论文部分内容阅读
摘 要:虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术,VPN属于远程访问技术。IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术本文简要论述了IPSecVPN的特点,针对IPSecVPN的案例,给出了配置的基本方法和步骤。
关键词:IPSecVPN;IP;ACL
一、概述
虚拟专用网络(VirtualPrivateNetwork,简称VPN)指的是在公用网络上建立专用网络的技术,VPN属于远程访问技术。IPSecVPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为InternetProtocolSecurity,是由InternetEngineeringTaskForce(IETF)定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。
二、某公司企业网的组网概况
企业网总部的IPSec隧道组网状况如图1所示。
1.配置思路
针对图1的网络结构图进行配置,配置以RouterC为例,其配置思路为:
(1)采用IKE协商方式建立多条IPSec隧道(安全策略组)。
(2)配置接口的IP地址和到对端的静态路由,保证两端路由可达。
(3)配置ACL,以定义需要IPSec保护的数据流。
(4)配置IPSec安全提议,定义IPSec的保护方法。
(5)配置IKE对等体,定义对等体间IKE协商时的属性。
(6)分别在RouterA和RouterB上创建安全策略,确定对不同数据流采取相应的保护方法。在RouterC上创建安全策略组,分别确定对RouterA与RouterC、RouterB与RouterC之间的数据流采取何种保护方法。
(7)在接口上应用安全策略组,使接口具有IPSec的保护功能。
2.IPSecVPN操作步骤:
(1)分别在RouterA、RouterB和RouterC上配置各接口的IP地址和到对端的静态路由,使RouterA、RouterB和RouterC之间路由可达#在RouterC上配置接口的IP地址。
(2)分别在RouterA、RouterB和RouterC上配置ACL,定义各自要保护的数据流。
(3)分别在RouterA、RouterB和RouterC上创建IPSec安全提议。
(4)分别在RouterA、RouterB和RouterC上配置IKE对等体。
(5)分别在RouterA和RouterB上创建安全策略,在RouterC上创建安全策略组。
(6)分别在RouterA、RouterB和RouterC的接口上应用各自的安全策略组,使接口具有IPSec的保护功能。
三、配置结果
通过配置和测试后,分别在主机PCA和主机PCB执行ping操作均可以ping通主机PCC,它们之间的数据传输将被加密。
分别在RouterA和RouterB上执行displayikesav2操作,会显示相应信息。
结果表明,配置是正确和成功的,能够满足公司网络需求。
参考文献:
[1]RichardDeal.CiscoVPN完全配置指南[M].人民邮电出版社,2012.10
[2]林雁.IPSec—网络层安全的协议.电脑开发与应用[J],2012.06
[3]张玮.防火墙中IPSECVPN模块的设计与实现[D].北京:北京邮电大学,2011
[4]吴金宇.网络安全风险评估关键技术研究[D].北京:北京邮电大学,2013
关键词:IPSecVPN;IP;ACL
一、概述
虚拟专用网络(VirtualPrivateNetwork,简称VPN)指的是在公用网络上建立专用网络的技术,VPN属于远程访问技术。IPSecVPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为InternetProtocolSecurity,是由InternetEngineeringTaskForce(IETF)定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。
二、某公司企业网的组网概况
企业网总部的IPSec隧道组网状况如图1所示。
1.配置思路
针对图1的网络结构图进行配置,配置以RouterC为例,其配置思路为:
(1)采用IKE协商方式建立多条IPSec隧道(安全策略组)。
(2)配置接口的IP地址和到对端的静态路由,保证两端路由可达。
(3)配置ACL,以定义需要IPSec保护的数据流。
(4)配置IPSec安全提议,定义IPSec的保护方法。
(5)配置IKE对等体,定义对等体间IKE协商时的属性。
(6)分别在RouterA和RouterB上创建安全策略,确定对不同数据流采取相应的保护方法。在RouterC上创建安全策略组,分别确定对RouterA与RouterC、RouterB与RouterC之间的数据流采取何种保护方法。
(7)在接口上应用安全策略组,使接口具有IPSec的保护功能。
2.IPSecVPN操作步骤:
(1)分别在RouterA、RouterB和RouterC上配置各接口的IP地址和到对端的静态路由,使RouterA、RouterB和RouterC之间路由可达#在RouterC上配置接口的IP地址。
(2)分别在RouterA、RouterB和RouterC上配置ACL,定义各自要保护的数据流。
(3)分别在RouterA、RouterB和RouterC上创建IPSec安全提议。
(4)分别在RouterA、RouterB和RouterC上配置IKE对等体。
(5)分别在RouterA和RouterB上创建安全策略,在RouterC上创建安全策略组。
(6)分别在RouterA、RouterB和RouterC的接口上应用各自的安全策略组,使接口具有IPSec的保护功能。
三、配置结果
通过配置和测试后,分别在主机PCA和主机PCB执行ping操作均可以ping通主机PCC,它们之间的数据传输将被加密。
分别在RouterA和RouterB上执行displayikesav2操作,会显示相应信息。
结果表明,配置是正确和成功的,能够满足公司网络需求。
参考文献:
[1]RichardDeal.CiscoVPN完全配置指南[M].人民邮电出版社,2012.10
[2]林雁.IPSec—网络层安全的协议.电脑开发与应用[J],2012.06
[3]张玮.防火墙中IPSECVPN模块的设计与实现[D].北京:北京邮电大学,2011
[4]吴金宇.网络安全风险评估关键技术研究[D].北京:北京邮电大学,2013