长途访问VPN配置与验证明行：构建安全的长途连接

长途访问VPN配置与验证明行：构建安全的长途连接
【实行目标】

• 理解长途访问 VPN的寄义。
  
• 掌握长途访问 VPN的寄义。
  
• 掌握VPN Client软件的使用。
  
• 验证配置。
  

【实行拓扑】
实行拓扑如下图所示。

实行拓扑
设备参数表如下表所示。
设备参数表
设备
|
接口
|
IP地点
|
子网掩码
|
默认网关
—|—|—|—|—
R1
|
s0/1/0
|
69.1.0.1
|
255.255.255.0
|
N/A
g0/0/0
|
192.168.1.1
|
255.255.255.0
|
N/A
Internet
|
s0/1/0
|
69.1.0.2
|
255.255.255.0
|
N/A
S0/1/0
|
201.106.208.1
|
255.255.255.0
|
N/A
R2
|
s0/1/0
|
201.106.208.2
|
255.255.255.0
|
N/A
g0/0/0
|
192.168.2.1
|
255.255.255.0
|
N/A
PC1
|
g0/0/0
|
192.168.1.100
|
255.255.255.0
|
192.168.1.1
PC2
|
g0/0/0
|
192.168.2.100
|
255.255.255.0
|
192.168.2.1
【实行内容】
1.IP地点与路由配置
//R1

1. enable
3. conf t
5. hostname R1
7. interface g0/0/0
9. ip address 192.168.1.1 255.255.255.0
11. no shutdown
13. exit
15. interface s0/1/0
17. ip address 69.1.0.1 255.255.255.0
19. no shutdown
21. exit

复制代码

//Internet
  

1. enable
2. conf t
3. hostname Internet
4. interface s0/1/0
5. ip address 69.1.0.2 255.255.255.0
6. no shutdown
7. interface s0/1/1
8. ip add 201.106.208.1 255.255.255.0
9. no shutdown
10. exit

复制代码

//R2

1. enable
3. conf t
5. hostname R2
7. interface s0/1/0
9. ip address 201.106.208.2 255.255.255.0
11. no shutdown
13. exit
15. interface g0/0/0
17. ip add 192.168.2.1 255.255.255.0
19. no shutdown
21. exit

复制代码

2.IP地点与路由配置
在路由器R1、R2上配置IP地点，测试各直连链路的连通性，并配置如下路由：
//R1
   ip route 0.0.0.0 0.0.0.0 s0/1/0
  //R2
   ip route 0.0.0.0 0.0.0.0 s0/1/0
  外网出口路由器通常会使用NAT，R1的模拟配置如下：

1. interface s0/1/0
3. ip nat outside
5. int g0/0/0
7. ip nat inside
9. exit
11. access-list 10 permit 192.168.1.0 0.0.0.255
13. ip nat inside source list 10 interface s0/1/0 overload

复制代码

测试从R1能否ping通R2的公网接口。在PC上配置IP地点和网关，测试能否ping通VPN网关路由器R2（201.106.208.2）。

3.在路由器R2上配置长途访问VPN
(1)R2的配置VPN的脚本

1. //R2
2. crypto isakmp enable
3. // 启用ISAKMP，用于安全密钥交换和建立VPN隧道
4. crypto isakmp policy 10
5. // 设置ISAKMP策略编号为10
6. encryption 3des
7. // 使用3DES算法进行数据加密
8. authentication pre-share
9. // 使用预共享密钥进行身份验证
10. hash sha
11. // 使用SHA算法进行数据完整性校验
12. group 2
13. // 设定Diffie-Hellman群组为2，用于密钥交换
14. exit
16. // 以下是设置推送到客户端的组策略：
18. ip local pool REMOTE-POOL 192.168.3.1 192.168.3.250
19. // 配置本地IP地址池，用于为远程客户端分配IP地址范围
20. ip access-list extended EXVPN
21. // 创建扩展访问列表EXVPN
22. permit ip 192.168.2.0 0.0.0.255 any
23. // 允许192.168.2.0/24网段与任意目的地进行通信
24. permit ip 192.168.3.0 0.0.0.255 any
25. // 允许192.168.3.0/24网段与任意目的地进行通信
26. exit
28. crypto isakmp client configuration group VPN-REMOTE-ACCESS
29. // 配置VPN客户端组VPN-REMOTE-ACCESS
30. key MYVPNKEY
31. // 设置预共享密钥为MYVPNKEY
32. pool REMOTE-POOL
33. // 指定分配给VPN客户端的IP地址池为REMOTE-POOL
34. save-password
35. // 允许客户端保存密码
36. acl EZVPN
37. // 创建访问控制列表EZVPN
38. exit
40. aaa new-model
41. // 启用AAA（认证、授权、会计）模型
42. aaa authorization network VPN-REMOTE-ACCESS local
43. // 配置本地用户进行VPN-REMOTE-ACCESS网络授权
44. crypto map CLIENTMAP isakmp authorization list VPN-REMOTE-ACCESS
45. // 将ISAKMP授权列表设置为VPN-REMOTE-ACCESS
46. crypto map CLIENTMAP client configuration address respond
47. // 配置响应客户端请求时使用动态分配的地址
48. crypto isakmp keepalive 60
49. // 配置ISAKMP保持活动状态的时间间隔为60秒
50. crypto ipsec transform-set VPNTRANSFORM esp-3des esp-sha-hmac
51. // 创建IPsec转换集VPNTRANSFORM，指定加密算法和哈希算法
52. crypto dynamic-map DYNMAP 10
53. // 创建动态加密映射DYNMAP，优先级为10
54. set transform-set VPNTRANSFORM
55. // 将转换集设置为VPNTRANSFORM
56. reverse-route
57. // 允许根据IPsec流量自动添加逆向路由
58. exit
60. crypto map CLIENTMAP 65535 ipsec-isakmp dynamic DYNMAP
61. // 创建加密映射CLIENTMAP，并将其与ISAKMP和动态映射关联
63. aaa authentication login VPNUSERS local
64. // 配置本地用户进行VPN用户身份验证
65. username vpnuser secret cisco
66. // 创建用户名为vpnuser，密码为cisco的用户
67. crypto map CLIENTMAP client authentication list VPNUSERS
68. // 将客户端身份验证列表设置为VPNUSERS
69. crypto isakmp xauth timeout 20
70. // 配置ISAKMP的XAuth身份验证超时时间为20秒
71. interface s0/1/0
72. // 进入接口s0/1/0的配置模式
73. crypto map CLIENTMAP
74. // 将加密映射CLIENTMAP应用于接口
75. exit

复制代码

4.实行验证
（1）PC举行VPN连接
//PC1

假如配置正确并连接成功，在客户机CMD中使用“ipconfig”命令可以看到获取了一个之前配置的地点池中的IP地点，结果如下：

通过ping对端局域网IP，验证两局域网之间是否可以举行通信。

(2)检查路由表
在VPN网关路由器上也多出了一条指向客户端的主机路由，路由表如下：
   R2#show ip route
  Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
  D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
  N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
  E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
  i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
  

• 
  
  
  
  • candidate default, U - per-user static route, o - ODR
    
  
  

  P - periodic downloaded static route
  Gateway of last resort is 0.0.0.0 to network 0.0.0.0
  192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks
  C 192.168.2.0/24 is directly connected, GigabitEthernet0/0/0
  L 192.168.2.1/32 is directly connected, GigabitEthernet0/0/0
  192.168.3.0/32 is subnetted, 2 subnets
  S 192.168.3.1/32 [1/0] via 69.1.0.1
  S 192.168.3.2/32 [1/0] via 69.1.0.1
  209.106.208.0/24 is variably subnetted, 2 subnets, 2 masks
  C 209.106.208.0/24 is directly connected, Serial0/1/0
  L 209.106.208.2/32 is directly connected, Serial0/1/0
  S* 0.0.0.0/0 is directly connected, Serial0/1/0
  R2#
  【知识点】

• VPN（Virtual Private Network）的概念和寄义：了解VPN的作用和原理，以及在实行中实现长途访问的目标。
  
• IP地点和子网掩码的配置：学习如何给网络设备配置IP地点和子网掩码，以便实现网络的连通性。
  
• 路由配置和默认路由：了解如何配置路由表，包罗设置默认路由，以确保网络流量能够正确转发。
  
• 网络地点转换（NAT）：学习如何配置NAT，实现内部网络和外部网络之间的通信。
  
• 加密协媾和战略配置：了解加密协议（如3DES）、认证方式和哈希算法的选择，以及如何配置加密战略。
  
• AAA（Authentication, Authorization, and Accounting）的基本概念和配置：了解AAA的作用，并学习如何配置用户认证和授权。
  
• 动态加密映射和映射到特定接口：学习如何创建动态加密映射并将其应用到特定的接口，以实现VPN的功能。
  

【劳绩】

• 对VPN的理解和实现能力的提升：通过实行，能够加深对VPN的概念、原理和配置的理解，掌握长途访问VPN的方法和步调。
  
• 网络配置和路由的实践经验：通过配置IP地点、子网掩码、路由表等，增强对网络设备和网络连通性的理解，并获得相关的实践经验。
  
• 安全性和加密相关知识的学习：通过配置加密协议、认证方式和哈希算法等，了解网络安全的紧张性，并学习如何保护数据传输的安全性。
  
• AAA的应用和用户认证授权的实践：通过配置AAA相关设置，学习如何实现用户认证和授权，加深对网络安全管理的认识。
  
• 实行操作和故障清除的技能提升：通过实行配置和验证的过程，提升网络设备的操作技能，同时在碰到问题时，学习故障清除的方法和本领。
  
• 这些知识点和劳绩将有助于学习者深入理解网络连接和安全性的概念，提升对网络设备配置和故障清除的技能，并为将来在网络范畴的学习和工作奠定坚实的根本。
  

每一次实行都是你追寻知识的航程，每一步都会让你更接近网络技能的巅峰。继续进步，你将获得属于你的辉煌。
接下来我将给各位同学划分一张学习筹划表！
学习筹划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零根本应该从什么开始学起：
阶段一：低级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全低级筹划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，假如你等保模块学的好，还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识（2天）
①了解行业相关背景，远景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常紧张）
2、渗透测试根本（1周）
①渗透测试的流程、分类、标准
②信息收集技能：自动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等
3、操作体系根本（1周）
①Windows体系常见功能和命令
②Kali Linux体系常见功能和命令
③操作体系安全（体系入侵排查/体系加固根本）
4、盘算机网络根本（1周）
①盘算机网络根本、协媾和架构
②网络通信原理、OSI模子、数据转发流程
③常见协议分析（HTTP、TCP/IP、ARP等）
④网络攻击技能与网络安全防御技能
⑤Web漏洞原理与防御：自动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库根本操作（2天）
①数据库根本
②SQL语言根本
③数据库安全加固
6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？
阶段二：中级or高级网络安全工程师（看本身能力）

综合薪资区间15k~30k
7、脚本编程学习（4周）
在网络安全范畴。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在现实的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满意现实需求的时候，通常必要对现有工具举行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就必要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目标，更是必要拥有编程能力。
零根本入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库举行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；
Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没须要看完
用Python编写漏洞的exp,然后写一个简朴的网络爬虫
PHP基本语法学习并誊写一个简朴的博客体系
认识MVC架构，并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三：顶级网络安全工程师

假如你对网络安全入门感爱好，那么你必要的话可以点击这里