綜合項目 IPSec VPN配置綜合實訓

1、PAGE PAGE Evaluation Warning: The document was created with Spire.Doc for .NET.湖南工業(yè)職職業(yè)技術術學院信息工程系系項目名稱：IPSSec VPNN配置綜綜合實訓訓 專業(yè)班級： 計網(wǎng)網(wǎng)S099-1 授課教師： 楊麗莎莎 姓名學號： 李慎慎銘 003 李洋 13 綜合項目 IPSSec VPNN配置綜綜合實訓訓實訓描述某公司有兩兩個分部部，現(xiàn)要要在公司司和分部部之間、分分部和遠遠程客戶戶端之間間搭建IIPSeec VVPN，實實現(xiàn)內網(wǎng)網(wǎng)的互訪訪。實訓拓撲圖圖實訓要求公司ZBvvpn、分分部FBBvpnn、分部部FBee

2、zvppn和遠遠程客戶戶端weebvppnclliennt之間間通過路路由器IISP相相連，配配置路由由器實現(xiàn)現(xiàn)Intternnet功功能，實實現(xiàn)網(wǎng)絡絡互通。公司和分部部FBvvpn實實現(xiàn)IPPSecc VPPN。公司和分部部FBeezvppn之間間使用硬硬件客戶戶端配置置實現(xiàn)EEZVPPN。分部FBvvpn和和遠程客客戶端wwebvvpncclieent之之間實現(xiàn)現(xiàn)無客戶戶端SSSL VVPN分分部FBBvpnn和遠程程客戶端端webbvpnncliientt。提交項目報報告，內內容包括括：項目描述項目實現(xiàn)過過程根據(jù)項目要要求，可可以得出出如下配配置過程程：ZBVPNN的IPPSecc VP

3、PN配置置：步驟一 網(wǎng)網(wǎng)絡連通通性配置置步驟二 感感興趣流流量配置置步驟三 IISAKKMP策策略配置置，配置置使用預預共享密密鑰進行行認證步驟四 建建立密鑰鑰環(huán)步驟五 建建立ISSAKMMP/IIKE的的配置文文件步驟六 配配置轉換換集步驟七 配配置動態(tài)態(tài)密碼圖圖1.建立動動態(tài)密碼碼圖2.使用動動態(tài)密碼碼圖步驟八 應應用到節(jié)節(jié)點EZVPNN配置：步驟一 網(wǎng)網(wǎng)絡連通通性配置置步驟二 IIKE第第一階段段策略（IKEE第一階階段策略略，注意意DH組組必須配配置成為為2）步驟三 第第1.55階段配配置1.定義XXAUTTH認證證策略，策策略名為為xauuth-autthenn，使用用“l(fā)oocal

4、l”本地地用戶數(shù)數(shù)據(jù)庫進進行認證證2.定義MMODEE-CFFG的授授權策略略，名字字為mccfg-autthorr使用本本地配置置策略進進行授權權3.XAUUTH認認證用用用戶名和和密碼4.定義推推送給客客戶端的的地址池池，名字字為vppnclliennt步驟四 第第2階段段轉換集集與動態(tài)態(tài)mapp配置步驟五 第第2階段段cryyptoo maap配置置步驟六 應應用到節(jié)節(jié)點步驟七 配配置VPPN硬件件客戶模模式步驟八 手手動觸發(fā)發(fā)EzVVPN連連接分部FBvvpn和和遠程客客戶端wwebvvpncclieent之之間的SSSLVVPN配配置：步驟一 網(wǎng)網(wǎng)絡連通通性配置置步驟二 配配置AAA

5、A認證證步驟三 建建立SSSL VVPN網(wǎng)網(wǎng)關步驟四 建建立SSSL VVPN環(huán)環(huán)境步驟五 配配置SSSL VVPN界界面步驟六 配配置SSSL VVPN群群組策略略步驟七 HHTTPPROUUTERR路由器器WEBB服務的的配置 步驟八八 配置置VPNN遠程訪訪問客戶戶端C00項目配置命命令總部IPssecVVPN配配置：ZBvpnn#shhow runnBuilddingg coonfiigurratiionCurreent connfigguraatioon : 16668 byttesversiion 12.4serviice timmesttampps ddebuug ddateet

6、imme mmseccserviice timmesttampps llog dattetiime mseecno seerviice passswoord-enccrypptioonhostnnamee ZBBvpnnboot-staart-marrkerrboot-endd-maarkeerno aaaa nnew-moddelip ceefno ipp doomaiin llookkupmultiilinnk bbunddle-namme aauthhentticaateddcryptto kkeyrringg hnngy pree-shhareed-kkey adddresss 00.

7、0.0.00 0.0.00.0 keyy hnngycryptto iisakkmp pollicyy 100 encrr 3ddes hashh mdd5 authhentticaatioon ppre-shaare grouup 22cryptto iisakkmp proofille hhngyy keeyriing hnggy maatchh iddenttityy adddreess 0.00.0.0 innitiiatee moode agggresssivvecryptto iipseec ttrannsfoorm-sett hnngy espp-3ddes espp-mdd5-

8、hhmacccryptto ddynaamicc-maap hhngyy 100 set traansfformm-seet hhngyy set isaakmpp-prrofiile hnggy matcch aaddrresss 1000cryptto mmap hnggy 110000 ippsecc-issakmmp ddynaamicc hnngyinterrfacce LLooppbacck0 ip aaddrresss 2555.2555.2255.0interrfacce EEtheerneet0/0 no iip aaddrresss shuttdowwn

9、dupllex auttointerrfacce GGigaabittEthhernnet00/0 no iip aaddrresss shuttdowwn dupllex fulll speeed 110000 mediia-ttypee gbbic negootiaatioon aautoointerrfacce SSeriial11/0 no iip aaddrresss shuttdowwn seriial resstarrt-ddelaay 00interrfacce SSeriial11/1 ip aaddrresss 200 2255.2555.2555.00 s

10、eriial resstarrt-ddelaay 00 cryppto mapp hnngyinterrfacce SSeriial11/2 no iip aaddrresss shuttdowwn seriial resstarrt-ddelaay 00interrfacce SSeriial11/3 no iip aaddrresss shuttdowwn seriial resstarrt-ddelaay 00ip rooutee 0.0.00.0 0.00.0.0 2no ipp htttp serrverrno ipp htttp seccuree-seervee

11、rloggiing alaarm infformmatiionaalaccesss-llistt 1000 ppermmit ip 0255 0255contrrol-plaanegatekkeepper shuttdowwnline conn 0 execc-tiimeoout 0 00 logggingg syynchhronnouss stoppbitts 11line auxx 0 stoppbitts 11line vtyy 0 4end總部EZVVPN配配置：ZBvpnn#shhow runnBuilddingg co

12、onfiigurratiionCurreent connfigguraatioon : 27754 byttesversiion 12.4serviice timmesttampps ddebuug ddateetimme mmseccserviice timmesttampps llog dattetiime mseecno seerviice passswoord-enccrypptioonhostnnamee ZBBvpnnboot-staart-marrkerrboot-endd-maarkeeraaa nnew-moddelaaa aauthhentticaatioon llogii

13、n xxautth-aauthhen loccalaaa aauthhoriizattionn neetwoork mcffg-aauthhor loccalaaa ssesssionn-idd coommoonip ceefno ipp doomaiin llookkupmultiilinnk bbunddle-namme aauthhentticaateddusernnamee ciiscoo paasswwordd 0 cisscocryptto kkeyrringg hnngy pree-shhareed-kkey adddresss 00 0.0.00.0 keyy h

14、nngycryptto iisakkmp pollicyy 100 encrr 3ddes hashh mdd5 authhentticaatioon ppre-shaare grouup 22cryptto iisakkmp pollicyy 111 hashh mdd5 authhentticaatioon ppre-shaare grouup 22cryptto iisakkmp cliientt coonfiigurratiion grooup hnggy key hnggy pooll hnngycryptto iisakkmp cliientt coonfiigurratiion

15、grooup vpnncliientt key hnggy pooll vppnclliennt acl Spllit savee-paasswworddcryptto iisakkmp proofille hhngyy keeyriing hnggy maatchh iddenttityy adddreess 0.00.0.0 innitiiatee moode agggresssivvecryptto iipseec ttrannsfoorm-sett hnngy espp-dees eesp-md55-hmmaccryptto iipseec ttrannsfoorm-sett ezzv

16、pnn essp-ddes espp-mdd5-hhmacccryptto ddynaamicc-maap eezvppn 111 set traansfformm-seet eezvppncryptto ddynaamicc-maap hhngyy 100 set traansfformm-seet hhngyy set isaakmpp-prrofiile hnggy matcch aaddrresss 1000cryptto mmap ezvvpn cliientt auutheentiicattionn liist xauuth-autthenncryptto mmap ezvvpn

17、isaakmpp auuthoorizzatiion lisst mmcfgg-auuthoorcryptto mmap ezvvpn cliientt coonfiigurratiion adddresss rrespponddcryptto mmap ezvvpn 10 ipssec-isaakmpp dyynammic hnggycryptto mmap ezvvpn 11 ipssec-isaakmpp dyynammic ezvvpncryptto mmap hnggy cclieent autthennticcatiion lisst xxautth-aauthhencryptto

18、 mmap hnggy iisakkmp autthorrizaatioon llistt mccfg-autthorrcryptto mmap hnggy cclieent connfigguraatioon aaddrresss reespoondcryptto mmap hnggy 110000 ippsecc-issakmmp ddynaamicc hnngyinterrfacce LLooppbacck0 ip aaddrresss 2555.2555.2255.0interrfacce EEtheerneet0/0 no iip aaddrresss shuttd

19、owwn dupllex auttointerrfacce GGigaabittEthhernnet00/0 no iip aaddrresss shuttdowwn dupllex fulll speeed 110000 mediia-ttypee gbbic negootiaatioon aautoointerrfacce SSeriial11/0 no iip aaddrresss shuttdowwn seriial resstarrt-ddelaay 00interrfacce SSeriial11/1 ip aaddrresss 200 2255.2555.2555

20、.00 seriial resstarrt-ddelaay 00 cryppto mapp ezzvpnninterrfacce SSeriial11/2 no iip aaddrresss shuttdowwn seriial resstarrt-ddelaay 00interrfacce SSeriial11/3 no iip aaddrresss shuttdowwn seriial resstarrt-ddelaay 00ip loocall poool hnggy 1000 1000ip loocall poool vpnncliientt 1

21、000 1000ip rooutee 0.0.00.0 0.00.0.0 2no ipp htttp serrverrno ipp htttp seccuree-seerveerip acccesss-llistt exxtenndedd Spplitt permmit ip 0255 anyyloggiing alaarm infformmatiionaalaccesss-llistt 1000 ppermmit ip 0255 0255

22、contrrol-plaanegatekkeepper shuttdowwnline conn 0 execc-tiimeoout 0 00 logggingg syynchhronnouss stoppbitts 11line auxx 0 stoppbitts 11line vtyy 0 4End分部VPNN配置：FBvpnn#shhow runnBuilddingg coonfiigurratiionCurreent connfigguraatioon : 40018 byttesversiion 12.4serviice timmesttampps ddebuug ddateetimm

23、e mmseccserviice timmesttampps llog dattetiime mseecno seerviice passswoord-enccrypptioonhostnnamee FBBvpnnboot-staart-marrkerrboot-endd-maarkeeraaa nnew-moddelaaa aauthhentticaatioon llogiin WWebvvpn loccalaaa ssesssionn-idd coommoonip ceefno ipp doomaiin llookkupmultiilinnk bbunddle-namme aauthhen

24、tticaateddcryptto ppki truustppoinnt TTP-sselff-siigneed-44279925665177 enroollmmentt seelfssignned subjjectt-naame cn=IOSS-Seelf-Siggnedd-Ceertiificcatee-4227922565517 revoocattionn-chheckk noone rsakkeyppairr TPP-seelf-siggnedd-4227922565517cryptto ppki cerrtifficaate chaain TP-sellf-ssignned-4277

25、925565117 certtifiicatte sselff-siigneed 001 308820223D 30882011A6 A000302201 0200201101 3000D06609 2A88648886 F700D01101 0400500030 313312FF30 2D00603355 0400313326 4944F5332D 536656CC66 2D55369967 6E6656442D 4366572274 6966669963 617746552D 3433237739 3233536635 313373001E 1700D31131 3133032239 30

26、33130033 343325AA17 0D33230030 3133031130 3033030030 3055A30031 3122F3002D 0600355504 0311326649 4F5532DD53 6566C6662D 536696776E 656642DD43 6577274469 6666963361 746652DD34 3233739932 3533635531 373308119F 3000D06609 2A88648886 F700D01101 0100500003 8188D00030 8188902281 81000BBBD4 BB00FBEE18 B9225

27、5EEEC ACAA2333F3 79AAC8EE2E 4D44B322B0 3EFFDC22B8 2288A8CCA7 B422E4AAE9 1D33438837 19BB47AA19 6800E5663B DE338EAA3A 8822A6FFFB 6999D422D4 C177ABBB39 EB99E9FF10 CE99BACC71 A955574409 3CAAFEBB91 09009F33BE 6B11C888B8 A8003D88EA 2455F66659 76FFA8CCC2 3A66ED44A8 62554B7759 A5BBB9AAE3 6799DC11A2 3333B733

28、C5 DA7733FFC8 F26626DD1F DB44902203 01000011A3 6533063330 0F00603355 1D11301101 FF00405530 03001011FF 3011006603 5511D11104 0933007782 0544642276 7066E3001F 060035551D 2300418830 168801448F 9A772DAA8A C1113AFFAB 87994C5517 8555E6CC3E 23AACB6630 1D00603355 1D00E04416 041148FF9A 72DDA8AAC1 13AAFABB87

29、94CC517785 5E66C3EE23 ACBB63000D 060092AA86 48886F770D 0100104405 0000381181 0099F5114F FA11856606 7C661D00BA 22AA44EE2C 64DD3DEEF9 4A55D73372 C20043DD8B DC4421FFFB 6DAADA4432 63FFFEFFB7 CA553CBB33 0ABBD7DD25 3DAA7C8857 D6FF3B11B4 D3338722D6 1200F6BBF1 F5FF4D99E1 C4AA5977D6 1299A57749 3FEEAC88C6 745

30、50A33B0 0B88F9119E F4EE88EEF1 92224CCCC5 40AA978860 2666DABB76 6599913354 11BB17EEA0 E5AAC7FF7E F9885199C2 B83379DD1D 29EE4566CF D0 quiitusernnamee ciiscoo prriviilegge 115 ssecrret 5 $1$44RO11$Fvvf5nnEHzzF/kkx8ee5lTTw0SSe1usernnamee hnngy priivillegee 155 paasswwordd 0 hnggycryptto kkeyrringg hnngy

31、 pree-shhareed-kkey adddresss 2 keyy hnngycryptto iisakkmp pollicyy 100 encrr 3ddes hashh mdd5 authhentticaatioon ppre-shaare grouup 22cryptto iisakkmp proofille hhngyy keeyriing hnggy maatchh iddenttityy adddreess 202 2555.2255.2555.2555 innitiiatee moode agggresssivvecryptto iips

32、eec ttrannsfoorm-sett hnngy espp-3ddes espp-mdd5-hhmacccryptto mmap hnggy 110 iipseec-iisakkmp set peeer 2 set traansfformm-seet hhngyy set isaakmpp-prrofiile hnggy matcch aaddrresss 1000interrfacce LLooppbacck0 ip aaddrresss 2555.2555.2255.0interrfacce EEtheerneet0/0 no iip aaddr

33、resss shuttdowwn dupllex auttointerrfacce GGigaabittEthhernnet00/0 no iip aaddrresss shuttdowwn dupllex fulll speeed 110000 mediia-ttypee gbbic negootiaatioon aautoointerrfacce SSeriial11/0 no iip aaddrresss shuttdowwn seriial resstarrt-ddelaay 00interrfacce SSeriial11/1 no iip aaddrresss shuttdowwn seriial resstarrt-ddelaay 00interrfacce SSeriial11/2 ip aaddrresss 200 2255.2555.2555.00 seriial resstarrt-ddelaay 00 cryppto mapp hnngyinterrfacce SSeriial11/3 no iip aaddrresss shuttdowwn seriial resstarrt-ddelaay 00ip rooutee 0.0.00.0 0.00.