远程访问VPN配置和验证实验:构建安全的远程连接
【目的】
了解远程访问VPN 的含义。掌握远程访问VPN的含义。掌握如何使用VPN客户端软件。检查您的配置。
[实验拓扑]
实验拓扑如下图所示。
实验拓扑
设备参数表如下所示。
设备参数表
设备
|
界面
|
IP地址
|
子网掩码
|
默认网关
—|—|—|—|—
R1
|
s0/1/0
|
69.1.0.1
|
255.255.255.0
|
不适用
g0/0/0
|
192.168.1.1
|
255.255.255.0
|
不适用
互联网
|
s0/1/0
|
69.1.0.2
|
255.255.255.0
|
不适用
S0/1/0
|
201.106.208.1
|
255.255.255.0
|
不适用
R2
|
s0/1/0
|
201.106.208.2
|
255.255.255.0
|
不适用
g0/0/0
|
192.168.2.1
|
255.255.255.0
|
不适用
电脑1
|
g0/0/0
|
192.168.1.100
|
255.255.255.0
|
192.168.1.1
电脑2
|
g0/0/0
|
192.168.2.100
|
255.255.255.0
|
192.168.2.1
[实验详情]
1.IP地址和路由设置
//R1
启用
会议
主机名R1
接口g0/0/0
IP地址192.168.1.1 255.255.255.0
不关机
出口
接口s0/1/0
IP地址69.1.0.1 255.255.255.0
不关机
出口
//互联网
启用
会议
主机名互联网
接口s0/1/0
IP地址69.1.0.2 255.255.255.0
不关机
接口s0/1/1
IP 地址201.106.208.1 255.255.255.0
不关机
出口
//R2
启用
会议
主机名R2
接口s0/1/0
IP地址201.106.208.2 255.255.255.0
不关机
出口
接口g0/0/0
IP 地址192.168.2.1 255.255.255.0
不关机
出口
2.IP地址和路由设置
通过在路由器R1 和R2 上配置IP 地址并测试每个直接链路的连接性来配置以下路由。
//R1
ip 路由0.0.0.0 0.0.0.0 s0/1/0
//R2
ip 路由0.0.0.0 0.0.0.0 s0/1/0
外部网络出口路由器通常使用NAT。 R1 的模拟配置为:
接口s0/1/0
你在外面吗
整数g0/0/0
我在里面
出口
访问列表10 允许192.168.1.0 0.0.0.255
ip nat inside 源列表10 接口s0/1/0 过载
测试R1是否能ping通R2的公网接口。在PC 上配置IP 地址和网关,并测试是否可以ping VPN 网关路由器R2(201.106.208.2)。
3. 在路由器R2 上配置远程访问VPN
(1)R2 VPN配置脚本
//R2
启用isakmp 加密
//启用ISAKMP 以进行安全密钥交换和VPN 隧道建立
加密isakmp 策略10
//设置ISAKMP策略编号为10
加密3des
//使用3DES算法进行数据加密
预分享认证
//使用预共享密钥进行身份验证
散列
//使用SHA算法进行数据完整性验证
第2组
//将Diffie-Hellman组设置为2以进行密钥交换
出口
//下面是推送到客户端的组策略设置。
IP 本地池REMOTE-POOL 192.168.3.1 192.168.3.250
//配置本地IP地址池,为远程客户端分配IP地址范围
ip 访问列表扩展EXVPN
//创建扩展访问列表EXVPN
允许IP 192.168.2.0 0.0.0.255 任意
//允许192.168.2.0/24网段与任意目的地通信
允许IP 192.168.3.0 0.0.0.255 任意
//允许192.168.3.0/24网段与任意目的地通信
出口
crypto isakmp 客户端配置组VPN-REMOTE-ACCESS
//配置VPN客户端组VPN-REMOTE-ACCESS
密钥MYVPNKEY
//设置预共享密钥为MYVPNKEY
池远程池
//指定分配给VPN客户端的IP地址池为REMOTE-POOL
保存密码
//允许客户端保存密码
acl EZVPN
//创建访问控制列表EZVPN
出口
啊,新型号
//启用AAA(身份验证、授权、计费)模型
AAA 认证网络VPN-REMOTE-ACCESS 本地
//VPN-REMOTE-ACCESS 配置本地用户进行网络身份验证
加密映射CLIENTMAP isakmp 授权列表VPN-REMOTE-ACCESS
//将ISAKMP 身份验证列表设置为VPN-REMOTE-ACCESS
加密映射CLIENTMAP 客户端设置地址响应
//配置响应客户端请求时使用的动态分配的地址
加密isakmp keepalive 60
//设置ISAKMP保活间隔为60秒
加密ipsec 转换集VPNTRANSFORM esp-3des esp-sha-hmac
//创建IPsec转换集VPNTRANSFORM并指定加密和散列算法
加密动态地图DYNMAP 10
//创建优先级为10的动态密码映射DYNMAP
设置转换设置VPNTRANSFORM
//将转换集设置为VPNTRANSFORM
反向路线
//允许根据IPsec 流量自动添加反向路由
出口
加密映射CLIENTMAP 65535 ipsec-isakmp 动态DYNMAP
//创建加密映射CLIENTMAP并将其与ISAKMP和动态映射关联
AAA认证登录VPNUSERS本地
//配置本地用户进行VPN用户认证
用户名vpnuser 秘密cisco
//使用用户名vpnuser 和密码cisco 创建用户
加密映射CLIENTMAP 客户端身份验证列表VPNUSERS
//将客户端身份验证列表设置为VPNUSERS
加密isakmp xauth 超时20
//将ISAKMP XAuth 身份验证超时设置为20 秒
接口s0/1/0
//进入接口s0/1/0的配置模式
密码图CLIENTMAP
//将加密映射CLIENTMAP应用到接口
出口
4、实验验证
(1) 用于VPN连接的PC
//PC1
如果配置正确且连接成功,请在客户端CMD中使用“ipconfig”命令验证是否已在之前配置的地址池中获取到IP地址。结果如下。
ping 对端LAN IP,检查两个LAN 之间是否可以通信。
(2)检查路由表
VPN 网关路由器上还有一条指向客户端的附加主机路由。路由表为:
R2#显示ip 路由
代码: L – 本地、C – 连接、S – 静态、R – RIP、M – 移动、B – BGP
D – EIGRP、EX – EIGRP 外部、O – OSPF、IA – OSPF 区域间
N1 – OSPF NSSA 外部类型1,N2 – OSPF NSSA 外部类型2
E1 – OSPF 外部类型1,E2 – OSPF 外部类型2,E – EGP
i – IS-IS、L1 – IS-IS 1 级、L2 – IS-IS 2 级、ia – IS-IS 区域间
* 默认候选,U – 每用户静态路由,o – ODR
P – 定期下载的静态路由
最后手段的网关是0.0.0.0 到网络0.0.0.0
192.168.2.0/24 是可变子网的,2 个子网,2 个掩码
C 192.168.2.0/24 直连与GigabitEthernet0/0/0
l 192.168.2.1/32直连与GigabitEthernet0/0/0
192.168.3.0/32 已划分子网并有两个子网
S 192.168.3.1/32 [1/0] 通过69.1.0.1
S 192.168.3.2/32 [1/0] 通过69.1.0.1
209.106.208.0/24 是可变子网,2 个子网,2 个掩码
C 209.106.208.0/24 直连与Serial0/1/0
l 209.106.208.2/32 直连与Serial0/1/0
S* 0.0.0.0/0 直连与Serial0/1/0
R2#
【知识点】
VPN(虚拟专用网络)的概念和含义:了解VPN的功能和原理,以及实验中远程访问的目的。配置IP地址和子网掩码:了解如何为网络设备配置IP地址和子网掩码以实现网络连通。路由配置和默认路由:了解如何配置路由表,包括设置默认路由,以确保网络流量正确路由。网络地址转换(NAT):了解如何配置NAT 以实现内部和外部网络之间的通信。配置加密协议和策略:了解加密协议(如3DES)、认证方法和哈希算法选择,以及如何配置加密策略。 AAA基本概念和配置(认证、授权、计费):了解AAA的作用,了解如何配置用户认证和授权。动态加密映射和映射到特定接口:了解如何创建动态加密映射并将其应用到特定接口以实现VPN 功能。
【报酬】
提高对VPN的理解和实施:通过实验,您将更深入地了解VPN的概念、原理和配置,并了解远程访问VPN的方法和流程。网络配置和路由的实践经验:通过配置IP 地址、子网掩码、路由表等来了解网络设备和连接性,并获得相关的实践经验。了解安全和加密:了解网络安全的重要性,并了解如何通过配置加密协议、身份验证方法、哈希算法等来保护数据传输。 AAA应用及用户认证授权实践:学习如何通过配置AAA相关设置来实现用户认证和授权,加深对网络安全管理的理解。提高实验操作和故障排除技能:通过实验配置和验证的过程,您将提高您的网络设备操作技能,并学习出现问题时的故障排除方法和技巧。这些知识点和习得使学习者能够深入了解网络连接和安全概念,提高网络设备配置和故障排除的技能,为将来在网络领域的学习和工作打下坚实的基础。
每一次实验都是一次知识之旅,每一步都让我们更接近网络技术的巅峰。不断前行,你一定会成就属于自己的辉煌。
接下来我们将为每个同学划分学习计划!
学习计划
那么,作为初学者,问题又出现了:我应该先学什么,接下来又应该学什么?
既然你诚实地问了,我就告诉你你需要从头开始学习什么。
阶段一:初级网络安全工程师
接下来,安排一个月的基本网络安全计划。完成课程后,基本上可以找到渗透测试、Web渗透、安全服务、安全分析等与网络安全相关的工作。其中,如果学好级保证模块,就可以从事级保证工程师的工作。
总体薪资范围6,000-15,000
1.网络安全理论知识(2天)
了解行业背景和前景,决定发展方向。
学习有关网络安全的法律法规。
网络安全运营理念。
等保制度介绍、等保法规、流程、规范。 (很重要)
2.渗透测试基础知识(1周)
渗透测试流程、分类及标准
信息收集技术:主动/被动信息收集、Nmap工具、Google Hacking
漏洞扫描、漏洞利用、原理、使用、工具(MSF)、IDS绕过、防病毒侦察
主机攻防训练:MS17-010、MS08-067、MS10-046、MS12-20等。
3.操作系统基础知识(1周)
Windows系统常用功能及命令
Kali Linux系统常用功能及命令
操作系统安全(系统入侵调查/系统加固基础设施)
4.计算机网络基础(1周)
计算机网络基础、协议、体系结构
网络通信原理、OSI模型、数据传输流程
常用协议分析(HTTP、TCP/IP、ARP等)
网络攻击技术和网络安全防御技术
Web漏洞原理及防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5.数据库基础操作(2天)
数据库基础
SQL语言基础
加强数据库安全
6. 网络渗透(1周)
HTML、CSS 和JavaScript 简介
OWASP前10名
Web漏洞扫描工具
Web入侵工具:Nmap、BurpSuite、SQLMap、其他(Chopper、Miss Scan等)
所以到现在为止已经过去了大约一个月的时间。你已经成功成为“脚本小子”了。那么,你还想继续探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
薪资水平:15,000 至30,000 日元
7.脚本编程学习(4周)
在网络安全领域。编程能力是“脚本小子”和真正的网络安全工程师之间的关键区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用的工具不能满足实际需求时,往往需要扩展现有工具或者可能需要创建工具或自动化脚本来满足要求。需要特定的编程技能。在分秒必争的CTF比赛中,需要具备一定的编程能力,才能有效地利用自制的脚本工具来实现各种目标。
如果您是从零开始的学生,我们建议选择脚本语言:Python/PHP/Go/Java 并学习编写常用库。
设置您的开发环境并选择您的IDE。 PHP 环境推荐Wamp 和XAMPP,IDE 强烈推荐Sublime。
学习Python编程,包括语法、正则、文件、网络、多线程等常用库。推荐《Python核心编程》,不需要全部看完。
使用Python 创建漏洞利用程序,然后创建一个简单的网络爬虫。
学习PHP 的基本语法并创建一个简单的博客系统。
熟悉MVC 架构并尝试学习PHP 或Python 框架(可选)。
了解引导布局或CSS。
阶段三:顶级网络安全工程师
如果您有兴趣开始网络安全,请点击此处。 【网络安全主要优势:免费全套282G学习资源包,入门和进阶分享。 ](https://mp.weixin.qq.com/s/BWb9OzaB-
gVGVpkm161PMw)
学习资料分享
当然,只给方案,不给学习资料,就跟流氓行为一样。
,这里我们整理了一个【282G】的网络安全工程师学习资料包,从入门到熟练。点击下面的二维码链接即可获取。
接下来我们将为每个同学划分学习计划!
学习计划
那么,作为初学者,问题又出现了:我应该先学什么,接下来又应该学什么?
既然你诚实地问了,我就告诉你你需要从头开始学习什么。
阶段一:初级网络安全工程师
接下来,安排一个月的基本网络安全计划。完成课程后,基本上可以找到渗透测试、Web渗透、安全服务、安全分析等与网络安全相关的工作。其中,如果学好级保证模块,就可以从事级保证工程师的工作。
总体薪资范围6,000-15,000
1.网络安全理论知识(2天)
了解行业背景和前景,决定发展方向。
学习有关网络安全的法律法规。
网络安全运营理念。
等保制度介绍、等保法规、流程、规范。 (很重要)
2.渗透测试基础知识(1周)
渗透测试流程、分类及标准
信息收集技术:主动/被动信息收集、Nmap工具、Google Hacking
漏洞扫描、漏洞利用、原理、使用、工具(MSF)、IDS绕过、防病毒侦察
主机攻防训练:MS17-010、MS08-067、MS10-046、MS12-20等。
3.操作系统基础知识(1周)
Windows系统常用功能及命令
Kali Linux系统常用功能及命令
操作系统安全(系统入侵调查/系统加固基础设施)
4.计算机网络基础(1周)
计算机网络基础、协议、体系结构
网络通信原理、OSI模型、数据传输流程
常用协议分析(HTTP、TCP/IP、ARP等)
网络攻击技术和网络安全防御技术
Web漏洞原理及防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5.数据库基础操作(2天)
数据库基础
SQL语言基础
加强数据库安全
6. 网络渗透(1周)
HTML、CSS 和JavaScript 简介
OWASP前10名
Web漏洞扫描工具
Web入侵工具:Nmap、BurpSuite、SQLMap、其他(Chopper、Miss Scan等)
所以到现在为止已经过去了大约一个月的时间。你已经成功成为“脚本小子”了。那么,你还想继续探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
薪资水平:15,000 至30,000 日元
7.脚本编程学习(4周)
在网络安全领域。编程能力是“脚本小子”和真正的网络安全工程师之间的关键区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用的工具不能满足实际需求时,往往需要扩展现有工具或者可能需要创建工具或自动化脚本来满足要求。需要特定的编程技能。在分秒必争的CTF比赛中,需要具备一定的编程能力,才能有效地利用自制的脚本工具来实现各种目标。
如果您是从零开始的学生,我们建议选择脚本语言:Python/PHP/Go/Java 并学习编写常用库。
设置您的开发环境并选择您的IDE。 PHP 环境推荐Wamp 和XAMPP,IDE 强烈推荐Sublime。
学习Python编程,包括语法、正则、文件、网络、多线程等常用库。推荐《Python核心编程》,不需要全部看完。
使用Python 创建漏洞利用程序,然后创建一个简单的网络爬虫。
学习PHP 的基本语法并创建一个简单的博客系统。
熟悉MVC 架构并尝试学习PHP 或Python 框架(可选)。
了解引导布局或CSS。
阶段三:顶级网络安全工程师
如果您有兴趣开始网络安全,请点击此处。网络安全的主要优势:免费提供完整的282G学习资源包,用于入门和高级共享。
学习资料分享
当然是【282G】网络安全工程师学习资料包,只给你方案,不给你学习资料。点击下面的二维码链接即可获取。
#以上有关远程访问VPN配置和验证实验的信息仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/93315.html
