VPN在校园网中的应用--毕业设计论文.doc

毕业设计（论文） 题 目： VPN在校园网中的应用 学 生： XXX 指导老师： XXX 系 别： XXX 专 业： XXX 班 级： XXX 学 号： XXX XXXX年XX月 目录 1 绪论 1 1.1 研究的背景与意义 1 1.2 VPN技术在国内外发展情况 1 1.2.1 国内情况 1 1.2.2 国外情况 1 1.3本课题研究意义 2 1.4本课题研究的主要内容和方法 2 1.4.1 研究的主要内容 2 1.4.2 研究的主要问题 2 1.4.3 论文实现的方法 3 1.5 论文的组织结构 3 2 虚拟专用网概述 4 2.1 虚拟专用网概念 4 2.2 虚拟专用网特点 4 2.3虚拟专用网的分类 4 3 校园网需求分析 6 3.1 校园网VPN的建设意义 6 3.2 校园网现状与改进方案 6 3.2.1 校园网现有状况的分析 6 3.2.2 校园网改进方案的介绍 7 3.3校园网中VPN技术介绍 8 3.3.1 IPSec VPN 技术介绍 8 3.3.2 Easy VPN 技术介绍 8 3.4校园网VPN建设目标 8 4 校园网VPN系统设计 9 4.1校园网VPN实验拓扑结构 9 4.2 实验参数配置 10 4.2.1 IPsec VPN部分实验参数配置 10 4.2.2 Easy VPN部分实验参数配置 10 5 VPN在校园网络中的部署与实现 12 5.1 VPN总体设计方案说明 12 5.2 IPsec VPN方案的具体实现 12 5.2.1 IPsec VPN在主校区的配置以及解析 12 5.2.3 IPSec 分校区的相关配置 13 5.3 Easy VPN方案的具体实现 14 5.3.1 Easy VPN在主校区的配置以及解析 14 6 VPN在校园网络中的系统测试 16 6.1测试目标 16 6.2测试环境 16 6.3测试过程以及分析 16 6.3.1 IPSec VPN部分的测试 16 6.3.2远程访问端Easy VPN的测试 18 7 总结 20 致谢 21 参考文献 22 III VPN在校园网中的应用 摘要 随着我国教育事业的逐步发展，大学教育成为我国必不可少的一个教育环节，从而对于信息化校园的建设显得格外重要，但是我国一些传统的高等院校还采用传统的专用接入网在校园使用，还属于较为落后的一种接入模式。所以需要通过建立虚拟局域网以及远程访问端的相关功能，提高师生资源利用校园的各种有利资源。在本论文对VPN的深入探索，在建设校园网方面具有一定的指导意义。 通过对VPN基础知识的相关学习，通过本论文的第一章内容进行展示，分别从VPN在校园网的意义、发展、研究这三个方向进行了阐述。 其次，对VPN在校园网的需求做了相应的分析，从而确定了校园网的建设方向。论文接着详细描述了校园网VPN的具体设计过程，以及给出相对应的校园网实验拓扑图，以及给出了相关VPN技术即IPSec VPN以及Easy VPN的设计概念，还描述了设计目标。 最后，本论文通过对相关功能的搭建以及测试晚上，实现了两校区通过IPsec VPN进行互访和远程访问端的登陆等相关功能，验证了VPN系统的有效性。通过在实际仿真软件上的模拟，对于VPN在校园网中的应用，有很大的指导性作用。 关键字：虚拟专用网;校园网;IPSec VPN;解决方案 1 Design and Implementation of Campus Network of VPN Abstract With the gradual development of China's education, university education become the essential a part of education, and for the construction of the campus information is particularly important, but our traditional colleges and universities also uses traditional dedicated access network in campus, also belong to the relatively backward the access mode. So they need by establishing virtual local area network and remote access terminal related functions, improve resource utilization campus of various beneficial resources of teachers and students. In this paper we explore the VPN, which has a certain guiding significance in the construction of campus network. Through the knowledge of VPN based on learning, through the first chapter of this paper display, respectively from the VPN in campus network, development and research in the three direction is discussed in this paper. Secondly, the demand for VPN in the campus network has made the corresponding analysis, to determine the direction of the construction of campus network. Then this paper described in detail the specific design process of campus network VPN, and gives corresponding to the campus network the topology graph, and gives the related technology of VPN that IPSec VPN and easy VPN design concept. It also describes the design goals. Finally, the paper by pair correlation function is built and tested in the evening, the two campuses through IPSec VPN for visits and remote access terminal landing and other related functions, to verify the validity of the VPN system. Through the simulation in practical simulation software, for the application of VPN in campus network, has great guiding role. Keywords: VPN；Campus Network；IPSec VPN；The solution 2 1 绪论 1.1 研究的背景与意义 通过相关的研究以及探讨，本毕业论文将通过VPN技术，使校园网更加便捷优化，打破传统的校园网设计，从而实现校园内部、不同校区以及在外的师生使用校园资源，使资源便捷利用。 在高等院校校园建设VPN，将VPN技术应用到校园中，可以让师生更好的利用到校园的相关资源，解决之前的资源上使用的不便捷、访问受地理因素、以及专线昂贵等相关不利因素的限制。且需要保证网络的安全以及畅通。现如今，VPN技术不仅在校园网中应用的如火如荼，而且在企业，公共产所也运用的十分密集，目前主要的VPN技术有三种，分别是IPSec VPN、PPTP VPN、L2TP VPN这三种形式的VPN。其中，IPSec VPN技术是在校园网中运用最频繁的技术，它具有强大的安全性，能够保证在数据传输过程中，保护数据的安全，使外部病毒不能侵入，防止被攻击。通过对该技术的特点分析，故此技术将会成为校园网搭建中必不可少的一种建设性技术。 1.2 VPN技术在国内外发展情况 1.2.1 国内情况 通过相关调查情况来看，我国在虚拟专用网上的应用，还处于应用初期。相应的通信技术服务商，移动、联通也将VPN技术应用到相关业务中去，以应对用户对系统的需求服务。对于各高校在VPN的使用来说，我国各大高校从2003年开始，就想把校园网进行优化，通过相关的VPN技术方案来进行解决，IPsec VPN以及SSL VPN是应用最为普及的VPN形式。在这两个技术上，资金花费较少和建设方面较为容易，这都是校园网初步建设的一个有利条件，但在初期，这两种技术应用并不是很多。在相关应用型高校的建设上来说，此类型高校正在研究适合于该高校的相关VPN技术方案。通过何种方式能更高效、合理的让校园的资源让广大师生更便捷的使用，这是在校园网的搭建过程中，必须注意的一个问题。 1.2.2 国外情况 VPN技术在国外来说，有很多网络的供应商对VPN的相关服务有提供技术支持，在价格上也存在低成本的优势、在性能上也很安全，很受全球的使用者的欢迎。国际上的VPN技术，由于科技的进步，发展的异常迅速，让VPN成为网络界的一个新的闪光点。研究该技术的相关特点，利用数据保护的途径，让用户在Internet网络上便捷的传输私有数据，而不需要专网的设备。VPN给生活带来的特点不仅体现在费用方面，而是有更好的服务水平。在外国，很多高等院校也是采用VPN技术来建设校园网的。 1.3本课题研究意义 由于专线价格昂贵，故建立VPN网络是优先的选择目标，这是不可避免的事实，但是针对在校园网中部署VPN的方案却很少，所以将通过VPN技术实现校园网的互通，本论文设计的是利用IPSec VPN、Easy VPN这两个技术，通过该技术合理的运用到校园网络中，并且通过实验平台进行模拟与测试，详细编写配置命令，致力使之成为一套合理实用的VPN技术在校园网络中的部署方案。 1.4本课题研究的主要内容和方法 1.4.1 研究的主要内容 由于Internet具有开放的这个特性，而校园网也是该网络的一个组成体，广大师生必须通过这个渠道进行资源的获取。还有一个地方就是，校园网也有它独特的专用性。伴随着校园网的逐步优化，校园内的师生教学、管理、活动等各个方面都需要校园内的广大资源。专线网络具有使用费用较大、拨号上网也有相应的网速慢、信息没有加密等不足，本论文将利用VPN技术的优势，以及结合实际校园网的设计，研究出一个最适合某地区校园网的VPN技术。 本论文的任务是围绕对某高等院校VPN规划这个主题而展开的。通过调查分析VPN的应用情况以及建设情况，具体得出将强校园网的资源合理运用是建设校园网必不可少的一个条件，只有通过合理的建设规划，才能让校园网运作的更加便捷化。 1.4.2 研究的主要问题 某高校主校区位于该市某主要地段，而由于教学以及学校发展需要，于是在该市某处开设了一个分校，两个校区均建立了独立的校园网络。 由于学校教学需要，主校区与分校区需要共享各种网络资源。师生需求的资源也是在日常教学以及管理、学习等方面所必须的，故必须在分校区建立VPN，使之可以访问主校区的资源，避免了使用资源的困难性，而且在外的师生，也必须通过远程访问的方式获取相关的资源，故此必须也要利用到VPN的技术。 1.4.3 论文实现的方法 本论文是研究如何将VPN技术合理的运用到两校区互联通信的过程中，以达到校园的访问资源的高效性、合理性，并替身校园网络质量。通过相关研究，可得出利用IPSec VPN技术、Easy VPN技术是校园网建设的一个核心技术。可以分为以下几点解决方法： 通过IPSec 协议连接主校区与分校区，这样可以对传输过程中的安全性进行保障。IPSec VPN 具有相关密钥的功能、以及通过配置相关参数、相关信息，使之相关功能可以使用。 Easy VPN 方式连回学校内网的使用群体就是在校外的师生。通过Easy VPN 的相关配置方案，以及在相对应的校园网上进行搭建，通过在电脑上的客户端连接，就可以轻松的访问相关资源。 通过IPsec VPN中的安全协议，对校园网的安全性得以保障，从而让广大师生在通过网络获取相关资源的时候，对于安全性可以大可放心，这样也保障了学校以及师生的相关利益。 1.5 论文的组织结构 本论文通过相关的研究设计，将论文分为以下几个部分： 第一章是绪论部分，通过相关的课题背景、VPN发展情况，从而引申出研究方案。 第二章是对虚拟局域网进行了全面的分析，通过概念、特点、技术应用进行解析。 第三章是校园网的需求分析，主要是设计本校园网络总体设计思路。 第四章是校园网VPN系统设计以及参数的具体搭建、配置。 第五章是VPN术在校园网中的应用，利用GN3、Cisco Packet Tracer和虚拟机搭建校园网环境。 第六章是校园网VPN系统的分部测试，以及测试结果的展示。 第七章是总结与展望，总结论文的可发展性。 2 虚拟专用网概述 2.1 虚拟专用网概念 在公用网络上建立专用网络的一种技术，是一种穿过公用网络临时的、安全的隧道，这就是虚拟专用网VPN（Virtual Private Network）的定义。 虚拟专用网其实并不是独立的物理网络，它能够提供专用网的相关功能，也就是表明虚拟专用网的实际定义是逻辑上的专用网络。而又有区别于实际的物理网络。对于虚拟专用网的需求者来说，在功能上与实际的专用网是类似的。 由于我国信息技术的不断发展，用户对自身使用网络安全性和其它使用需求逐步提升，VPN的相关技术也应该通过相关技术手段提升，因此IPSec VPN和SSL VPN等相关技术相继出现，通过此技术手段的问世，从而对虚拟专用网络的安全性有了更深层次的保障。通过VPN技术的应用，让信息传输具有可靠性、时效性、安全性。 2.2 虚拟专用网特点 （1） 高安全性。通过建立一个逻辑、点对点的链路在隧道上，并在隧道上并利用相关的加密技术对隧道的安全性进行保障，保证接受者者以及使用者的私密性以及稳定安全性。 （2）可扩充性和灵活性。VPN在网络中应用的数据流确定得经过Intranet和Extranet的这种类型，通过此数据流，添加新的网络节点，在传输介质方面，也是可以支持文字、图形图形、声音类型的文件。灵活性高，可以合理使用。 （3）服务质量保证（Qos）。为了防止堵塞的出现，就必须有服务质量的保障，利用流量监测还有流量控制等技术手段，利用带宽资源的恰当运用，以及对带宽管理的严格把控，让数据可以理想化的进行传输。 （4）可管理性。可管理性主要提现在用户、运营放两个方面，通过这两个方面的监控，可以从设备、安全、配置等角度进行分别管理。 2.3虚拟专用网的分类 虚拟专用网分类方式比较混乱。网络设备供应商也是根据一个业务的需求进行分门别类的。相关的运营商，通过对VPN技术的相关把控，对VPN技术的划分也是五花八门。对于VPN的划分有如下几点： 1、按VPN的协议分类： 常用的虚拟专用网协议有：L2F、L2TP、PPTP、IPsec、SSL VPN、Cisco VPN、OpenVPN、Freegate。 2、按VPN的应用分类： （1）Access VPN：此方式是用在少量的访问者通过远程访问相关部门的一种技术； （2）Intranet VPN：此方式主要是用在两个区域通过公共网络建立的虚拟网，即网络对网络的对等连接方式； （3）Extranet VPN：外联网的VPN是通过公用网络，让不一样的区域形成的一个虚拟网络。 3、按设备的类别模式分类： 网络设备提供商通过客户的需求以及调节，研究出不同类型的设备，最常见的就是交换机以及路由器、防火墙： （1）路由器式VPN：路由器式VPN在实际运作过程中较为轻松，通过在路由器端配置VPN的相关服务就可以使VPN正常使用； （2）交换机式VPN：使用在用户数量较为不多的VPN网络中； （3）防火墙式VPN：防火墙式VPN是最具有安全性的一种VPN技术。 4．按照接入方式划分： （1）拨号VPN：又称VPDN，主要是应用于移动客户想获取机构的资源上，主要有PPTP、L2TP协议。 （2）专线VPN：专线VPN是用语解决ISP边界路由器而诞生的一个服务，通过此项服务，使用者不需要再通过拨号上网的方式建立相关连接。 3 校园网需求分析 3.1 校园网VPN的建设意义 作为具有高等教育资质的院校，各种信息资源的便捷获取是十分重要的。在信息化校园与时俱进的今天，越来越多的高校开始重视这方面的问题，大力发展校园网的建设。通过合理需求规划，让资源共享、文件浏览等操作在校园中得以实现。在这种庞大的信息系统的带动下，总校区需要及时掌握分校区的情况，分校区也要及时了解总校区的最新的信息资源等，同时在校的老师同学们也是需要校园资源。原有的拨号方式已经无法满足主学校与分校区间的传输需要了，而且不希望要为此负上高昂的专线费用，所以需要在校园网内涉及VPN专用网络，以满足学校的建设需要。 3.2 校园网现状与改进方案 3.2.1 校园网现有状况的分析 现代高校对于信息化的要求是越来越大，尤其是具备两个校区的大型高等院校。以某市为例，某高校主校区位于该市某主要地段，而由于教学以及学校发展需要，于是在该市某处开设了一个分校，两个校区均建立了独立的校园网络。原校园网拓扑图如图3-1所示。 图3-1 原校园网拓扑图 由于学校教学需要，主校区与分校区的师生，需要共享各种网络资源。同时在外的老师、同学也需要使用校内资源，故需要通过VPN等相关技术将两校区独立的校园网互连起来。因此该学校的老师、学生希望能实现分校区与主校区的校园网相互访问以使用不同校区的校园网资源，让学习以及教学更加便捷。 3.2.2 校园网改进方案的介绍 本论文研究的是VPN技术在校园网的具体应用，通过技术的设计，把分校区与主校区通过VPN技术手段进行连接。总体来说，本论文将通过图3-2中的IPSec VPN以及Easy VPN技术来应用于校园网中。可以分为以下几点解决方法： (1) 在主校区与分校区之间通过IPSec协议进行安全连接，保证两校区师生使用相关资源的安全性。IPSec VPN 在两校区的搭建，目的是实现在防火墙上进行选择 IPSec VPN 组网模式、配置 IPSec VPN 基本参数、配置相关 IP 地址信息、配置密钥及相关算法，从而实现IPSec VPN的相关功能。 (2) 由于师生不是天天都待在学院，故在外的师生则可以使用 Easy VPN 方式连回学校内网，获取师生所需求的资源。Easy VPN 的接入方案，主要是让在外的师生利用电脑端的VPN客户端软件，进行账号密码的输入，从而连接校园网，从而进一步获取相关校园资源。 (3) 通过在主校区内网的实施访问控制措施，在关键的数据必经的设备上进行访问策略的应用，通过相关的配置，这样访问的客户端在访问控制方面就有所严格把控。通过防火墙的相关功能，保障校园中数据传输的信息安全。 图3-2 VPN技术应用于校园网的拓扑图 3.3校园网中VPN技术介绍 3.3.1 IPSec VPN 技术介绍 IPSec VPN是通过IPSec协议来实现VPN的功能，IPSec（Internet Protocol Securit），是IETF确定的一种安全协议标准定义，主要是让公用以及专用网络的安全性得以保障。IPSec是由以下几个部分组成，分别是PF_KEY（密钥管理API）、AH(认证报头)、IKE（密钥交换协议）、ESP(封装安全载荷)。 IPSec的主要功能是对网络单元进行安全访问控制，内核中完成的功能占大多数，但由于证书、密钥等相关策略是IPSec的实现需要的必备工具，这时系统管理员就需要对网络策略和性能以及安全方面进行配置。由于IPSec服务在网络层，因此任何上层协议都可以调用IPSec服务提供的功能。IPSec VPN简单来说就是采用IPSec协议来实现远程登录的一种VPN技术。 3.3.2 Easy VPN 技术介绍 Easy VPN是cisco独有的远程接入VPN技术。远程访问VPN技术在外出人员的身上体现出了很有价值性的一面。传统的电话线接入网络，速度慢，费用高，不适合在校使用。EASY VPN很好的实现了远程访问的相关功能。 EASY VPN是Cisco的专用VPN技术。它分为Easy VPN SERVER和Easy VPN REMOTE两种，EASY VPN SERVER 是REMOT--Easy VPN专业设备。 3.4校园网VPN建设目标 我国校园网也逐步在完善校园的信息传输的合理规范化，所以在校园网的建设过程中，主要考虑以下几个因素： 首先要考虑的是网络策略。VPN的实现需要本论文的相关规划。 其次是考虑安全性。校园网的安全，是师生使用校园资源的重要保障。 接着，需要考虑下校园网在实际应用过程中的兼容性以及拓展性。目的是为了校园网的进一步发展以及完善，对于校园网的建设具有重要的一个方面。 在建设校园网的关键步骤上，还要考虑校园网建设的成本、实际环境等方面的因素。 4 校园网VPN系统设计 4.1校园网VPN实验拓扑结构 图4-1 校园网VPN拓扑图（IPsec VPN部分） 图4-2 校园网VPN拓扑图（Easy VPN部分） 通过对校园网的需求分析，得出相对应的实验拓扑图，通过图4-1、图4-2表示。其中IPsec VPN部分通过Cisco Packet Tracer模拟器搭建，Easy VPN部分通过GNS3模拟器与虚拟机上的Windows XP系统连接搭建。通过相应平台的搭建，可以模拟实现分校区通过IPSec VPN访问主校区，以及远程访问端通过Easy VPN访问主校区相关资源的相关功能，以实现资源的合理应用。 4.2 实验参数配置 4.2.1 IPsec VPN部分实验参数配置 实验环境参数的相关配置即主校区接口IP如表4-1、分校区接口IP如表4-2所示。 表4-1 Cisco Packer Tracer实验参数配置（1） F0/0 S0/0/0 S0/0/1 S0/1/0 DHCP服务器 2.2.2.1/24 FTP服务器 2.2.2.2/24 主校区路由器 192.168.5.1/24 100.1.1.2/24 Z教室 192.168.1.1/24 Z教师机（无线） 192.168.2.3/24 Z办公室1 192.168.2.2/24 Z办公室2 192.168.2.1/24 Z学生宿舍1 192.168.3.1/24 Z学生宿舍2 192.168.3.2/24 Z学生宿舍3 192.168.3.3/24 Internet 100.1.1.1/24 120.1.1.1/24 200.1.1.1/24 表4-2 Cisco Packer Tracer实验参数配置（2） F0/0 S0/0/1 DHCP服务器 5.5.5.5/24 分校区路由器 192.168.6.1/24 120.1.1.2/24 F宿舍 192.168.7.1/24 F教室 192.168.4.2/24 F办公室 192.168.4.1/24 4.2.2 Easy VPN部分实验参数配置 实验环境使用的网络设备以及参数的相关配置如表4-2所示。 表4-3 GNS3实验参数配置 路由器 型号 对应端口的IP地址 备注说明 R1 C3600 F0/0:192.168.10.254 F0/1:218.100.1.1 R1为主校区边界路由 R2 C3600 F0/0:61.128.1.1 F0/1:192.168.20.254 R2为分校区边界路由 ISP C3600 F0/0:61.128.1.10 F0/1:218.100.1.10 E1/0:200.100.1.10 ISP模拟Internet测试 PC1 C3600 F0/0:192.168.10.1 PC1为主校区PC端 PC2 C3600 F0/1:192.168.20.1 PC2为分校区PC端 C2 连接虚拟机无线VMware Network Adapter VMnet1网卡 5 VPN在校园网络中的部署与实现 5.1 VPN总体设计方案说明 通过在相应模拟器上搭建网络拓扑图，要实现校园网的IPsec VPN的相关功能，需要在主校区以及分校区的边界路由器上搭建相应IPsec VPN策略，使之具有认证、传输、加密、解密等相关功能，从而实现VPN的连接作用。 而要达到在校园网的Easy VPN的相关功能，首先从在给出的校园网拓扑中，远程VPN端则通过与C2端即与虚拟机无线VMware Network Adapter VMnet1网卡连接，采用预共享密钥、定义远程拨号的组等相关技术手段，通过在Windows XP上安装VPN Client端与校园网连接，使之可以使用校园网资源。 5.2 IPsec VPN方案的具体实现 5.2.1 IPsec VPN在主校区的配置以及解析 （1）在主校区上配置 IKE（ISAKMP）策略: zhuxiaoqu(config)#crypto isakmp policy 10 zhuxiaoqu (config-isakmp)#encryption 3des zhuxiaoqu(config-isakmp)# hash md5 zhuxiaoqu (config-isakmp)#authentication pre-shared zhuxiaoqu (config-isakmp)#group 2 解释说明：定义了ISAKMP policy 10，加密方式为3des，hash算法为md5，认证方式为Pre-Shared Keys (PSK)，密钥算法（Diffie-Hellman）为 group 2。 （2）在主校区上定义认证标识: zhuxiaoqu(config)# crypto isakmp key cisco address 120.1.1.2 解释说明：通过之前定义的认证方式，定义为 Pre-Shared Keys (PSK)，所以需要定义认证密码。这里定义的密码与 peer 120.1.1.2 的认证密码均为cisco，而且需要双方密码必须保持一致，否则无法建立IKE SA。 （3）在主校区上配置IPSec transform: zhuxiaoqu (config)# crypto IPSec transform-set l2lvpn esp-3des esp-md5-hmac 解释说明：配置了transform-set为 l2lvpn，数据封装使用esp加3des进行具体加密，并且使用esp结合md5做hash计算，默认的IPSec mode 为tunnel隧道。 （4）定义ACL控制列表与主校区的校园网： zhuxiaoqu (config)#Easy-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 zhuxiaoqu (config)#Easy-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255 zhuxiaoqu (config)#Easy-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255 zhuxiaoqu (config)#Easy-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 zhuxiaoqu(config)#Easy-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 zhuxiaoqu (config)#Easy-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 zhuxiaoqu (config)#Easy-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255 zhuxiaoqu (config)#Easy-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255 zhuxiaoqu (config)#Easy-list 100 permit ip any any 解释说明：这个是允许/拒绝指定IP（任何IP）通过控制列表的意思any any，前一个是指IP，后一个指子网掩码。 （5）在主校区上创建 crypto map： zhuxiaoqu (config)#crypto map vpn 10 IPSec-isakmp zhuxiaoqu (config)#set peer 120.1.1.2 zhuxiaoqu (config)#set transform-set l2lvpn zhuxiaoqu(config)#match address 110 解释说明：在R1路由器上指定加密数据发往的对端IP为120.1.1.2的地址上，即和120.1.1.2建立 IPSec 隧道。调用的IPSec transform为l2lvpn，并且指定 ACL 110中的流量为被保护的流量。最后将crypto map应用于分校区s0/0/0的接口上。 5.2.3 IPSec 分校区的相关配置 在分校区的路由器上，使分校区实现IPSec VPN的功能： fenxiaoqu (config) (config)# crypto isakmp policy 10 fenxiaoqu (config) (config-isakmp)#encryption 3des fenxiaoqu (config) (config-isakmp)#hash md5 fenxiaoqu (config) (config-isakmp)#authentication pre-share fenxiaoqu (config) (config-isakmp)#group 2 fenxiaoqu (config) (config-isakmp)#exit fenxiaoqu (config) (config)# crypto isakmp key cisco address 100.1.1.2 fenxiaoqu(config) (config)# crypto IPSec transform-set l2lvpn esp-3des esp-md5-hmac fenxiaoqu(config)(config)#Easy-list 100 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255 fenxiaoqu (config) (config)# crypto map vpn 10 IPSec-isakmp fenxiaoqu (config) (config-crypto-map)# set peer 100.1.1.2 fenxiaoqu (config) (config-crypto-map)# set transform-set l2lvpn fenxiaoqu (config) (config-crypto-map)#match address 110 解释说明：两个校区的IKE和IPSec 相关策略必须相同。 5.3 Easy VPN方案的具体实现 5.3.1 Easy VPN在主校区的配置以及解析 （1）crypto isakmp policy 20 encr 3des authentication pre-share group 2  解释说明：采用预共享密钥，加密方式为3des，Group2，hash为sha，这里说明，软件拨号 必须是Group2，它内置的策略只有Group2。  （2）ip local pool ippool 1.1.1.1 1.1.1.200 解释说明：该指令是分配IP地址池即分配给VPN用户拨入成功后分配的地址，在此使用内网没用过的网段。 （3）ip access-list extended ezvpn-traffice permit ip 192.168.10.0 0.0.0.255 any permit ip host 192.168.8.8 any 解释说明：这个ACL定义的是，允许VPN拨入后，访问哪些流量，其他的按正常流量走，比如这里只能访问10.0与8.8 这2个网段，其他的访问internet按正常网关走。 （4）crypto isakmp client configuration group ezvpn key cisco pool ippool acl ezvpn-traffice 解释说明：定义远程拨号的组，组的作用可以根据实际需求划分，比如按区域，不同区域拨入到不同的组，然后定义一个key 与之前定义的地址池与ACL。  （5）aaa new-model aaa authentication login ezvpn local aaa authorization network ezvpn local 解释说明：这个是AAA功能，需要认证跟授权，需要定义一个，这里采用本地认证与授权。 （6）crypto isakmp profile cisco match identity group ezvpn client authentication list ezvpn isakmp authorization list ezvpn client configuration address respond