【实验名称】
远程访问IPsec VPN准入控制
【实验目的】
学习配置远程访问(Remote Access)IPsec VPN隧道,并且对远程接入的VPN用户进行准入控制。 【背景描述】
假设某员工正在外地出差,但需要访问公司内部的服务器资源,而这些服务器资源因安全性考虑并不直接在公网上开放,因此该员工必须通过先和公司建立VPN隧道,再获得访问内部资源的权利。但是出差员工在通过VPN接入到公司内部网络之前,需要对其进行一些安全检查,保证内部网络的安全性。
【需求分析】
需求:解决出差员工和公司之间通过Internet进行数据传输的安全问题,并且进行有条件的远程接入。
分析:IPsec VPN技术通过隧道技术、加解密技术、密钥管理技术、认证技术等有效地保证了数据在Inte
rnet中传输的安全性,是目前最安全、使用最广泛的VPN技术。我们可以通过建立远程访问的IPsec VPN加密隧道,实现出差员工和公司之间安全的数据传输。在远程用户接入到网络之前,为了保证接入到内部网络的用户不会对内部网络产生威胁,需要对接入用户的身份、系统状态等进行检查。
【实验拓扑】
电视机天线制作
【实验设备】
RG-SRA安全远程接入系统软件1套
路由器1台
PC 2台(1台作为公司内部服务器,1台作为远程接入用户并安装SRA软件)
【预备知识】
脉动压力传感器网络基础知识
网络安全基础知识
VPN基础知识
纸张打孔机IPsec工作原理
【实验原理】
IPsec(IP security,IP安全性)的主要作用是为IP数据通信提供安全服务。IPsec不是一个单独协议,它是一套完整的体系框架,包括AH、ESP和IKE三个协议。IPsec使用了多种加密算法、散列算法、密钥交换方法等为IP数据流提供安全性,它可以提供数据的机密性、数据的完整性、数据源认证和反重放等安全服务。
使用IPsec可以构建两种不同接入方式的VPN,即远程访问VPN和站点到站点VPN,本实验中我们使用IPsec来构建远程访问VPN。
远程用户PC与公司VPN网关通过IKE自动协商建立起远程访问IPsec VPN加密隧道,使得远程用户PC能安全地访问到VPN网关所保护的内部服务器。
远程用户PC在和VPN网关建立VPN隧道前,需要先获得VPN网关的身份验证许可。该实验所采用的用户身份验证为口令方式。
远程用户PC在通过VPN网关的身份验证后,VPN网关会自动将VPN隧道建立(即IKE协商)所需要的配置下发给远程用户PC,然后远程用户PC与VPN网关之间自动开始IKE协商,协商成功后VPN隧道即
建立成功。整个过程系统自动完成,无需人为干预,是免配置的典型方式。
为了保证接入用户和其系统状态不会对内部网络产生威胁,可以在VPN网关侧配置接入控制功能,这样只有远程用户符合一系列的接入规则后,才允许与VPN网关成功建立隧道,访问内部资源。
【实验步骤】
第一步:准备好PC机和服务器
在远程用户PC上安装SRA远程接入软件,安装完成后可能需要重新启动PC。
在服务器PC上安装VPN管理软件。
具体的安装过程不在这里进行详述。
减温减压第二步:搭建拓扑,配置IP地址
按照拓扑图搭建实验拓扑,并根据如下编址方案配置各设备的IP地址:
VPN网关的eth1接口地址:192.168.2.1
VPN网关的eth0接口地址:10.1.1.1
PC机的IP地址:10.1.2.1
PC 机的网关地址:10.1.2.2
服务器的IP地址:192.168.2.2
服务器的网关地址:192.168.2.1
Router的F0/0地址:10.1.1.2
Router的F0/1地址:10.1.2.2
这里PC及Router地址的配置方式不再进行详述。
1、通过服务器的超级终端,在命令行下配置VPN网关的eth1口地址,操作如下:
注意:VPN网关出厂时eth1口默认地址为192.168.1.1/24。
2、通过服务器上的VPN管理软件登录VPN网关,然后配置eth0口地址,操作如下:
直接双击eht0接AR空间定位
口图标
设置eth0接口地址:剖分式骨架油封
第三步:配置IPsec VPN 隧道
1、进入远程移动用户VPN 隧道配置的界面
登录VPN
网关的管理界面,进入“远程用户管理”界面,如下图所示:
2、配置“允许访问子网”
3、配置“本地用户数据库”
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议