虚拟专用网络(VPN)存在作为用途广泛的技术连接远程网络到一个主要专用网络,模拟一个专用链路以在公共线路的一条被加密的信道的形式。远程网络能连接到一个专用的主干网,好象存在作为专用的主干网的部分,不用安全性问题由于加密VPN流量用方法仅VPN终端会解码它的两阶段协商。
此短的指南为构建在Cisco 500系列Integrated services适配器和Cisco RV系列路由器之间的站点至站点IPSec VPN隧道提供一个示例设计。
•Cisco RV系列路由器(RV320)
•Cisco 500系列集成服务适配器(ISA570)
•4.2.2.08 [Cisco RV0xx Series VPN Routers]
Network Diagram
下列显示Site to Site VPN拓扑。
站点至站点IPSec VPN隧道被配置并且设立在Cisco RV系列路由器在远程办公室和Cisco 500 Series ISA之间在总部。
使用此配置,在LAN 192.168.1.0/24的一台主机在远程办公室和在LAN 10.10.10.0/24的一台主机在总部能与彼此安全地联络在VPN。
Internet Key Exchange (IKE)是用于的协议设置安全关联(SA)在IPSec协议套件。在Oakley协议,互联网安全关联和密钥管理协议(ISAKMP)的IKE修造,和使用Diffie-Hellman密匙交换设置一个共有的会话秘密,加密密钥派生。
互联网安全协会和密钥管理协议(ISAKMP)用于协商在两个VPN终端之间的VPN隧道。 定义了认证、通信和密钥生成程序和IKE协议使用它交换加密密钥和建立安全连接。
IP安全协议(IPsec)是获取的IP通信一个协议组通过验证和加密数据流的每个IP信息包。IPsec也包括设立的相互验证协议在会话初的在会话期间将使用的加密密钥的代理程序和协商之间。 IPsec可以用于保护在一个对主机,网关或者网络之间的数据流。
VPN拓扑—点对点VPN拓扑意味着一个被巩固的IPSec隧道被配置在主要站点和远程站点之间。
企业在多站点拓扑里经常要求多个远程站点,并且实现一星型网VPN拓扑或全网状连接VPN拓扑。一星型网VPN拓扑意味着远程站点不要求与其他远程站点的通信,并且每个远程站点只设立有主要站点的一个被巩固的IPSec隧道。一全网状连接VPN拓扑意味着远程站点要求与其他远程站点的通信,并且每个远程站点设立与主要站点和其他远程站点的一被巩固的IPsec tunntel。
VPN认证—,当设立VPN隧道时, IKE协议用于验证VPN对等体。多种IKE验证方法存在,并且预共享密钥是最方便的方法。Cisco推荐运用严格的预共享密钥。
VPN加密—要保证在VPN被传输的数据的机密,加密算法用于加密IP信息包有效载荷。DES、3DES和AES是三普通的加密标准。AES被认为最安全,当与DES和3DES比较。Cisco强烈建议适用AES-128位或更高的加密(即, AES-192和AES-256)。然而,强加密算法要求从路由器的更多处理资源。
动态广域网IP编址和动态域名服务(DDNS) — VPN隧道需要设立在两个公共IP地址之间。如果WAN路由器从互联网服务提供商(ISP)收到静态IP地址,直接地使用静态公共IP地址, VPN隧道可以实现。然而,多数小型企业使用有效宽带网络服务例如DSL或从他们的ISP缚住,并且收到动态IP地址。在这类情况下,动态域名服务(DDNS)可以用于映射动态IP地址到完全合格的域名(FQDN)。
LAN IP编址—每个站点的专用LAN IP网络地址不应该有交叠。应该总是更改在每个远程站点的默认LAN IP网络地址。
预配置清单
步骤1.连接在RV320和其DSL或者有线调制解调器之间的一种以太网电缆,并且连接在ISA570和其DSL或者有线调制解调器之间的一种以太网电缆。
步骤2.打开RV320,然后连接内部个人计算机、服务器和其他IP设备到RV320的局域网端口。
步骤3.打开ISA570,然后连接内部个人计算机、服务器和其他IP设备到ISA570的局域网端口。
步骤4.保证在不同的子网的每个站点配置网络IP地址。在本例中,远程办公室LAN使用192.168.1.0,并且总部LAN使用10.10.10.0。
步骤5.确定本地PC能连接到他们的各自路由器和在同样LAN的其他个人计算机。
您将需要知道您的ISP是否提供一个动态IP地址或静态IP地址。ISP通常提供一个动态IP地址,但是您应该在完成Site to Site VPN隧道配置前确认此。
步骤1.去对VPN >网关到网关(请参阅图片)
a.)输入一个隧道名,例如RemoteOffice。
对WAN1的b.) Set interface。
c.)设置密钥模式为IKE用预共用的键。
D.)被输入的本地IP地址和远程IP地址。
以下镜像显示RV320千兆位双重广域网VPN路由器网关到网关的页:
步骤2.设置IPSec隧道设置(请参阅图片)
a.)设置加密为3DES。
b.)设置认证为SHA1。
c.)检查优秀的转发保密性。
)设置预共用的键的D. (需要是同样在两路由器)。
下列表示IPSec设置(阶段1和2) :
Note:记住在站点至站点IPSec VPN隧道的两边IPsec隧道设置必须配比。如果任何差误存在RV320的IPsec隧道设置和ISA570之间,两个设备不能协商加密密钥和不能连接。
步骤3.点击“Save”完成配置。
步骤1.去对VPN > IKE策略(请参阅图片)
a.)设置加密为ESP_3DES。
b.)设置哈希为SHA1。
c.)设置认证为预共享密钥。
D.)设置D-H组组队2 (1024位)。
以下镜像显示IKE策略:
步骤2.去对VPN > IKE转换集(请参阅图片)
a.)设置完整性为ESP_SHA1_HMAC。
b.)设置加密为ESP_DES。
下列显示IKE转换集:
步骤3.去对VPN > IPsec策略>Add >基本设置(请参阅图片)