*第1頁(yè)第7章NAT與VPN*第2頁(yè)學(xué)習(xí)目標(biāo)理解：網(wǎng)絡(luò)地址轉(zhuǎn)換的工作原理掌握：網(wǎng)絡(luò)地址轉(zhuǎn)換的配置及應(yīng)用理解：VPN的工作原理掌握：VPN的配置及應(yīng)用

學(xué)習(xí)完本次課程，您應(yīng)該能夠：*第3頁(yè)課程內(nèi)容

網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）

虛擬專用網(wǎng)（VPN）*第4頁(yè)1網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）學(xué)習(xí)內(nèi)容網(wǎng)絡(luò)地址轉(zhuǎn)換概述靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換及案例動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換及案例基于端口的網(wǎng)絡(luò)地址轉(zhuǎn)換及案例網(wǎng)絡(luò)地址轉(zhuǎn)換狀態(tài)信息的查看*第5頁(yè)1.1網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）1）網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation，NAT）網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于實(shí)現(xiàn)私用IP地址與公用IP地址之間的映射轉(zhuǎn)換的技術(shù)。網(wǎng)絡(luò)地址轉(zhuǎn)換是在1994年提出的，主要是為了緩解IPv4的IP地址不足問題。2011年2月，IPv4的地址已經(jīng)耗盡，ISP已經(jīng)不能申請(qǐng)到新的IP地址塊了，但直到今天IPv6仍還沒有完全普及開來。所以，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的使用非常廣泛，幾乎所有的單位中的網(wǎng)絡(luò)都用到了NAT技術(shù)。*第6頁(yè)2）NAT的一些術(shù)語（1）內(nèi)部本地地址(InsideLocalAddress)指本網(wǎng)絡(luò)內(nèi)部主機(jī)的IP地址。該地址通常是未注冊(cè)的私有IP地址。（2）內(nèi)部全局地址(InsideGlobalAddress)指內(nèi)部本地地址在外部網(wǎng)絡(luò)表現(xiàn)出的IP地址。它通常是注冊(cè)的合法IP地址，是NAT對(duì)內(nèi)部本地地址轉(zhuǎn)換后的結(jié)果。（3）外部本地地址(OutsideLocalAddress)指外部網(wǎng)絡(luò)的主機(jī)在內(nèi)部網(wǎng)絡(luò)中表現(xiàn)的IP地址。（4）外部全局地址(OutsideGlobalAddress)指外部網(wǎng)絡(luò)主機(jī)的IP地址。（5）內(nèi)部源地址NAT把InsideLocalAddress轉(zhuǎn)換為InsideGlobalAddress。這也是我們通常所說的NAT。在數(shù)據(jù)報(bào)送往外網(wǎng)時(shí)，它把內(nèi)部主機(jī)的私有IP地址轉(zhuǎn)換為注冊(cè)的合法IP地址，在數(shù)據(jù)報(bào)送入內(nèi)網(wǎng)時(shí)，把地址轉(zhuǎn)換為內(nèi)部的私有IP地址。（6）外部源地址NAT把OutsideGlobalAddress轉(zhuǎn)換為OutsideLocalAddress。這種轉(zhuǎn)換只是在內(nèi)部地址和外部地址發(fā)生重疊時(shí)使用。（7）NAPTNAPT又稱portNAT或PAT，它是通過端口復(fù)用技術(shù)，讓一個(gè)全局地址對(duì)應(yīng)多個(gè)本地地址，以節(jié)省對(duì)合法地址的使用量。第7頁(yè)*第8頁(yè)3）NAT的類型（1）按照私有IP地址與公用IP地址的對(duì)應(yīng)關(guān)系，可以分為：靜態(tài)NAT動(dòng)態(tài)NAT（2）根據(jù)NAT轉(zhuǎn)換的內(nèi)容及層次，可分為：基于IP的NAT基于端口的NAT（3）根據(jù)ipnat的命令組合方式，可分為：ipnatinsidesourceipnatinsidedestationipnatoutsidesourceipnatoutsidedestation本節(jié)主要進(jìn)行對(duì)于本地源IP地址的NAT實(shí)驗(yàn)。1.2靜態(tài)NAT的配置及案例這里指的是內(nèi)部源地址的靜態(tài)NAT的配置。它有以下特征：內(nèi)部本地地址和內(nèi)部全局地址是一對(duì)一映射。靜態(tài)NAT是永久有效的。通常我們?yōu)槟切┬枰潭ü肐P地址的主機(jī)建立靜態(tài)NAT，比如一個(gè)位于內(nèi)部網(wǎng)絡(luò)中，但卻需要被外部主機(jī)訪問的服務(wù)器。第9頁(yè)*第10頁(yè)1.2靜態(tài)NAT的配置及案例1）靜態(tài)NAT的配置（1）靜態(tài)NAT的配置命令格式Router(config)#ipnatinsidesourcestatic

local-addressglobal-address

說明這個(gè)命令用于指定內(nèi)部本地地址和內(nèi)部全局地址的對(duì)應(yīng)關(guān)系。如果加上permit-inside關(guān)鍵字，則內(nèi)網(wǎng)的主機(jī)既能用本地地址訪問，也能用全局地址訪問該主機(jī)，否則只能用本地地址訪問。*第11頁(yè)（2）指定路由器進(jìn)行NAT的內(nèi)部網(wǎng)絡(luò)接口與外部網(wǎng)絡(luò)接口：命令格式Router(config)#interfaceinterface-id

Router(config-if)#ipnatinside說明以上命令指定了在路由器上進(jìn)行NAT轉(zhuǎn)換的內(nèi)部接口。命令格式Router(config-if)#interfaceinterface-id

Router(config-if)#ipnatoutside說明此命令指定了路由器進(jìn)行NAT轉(zhuǎn)換的外部接口。*第12頁(yè)（3）刪除配置的靜態(tài)NAT：命令格式Router(config)#noipnatinsidesourcestaticlocal-addressglobal-address

說明該命令可刪除NAT表中指定的項(xiàng)目，不影響其它NAT的應(yīng)用。如果在接口上使用noipnatinside或noipnatoutside命令，則可停止該接口的NAT檢查和轉(zhuǎn)換，會(huì)影響各種NAT的應(yīng)用。（4）配置舉例：某單位網(wǎng)絡(luò)使用/24的私有網(wǎng)段，其中有一臺(tái)服務(wù)器，希望以公網(wǎng)地址的身份，對(duì)外部公網(wǎng)提供訪問服務(wù)。網(wǎng)絡(luò)拓?fù)湟约案髟O(shè)備的IP地址，如下圖所示：第13頁(yè)I．配置與之間的靜態(tài)NAT；Router>enableRouter#configureterminalRouter(config)#ipnatinsidesourcestatic第14頁(yè)II．指明NAT的內(nèi)部接口與外部接口Router(config)#interfacef0/0Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfacef0/1Router(config-if)#ipnatoutsideRouter(config-if)#endRouter#第15頁(yè)III．驗(yàn)證i．在PC1（00）上ping，可以ping通；ii．將模擬器轉(zhuǎn)換到模擬狀態(tài)下，再一次地在PC1（00）上ping，查看IP包的傳送路徑，并在當(dāng)包傳到路由器時(shí)，單擊打開數(shù)據(jù)包，查看包進(jìn)出路由器時(shí)的IP地址變化。從下圖中，可以發(fā)現(xiàn)，當(dāng)此IP包進(jìn)入路由器的目的IP地址為，而此IP包從路由器出去時(shí)，目的IP地址變成為；源IP地址沒有變化，都是00。第16頁(yè)第17頁(yè)*第18頁(yè)2）靜態(tài)NAPT的配置靜態(tài)NAPT可以使一個(gè)內(nèi)部全局地址和多個(gè)內(nèi)部本地地址相對(duì)應(yīng)，從而可以節(jié)省合法IP地址的使用量。它有以下特征：一個(gè)內(nèi)部全局地址可以和多個(gè)內(nèi)部本地地址建立映射，用IP地址+端口號(hào)區(qū)分各個(gè)內(nèi)部地址。從外部網(wǎng)絡(luò)訪問靜態(tài)NAPT映射的內(nèi)部主機(jī)時(shí)，應(yīng)該給出端口號(hào)。靜態(tài)NAPT是永久有效的。*第19頁(yè)（1）靜態(tài)NAPT的配置：命令格式Router(config)#ipnatinsidesourcestatic{tcp|udp}local-addressportglobal-addressport

說明

這個(gè)命令用于指定內(nèi)部本地地址和內(nèi)部全局地址的對(duì)應(yīng)關(guān)系，其中包括IP地址、端口號(hào)，使用的協(xié)議等信息。（2）指定路由器進(jìn)行NAT的內(nèi)部網(wǎng)絡(luò)接口與外部網(wǎng)絡(luò)接口：命令格式Router(config)#interfaceinterface-id

Router(config-if)#ipnatinside以上命令指定了網(wǎng)絡(luò)的內(nèi)部接口。Router(config-if)#interfaceinterface-id

Router(config-if)#ipnatoutside以上命令指定了網(wǎng)絡(luò)的外部接口。你可以配置多個(gè)Inside和Outside接口。*第20頁(yè)*第21頁(yè)（3）刪除配置的靜態(tài)NAPT：命令格式Router(config)#noipnatinsidesourcestatic{tcp|udp}local-addressportglobal-addressport

該命令可刪除NAT表中指定的項(xiàng)目，不影響其它NAT的應(yīng)用。如果在接口上使用noipnatinside或noipnatoutside命令，則可停止該接口的NAT檢查和轉(zhuǎn)換，會(huì)影響各種NAT的應(yīng)用。（4）配置舉例：某單位網(wǎng)絡(luò)使用/24的私有網(wǎng)段，其中有兩臺(tái)WWW服務(wù)器、2；一臺(tái)FTP服務(wù)器2，這三臺(tái)服務(wù)器，都希望以公網(wǎng)地址的身份，對(duì)外部公網(wǎng)提供訪問服務(wù)。其中，二臺(tái)WWW服務(wù)器、2，對(duì)外的網(wǎng)絡(luò)端口分別為80、8080。網(wǎng)絡(luò)拓?fù)湟约案髟O(shè)備的IP地址，如下圖所示：I．配置靜態(tài)NAPT；Router>enableRouter#configureterminalRouter(config)#ipnatinsidesourcestatictcp8080Router(config)#ipnatinsidesourcestatictcp2808080Router(config)#ipnatinsidesourcestatictcp22121Router(config)#ipnatinsidesourcestatictcp22020第23頁(yè)II．指明NAT的內(nèi)部接口與外部接口Router(config)#interfacef0/0Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfacef0/1Router(config-if)#ipnatoutsideRouter(config-if)#endRouter#第24頁(yè)III．驗(yàn)證i．對(duì)Server0、Server1上的WWW服務(wù)器頁(yè)面進(jìn)行設(shè)置，即在網(wǎng)頁(yè)中添加上紅線部分，用于區(qū)分訪問的WWW服務(wù)器；第25頁(yè)上圖為Server0上的WWW服務(wù)器配置，下圖為Server1上的WWW服務(wù)器配置ii．在PC1（00）上通過瀏覽器可以訪問和:8080，查看訪問結(jié)果。iii．將模擬器轉(zhuǎn)換到模擬狀態(tài)下，再一次在PC1（00）的瀏覽器上訪問：8080，查看IP包的傳送路徑，并在當(dāng)包傳到路由器時(shí)，單擊打開數(shù)據(jù)包，查看包進(jìn)出路由器時(shí)的IP地址變化。進(jìn)入路由器的包的詳細(xì)參數(shù)如圖7.1.6所示，請(qǐng)注意紅色標(biāo)注的目的IP與端口號(hào)：第27頁(yè)從路由器出去的包，即經(jīng)過靜態(tài)NAPT后，包的詳細(xì)參數(shù)如圖7.1.7所示，請(qǐng)注意紅色標(biāo)注的目的IP與端口號(hào)：1.3動(dòng)態(tài)NAT的配置及案例這里指的是內(nèi)部源地址的動(dòng)態(tài)NAT的配置。它有以下特征：內(nèi)部本地地址和內(nèi)部全局地址是一對(duì)一映射。動(dòng)態(tài)NAT是臨時(shí)的，如果過了一段時(shí)間沒有使用，映射關(guān)系就會(huì)刪除。動(dòng)態(tài)映射需要把合法地址組建成一個(gè)地址池，當(dāng)內(nèi)網(wǎng)的客戶機(jī)訪問外網(wǎng)時(shí)，從地址池中取出一個(gè)地址為它建立NAT映射，這個(gè)映射關(guān)系會(huì)一直保持到會(huì)話結(jié)束。第30頁(yè)1）定義動(dòng)態(tài)NAT的地址池命令格式Router(config)#ipnatpool

pool-namestart-addressend-addressnetmask

subnet-mask

說明這個(gè)命令用于定義一個(gè)IP地址池，pool-name是地址池的名字，start-address是起始地址，end-address是結(jié)束地址，subnet-mask是子網(wǎng)掩碼。地址池中的地址是供轉(zhuǎn)換的內(nèi)部全局地址，通常是注冊(cè)的合法地址。第31頁(yè)2）定義動(dòng)態(tài)NAT的訪問控制列表命令格式Router(config)#access-listaccess-list-numberpermit

addresswildcard-mask

說明這個(gè)命令定義了一個(gè)訪問控制列表，access-list-number是表號(hào)，address是地址，wildcard-mask是通配符掩碼。它的作用是限定內(nèi)部本地地址的格式，只有和這個(gè)列表匹配的地址才會(huì)進(jìn)行NAT轉(zhuǎn)換。第32頁(yè)3）啟動(dòng)內(nèi)部源地址動(dòng)態(tài)NAT命令格式Router(config)#ipnatinsidesourcelist

access-list-numberpool

pool-name

說明這個(gè)命令定義了動(dòng)態(tài)NAT，access-list-number是訪問列表的表號(hào)，pool-name是地址池的名字。它表示把和列表匹配的內(nèi)部本地地址，用地址池中的地址建立NAT映射。第33頁(yè)4）指定網(wǎng)絡(luò)的內(nèi)部接口與外部接口命令格式Router(config)#interfaceinterface-id

Router(config-if)#ipnatinside以上命令指定了網(wǎng)絡(luò)的內(nèi)部接口。Router(config-if)#interfaceinterface-id

Router(config-if)#ipnatoutside以上命令指定了網(wǎng)絡(luò)的外部接口。可以配置多個(gè)Inside和Outside接口。第34頁(yè)5）配置舉例：某辦公室通過路由器與外網(wǎng)相連，辦公室有4臺(tái)電腦，但平時(shí)只有2人會(huì)同時(shí)上網(wǎng)，辦公室內(nèi)網(wǎng)使用/24網(wǎng)段，辦公室分得二個(gè)公用IP地址：、，現(xiàn)要求使用動(dòng)態(tài)NAT轉(zhuǎn)換實(shí)現(xiàn)辦公室內(nèi)網(wǎng)訪問Internet。網(wǎng)絡(luò)結(jié)構(gòu)與IP分配如下圖所示。第35頁(yè)I．配置地址池、訪問控制列表，啟動(dòng)內(nèi)部源地址的動(dòng)態(tài)NAT轉(zhuǎn)換；Router>enableRouter#configureterminalRouter(config)#ipnatpoolnpnetmaskRouter(config)#access-list1permit55Router(config)#ipnatinsidesourcelist1poolnp說明：訪問列表的定義不要太寬，應(yīng)盡量準(zhǔn)確，否則可能會(huì)出現(xiàn)不可預(yù)知的結(jié)果。第36頁(yè)II．指明NAT的內(nèi)部接口與外部接口Router(config)#interfacef0/0Router(config-if)#ipnatinsideRouter(config-if)#interfacef0/1Router(config-if)#ipnatoutsideRouter(config-if)#endRouter#第37頁(yè)III．驗(yàn)證i．PC0—PC3的默認(rèn)網(wǎng)關(guān)都配置為，PC4不配置默認(rèn)網(wǎng)關(guān)。此時(shí)從PC4上ping內(nèi)網(wǎng)中的PC0、PC1、PC2、PC3，都是ping不通的。ii．從PC0上ping外網(wǎng)的PC4，可以發(fā)現(xiàn)能夠ping通。請(qǐng)切換到模擬狀態(tài)下，重新從PC0上ping外網(wǎng)的PC4，查看其IP包通過路由器時(shí)的變化情況。第38頁(yè)1.4動(dòng)態(tài)NAPT的配置及案例動(dòng)態(tài)NAPT可以使一個(gè)內(nèi)部全局地址和多個(gè)內(nèi)部本地地址相對(duì)應(yīng)，從而可以節(jié)省合法IP地址的使用量。它有以下特征：一個(gè)內(nèi)部全局地址可以和多個(gè)內(nèi)部本地地址建立映射，用IP地址+端口號(hào)區(qū)分各個(gè)內(nèi)部地址。（銳捷路由器中每個(gè)全局地址最多可提供64512個(gè)NAT地址轉(zhuǎn)換）動(dòng)態(tài)NAPT是臨時(shí)的，如果過了一段時(shí)間沒有使用，映射關(guān)系就會(huì)刪除。動(dòng)態(tài)NAPT可以只使用一個(gè)合法地址為所有內(nèi)部本地地址建立映射，但映射數(shù)量是有限的，如果用多個(gè)合法地址組建成一個(gè)地址池，每個(gè)地址都能映射多個(gè)內(nèi)部本地地址，則可減少因地址耗盡導(dǎo)致的網(wǎng)絡(luò)擁塞。第39頁(yè)動(dòng)態(tài)NAPT的配置與動(dòng)態(tài)NAT基本上相同，只是在NAT定義中，需要加上overload關(guān)鍵字：Router(config)#ipnatinsidesourcelist

access-list-numberpool

pool-nameoverload

這個(gè)命令定義了動(dòng)態(tài)NAPT，access-list-number是訪問列表的表號(hào)，pool-name是地址池的名字。它表示把和列表匹配的內(nèi)部本地地址，用地址池中的地址建立NAPT映射。overload關(guān)鍵字表示啟用端口復(fù)用。加上overload關(guān)鍵字后，系統(tǒng)首先會(huì)使用地址池中的第一個(gè)地址為多個(gè)內(nèi)部本地地址建立映射，當(dāng)映射數(shù)量達(dá)到極限時(shí)，再使用第二個(gè)地址。配置舉例：某辦公室通過路由器與外網(wǎng)相連，辦公室有4臺(tái)電腦，內(nèi)網(wǎng)使用/24網(wǎng)段，辦公室分得一個(gè)公用IP地址：，現(xiàn)要求使用NAPT轉(zhuǎn)換實(shí)現(xiàn)辦公室內(nèi)網(wǎng)所有電腦都能同時(shí)訪問Internet。網(wǎng)絡(luò)結(jié)構(gòu)與IP分配如下圖所示。I．配置地址池、訪問控制列表，啟動(dòng)內(nèi)部源地址的動(dòng)態(tài)NAT轉(zhuǎn)換；Router>enableRouter#configureterminalRouter(config)#ipnatpoolnpnetmaskRouter(config)#access-list1permit55Router(config)#ipnatinsidesourcelist1poolnpoverload說明：overload關(guān)鍵字表示啟用端口復(fù)用。II．指明NAT的內(nèi)部接口與外部接口Router(config)#interfacef0/0Router(config-if)#ipnatinsideRouter(config-if)#interfacef0/1Router(config-if)#ipnatoutsideRouter(config-if)#endRouter#III．驗(yàn)證i．PC0、PC1、PC2、PC3可以同時(shí)ping通PC4，說明配置成功。ii．切換到模擬狀態(tài)下，查看IP包通過路由器時(shí)的TCP/IP參數(shù)（源/目的IP地址、源/目的端口號(hào)）的變化情況。1.5NAT信息的查看1）顯示NAT轉(zhuǎn)換記錄：命令格式Router#showipnattranslations[verbose]說明這個(gè)命令顯示NAT轉(zhuǎn)換記錄，加上verbose關(guān)鍵字時(shí)，可顯示更詳細(xì)的轉(zhuǎn)換信息。如：Router>enableRouter#showipnattranslationsPro

Insideglobal

Insidelocal

Outsidelocal

Outsideglobaltcp

13:1815

:1815

:80

:80這里顯示的是一次NAT的轉(zhuǎn)換記錄，內(nèi)容依次為：協(xié)議類型(Pro)、內(nèi)部全局地址及端口(Insideglobal)、內(nèi)部本地地址及端口(Insidelocal)、外部本地地址及端口(Outsidelocal)、外部全局地址及端口(Outsideglobal)。2）顯示NAT規(guī)則和統(tǒng)計(jì)數(shù)據(jù)：命令格式Router#show

ipnatstatistics如：Router>enableRouter#showipnatstatisticsTotalactivetranslations:372,maxentriespermitted:30000Outsideinterfaces:Serial1/0Insideinterfaces:FastEthernet0/0Rulestatistics:[ID:1]insidesourcedynamichit:24737match(afterrouting):

ippacketwithsource-ipmatchaccess-list1action:

translateippacket'ssource-ipusepoolabc包括：當(dāng)前活動(dòng)的會(huì)話數(shù)(Totalactivetranslations)、允許的最大活動(dòng)會(huì)話數(shù)(maxentriespermitted)、連接外網(wǎng)的接口(Outsideinterfaces)、連接內(nèi)網(wǎng)的接口(Insideinterfaces)、NAT規(guī)則(Rule，允許存在多個(gè)規(guī)則，用ID標(biāo)識(shí))。規(guī)則1(ID:1)：NAT類型(本例為內(nèi)部源地址動(dòng)態(tài)NAT)、此規(guī)則被命中次數(shù)(hit值)、路由前還是路由后(match值，本例為路由前)、地址限制(本例受access-list1限制)、轉(zhuǎn)換行為(action值，本例用地址池abc轉(zhuǎn)換源地址)。3）清除NAT轉(zhuǎn)換記錄：命令格式Router#clear

ipnattranslation*

說明該命令會(huì)清除NAT轉(zhuǎn)換表中的所有轉(zhuǎn)換記錄，它可能會(huì)影響當(dāng)前的會(huì)話，造成一些連接丟失。*第49頁(yè)課程內(nèi)容

網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）

虛擬專用網(wǎng)（VPN）*第50頁(yè)2虛擬專用網(wǎng)（VPN）主要內(nèi)容虛擬專用網(wǎng)及其工作機(jī)制VPN的配置命令及步驟VPN應(yīng)用案例*第51頁(yè)2.1虛擬專用網(wǎng)（VPN）1）虛擬專用網(wǎng)及其工作機(jī)制虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN），是一種連網(wǎng)技術(shù)，主要用于利用開放的公眾網(wǎng)絡(luò)（比如Internet）建立專用數(shù)據(jù)傳輸通道，將分處兩地的機(jī)構(gòu)網(wǎng)絡(luò)連接起來，好象使用一條專線將分處兩地的機(jī)構(gòu)網(wǎng)絡(luò)直接連接起來一樣，并可實(shí)現(xiàn)保密通信。 圖7.2.1以一個(gè)機(jī)構(gòu)分處兩地的兩個(gè)部門網(wǎng)絡(luò)之間的互連說明使用隧道技術(shù)實(shí)現(xiàn)虛擬專用的原理。*第52頁(yè)*第53頁(yè)假定某機(jī)構(gòu)在兩個(gè)相隔較遠(yuǎn)的部門建立了專用網(wǎng)A和B，其網(wǎng)絡(luò)地址分別為專用地址和。現(xiàn)在這二個(gè)部門需要通過Internet構(gòu)成一個(gè)VPN，讓這兩個(gè)部門之間可以像有一條專線直接相連一樣進(jìn)行通信。 每個(gè)部門的專用網(wǎng)與Internet相連的路由器至少要有一個(gè)合法的全局IP地址，如圖7-2-1中的路由器R1和R2與Internet相連接口的全局地址分別為和。這兩個(gè)路由器與內(nèi)部網(wǎng)絡(luò)的接口地址則是使用專用網(wǎng)的本地地址。在每個(gè)部門A或B內(nèi)部的通信量都不需要經(jīng)過Interent。但如果部門A的主機(jī)X要與部門B的主機(jī)Y通信，主機(jī)X發(fā)給主機(jī)Y的IP數(shù)據(jù)報(bào)的源地址是，目的地址是。路由器R1收到數(shù)據(jù)報(bào)后，發(fā)現(xiàn)其目的網(wǎng)絡(luò)必須通過Internet才能到達(dá)，就把整個(gè)數(shù)據(jù)報(bào)用事先約定好的加密算法與加密密鑰進(jìn)行加密，這樣做是為了保證內(nèi)部數(shù)據(jù)報(bào)的安全，然后重新加上數(shù)據(jù)報(bào)的頭部，封裝成為在Interent上傳輸?shù)耐獠烤W(wǎng)絡(luò)數(shù)據(jù)報(bào)，新頭部中的源IP地址是路由器R1的全局地址，目的地址是路由器R2的全局地址。路由器R2收到數(shù)據(jù)報(bào)后，將其數(shù)據(jù)報(bào)進(jìn)行解密，恢復(fù)出原來的內(nèi)部數(shù)據(jù)報(bào)，交付給主機(jī)Y。從上可見，雖然主機(jī)X向主機(jī)Y發(fā)送的數(shù)據(jù)報(bào)通過了公用網(wǎng)Internet傳輸，但在效果上就好像是在本部門的專用網(wǎng)上傳送一樣。如果主機(jī)Y要向主機(jī)X發(fā)送數(shù)據(jù)報(bào)，那么所經(jīng)過的步驟也是類似的。2）虛擬專用網(wǎng)的類型按照連接對(duì)象的類型，虛擬專用網(wǎng)可分為兩種類型：站點(diǎn)到站點(diǎn)的VPN和遠(yuǎn)程訪問VPN。站點(diǎn)到站點(diǎn)的VPN，也即站點(diǎn)間的VPN，就是在二個(gè)站點(diǎn)間建立一個(gè)隧道，讓二個(gè)站點(diǎn)間好象有一條專線直接連接一樣，以實(shí)現(xiàn)二個(gè)站點(diǎn)間的安全通信。站點(diǎn)到站點(diǎn)VPN可用來在公司總部和其分支機(jī)構(gòu)、辦公室之間建立的VPN；替代了傳統(tǒng)的專線或分組交換WAN連接；它們形成了一個(gè)企業(yè)的內(nèi)部互聯(lián)網(wǎng)絡(luò)。遠(yuǎn)程訪問VPN，主要用于遠(yuǎn)程或移動(dòng)用戶的遠(yuǎn)程訪問連接。比如，單位員工在家里通過遠(yuǎn)程訪問VPN接入到單位的內(nèi)部網(wǎng)，以便訪問內(nèi)部服務(wù)器上的相關(guān)資源。按照虛擬專用網(wǎng)實(shí)現(xiàn)的協(xié)議，虛擬專用網(wǎng)可分為三種類型：IPSecVPN、SSLVPN和MPLSVPN。本節(jié)只討論使用IPSec實(shí)現(xiàn)的站點(diǎn)間的VPN。3）使用IPSec的站點(diǎn)到站點(diǎn)間VPN建立步驟使用IPSec的站點(diǎn)到站點(diǎn)間的VPN的配置步驟可以由以下四大步驟組成（1）配置IPSec前的準(zhǔn)備工作，確保網(wǎng)絡(luò)是通的；（2）配置ISAKMP/IKE參數(shù)（創(chuàng)建IKE策略，配置身份認(rèn)證的方式、加密算法、摘要算法等）（3）配置IPSEC（變換集、確定VPN的變換流量、加密映射、應(yīng)用到端口）；（4）測(cè)試、驗(yàn)證與排錯(cuò)；*第58頁(yè)2.2虛擬專用網(wǎng)的配置命令與步驟站點(diǎn)間的VPN具體的配置步驟及命令如下：1）啟動(dòng)ISAKMP/IKE命令格式：Router(config)#cryptoisakmpenable說明：此命令用于啟動(dòng)ISAKMP/IKE。ISAKMP，即InternetSecuriityAssocationandKeyManagementProtocol，Internet安全關(guān)聯(lián)和密鑰管理協(xié)議，主要定義了消息格式、密鑰交換協(xié)議機(jī)制，并且為IPSec建立一個(gè)SA的協(xié)商過程。IKE，即InternetKeyExchange，Internet密鑰交換，IKE完善了ISAKMP協(xié)議，補(bǔ)上了ISAKMP所沒有的密鑰管理，以及在兩個(gè)IPSec對(duì)等體之間共享密鑰。*第59頁(yè)2）建立并配置IKE協(xié)商策略命令格式：Router(config)#cryptoisakmppolicy

priority_number

//建立IKE協(xié)商策略Router(config-isakmp)#authentication{pre-share|rsa-encr|rsa-sig}//指定身份認(rèn)證類型Router(config-isakmp)#encryption｛des|3des|aes｝

//配置加密算法Router(config-isakmp)#hash｛md5|sha1｝

//配置摘要算法Router(config-isakmp)#lifetimeseconds

//SA的活動(dòng)時(shí)間*第60頁(yè)說明：建立一個(gè)策略，并為建立的策略指定一個(gè)策略編號(hào)priority_number，該編號(hào)范圍是1到10000。數(shù)字越低，策略的優(yōu)先級(jí)越高。Authentication命令VPN的雙方用來指定身份認(rèn)證的類型，有預(yù)共享密鑰（pre-share）、RSA加密的nonce（rsa-encr）和數(shù)字證書（rsa-sig）三種方式。本節(jié)只使用預(yù)共享密鑰，對(duì)于后兩種方式暫不說明。Encryption命令用來指定為管理連接加密信息的加密算法。默認(rèn)是des。Hash命令用來指定摘要算法。*第61頁(yè)3）設(shè)置預(yù)共享密鑰和對(duì)端地址命令格式：Router(config)#cryptoisakmpkey

keystring

address

peer-address或者：Router(config)#cryptoisakmpkeykeystringhostnamepeer-hostname說明：Keystring：共享密鑰，最長(zhǎng)不超過128個(gè)字符。認(rèn)證時(shí)，對(duì)端必須使用該密鑰。peer-address：VPN對(duì)端的IP地址。peer-hostname：對(duì)端的名稱，一般不建議使用。*第62頁(yè)4）建立傳輸變換集命令格式：Router(config)#

cryptoipsectransform-set

transform-set-nametransform1[transform2[transform3]

[transform4]]Router(config-crytpo-trans)#mode{tunnel|transport}說明：數(shù)據(jù)包在VPN傳輸過程中，當(dāng)從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)時(shí)，需要對(duì)數(shù)據(jù)包進(jìn)行變換處理。變換處理根據(jù)事先定義好的傳輸變換集進(jìn)行，每個(gè)傳輸變換集都需要設(shè)置一個(gè)唯一的名稱transform-set-name。傳輸變換集定義變換規(guī)則，主要是指要使用變換協(xié)議和采用的相關(guān)算法。表7-2-1列出了變換集中可以使用的有效變換規(guī)則。*第63頁(yè)變換集的連接模式有二種，隧道模式（tunnel）和傳輸模式（transport）。默認(rèn)為隧道模式。傳輸模式使用相對(duì)較少，主要用于使用較少的點(diǎn)到點(diǎn)被保護(hù)連接。隧道模式可以更好地保護(hù)二個(gè)網(wǎng)絡(luò)之間的流量。*第64頁(yè)5）創(chuàng)建并配置加密映射命令格式：Router(config)#cryptomap

map-nameseq-num

ipsec-isakmp//創(chuàng)建加密映射Router(config-crypto-map)#matchaddress

access-list-number

//指定由ACL確定的需要進(jìn)行VPN轉(zhuǎn)換的流量Router(config-crypto-map)#setpeer

ip_address

//設(shè)置對(duì)端的IP地址Router(config-crypto-map)#settransform-set

name

//指定傳輸模式集的名稱*第65頁(yè)說明：cryptomap命令建立加密映射，并給此加密映射指定一個(gè)唯一的名稱，在加密映射名稱后面，給它分配一個(gè)序列號(hào)，這個(gè)號(hào)用于指定加密映射的條目，每個(gè)加密映射中，可以有多個(gè)條目在里面。路由器會(huì)根據(jù)序列號(hào)從小到大的順序處理這些映射。ipsec-isakmp參數(shù)是用來說明使用ISAKMP/IKE來協(xié)商安全參數(shù)。matchaddress命令后面跟的ACL，用來指定需要進(jìn)行VPN變換的流量。setpeer命令用來指定對(duì)端路由器的IP地址或名稱。settransform-set命令指定用來進(jìn)行VPN傳輸變換的傳輸變換集的名稱。*第66頁(yè)6）應(yīng)用加密映射到需要進(jìn)行VPN的接口命令格式：Router(config)#interfacetype[slot_num/]interface_numRouter(config-if)#cryptomap

map-name說明：當(dāng)在路由器的一個(gè)接口上激活了加密映射后，路由器使用該接口上的IP地址作為IPSec數(shù)據(jù)包的源IP地址。*第67頁(yè)7）與VPN相關(guān)的參數(shù)查詢查看IKE策略Router#showcryptoisakmppolicy查看IPsce策略Router#showcryptoipsectransform-set查看SA信息Router#showcryptoipsecsa查看加密映射Router#showcryptomap*第68頁(yè)2.3虛擬專用網(wǎng)案例某企業(yè)總部與分部網(wǎng)絡(luò)的示意圖，如圖7.2.2所示，左邊Router0及以下為總部網(wǎng)絡(luò)，右邊Router1及以下為分部網(wǎng)絡(luò)。中間的路由器Router2表示是Internet上的某個(gè)路由器。各路由器的接口的IP地址如圖所示。現(xiàn)在要求在總部與分部之間建立一個(gè)站點(diǎn)到站點(diǎn)間的VPN。*第69頁(yè)（1）各設(shè)備的IP地址按圖7.2.2所示配置。（具體命令略）（2）在Router0、Router1上配置默認(rèn)路由.Router0(config)#iprouteRouter1(config)#iproute配置完成后，從Router0上可以ping通PC0、Router1（）。從Router1上可以ping通PC1、Router0（）。*第70頁(yè)（3）在Router0上進(jìn)行VPN配置//指定要進(jìn)行VPN的流量Router0(config)#access-list111permitip5555Router0(config)#cryptoisakmppolicy10//創(chuàng)建IKE協(xié)商策略，并指定優(yōu)先級(jí)Router0(config-isakmp)#encryption3des//配置加密算法Router0(config-isakmp)#hashmd5//配置摘要算法Router0(config-isakmp)#authenticationpre-share//指定使用預(yù)定義密鑰//設(shè)置口令為ABCD，對(duì)端IP為Router0(config)#cryptoisakmpkeyABCDaddress

*第71頁(yè)//設(shè)置轉(zhuǎn)換模式集的名稱（此處命名為tf），以及VPN采用的方式及算法Router0(config)#crypto