21[工程实验室][SiteToSiteIPSecVPN多站点配置]

实验38 Site To Site IPSec VPN 多站点配置 【实验名称】 Site To Site IPSec VPN 多站点配置。 【实验目的】 掌握IPSec VPN 复杂配置，此实验做为可选实验，加深对VPN 的理解。 【背景描述】 假设你是公司的网络管理员，公司有两个分公司，为了使用公司业务能安全运行，所以需要使用IPSec VPN 功能保护数据。 【需求分析】 公司总部的内网与其两个分公司的内网进行安全通信，只允许子网172.16.3.0与子网172.16.2.0、子网172.16.3.0 与子网172.16.1.0 进行安全通信。 【实验拓扑】 实验的拓扑图，如图 38-1 所示。 图 38-1 【预备知识】 路由器基本配置知识、IPSec VPN 知识。 【实验设备】 路由器 3 台 直连线 2 条 【实验原理】 VPN 可以连接两个终端系统，也可连接多个网络，VPN 是使用隧道和加密技术来组建的，VPN 是一种 WAN 基础设施替代品，可用于替代或拓展现有的私有网络，在很多情况下，VPN有很多优于传统 WAN 连接的地方，如费用低廉、易于安装、能够迅速增加带宽等。 VPN 提供了以下 3 种主要功能。  加密：通过网络传输分组之前，发送方可对其进行加密。这样，即使有人窃听，也无法读懂其中的信息。  数据完整性：接收方可检查数据在通过 internet 传输的过程中是否被修改。  来源验证：接收方可验证发送方的身份，确保信息来自正确的地方。 虚拟专用网是通过隧道方式在同一条标准 IP 连接上传输多种协议来实现的，RGNOG 支持的三种隧道化方法是通用路由选择封装（GRE）、第2 层隧道协议（L2TP）和IPSec。虚拟专用网支持保密性、完整性和身份验证，通过对数据流进行加密并使用IPSec 协议，使得数据流通过公共基础设施传输时，其身份验证与私有网络中相同。 IPSec（ip secu rity ）协议族是 IETF 制定的一系列协议，它为IP 数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在 IP 层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。  私有性（confidentiality ）指对用户数据进行加密保护，用密文的形式传送。  完整性（data integrity ）指对接收的数据进行验证，以判定报文是否被篡改。  真实性（data au thentication）指验证数据源，以保证数据来自真实的发送者。  防重放（anti-replay ）指防止恶意用户通过重复发送捕获到的数据包所进行的攻击...