實驗〈IntranetVPN通信實驗〉【實驗名稱】IntranetVPN通信實驗【實驗目的】學習配置SitetoSite的IPSecVPN隧道，加深對IPSec協議的理解。【背景描述】假設北京的某公司在上海開了新的分公司，分公司要遠程訪問總公司的各種效勞器資源，例如：CRM系統、FTP系統等。Internet上的網絡傳輸本身存在平安隱患，這家公司希望通過采用IPSecVPN技術實現數據的平安傳輸。【需求分析】需求：解決上海分公司和北京總公司之間通過Internet進行信息平安傳輸的問題分析：IPSecVPN技術通過隧道技術、加解密技術、密鑰管理技術、和認證技術有效的保證了數據在Internet網絡傳輸的平安性，是目前最平安、使用最廣泛的VPN技術。因此我們可以通過建立IPSecVPN的加密隧道，實現分公司和總公司之間的信息平安傳輸。【實驗拓撲】VPNVPN設備Aeht0eht1eht0eht1PC1PC2RouteVPN設備BF0/0F0/1【實驗設備】設備型號數量銳捷VPN設備RG-WALLV502臺銳捷路由器設備1臺Windows系統的PC機2臺直連線2根交叉線2根【預備知識】1、網絡根底知識、網絡平安根底知識、VPN根底知識；2、IPSec協議的根本內容、其工作模式；3、IKE協議的根本工作原理。【實驗原理】兩個局域網出口的VPN設備〔A和B〕之間通過IKE自動協商建立起IPSec的VPN加密隧道。使得這兩個局域網內部的PC機1和PC機2之間的通信，在這兩個局域網間〔VPN設備A到VPN設備B的路徑〕是被加密傳輸的。【實驗步驟】第一步：準備好PC1和PC2后，先在PC1和PC2上安裝VPN管理軟件〔見隨機附帶的光盤〕第二步：搭建圖示實驗拓撲，然后配置PC1、PC2、VPN設備A、VPN設備B、route的IP及必要路由。例如如下：VPN設備A的eth0口地址：.1VPN設備B的eth0口地址：.1PC2的網關地址：19Route的F0/0地址:.2Route的F0/1地址:.2注意：PC機及路由器的詳細配置這里省略，請參考相關操作手冊。RG-WALLV50設備接口標識為“WAN〞口，對應系統內部顯示為“eth1”的接口；接口標識為“LAN〞口，對應系統內部顯示為“eth01、VPN設備A接口及缺省路由配置如下：1)通過PC1的超級終端，在命令行下配置VPN設備A的eth1口地址，操作如下：注意：我司VPN出廠時eth1口默認地址即為，因此你可以先查看接口配置，如果確實是如此那么可以免去該配置步驟。2)通過PC1上的VPN管理軟件登錄VPN設備A，然后配置eth0口地址，操作如下：直接雙擊eht0接口圖標直接雙擊eht0接口圖標設置eth0口地址：缺省路由直接在外出接口處配置缺省路由直接在外出接口處配置2、VPN設備B接口及缺省路由配置如下：1)通過PC2的超級終端，在命令行下配置VPN設備B的eth1口地址，操作如下：2)通過PC2上的VPN管理軟件登錄VPN設備B，然后配置eth0口地址，操作如下：需要設置那個接口就雙擊該接口的圖標需要設置那個接口就雙擊該接口的圖標設置eth0口地址：缺省路由直接在外出接口處配置缺省路由直接在外出接口處配置驗證測試：PC1可以Ping通VPN設備A的eth1口；VPN設備A可Ping通VPN設備B〔反之亦可〕；PC2可以Ping通VPN設備B的eth1口。第三步：配置IPSecVPN隧道1、在VPN設備A上進行IPSecVPN隧道配置：1)進行設備配置配置隧道請點擊該圖標配置隧道請點擊該圖標注意：此次實驗IKE的協商選擇“預共享密鑰〞方式〔即PSK方式〕，關于“數字簽名〞的方式將再另外的專題實驗中練習。該頁面的設置通常不需要修改該頁面的設置通常不需要修改2)進行隧道配置選擇剛添加的設備，再點擊選擇剛添加的設備，再點擊“添加隧道〞圖標選擇需要的算法，但要和VPN設備B上的配置保持一致。也可以選擇默認配置。選擇需要的算法，但要和VPN設備B上的配置保持一致。也可以選擇默認配置。添加完隧道后的界面截圖：2、在VPN設備B上進行IPSecVPN隧道配置：1)進行設備配置配置隧道請點擊該圖標配置隧道請點擊該圖標該頁面的設置通常不需要修改該頁面的設置通常不需要修改2)進行隧道配置選擇剛添加的設備，點擊選擇剛添加的設備，點擊“添加隧道〞圖標選擇需要的算法，但要和VPN設備A上的配置保持一致。也可以選擇默認配置。選擇需要的算法，但要和VPN設備A上的配置保持一致。也可以選擇默認配置。添加完隧道后的界面截圖：第四步：啟動已配置好的隧道選擇隧道，點擊選擇隧道，點擊“啟動隧道〞圖標。VPN設備A和B只需要選擇在一邊執行啟動隧道操作即可。驗證測試：隧道啟動后可以在“隧道協商狀態〞欄目下看到隧道的協商狀態。如果協商的“隧道狀態〞顯示“第二階段協商成功〞，那么表示VPN設備A到VPN設備B的加密隧道已建立成功。第五步：進行隧道通信VPN隧道的通信是可以雙向的，因此你即可以從PC1去訪問PC2，也可以從PC2去訪問PC1。最簡單的訪問方式就是Ping，因此你可以先從PC1去Ping一下PC2的地址，現在因為有了VPN隧道所以Ping是可以成功的。〔沒有VPN隧道前Ping會是失敗的〕VPN隧道的通信情況可以在“隧道通信狀態〞中查看到，如下列圖：【考前須知】1、實驗環境IP可以隨意定義，但請不要使用.0這個網段的IP，因為某些功能實現的需要，系統內部已占用該網段的局部IP。2、VPN設備A和VPN設備B保護的內部子網不允許有沖突和包含關系。IPSec協議本身無法實現相同內部子網間的通信。針對此問題，銳捷VPN有自己獨有的解決方法，但將在另外的實驗中練習。3、該實驗中，VPN設備的防火墻規那么為全部開放。但在實際的網絡環境中，如果VPN設備直接連接Internet網絡，那么一定需要啟用防火墻規那么，關于防火墻規那么的使用不在該實驗中祥述。【參考配置】如何使用VPN管理軟件？其操作如下：翻開【開始】→【程序】→【銳捷VPN管理平臺】，啟動銳捷VPN管理平臺。您假設是第一次翻開VPN管理平臺，里面是沒有任何VPN設備的，需要依次添加網關組與網關。可以從【文件〔F〕】→【新建〔N〕】→【網關組〔G〕】，添加一個網關組，如下列圖1