实验五 IPSec VPN穿越 NAT的通信实验 【实验名称】 IPSec VPN 穿越NAT 的通信实验 【实验目的】 学习配置Site to Site 的IPSec VPN 隧道,加深对IPSec 协议的理解。并且体会IPSec VPN 穿越NAT 的通信。 【背景描述】 假设北京的某公司在上海开了新的分公司,分公司要远程访问总公司的各种服务器资源,例如:CRM 系统、FTP 系统等。Internet 上的网络传输本身存在安全隐患,这家公司希望通过采用 IPSec VPN 技术实现数据的安全传输。 上海的分公司组网的时候使用私有地址,在出口部署 NAT 将私有地址转换为公有地址来接入互联网,就是说两台 VPN 网关之间还存在NAT 设备。从原理来说,NAT 和 IPSec存在一定的矛盾,因此当在有 NAT 设备的环境,传统的IPSec VPN 会出现无法正常工作的现象。但锐捷 VPN 产品,遵循 IETF 公布的最新穿越NAT 的标准,良好的实现了IPSec VPN 对NAT 设备的穿越。 【需求分析】 需求: 解决上海分公司和北京总公司之间通过 Internet 进行信息安全传输的问题 分析: IPSec VPN 技术通过隧道技术、加解密技术、密钥管理技术、和认证技术有效的保证了数据在Internet 网络传输的安全性,是目前最安全、使用最广泛的VPN 技术。因此我们可以通过建立 IPSec VPN 的加密隧道,实现分公司和总公司之间的信息安全传输。另外,VPN 设备还必须支持 NAT 穿越技术。 【实验拓扑】 【实验设备】 设 备 型 号 数 量 锐捷 VPN设备 RG-WALL V50 2台 锐捷路由器设备 1台 Windows系统的PC机 2台 直连线 2根 交叉线 2根 【预备知识】 1、网络基础知识、网络安全基础知识、VPN基础知识; 2、IPSec协议的基本内容、其工作模式; VPN设备A eht0 eht1 eht0 eht1 PC 1 PC 2 NAT-R VPN设备B F0/0 F0/1 3、IKE协议的基本工作原理; 4、IPSec VPN不能穿越 NAT的原因; 5、IPSec VPN穿越 NAT的原理。 【实验原理】 两个局域网出口的 VPN设备(A和 B)之间通过 IKE自动协商建立起 IPSec 的 VPN加密隧道。使得这两个局域网内部的 PC机 1和 PC机 2之间的通信,在这两个局域网间(VPN设备 A到 VPN设备 B的路径)是被加密传输的。 VPN网关之间存在 NAT设备,锐捷 VPN网关已经实现了 NAT穿越,并且能自动发现 NAT设备,因此对于 VPN设备而言配置中不需要对 NAT环境作做任何特殊设置。 但需要注意,在 NAT环境下,身份认...
