Файловый архив студентов. Файловый архив студентов.
1314 вуза, 5330 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
хачю сдать сессию Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский технический университет связи и информатики
Предмет:
Технологии коммутации в инфокоммуникационных сетях
Файл:

Отчет_лаб9

.docx
Скачиваний:
0
Добавлен:
28.01.2026
Размер:
368.08 Кб
Скачать

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

Ордена Трудового Красного Знамени федеральное

государственное бюджетное образовательное

учреждение высшего образования

«Московский технический университет

связи и информатики»

────────────────────────────────────

Факультет «Сети и Системы Связи»

Кафедра «Сети связи и системы коммутации»

Дисциплина «Технологии коммутации в инфокоммуникационных сетях» Лабораторная работа №9 «Изучение виртуальных частных сетей VPN

с использованием Cisco Packet Tracer»

Выполнили:

Проверил:

Москва 2025

Цель работы

Изучить и практически освоить процесс настройки виртуальных частных сетей VPN с использованием сетевого симулятора Cisco Packet Tracer. Научиться использовать технологию IPSec для организации VPN-туннеля между центральным офисом и филиалом компании, а также настраивать технологию NAT с использованием стандартных и расширенных списков доступа (access-list) для организации взаимосвязи подразделений компании и обеспечения доступа в Интернет.

Задание

• Ознакомиться по литературе [1, 2] с основными функциями по созданию виртуальных частных сетей VPN и технологий IPSec и NAT в частности.

• Запустить Cisco Packet Tracer.

• Собрать необходимую топологию сети, запустить и настроить виртуальное оборудование.

• Согласно пунктам выполнения лабораторной работы, сделать необходимые снимки экрана. Изучить полученную информацию и оформить ее в соответствии с требованиями раздела 5 (Содержание отчета).

Выполнение работы

  1. Проверим правильность введенных настроек

  1. Проверка настроек Router0

  1. Access-list для Router0

  1. Проверка доступности интерфейсов PC0 с Router2

  1. Проверка доступности интерфейсов PC2 c Router2

  1. Проводим VPN настройку на Router0 и Router1

  1. Настройки после изменения NAT на Router0 и Router1

Пинг с PC0 к PC2 после настройки VPN

Вывод

При выполнении данной лабораторной работы нами в процессе были изучены и практически освоен процесс настройки виртуальных частных сетей VPN с использованием сетевого симулятора Cisco. Научились использовать технологию IPSec для организации VPN-туннеля, а также настраивать технология NAT с использованием стандартных и расширенных списков.

Контрольные вопросы

  1. Что такое виртуальные частные сети? Зачем они нужны и какие функции выполняют?

Виртуальные частные сети (VPN) — это технологии, позволяющие создать защищенное, зашифрованное логическое сетевое соединение (туннель) поверх другой, менее безопасной сети (например, Интернет).

Они нужны для:

  • Безопасной связи между удаленными сетями: Объединение центрального офиса и филиалов в единую защищенную сеть, как если бы они были соединены частными кабелями.

  • Обеспечения конфиденциальности и целостности данных: Перехватить и прочитать данные, передаваемые через туннель, невозможно без ключей шифрования.

  • Аутентификации сторон: Убежденности в том, что соединение установлено с доверенным устройством.

  • Основные функции:

  • Шифрование трафика для обеспечения конфиденциальности.

  • Аутентификация участников соединения.

  • Контроль целостности передаваемых данных (защита от изменений "на лету").

  • Инкапсуляция приватных IP-пакетов для передачи через публичную сеть.

  1. С какой целью необходимо использовать стандартные и расширенные списки доступа при настройке технологии NAT? В чем их различие?

Цель использования разных списков доступа в NAT — точное определение того, какой трафик должен трансллироваться (подвергаться NAT), а какой — нет.

Стандартные списки доступа (Standard ACL):

Проверяют только IP-адрес источника.

В контексте NAT команда ip nat inside source list FOR-NAT interface ... будет применять NAT ко всему трафику, исходящему из сети, указанной в стандартном ACL. Это грубый инструмент, который не позволяет сделать исключения

Недостаток (показанный в работе): Если использовать стандартный ACL, то весь трафик из внутренней сети, включая тот, что предназначен для VPN-туннеля (до филиала), будет пытаться пройти через NAT, что ломает VPN-соединение.

Расширенные списки доступа (Extended ACL):

Проверяют IP-адрес источника, IP-адрес назначения, а также тип протокола и порты.

В контексте NAT они позволяют создать точное правило. Мы можем сначала запретить (deny) трансляцию для трафика, идущего между сетями офиса и филиала (этот трафик должен идти по VPN), а затем разрешить (permit) трансляцию для всего остального трафика, идущего в Интернет.

Преимущество: Позволяют разделить трафик: интернет-трафик проходит через NAT, а межфилиальный трафик — через зашифрованный VPN-туннель без изменений.

  1. Какие списки доступа следует использовать при организации VPN?

При организации VPN для определения шифруемого трафика (в команде match address в crypto map) необходимо использовать расширенные списки доступа (Extended ACL). Это требование протокола IPSec.

Причина: Для построения VPN-туннеля необходимо точно указать не только источник трафика (какая сеть "за" маршрутизатором), но и его получателя (какая сеть "за" удаленным маршрутизатором). Стандартные ACL, которые видят только источник, для этой задачи не подходят.

  1. Зачем задаются списки доступа при создании виртуальных частных сетей? Поясните их синтаксис на основе проделанной лабораторной работы.

Списки доступа (ACL) при создании VPN задаются для того, чтобы точно определить ("интересный трафик"), какой трафик должен быть защищен: зашифрован и отправлен через VPN-туннель.

Синтаксис на примере из работы:

Router(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

permit — действие: "разрешить" означает, что этот трафик должен быть обработан IPSec (зашифрован).

ip — протокол: указывает, что защищать нужно весь IP-трафик.

192.168.1.0 0.0.0.255 — адрес сети-источника и wildcard-маска. Означает "все адреса в сети 192.168.1.0/24".

192.168.2.0 0.0.0.255 — адрес сети-назначения и wildcard-маска. Означает "все адреса в сети 192.168.2.0/24".

Итоговый смысл команды: "Весь IP-трафик, идущий из сети 192.168.1.0/24 в сеть 192.168.2.0/24, должен быть зашифрован и отправлен через VPN-туннель".

  1. Объясните принцип работы технологии VPN исходя из полученных результатов.

Принцип работы VPN (на примере IPSec):

Инициирование: ПК в центральном офисе (PC0, 192.168.1.2) отправляет пакет ПК в филиале (PC2, 192.168.2.2).

Идентификация "интересного трафика": Маршрутизатор центрального офиса (Router0) проверяет пакет против расширенного ACL, привязанного к crypto map. Пакет соответствует правилу (источник 192.168.1.0/24, назначение 192.168.2.0/24).

Установление туннеля: Если защищенный туннель еще не установлен, Router0 инициирует процесс IKE.

Фаза 1: Создается защищенный туннель ISAKMP для управляющего трафика. Устройства договариваются о алгоритмах шифрования и аутентифицируют друг друга с помощью pre-shared key.

Фаза 2: Внутри туннеля ISAKMP устройства договариваются о параметрах для основного туннеля данных (алгоритмы шифрования, хэширования) и создают IPSec SA.

  • Шифрование и инкапсуляция: Router0 шифрует весь исходный IP-пакет (с данными от PC0 к PC2), добавляет к нему новые IPSec-заголовки и помещает в новый IP-пакет с адресом назначения — внешним интерфейсом Router1 (210.210.2.2).

  • Передача по публичной сети: Этот зашифрованный пакет маршрутизируется через сеть провайдера (Router2) как обычный IP-пакет.

  • Расшифровка: Router1 получает пакет, проверяет его подлинность, расшифровывает его, извлекая исходный IP-пакет от PC0 к PC2.

  • Доставка: Router1 пересылает исходный пакет получателю PC2 по внутренней сети филиала.

  • Результат работы: После правильной настройки мы убедились, что PC0 и PC2 могут "пинговаться", хотя физически между их сетями находится публичная сеть. Трафик между ними проходит безопасно, о чем свидетельствуют команды show crypto isakmp sa и show crypto ipsec sa.

  1. Опишите последовательность операций, необходимых для настройки первой фазы установления VPN.

Цель Фазы 1: Создать безопасный канал (ISAKMP SA) для согласования параметров основного туннеля.

Последовательность настройки:

  1. Создать политику IKE и перейти в режим ее настройки:

Router(config)# crypto isakmp policy 1

  1. Задать алгоритм шифрования для управляющего канала:

Router(config-isakmp)# encryption 3des

  1. Задать алгоритм хэширования для контроля целостности:

Router(config-isakmp)# hash md5

  1. Задать метод аутентификации (в работе — предварительный ключ):

Router(config-isakmp)# authentication pre-share

  1. Задать группу Диффи-Хеллмана для безопасного обмена ключами:

Router(config-isakmp)# group 2

  1. Выйти из режима настройки политики:

Router(config-isakmp)# exit

  1. Настроить предварительный ключ и указать IP-адрес пира (второй стороны туннеля):

Router(config)# crypto isakmp key cisco address 210.210.2.2

  1. Опишите последовательность операций, необходимых для настройки второй фазы установления VPN.

Цель Фазы 2: Договориться о параметрах для шифрования пользовательского трафика и определить, какой трафик шифровать.

Последовательность настройки:

  1. Создать Transform Set (набор преобразований) — комбинацию алгоритмов для защиты данных:

  2. Router(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac

  3. Создать расширенный список доступа (ACL), определяющий "интересный трафик":

  4. Router(config)# ip access-list extended FOR-VPN

  5. Router(config-ext-nacl)# permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

  6. Router(config-ext-nacl)# exit

  7. Создать crypto map, который свяжет все компоненты вместе:

  8. Router(config)# crypto map CMAP 10 ipsec-isakmp

  9. Указать IP-адрес пира:

Router(config-crypto-map)# set peer 210.210.2.2

  1. Указать используемый transform-set:

Router(config-crypto-map)# set transform-set TS

  1. Связать crypto map со списком доступа, определяющим шифруемый трафик:

Router(config-crypto-map)# match address FOR-VPN

Router(config-crypto-map)# exit

  1. Применить crypto map к внешнему интерфейсу маршрутизатора:

Router(config)# interface fastEthernet 0/0

Router(config-if)# crypto map CMAP

  1. Поясните назначение технологии IPSec. Какие протоколы в нее входят?

Назначение IPSec: Обеспечение конфиденциальности, целостности и аутентификации данных, передаваемых по IP-сетям. Это фундаментальная технология для построения безопасных VPN.

В IPSec входят три основных протокола:

  • ESP (Encapsulating Security Payload): Обеспечивает шифрование данных (конфиденциальность), а также аутентификацию и проверку целостности. Это основной протокол, который чаще всего используется.

  • AH (Authentication Header): Обеспечивает аутентификацию и проверку целостности данных (без шифрования). Используется реже, чем ESP.

  • IKE (Internet Key Exchange): Протокол для автоматического обмена ключами и управления безопасными соединениями (SA). IKE работает в две фазы для установления туннеля.

  1. Поясните назначение туннеля ISAKMP.

Туннель ISAKMP (Internet Security Association and Key Management Protocol), также известный как IKE Phase 1 Tunnel, — это первоначальный защищенный канал управления.

Его назначение:

Служить безопасным каналом для переговоров во второй фазе IKE.

По этому туннелю два маршрутизатора договариваются о параметрах (алгоритмах, ключах) для основного туннеля данных (IPSec SA), который будет использоваться для шифрования пользовательского трафика.

Аналогия: Прежде чем начать секретный разговор по обычному телефону, вы сначала по защищенной линии договариваетесь, на каком языке и с использованием какого шифра будете общаться.

  1. Как подключить к настроенной VPN еще один филиал?

  • Чтобы подключить новый филиал, необходимо повторить основные шаги настройки на маршрутизаторе центрального офиса и на новом маршрутизаторе филиала.

  • На маршрутизаторе центрального офиса:

  • Убедиться, что для нового филиала настроена уникальная политика IKE (или использовать существующую) и pre-shared key.

  • Router(config)# crypto isakmp key cisco address <WAN_IP_Нового_Филиала>

  • Создать новый расширенный ACL (или дополнить существующий), определяющий трафик между сетями центрального офиса и нового филиала.

  • Router(config-ext-nacl)# permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

  • Создать новую запись в crypto map с новым номером последовательности (например, 20), указав IP-адрес нового пира и привязав к нему новый или существующий ACL.

  • Router(config)# crypto map CMAP 20 ipsec-isakmp

  • Router(config-crypto-map)# set peer <WAN_IP_Нового_Филиала>

  • Router(config-crypto-map)# set transform-set TS (можно использовать тот же набор)

  • Router(config-crypto-map)# match address FOR-VPN-NEW (новый ACL)

  • Crypto map уже применен к интерфейсу, поэтому дополнительных действий не требуется.

  • На маршрутизаторе нового филиала: Выполняется полная настройка, аналогичная настройке первого филиала, но с указанием IP-адреса центрального офиса в качестве пира и настройкой соответствующих сетей.

Соседние файлы в предмете Технологии коммутации в инфокоммуникационных сетях
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности