎng)絡（一般是指Internet）上傳輸私有數(shù)據(jù)的目的，即所謂的“化公為私”的這樣一種技術。之所以稱為虛擬網(wǎng)主要是因為整個VPN網(wǎng)絡的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所

8、需的端到端的物理鏈路，而是架構在公用網(wǎng)絡服務商所提供的網(wǎng)絡平臺（Internet、ATM、 Frame Relay等）之上的邏輯網(wǎng)絡，用戶數(shù)據(jù)在邏輯鏈路中傳輸 。通過采用相應的加密和認證技術來保證用內(nèi)部網(wǎng)絡數(shù)據(jù)在公網(wǎng)上安全傳輸，從而真正實現(xiàn)網(wǎng)絡數(shù)據(jù)的專用性。這樣，各個組織可以通在Internet上建立私有的WAN，來和自己的分支組織以及遠程用戶通信，從而進一步拓展了業(yè)務。它的吸引人之處在于它基于分布廣泛、全球化的Internet，并提供

9、了一種快速、安全、廉價的建立通信鏈接的辦法。下圖即為典型的企業(yè)VPN的系統(tǒng)組成。</p><p>　　2.2 VPN的結構和分類</p><p>　　2.3 VPN的工作原理</p><p>　　2.4 VPN的關鍵技術</p><p><b>　　安全隧道技術</b></p><p>&l

10、t;b>　　信息加密技術</b></p><p><b>　　用戶認證技術</b></p><p><b>　　訪問控制技術</b></p><p><b>　　主要元器件與設備</b></p><p>　　1、專有Windows操作系統(tǒng)的PC。</p&

11、gt;<p>　　2、Cisco模擬軟件</p><p>　　3、 2811型號路由器、2960型號交換機、總部服務器Server-PT、集線器Hub-PT、PC等</p><p><b>　　設計過程</b></p><p>　　4.1 VPN實驗拓撲圖</p><p>　　4.2 VPN實驗內(nèi)容&l

12、t;/p><p>　　實驗拓撲圖：R1模擬總部VPN網(wǎng)關，R0模擬Internet網(wǎng)，R2模擬能上Internet網(wǎng)的接入路由器（該路由器具有NAT功能）。R3模擬企業(yè)分支結構的路由器，外出移動辦公的筆記本能通過R2進行VPN連接到公司總部的Web服務器。分支結構的PC能和總部PC進行互ping。</p><p>　　R0、R1、R2、R3都選用2821型號的路由器，它們之間通過DCE線連接；

13、筆記本、服務器與路由器之間通過交叉線相連。</p><p><b>　　IP地址規(guī)劃如下：</b></p><p>　　總部服務器Server-PT：192.168.1.1/24。</p><p>　　總部路由器R1：fa0/0: 192.168.1.254/24，Se0/3/0: 100.1.1.2/24。</p><p&

14、gt;　　Internet路由器R0：Se0/1/0: 200.1.1.1 Se0/2/0: 150.1.1.1 Se0/3/0: 100.1.1.1</p><p>　　遠端接入路由器R2：Se0/3/0: 200.1.1.2/24，fa0/0: 172.16.1.254/24。</p><p>　　企業(yè)分支結構路由器R3：fa0/1 ：192.168.1.2/24 Se0/3/0

15、 150.1.1.1</p><p>　　辦公筆記本Laptop-PT：172.16.1.1/24</p><p>　　1、總部路由器R1的配置：</p><p><b>　　R1>ena</b></p><p><b>　　R1#conf t</b></p><p>

16、　　R1(config)#int fa0/0</p><p>　　R1(config-if)#ip address 192.168.1.254 255.255.255.0</p><p>　　R1(config-if)#no shutdown </p><p>　　R1(config-if)#exit</p><p>　　R1(config)

17、#int S0/3/0</p><p>　　R1(config-if)#ip address 100.1.1.2 255.255.255.0</p><p>　　R1(config-if)#no shutdown</p><p>　　R1(config-if)#exit</p><p><b>　　為R1配置靜態(tài)路由</b&g

18、t;</p><p>　　R1(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.1</p><p>　　2、Internet路由器R0的配置</p><p><b>　　R0>ena</b></p><p><b>　　R0#conf t</b></p&

19、gt;<p>　　R0(config)#int S0/1/0</p><p>　　R0(config-if)#ip address 200.1.1.1 255.255.255.0</p><p>　　R0(config-if)#no shutdown </p><p>　　R0(config-if)#exit</p><p>　

20、　R0(config)#int S0/2/0</p><p>　　R0(config-if)#ip address 150.1.1.1 255.255.255.0</p><p>　　R0(config-if)#no shutdown </p><p>　　R0(config-if)#exit</p><p>　　R0(config)#int

21、 S0/3/0</p><p>　　R0(config-if)#ip address 100.1.1.1 255.255.255.0</p><p>　　R0(config-if)#no shutdown</p><p>　　3、遠端接入路由器R2的配置</p><p><b>　　R2>ena</b></p

22、><p><b>　　R2#conf t</b></p><p>　　R2(config)#int S0/3/0</p><p>　　R2(config-if)#ip address 200.1.1.2 255.255.255.0</p><p>　　R2(config-if)#ip nat outside //定

23、義NAT對外接口</p><p>　　R2(config-if)#no shutdown </p><p>　　R2(config-if)#exit</p><p>　　R2(config)#int fa0/0</p><p>　　R2(config-if)#ip address 172.16.1.254 255.255.255.0</

24、p><p>　　R2(config-if)#ip nat inside //定義NAT對內(nèi)接口</p><p>　　R2(config-if)#no shutdown</p><p>　　R2(config-if)#exit</p><p>　　R2(config)#ip nat inside source list 1 interfa

25、ce S0/3/0 overload</p><p><b>　　為R2配置靜態(tài)路由</b></p><p>　　R2(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.1</p><p><b>　　配置列表</b></p><p>　　R2(config)#acc

26、ess-list 1 permit 172.16.1.0 0.0.0.255 //定義訪問列表</p><p>　　4、企業(yè)分支結構路由R3的配置</p><p><b>　　R3>ena</b></p><p><b>　　R3#conf t</b></p><p>　　R3(conf

27、ig)#int S0/3/0</p><p>　　R3(config-if)#ip address 150.1.1.2 255.255.255.0</p><p>　　R3(config-if)#ip nat outside //定義NAT對外接口</p><p>　　R3(config-if)#no shutdown </p><p&

28、gt;　　R3(config-if)#exit</p><p>　　R3(config)#int fa0/1</p><p>　　R3(config-if)#ip address 192.168.1.2 255.255.255.0</p><p>　　R3(config-if)#ip nat inside //定義NAT對內(nèi)接口</p>&l

29、t;p>　　R3(config-if)#no shutdown</p><p>　　R3(config-if)#exit</p><p>　　R3(config)#ip nat inside source list 1 interface S0/3/0 overload</p><p><b>　　為R3配置靜態(tài)路由</b></p&

30、gt;<p>　　R3(config)#ip route 0.0.0.0 0.0.0.0 150.1.1.1</p><p><b>　　配置列表</b></p><p>　　R3(config)#access-list 1 permit 192.168.1.0 0.0.0.255 //定義訪問列表</p><p>　　4、

31、為服務器和筆記本配置IP地址</p><p>　　為總部服務器Server-PT配置IP地址：192.168.1.1/24，默認網(wǎng)關：192.168.1.254。</p><p>　　為辦公筆記本Laptop-PT配置IP地址：172.16.1.1/24，默認網(wǎng)關：172.16.1.254。</p><p>　　為分支結構的PC配置IP地址: PC0：192.168

32、.1.3/24 PC1:192.168.1.4/24 PC2:192.168.5/24 默認網(wǎng)關：192.168.1.254</p><p>　　4.3 VPN配置命令</p><p>　　在總部路由器R1上做VPN配置，其配置如下：</p><p><b>　　1、配置認證策略</b></p><p><

33、;b>　　開啟AAA認證</b></p><p>　　R1(config)#aaa new-model</p><p>　　R1(config)#aaa authentication login eza local</p><p>　　命配置對遠程接入IPSec連接的授權，組名為ezo</p><p>　　R1(config

34、)#aaa authorization network ezo local</p><p><b>　　創(chuàng)建用戶名和密碼</b></p><p>　　R1(config)#username chenzhihui password 113</p><p>　　對IPSEC階段一的安全參數(shù)進行配置</p><p>　　R1(

35、config)#crypto isakmp policy 10</p><p>　　R1(config-isakmp)#hash md5 </p><p>　　R1(config-isakmp)#authentication pre-share </p><p>　　R1(config-isakmp)#group 2</p><p>　　為

36、VPN客戶端接入后分配地址</p><p>　　R1(config)#ip local pool ez 192.168.2.1 192.168.2.10</p><p>　　VPN的組和密碼配置</p><p>　　R1(config)#crypto isakmp client configuration group myez</p><p>

37、;　　R1(config-isakmp-group)#key 113</p><p>　　R1(config-isakmp-group)#pool ez</p><p>　　對IPSEC階段二的配置</p><p>　　R1(config)#crypto ipsec transform-set tim esp-3des esp-md5-hmac</p>

38、<p><b>　　動態(tài)加密</b></p><p>　　R1(config)#crypto dynamic-map ezmap 10</p><p>　　R1(config-crypto-map)#set transform-set tim</p><p>　　對VPN認證、授權配置（list是調(diào)用上面的AAA配置名）</p

39、><p>　　R1(config)#crypto map tom client authentication list eza</p><p>　　R1(config)#crypto map tom isakmp authorization list ezo</p><p>　　R1(config)#crypto map tom client configuration

40、 address respond</p><p>　　進行動態(tài)加密的靜態(tài)綁定</p><p>　　R1(config)#crypto map tom 10 ipsec-isakmp dynamic ezmap</p><p><b>　　綁定到接口</b></p><p>　　R1(config)#interface S

41、0/3/0</p><p>　　R1(config-if)#cr</p><p>　　R1(config-if)#crypto m</p><p>　　R1(config-if)#crypto map tom</p><p><b>　　系統(tǒng)調(diào)試與結果</b></p><p><b>　

42、　調(diào)試一：</b></p><p>　　VPN客戶能夠通過VPN遠程接入企業(yè)網(wǎng)絡中心</p><p>　　首先，在拓撲圖上雙擊筆記本Laptop-PT，選擇“Desktop”，再選擇“command pormpt”，ping一下總部的公網(wǎng)地址100.1.1.2，通了后再ping總部內(nèi)的服務器192.168.1.1，此時是無法ping通的。接下來進行VPN連接：</p>

43、;<p>　　依然在“Desktop”下選擇“VPN”，依次輸入如下信息：</p><p>　　GroupName: myez</p><p>　　Group key: 113</p><p>　　Host IP: 100.1.1.2</p><p>　　Username: chenzhihui</p><p

44、>　　Password: 113</p><p>　　點擊“connect”后，會提示連接正常，并會顯示一個192.168.2.X的地址?？梢酝ㄟ^在“Desktop”下的Web Browser中輸入IP：192.168.1.1，來訪問總部的Web服務器</p><p><b>　　調(diào)試二：</b></p><p>　　企業(yè)分支結構的PC能

45、ping總部內(nèi)部服務器</p><p>　　在拓撲圖上雙擊PC1，選擇“Desktop”，再選擇“command pormpt” ，ping總部內(nèi)的服務器192.168.1.1</p><p><b>　　調(diào)試截圖：</b></p><p>　　能ping總公司的地址100.1.1.2</p><p>　　不能ping總

46、部內(nèi)部服務器192.168.1.1</p><p><b>　　VPN連接</b></p><p><b>　　VPN連接成功</b></p><p>　　訪問總部Web服務器</p><p><b>　　調(diào)試二：</b></p><p>　　企業(yè)分支結

47、構PC1能ping總部內(nèi)部服務器192.168.1.1</p><p><b>　　六、課程設計體會</b></p><p>　　通過這次課程設計，我對VPN虛擬專用網(wǎng)有了深刻的了解，對Cisco模擬器也有了一定得了解，一開始選這個VPN體系結構設計這個課題的時候覺得挺難的，但是在從網(wǎng)上了解VPN技術之后，自己在Cisco模擬器上大膽的嘗試設計VPN拓撲圖然后自己又編