基于IPSec安全體系的VPN網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)BasedonIPSec［摘要］VPN技術(shù)在近幾年的發(fā)展可謂是相當(dāng)?shù)目焖?。因?yàn)関pn的出現(xiàn)，使私有網(wǎng)絡(luò)幾乎達(dá)到任何想要到達(dá)的地方，VPN技術(shù)目前最具活力的研究領(lǐng)域之一，因?yàn)樗奶匦赃m合于大多數(shù)的中小型企業(yè)，VPN和一般的網(wǎng)絡(luò)不同，它可以為邏輯上不存在連接的兩個(gè)站點(diǎn)建立一條虛擬的通道，讓連個(gè)局域網(wǎng)在在虛擬的情況下進(jìn)行連接，VPN網(wǎng)絡(luò)有很多種類型，而在這之中IPSEC就是一種非常棒的VPN，這是一個(gè)加密認(rèn)證技術(shù)，也就是這次的討論對(duì)象。本次討論的目標(biāo)就是要設(shè)計(jì)一個(gè)基于ipsec的VPN實(shí)驗(yàn)，這個(gè)方案可以使站點(diǎn)的所有網(wǎng)絡(luò)進(jìn)行跨越，并且通過VPN進(jìn)行連接，而關(guān)于IPSEC協(xié)議的主要功能是體現(xiàn)在加密技術(shù)上面。本文將以IPSEC為基礎(chǔ)，對(duì)虛擬專用網(wǎng)絡(luò)這個(gè)目前使用很廣泛的信息安全技術(shù)進(jìn)行較深入的研究，設(shè)計(jì)一個(gè)基于IPSEC協(xié)議的高效率，安全，穩(wěn)定的vpn網(wǎng)關(guān)，并且通過模擬器對(duì)其進(jìn)行研究。[關(guān)鍵詞]：VPN，隧道技術(shù)，IPSEC，方案實(shí)現(xiàn)[abstract]thedevelopmentofVPNtechnologyinrecentyearsisquitefast.TheemergenceoftheVPN,makeprivatenetworkreachedalmostanyplaceyouwanttogettotheVPN,oneofthemostactiveresearchfieldsbecauseofitsfeaturesissuitableforthemajorityofsmallandmediumenterprises,VPNandgeneralnetwork,itcanbelogicallythereisnoconnectionoftwositestobuildavirtualchannel,toconnectalocalareanetwork(LAN)inundertheconditionofthevirtualconnection,therearemanykindsoftypesofVPNnetwork,andintheIPSECVPNisakindofverygood,thisisanencryptedauthenticationtechnology,whichistheobjectofdiscussion.ThegoalofthisdiscussionistodesignanexperimentbasedonipsecVPN,thisschemecanmakethesiteallacrossthenetwork,andthroughtheVPNconnection,andthemainfunctionistoreflectonipsecprotocolonencryptiontechnology.

ThisarticleisbasedonIPSEC,thevirtualprivatenetworkthatcurrentlyuseawiderangeofinformationsecuritytechnology,afurtherstudytodesignahighefficiencybasedonIPSECprotocol,securityandstabilityoftheVPNgateway,andthroughthesimulatortostudy.

[keywords]:theVPNtunneltechnology,IPSEC,planimplementation

目錄TOC\o"1-3"\h\u7067緒論 4119591.課題研究的背景及意義 4150861.2國(guó)內(nèi)對(duì)于ipsec的研究現(xiàn)狀 4320901.2.1研究現(xiàn)狀 466101.2.2國(guó)外的研究現(xiàn)狀 536861.3主要研究?jī)?nèi)容 5130892.相關(guān)技術(shù)分析 5236102.1VPN概述 5325182.2IPSecVPN概述 5206202.2.1IPSec協(xié)議簡(jiǎn)介 5127142.2.2IPSecVPN 5171312.3IPsec框架 641682.4散列函數(shù) 620522.5加密算法 760862.5.1對(duì)稱密鑰算法 7752.5.2非對(duì)稱密鑰算法 8187672.6封裝協(xié)議 8186191)ESP(EncapsulatingSecuityFayload) 8216302)AH(AuthenticationHeader) 917382.7IPsec的數(shù)據(jù)封裝模式 10215301.傳輸模式 10206742.隧道模式 10147052.8密鑰有效期 11322862.9本章小結(jié) 1191753.網(wǎng)絡(luò)需求分析 12183373.1網(wǎng)絡(luò)硬件需求 1232843.2網(wǎng)絡(luò)功能需求 1274803.3網(wǎng)絡(luò)安全需求 12140843.4本章小結(jié) 1220294網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì) 12319274.1網(wǎng)絡(luò)架構(gòu)設(shè)計(jì) 12246944.2網(wǎng)絡(luò)功能設(shè)計(jì) 12176204.3網(wǎng)絡(luò)安全設(shè)計(jì) 12100135.網(wǎng)絡(luò)環(huán)境部署 13224105.1萬(wàn)能拓?fù)鋱D 13286985.2效果拓?fù)鋱D 13229965.2.1邊界路由器配置 13121855.2.2校區(qū)站點(diǎn)配置 16117435.3網(wǎng)絡(luò)功能測(cè)試 17191955.3.1mplsvpn測(cè)試 18101905.3.2測(cè)試R2于R3loo1的連通性 18166605.3.3IPSEC的一些問題 19167546總結(jié)與展望 1924266.1全文總結(jié) 1933096.2研究展望 202844致謝 2025958參考文檔 2019640參考文獻(xiàn) 20緒論隨著現(xiàn)代網(wǎng)絡(luò)的發(fā)展，很多人慢慢的把技術(shù)的矚目點(diǎn)從網(wǎng)絡(luò)的可用性、信息的獲取性轉(zhuǎn)移到網(wǎng)絡(luò)的安全性、應(yīng)用的簡(jiǎn)易性上來。新興發(fā)展起來的一種技術(shù)虛擬專用網(wǎng)（Virtual

Private

Network，VPN）正在被現(xiàn)在網(wǎng)絡(luò)廣泛的使用，許多的ISP都非常的推崇這一項(xiàng)技術(shù)，因?yàn)樗娴暮芊奖?。與此相應(yīng)，網(wǎng)絡(luò)中的安全問題也漸漸的受到重視。由于在剛開始建立網(wǎng)絡(luò)的時(shí)候沒有相對(duì)詳細(xì)的考慮安全問題，導(dǎo)致現(xiàn)在的網(wǎng)絡(luò)狀況很不理想，安全性變得非常的差，為什么？因?yàn)榫W(wǎng)絡(luò)中的IP數(shù)據(jù)包一般都是通過明文來傳輸?shù)?，毫無(wú)安全性可言。在網(wǎng)絡(luò)安全的發(fā)展中，各種技術(shù)相應(yīng)的出現(xiàn)，而在1988年IETF推出了ipsec這一項(xiàng)具有優(yōu)勢(shì)的網(wǎng)絡(luò)安全技術(shù)。IPSec協(xié)議現(xiàn)在已經(jīng)變成世界上使用最為廣泛的技術(shù)，它在將來很有可能會(huì)變成ip網(wǎng)絡(luò)中VPN的標(biāo)志性技術(shù)。但是IPSec協(xié)議是一個(gè)新興的安全協(xié)議，其中技術(shù)命令復(fù)雜，IPSec在各個(gè)方面，例如理論和實(shí)踐方面都是需要改進(jìn)的?；谒鼘?duì)于網(wǎng)絡(luò)安全真的非常重要。1.課題研究的背景及意義在信息時(shí)代，隨著企業(yè)及各種學(xué)院的廣泛使用，企業(yè)網(wǎng)的范圍也在持續(xù)不斷增大，從本地網(wǎng)絡(luò)發(fā)展到跨地區(qū)、跨城市，甚至是跨國(guó)家的網(wǎng)絡(luò)。internet范圍的增大，使得在生活中對(duì)網(wǎng)絡(luò)的應(yīng)用的要求變得很高。比如說，分布在不一樣的國(guó)家的不一樣的部門都想有一個(gè)安全的平臺(tái)來共享信息；在旅游時(shí)或者出差時(shí)，員工想要訪問公司的內(nèi)部網(wǎng)絡(luò)。企業(yè)會(huì)時(shí)常遇見這些問題，都是想ISP租用長(zhǎng)型的線路和數(shù)字加密技術(shù)來保證該企業(yè)在網(wǎng)絡(luò)方面的需求，但是這種網(wǎng)絡(luò)消費(fèi)方式不是每個(gè)企業(yè)都能承受的，而且在網(wǎng)絡(luò)的擴(kuò)展性方面這方法也是非常差的。國(guó)內(nèi)的信息公用網(wǎng)在這幾年來已經(jīng)得到的告訴的發(fā)展。在網(wǎng)絡(luò)的物理連接上，公眾的共享信息平臺(tái)是公開的，所以當(dāng)有些企業(yè)要傳遞信息時(shí)需要經(jīng)過公眾網(wǎng)絡(luò)，所以在這里就有很大安全性問題，就是因?yàn)槌霈F(xiàn)了安全性問題，IPSEC則破殼而出成為了如今被使用最為廣泛的安全傳輸協(xié)議。虛擬專用網(wǎng)（VPN）技術(shù)是最近幾年新興出現(xiàn)的技術(shù)，它既可以拜托企業(yè)中繁重的維護(hù)等工作，就可以加強(qiáng)企業(yè)網(wǎng)的安全性能。VPN技術(shù)，又稱為虛擬專用網(wǎng)技術(shù)，就是在有公共網(wǎng)絡(luò)的基礎(chǔ)上在建立私有網(wǎng)絡(luò)，傳遞的信息在IPSEC的加密下傳入公共網(wǎng)絡(luò)中。虛擬專用網(wǎng)技術(shù)可以節(jié)省成本、提供遠(yuǎn)程互聯(lián)、延展性好、方便管理和可以進(jìn)行多方面控制等優(yōu)點(diǎn)，這是目前每個(gè)企業(yè)在網(wǎng)絡(luò)方面發(fā)展的趨勢(shì)。1.2國(guó)內(nèi)對(duì)于ipsec的研究現(xiàn)狀1.2.1研究現(xiàn)狀在國(guó)內(nèi)對(duì)于IPSECVPN的研究相對(duì)國(guó)外來說是比較滯后的，但是這并不代表我們不會(huì)使用該技術(shù)，總所皆知，IPSEC技術(shù)是一個(gè)對(duì)所有的加密技術(shù)的一個(gè)集合體或者說是一個(gè)總成，IPSEC總是使用當(dāng)前最安全靠譜的機(jī)密技術(shù)來作為核心，對(duì)網(wǎng)絡(luò)進(jìn)行安全的防護(hù)。在國(guó)內(nèi)IPSEC被廣泛應(yīng)用于VPN技術(shù)中，與VPN技術(shù)結(jié)合，保護(hù)了信息的安全。1.2.2國(guó)外的研究現(xiàn)狀相對(duì)于國(guó)外來說，IPSEC被應(yīng)用的更為廣泛，它在任何方面都有被使用，就是因?yàn)镮PSEC技術(shù)是與時(shí)代共同進(jìn)步的技術(shù)，ipsec應(yīng)用范圍大，尤其在國(guó)外的應(yīng)用更廣泛。1.3主要研究?jī)?nèi)容本次論文將對(duì)IPSECVPN進(jìn)行相對(duì)深入的講解，從多方面讓大家了解IPSEC技術(shù)的只是，主要會(huì)從IPSEC的基本原理，以及IPSEC框架，不同的IPSEC應(yīng)用場(chǎng)合等方面來介紹IPSEC著項(xiàng)技術(shù)。相關(guān)技術(shù)分析2.1VPN概述隨著時(shí)代的發(fā)展以及企業(yè)規(guī)模的發(fā)展壯大，網(wǎng)絡(luò)負(fù)擔(dān)也不斷的加強(qiáng)，這時(shí)，有些企業(yè)考慮到成本問題，相對(duì)的就產(chǎn)生了vpn技術(shù)。VPN（virtualprivatenetwork）即虛擬專用網(wǎng)絡(luò)，他可以實(shí)現(xiàn)以私網(wǎng)連接到公網(wǎng)的要求，因?yàn)槌杀颈容^低，所以被很多中小型企業(yè)采用。一般企業(yè)使用的vpn有兩種，sslvpn和ipsecvpn。這兩種方法同時(shí)又有兩種的連接方式：1、access-vpn訪問遠(yuǎn)程的用戶2、site-tosite點(diǎn)到點(diǎn)之間的通信2.2IPSecVPN概述2.2.1IPSec協(xié)議簡(jiǎn)介IPSec協(xié)議，是用來維護(hù)三層的安全問題。因?yàn)榇蟛糠值木W(wǎng)絡(luò)信息都要經(jīng)過IP這一層，相當(dāng)于說，網(wǎng)絡(luò)中的幾乎所有的信息都是通過TCP/IP來傳輸?shù)?。關(guān)于ipsec的提出是在1992年。那時(shí)ipsec技術(shù)不太成熟，經(jīng)過一段時(shí)間的不斷研磨，在1998年的時(shí)候?qū)psec進(jìn)行了初步使用。預(yù)計(jì)在將來，ipsec技術(shù)會(huì)不斷的發(fā)展，乃至最后的成熟。2.2.2IPSecVPN在以往的網(wǎng)絡(luò)架構(gòu)中，一般都是使用GRE隧道模式對(duì)數(shù)據(jù)進(jìn)行傳輸，其實(shí)這樣的傳輸方式是不安全也是不可靠的，ipsec技術(shù)的出現(xiàn)彌補(bǔ)了GRE的這一缺點(diǎn)，它可以實(shí)現(xiàn)數(shù)據(jù)的端到端的數(shù)據(jù)加密型傳輸，保證了數(shù)據(jù)的安全性。IPSEC有兩種封裝協(xié)議分別是AH和ESP。IPSec的優(yōu)勢(shì)有：（1）數(shù)據(jù)機(jī)密性：當(dāng)公司的數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸?shù)臅r(shí)，都希望自己公司的數(shù)據(jù)是以密文的方式傳輸出去的，但是，在互聯(lián)網(wǎng)上的時(shí)候數(shù)據(jù)有時(shí)是密文有時(shí)是明文，像這種不同的情況就應(yīng)該用不同的方案來解決。（2）數(shù)據(jù)完整性：數(shù)據(jù)完整性確保數(shù)據(jù)在源主機(jī)和目的主機(jī)之間傳送時(shí)不被篡改。VPN一般使用hash算法進(jìn)行加密。哈希算法類似于校驗(yàn)和，但是更可靠，它可以確保沒有人能更改數(shù)據(jù)的內(nèi)容，驗(yàn)證算法包括MD5，SHA-1。（3）身份驗(yàn)證：身份驗(yàn)證確保信息來源的真實(shí)性，并傳送到真實(shí)的目的地。（4）防重放保護(hù)：IPSEC接受方可檢測(cè)并拒絕接收過時(shí)或重復(fù)的數(shù)據(jù)包。IPSEC協(xié)議不是一個(gè)單獨(dú)的協(xié)議，包括安全協(xié)議，AH、ESP、IKE和用于驗(yàn)證，等加密算法。2.3IPsec框架一些傳統(tǒng)的安全技術(shù)以及無(wú)線安全技術(shù)，旺往往會(huì)采用某種固定的加密和散列函數(shù)，這種做法帶有明顯的賭博性質(zhì)，因?yàn)槿绻程爝@個(gè)加密算法曝出嚴(yán)重漏洞，那么使用這個(gè)加密算法或者散列函數(shù)的安全技術(shù)也就難免要遭到淘汰，為了避免這種在一棵樹上吊死的悲慘事件發(fā)生，IPsec并沒有定義具體的加密和散列函數(shù)，IPSEC是以框架模式進(jìn)行工作的，ipsec每次應(yīng)用的加密都是要通過協(xié)商才能進(jìn)行使用，比如說，我們覺得3DES這個(gè)加密技術(shù)很好，那么就不放暫且使用這個(gè)額協(xié)議來加密數(shù)據(jù)，但是只要有一天3DES出現(xiàn)了嚴(yán)重漏洞，或者出現(xiàn)了一個(gè)更好的加密技術(shù)，那么我們也可以馬上更換加密協(xié)議，使IPSECVPN總是使用最新最好的協(xié)議來進(jìn)行加密，圖3-2所示為ipsec框架示意圖，這張圖旨在說明，不僅僅是散列函數(shù)，加密算法，還包括封裝協(xié)議和模式，密鑰有效期等內(nèi)容都可以通過協(xié)商決定，在兩個(gè)IPSEC對(duì)等體之間協(xié)商的協(xié)議較做IKE。我們現(xiàn)在就一IPSEC框架設(shè)計(jì)的技術(shù)為主線，詳細(xì)介紹這些技術(shù)的特點(diǎn)和工作原理。2.4散列函數(shù)散列函數(shù)就是HASH函數(shù)，hash算法有兩種：MD5與SHA-1。Hash算法的作用就是用來保證數(shù)據(jù)的完整性，通過hash算法計(jì)算過得數(shù)據(jù)就叫做hash值，這個(gè)散列值也常常被稱為數(shù)據(jù)的指紋，為什么散列函數(shù)會(huì)被稱為數(shù)據(jù)的指紋呢？這是因?yàn)樯⒘泻瘮?shù)的工作原理和日常我們對(duì)指紋采集和使用的原理幾乎一樣，在這之前，我們不妨先來回想以下日常生活中我們是如何對(duì)指紋進(jìn)行采集和使用的。步驟1：公安機(jī)關(guān)預(yù)先記錄：用戶“X”的指紋“指紋一”。步驟2：在犯罪現(xiàn)場(chǎng)中，公安機(jī)關(guān)獲取到“指紋二”步驟3：通過查詢指紋數(shù)據(jù)庫(kù)發(fā)現(xiàn)“指紋一”等于“指紋二”步驟4：由于指紋是獨(dú)一無(wú)二的，所以就能確定嫌疑犯了。這就是散列函數(shù)的工作機(jī)制，接下來看看他是如何驗(yàn)證數(shù)據(jù)完整性的。步驟1：對(duì)“重要文件”執(zhí)行散列函數(shù)計(jì)算，得到散列值“散列值一”步驟2：現(xiàn)在我們收到另外一個(gè)文件“文件？”。對(duì)它進(jìn)行散列值計(jì)算得到“散列值二”。步驟3：將“散列值一”和“散列值二”進(jìn)行對(duì)比，兩個(gè)散列值相等。步驟4：因?yàn)樯⒘兄狄彩仟?dú)一無(wú)二的，所以兩個(gè)散列值是相同的。1.固定大小散列值有一個(gè)特性，就是它可以接受任意大小的數(shù)據(jù)，但是產(chǎn)生的散列值大小總是一樣的。比說通過MD5計(jì)算的到的散列值總是128bite。2.蝴蝶效應(yīng)蝴蝶效應(yīng)的意思就是原本的數(shù)據(jù)只要稍微改變一點(diǎn)，其計(jì)算的到的散列值都會(huì)發(fā)生巨大的改變。單向意思就是說數(shù)據(jù)只能單向的進(jìn)行散列值計(jì)算，無(wú)法在還原到原來的數(shù)據(jù)。4.沖突避免這點(diǎn)體現(xiàn)了散列值的唯一性，不會(huì)有一個(gè)散列值是相同的，避免了散列值沖突現(xiàn)在我們來看一下散列算法如何驗(yàn)證數(shù)據(jù)的完整性。步驟1：用hash函數(shù)對(duì)“文件”和得到的“散列值一”進(jìn)行計(jì)算。步驟2：將“散列值一”和“文件”一起發(fā)送給對(duì)端步驟3：對(duì)端同樣對(duì)“文件”進(jìn)行計(jì)算得到“散列值二”步驟4：接收方將收到文件中“散列值一”和計(jì)算得到的“散列值二”進(jìn)行對(duì)比，如果兩個(gè)散列值相同，那么根據(jù)散列函數(shù)蝴蝶效應(yīng)和沖突避免的特點(diǎn)，就可以檢查“文件”在傳輸?shù)倪^程中有沒有被人更改了。2.5加密算法對(duì)稱密鑰算法非對(duì)稱密鑰算法2.5.1對(duì)稱密鑰算法對(duì)稱密鑰算法有一個(gè)很明顯的特點(diǎn)，發(fā)送方和接收方都使用相同的密鑰進(jìn)行加解密，這樣的加解密算法就叫做對(duì)稱算法，對(duì)稱密鑰算法有如下特點(diǎn)：優(yōu)先：速度快：安全：緊湊。缺點(diǎn)：明文傳輸共享密鑰，容易出現(xiàn)中途接觸竊聽的問題；密鑰與參加者之間的函數(shù)關(guān)系（n*（n-1）/2）；因?yàn)槊荑€數(shù)量過多，對(duì)密鑰的管理和存儲(chǔ)時(shí)一個(gè)很大的問題；對(duì)稱密鑰算法的幾種協(xié)議：DES3DESAES作一個(gè)比較直觀的比較，想必大多數(shù)讀者都有使用壓縮軟件的經(jīng)歷，而對(duì)稱密鑰算法加密的速度應(yīng)該比壓縮的速度稍快，另外，現(xiàn)在無(wú)線網(wǎng)絡(luò)的使用也很普及，無(wú)線都是使用WPA2進(jìn)行加密的，而WPA2是使用DES進(jìn)行加密的，用戶在使用無(wú)線網(wǎng)絡(luò)的時(shí)候，似乎并沒有因?yàn)榧用芏咕W(wǎng)絡(luò)發(fā)生太大的延遲，而且只要他們的路由器或者交換機(jī)配上硬件加速模塊，那就基本上能夠?qū)崿F(xiàn)線速加密，因此速度是對(duì)稱密鑰算法的一大優(yōu)勢(shì)。2.5.2非對(duì)稱密鑰算法在使用非對(duì)稱加密技術(shù)之前，所有參與者沒不管是用戶還是路由器等網(wǎng)絡(luò)設(shè)備，都是需要預(yù)先使用非對(duì)稱密鑰算法產(chǎn)生一對(duì)密鑰，其中包括一個(gè)公鑰和一個(gè)私鑰，公鑰可以共享給所以屬于密鑰系統(tǒng)的用戶，私鑰需要進(jìn)行嚴(yán)格的保護(hù)，只有持有這個(gè)私鑰的人才能使用。非對(duì)稱密鑰算法兩大安全特性：完整性校驗(yàn)源認(rèn)證工作特點(diǎn)：1.密鑰不能使用相同的密鑰進(jìn)行解密2.僅用于密鑰交換和數(shù)字簽名優(yōu)點(diǎn)：1.安全2.密鑰具有一對(duì)一的特性；3.交換公鑰不需要提前建立信任關(guān)系；非對(duì)稱密鑰算法協(xié)議：1.RSA；2.DH；3.ECC；2.6封裝協(xié)議1)ESP(EncapsulatingSecuityFayload)ESP的IP協(xié)議號(hào)為50,能夠抵御重放攻擊。對(duì)于IP數(shù)據(jù)包不會(huì)進(jìn)行任何的保護(hù)。ESP協(xié)議用于對(duì)ip數(shù)據(jù)包進(jìn)行加密，ESP除了對(duì)數(shù)據(jù)部分可以進(jìn)行加密工作，還有一些認(rèn)證的功能。ESP的加密是獨(dú)立的，它可以不依賴算法，大多數(shù)的數(shù)據(jù)都是可以使用ESP進(jìn)行加密的，例如DES，RC5等。因?yàn)镋SP才用了特殊的封裝方式，所以就算是在舊有的網(wǎng)絡(luò)中也是一樣可以運(yùn)行的。IPSEC的任何協(xié)議都是有兩種工作方式，所以對(duì)于ESP來說也有兩種工作方式：同樣是隧道模式和傳輸模式。當(dāng)ESP工做模式為傳輸模式的時(shí)候。在隧道模式的時(shí)候，對(duì)IP數(shù)據(jù)包整個(gè)有效字節(jié)進(jìn)行加密工作，并加入新的IP頭部，這與NAT有異曲同工之妙。圖2-5ESP封裝示意圖2)AH(AuthenticationHeader)AH只和認(rèn)證有關(guān)系，它不涉及加密。AH雖然在某些方面在功能上和ESP有些重復(fù)，但是AH有它自身的優(yōu)勢(shì)，比如說他可以專門為IP頭部進(jìn)行加密。對(duì)于AH，它可以是單獨(dú)使用，也可以在模式下使用例如隧道模式，或者是和ESP一起使用。（如圖2-6）圖2-6AH頭示意圖3)IKE(InternetKeyExchange)IKE是負(fù)責(zé)在兩臺(tái)節(jié)點(diǎn)之間進(jìn)行一種連接的作用，它可以創(chuàng)建一條隧道來供網(wǎng)絡(luò)信息使用，IKE在運(yùn)行要完成的工作有:--對(duì)運(yùn)行中需要的協(xié)議進(jìn)行協(xié)商--公共密鑰的相互交換--兩個(gè)節(jié)點(diǎn)之間的相互認(rèn)證--交換成功后對(duì)密鑰進(jìn)行管理圖2-7IKE示意圖IKE也是由三個(gè)協(xié)議組成--SKEME--Oakley--ISAKMPIKE協(xié)議分為二個(gè)階段.IPSEC隧道要建立起來就要經(jīng)過下面的一系列過程:第一步:將ike進(jìn)行連接第二步:安全系統(tǒng)的建立第三步:使用加速連接模式，建立第二個(gè)安全系統(tǒng)第四步:數(shù)據(jù)包進(jìn)行加密動(dòng)作。2.7IPsec的數(shù)據(jù)封裝模式IPSEC可以對(duì)數(shù)據(jù)進(jìn)行加密也可以對(duì)數(shù)據(jù)進(jìn)行認(rèn)證。只是不管是進(jìn)行加密或者是進(jìn)行認(rèn)證功能，對(duì)于這兩種功能IPSEC都有兩種工作方式，一種是隧道模式，還有另一種就是傳輸模式1.傳輸模式傳輸模式，如圖2－3所示，傳輸模式其實(shí)很簡(jiǎn)單，不管使用的是AH協(xié)議還是ESP協(xié)議，都在在IP頭部和有效數(shù)據(jù)之間加入一個(gè)協(xié)議頭部，另外值得一提的是，ESP協(xié)議在數(shù)據(jù)的后面再加上自己的尾部和一個(gè)ESP人認(rèn)證，并且對(duì)IP負(fù)載和ESP尾部進(jìn)行加密和驗(yàn)證處理，但原始IP頭部被完整地保留下來。圖2-3傳輸模式示意圖2.隧道模式隧道模式，如圖所示，這個(gè)模式的工作原理是將原本的整個(gè)IP數(shù)據(jù)包封裝到一個(gè)全新的IP數(shù)據(jù)包中，而在要插入一個(gè)EDP部分在原始數(shù)據(jù)包頭部和新數(shù)據(jù)包頭部之間，以此對(duì)整個(gè)原始IP數(shù)據(jù)包進(jìn)行了加密和驗(yàn)證處理。那么，什么樣的網(wǎng)絡(luò)拖布適合使用隧道模式來封裝IP數(shù)據(jù)包呢？其實(shí)我們可以這樣理解：當(dāng)通信點(diǎn)和加密點(diǎn)相同的時(shí)候就使用傳輸模式，當(dāng)通信點(diǎn)和加密點(diǎn)不同時(shí)就使用隧道模式。圖2-4隧道模式示意圖2.8密鑰有效期長(zhǎng)期使用相同密鑰來加密數(shù)據(jù)是不明智的，所以在使用密鑰處理信息時(shí)，應(yīng)該要注意的一點(diǎn)就是要周期性的更新密鑰，至少要做到一到兩個(gè)小時(shí)進(jìn)行一次更新。我們也可以根據(jù)自身的情況對(duì)密鑰有效期進(jìn)行調(diào)整，但是這種調(diào)整應(yīng)該遵循一個(gè)簡(jiǎn)單的原則，那就是密鑰加密的數(shù)據(jù)越多，密鑰的有效期就應(yīng)該越短，同樣的道理，加密的數(shù)據(jù)越少，密鑰周期就越長(zhǎng)，思科的IPSECVPN雖然默認(rèn)每小時(shí)更換一次密鑰，但下一個(gè)小時(shí)使用的密鑰，是由當(dāng)前這個(gè)小時(shí)使用的密鑰，通過系列的算法衍生得出的，也就是說這些密鑰之間存在推演關(guān)系，這樣的密鑰更新就不能叫做完美的向前保密PFS，PFS要求每一次密鑰更新，更新的密鑰要求都是新的，跟之前的密鑰沒有一點(diǎn)關(guān)系，也沒有任何的衍生密鑰，思科的IPSECVPN一旦啟用了PFS技術(shù)，就會(huì)在每一個(gè)小時(shí)結(jié)束的時(shí)候，展開一次全新的DH交換，產(chǎn)生全新的密鑰用于下一個(gè)小時(shí)加密。2.9本章小結(jié)本章的主要任務(wù)就基于具體的感興趣流來協(xié)商相應(yīng)的IPSECSA，IKE快速模式交換的三個(gè)數(shù)據(jù)包都得到了安全保護(hù)（加密，完整性校驗(yàn)和源認(rèn)證）。還有兩個(gè)要注意的地方就是SPI和PFS。SPI是用來表示唯一的SPISA的，SPI的值是有出廠商的設(shè)備決定的，在CISCO中，是沒有啟用PFS的，設(shè)備管理員可以通過配置來啟用這項(xiàng)技術(shù)，讓每一次密鑰更新之前都進(jìn)行一次全新的DH交換，產(chǎn)生全新的密鑰。到此為止，對(duì)于IPSECVPN理論的介紹就要告一段落了，從下一章起，我們將會(huì)開始對(duì)CiscoIPSECVPN的配置方法進(jìn)行介紹，在介紹的同時(shí)會(huì)應(yīng)用到WEBIOU這項(xiàng)模擬實(shí)驗(yàn)工具，WEBIOU是一種基于cisco框架的實(shí)驗(yàn)?zāi)M器，它很好的兼容了思科設(shè)備，并且可自由搭建拓?fù)?。相關(guān)的工具：VMware虛擬機(jī)、UDIOUv21、secureCRT、搜狐瀏覽器、億圖。網(wǎng)絡(luò)需求分析3.1網(wǎng)絡(luò)硬件需求在網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)中，我選用了WEBIOU來作為模擬器實(shí)現(xiàn)所設(shè)計(jì)。所用到的設(shè)備：1）路由器5臺(tái)7200IOS2）交換機(jī)3臺(tái)3640IOS3）服務(wù)器3臺(tái)3.2網(wǎng)絡(luò)功能需求改網(wǎng)絡(luò)拓?fù)鋵⒁詢蓚€(gè)校區(qū)為站點(diǎn)，中間網(wǎng)絡(luò)由運(yùn)營(yíng)商提供，并且使用mplsvpn進(jìn)行連接，要求，現(xiàn)在兩個(gè)校區(qū)之間要相互通信。中間網(wǎng)絡(luò)運(yùn)行eigrp和ospf協(xié)議，這兩個(gè)協(xié)議作為底層，運(yùn)行bgp協(xié)議。校區(qū)與PE之間運(yùn)行EBGP。3.3網(wǎng)絡(luò)安全需求將它們之間發(fā)送的流量使用IPSECESP進(jìn)行數(shù)據(jù)包的封裝加密。讓公網(wǎng)中無(wú)法看見包的源目。3.4本章小結(jié)本章將接下來要進(jìn)行的實(shí)驗(yàn)粗略的介紹了一下，大體上闡述了實(shí)驗(yàn)所要實(shí)現(xiàn)的需求。并且實(shí)驗(yàn)將以閩南科技學(xué)院的兩個(gè)校區(qū)作為范本來搭建實(shí)驗(yàn)拓?fù)鋱D。具體情況請(qǐng)參看實(shí)驗(yàn)。4網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)4.1網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)這次的網(wǎng)絡(luò)拓?fù)涞氖腔陂}南科技學(xué)院的兩個(gè)校區(qū)進(jìn)行規(guī)劃的，站點(diǎn)分為兩個(gè)點(diǎn)，分別是康美校區(qū)和美林校區(qū)，以這兩個(gè)校區(qū)為基點(diǎn)中間運(yùn)行運(yùn)營(yíng)商提供的網(wǎng)絡(luò)，4.2網(wǎng)絡(luò)功能設(shè)計(jì)兩個(gè)校區(qū)之間的網(wǎng)絡(luò)分別運(yùn)行ospfeigrp還有mbgp協(xié)議以，期中以ospf和eigrp協(xié)議為底層配置mbgp同時(shí)使用一臺(tái)交換機(jī)來模擬兩個(gè)校區(qū)，中間運(yùn)行mplsvpn，在此基礎(chǔ)上配置ipsec加密技術(shù)。4.3網(wǎng)絡(luò)安全設(shè)計(jì)構(gòu)建VPN網(wǎng)絡(luò)通信的重要前提是要擁有通暢的基礎(chǔ)網(wǎng)絡(luò)。基礎(chǔ)網(wǎng)絡(luò)構(gòu)建完善后，緊接著進(jìn)行VPN的配置工作。VPN作為一種很好的選擇，縮減了公司所需要支付的成本費(fèi)用。雖然專線能夠使各分支部門安全的與總部進(jìn)行通信和數(shù)據(jù)交換，在安全方面也具有絕對(duì)的保障。但專線的費(fèi)用昂貴，一般的公司難以承受。在本設(shè)計(jì)中，重要是點(diǎn)到點(diǎn)VPN，基于ipsec的mplsvpn，不同校區(qū)都有一條連接到公網(wǎng)的VPN線路。VPN本身就是為了數(shù)據(jù)的安全傳輸設(shè)置的，因此不是所有用戶都能夠通過VPN隧道進(jìn)行通信，因此，配置時(shí)對(duì)感興趣流量進(jìn)行有效控制。5.網(wǎng)絡(luò)環(huán)境部署5.1萬(wàn)能拓?fù)鋱D5.2效果拓?fù)鋱D5.2.1邊界路由器配置R3:首先給接口配置ip地址：interfaceLoopback0interfaceLoopback0ipaddress55!interfaceLoopback1ipaddress!interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipvrfforwardingsite1ipaddressinterfaceSerial1/0ipaddressinterfaceSerial1/2ipaddressinterfaceSerial1/2ipaddress配置ospf協(xié)議：routerospf31routerospf31router-idnetworkarea1networkarea1networkarea1networkarea1mplslabelprotocolldpmplsldpexplicit-nullmplslabelprotocolldpmplsldpexplicit-nullmplsldprouter-idLoopback0force配置vrf：ipvrfsite1ipvrfsite1rd1:1route-targetexport1:1route-targetimport1:1配置bgp協(xié)議：routerbgp7routerbgp7bgprouter-idbgplog-neighbor-changesneighborremote-as7neighborupdate-sourceLoopback0neighborremote-as7neighborupdate-sourceLoopback0建立vpnv4：neighboractivateneighboractivateneighborsend-communityextendedneighbornext-hop-self配置與SW2的EBGPVRF鄰居：address-familyipv4vrfsite1address-familyipv4vrfsite1neighborremote-as777neighboractivateneighboras-overrideexit-address-familyR2：首先給接口配置ip地址：interfaceLoopback0interfaceLoopback0ipaddress55interfaceLoopback1ipaddressinterfaceEthernet0/0ipaddressinterfaceEthernet0/1ipvrfforwardingsite2ipaddressinterfaceSerial1/0ipaddressinterfaceSerial1/3ipaddress配置eigrp協(xié)議：routereigrp31routereigrp31networknetworknetworknetwork配置相應(yīng)的標(biāo)簽轉(zhuǎn)發(fā)協(xié)議和轉(zhuǎn)發(fā)源：mplslabelprotocolldpmplslabelprotocolldpmplsldpexplicit-nullmplsldprouter-idLoopback0force配置vrf：ipvrfsite2ipvrfsite2rd2:2route-targetexport1:1route-targetimport1:1配置bgp協(xié)議：routerbgp7routerbgp7bgprouter-idbgplog-neighbor-changesneighborremote-as7neighborupdate-sourceLoopback0neighborremote-as7neighborupdate-sourceLoopback0建立vpnv4：address-familyvpnv4address-familyvpnv4neighboractivateneighborsend-communityextendedneighbornext-hop-selfexit-address-familyaddress-familyipv4vrfsite2neighborremote-as777address-familyipv4vrfsite2neighborremote-as777neighboractivateneighboras-overrideexit-address-family5.2.2校區(qū)站點(diǎn)配置SW2配置：routerbgp777bgplog-neighbor-changesnobgpdefaultipv4-unicastrouterbgp777bgplog-neighbor-changesnobgpdefaultipv4-unicastaddress-familyipv4vrfsite1bgprouter-idnetworkmasknetworkmask55neighborremote-as7neighboractivateexit-address-family!address-familyipv4vrfsite2bgprouter-idnetworkmasknetworkmask55neighborremote-as7neighboractivateexit-address-familyR3：cryptoisakmppolicy10hashmd5cryptoisakmppolicy10hashmd5authenticationpre-sharegroup2cryptoisakmpkeyciscoaddresscryptoipsectransform-setIKE2esp-desesp-md5-hmaccryptomapgxl10ipsec-isakmpsetpeersettransform-setIKE2matchaddress101access-list101permitip5555在接口下調(diào)用：interfaceSerial1/0interfaceSerial1/0cryptomapgxlR2：cryptoisakmppolicy10hashmd5cryptoisakmppolicy10hashmd5authenticationpre-sharegroup2cryptoisakmpkeyciscoaddresscryptoipsectransform-setIKE2esp-desesp-md5-hmaccryptomapgxl10ipsec-isakmpsetpeersettransform-setIKE2matchaddress101access-list101permitip5555interfaceSerial1/0cryptomapgxlinterfaceSerial1/0cryptomapgxl5.3網(wǎng)絡(luò)功能測(cè)試SW2#traceroutevrfsite1Protocol[ip]:TargetIPaddress:Sourceaddress:SW2#traceroutevrfsite1Protocol[ip]:TargetIPaddress:Sourceaddress:Numericdisplay[n]:ResolveASnumberin(G)lobaltable,(V)RFor(N)one[G]:Timeoutinseconds[3]:Probecount[3]:MinimumTimetoLive[1]:MaximumTimetoLive[30]:PortNumber[33434]:Loose,Strict,Record,Timestamp,Verbose[none]:Typeescapesequencetoabort.TracingtheroutetoVRFinfo:(vrfinname/id,vrfoutname/id)10msec0msec0msec2[MPLS:Labels21/33Exp0]36msec36msec36msec3[MPLS:Labels22/33Exp0]36msec40msec40msec4[MPLS:Labels20/33Exp0]36msec32msec36msec5[MPLS:Labels0/33Exp0]36msec52msec36msec632msec*36msec5.3.2測(cè)試R2于R3loo1的連通性R2#pingTypeescapesequencetoabort.R2#pingTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:U.U.USuccessrateis0percent(0/5)帶源：R2#pingsourceR2#pingsourceTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:Packetsentwithasourceaddressof.!!!!Successrateis80percent(4/5),round-tripmin/avg/max=33/33/34ms這里我們就能看出實(shí)驗(yàn)的結(jié)論了，帶源p