網(wǎng)絡(luò)安全協(xié)議課程設(shè)計(jì)-IPsec隧道協(xié)議的安全分析與改進(jìn)

《網(wǎng)絡(luò)安全協(xié)議》課程設(shè)計(jì)題目班級(jí)學(xué)號(hào)姓名指導(dǎo)老師2015年7月4日目錄TOC\o"1-4"\h\z\u一、概述 21.1課程設(shè)計(jì)的目的 21.2課程設(shè)計(jì)的內(nèi)容 21.3課程設(shè)計(jì)的要求 3二、問(wèn)題分析 32.1系統(tǒng)需求 32.2GRE協(xié)議分析 32.3IPsec協(xié)議分析 4三、協(xié)議漏洞 53.1協(xié)議漏洞解決措施 53.2協(xié)議漏洞解決詳解 5四、協(xié)議完善具體實(shí)現(xiàn) 64.1實(shí)現(xiàn)分析 64.2GRE實(shí)現(xiàn)流程分析 84.3簡(jiǎn)單設(shè)備設(shè)置 10五、案安全性分析 11六、程設(shè)計(jì)心得、總結(jié) 11七、參考文獻(xiàn) 12一、概述網(wǎng)絡(luò)如若想實(shí)現(xiàn)交流傳輸，必須以網(wǎng)絡(luò)協(xié)議為載體進(jìn)行。而網(wǎng)絡(luò)協(xié)議（Network

Protcol）是控制計(jì)算機(jī)在網(wǎng)絡(luò)介質(zhì)上進(jìn)行信息交換的規(guī)則和約定。網(wǎng)絡(luò)協(xié)議通常會(huì)被按OSI參考模型的層次進(jìn)行劃分。OSI參考模型是國(guó)際標(biāo)準(zhǔn)化組織制定的網(wǎng)絡(luò)體系結(jié)構(gòu)參考模型，提供各種網(wǎng)絡(luò)互聯(lián)的標(biāo)準(zhǔn)，共分七層：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話(huà)層、表示層和應(yīng)用層，會(huì)話(huà)層、表示層和應(yīng)用層往往被合并稱(chēng)為高層。當(dāng)前的計(jì)算機(jī)網(wǎng)絡(luò)的體系結(jié)構(gòu)是以TCP/IP協(xié)議為主的Internet結(jié)構(gòu)。伴隨著網(wǎng)絡(luò)的誕生近幾年頻繁出現(xiàn)的安全事故引起了各國(guó)計(jì)算機(jī)安全界的高度重視，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)也因此出現(xiàn)了日新月異的變化。安全核心系統(tǒng)、VPN安全隧道、身份認(rèn)證、網(wǎng)絡(luò)底層數(shù)據(jù)加密和網(wǎng)絡(luò)入侵主動(dòng)監(jiān)測(cè)等越來(lái)越高深復(fù)雜的安全技術(shù)極大地從不同層次加強(qiáng)了計(jì)算機(jī)網(wǎng)絡(luò)的整體安全性。網(wǎng)絡(luò)安全的實(shí)現(xiàn)首先需要網(wǎng)絡(luò)協(xié)議的安全，但是網(wǎng)絡(luò)協(xié)議都是人為寫(xiě)的，存在先天的不足與缺陷，以至于只能慢慢實(shí)踐發(fā)現(xiàn)并給與補(bǔ)充。這里先談一下VPN中的GRE協(xié)議。GRE（GenericRoutingEncapsulation，通用路由封裝）協(xié)議是由Cisco和Net-smiths等公司于1994年提交給IETF（InternetEngineeringTaskForce，網(wǎng)絡(luò)工程工作小組）的，標(biāo)號(hào)為RFC1701和RFC1702。GRE協(xié)議規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法，是一種最簡(jiǎn)單的隧道封裝技術(shù)，它提供了將一種協(xié)議的報(bào)文在另一種協(xié)議組成的網(wǎng)絡(luò)中傳輸?shù)哪芰?。GRE協(xié)議就是一種應(yīng)用非常廣泛的第三層VPN隧道協(xié)議。

GRE隧道使用GRE協(xié)議封裝原始數(shù)據(jù)報(bào)文，基于公共IP網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)的透明傳輸。GRE隧道不能配置二層信息，但可以配置IP地址。本文從GRE協(xié)議的工作原理入手，從安全性角度出發(fā)，詳細(xì)分析了GRE隧道協(xié)議的不足與缺陷，最后提出了相關(guān)的安全防護(hù)方案。1.1課程設(shè)計(jì)的目的詳細(xì)分析IPsec隧道協(xié)議不支持對(duì)多播和廣播的加密的不足，并針對(duì)其漏洞設(shè)計(jì)實(shí)施完善可行的策略。1.2課程設(shè)計(jì)的內(nèi)容將GRE與IPsec結(jié)合使用，彌補(bǔ)IPsec不能保護(hù)組播數(shù)據(jù)的缺陷。因?yàn)镚RE可以封裝組播數(shù)據(jù)并在GRE隧道中傳輸，所以對(duì)于諸如路由協(xié)議、語(yǔ)音、視頻等組播數(shù)據(jù)需要在IPsec隧道中傳輸?shù)那闆r，可以通過(guò)建立GRE隧道，并對(duì)組播數(shù)據(jù)進(jìn)行GRE封裝，然后再對(duì)封裝后的報(bào)文進(jìn)行IPSec的加密處理，就實(shí)現(xiàn)了組播數(shù)據(jù)在IPsec隧道中的加密傳輸。1.3課程設(shè)計(jì)的要求GRE是傳統(tǒng)IP網(wǎng)絡(luò)中最常用的VPN技術(shù);IPSec是比較常用的數(shù)據(jù)加密技術(shù),本文要求詳細(xì)介紹GRE的原理和報(bào)文封裝，并且進(jìn)行有效可行的GRE與IPsec的組合應(yīng)用，解決組播業(yè)務(wù)在跨廣域網(wǎng)的VPN中部署的問(wèn)題，最后深刻理解GRE協(xié)議和IPsec協(xié)議的原理與作用,以及兩者一起使用時(shí)的功能與利弊。二、問(wèn)題分析2.1系統(tǒng)需求實(shí)現(xiàn)這個(gè)需求首先要知道IPSEC協(xié)議只能對(duì)單播數(shù)據(jù)報(bào)文進(jìn)行加密，我們可以設(shè)想把組播源或者組播客戶(hù)端發(fā)出的組播報(bào)文，采用某種技術(shù)或者協(xié)議在組播報(bào)文的前面封裝一個(gè)單播的IP報(bào)文頭，構(gòu)造一個(gè)普通的單播IP數(shù)據(jù)報(bào)文，組播報(bào)文可以看作是它的數(shù)據(jù)凈荷，那么這個(gè)構(gòu)造的報(bào)文在傳輸過(guò)程中，就可以使用IPsec協(xié)議對(duì)其進(jìn)行加密了，這也意味著組播報(bào)文作為構(gòu)造的單播IP數(shù)據(jù)報(bào)文里“數(shù)據(jù)凈荷”被加密了.2.2GRE協(xié)議分析(1)GRE協(xié)議廣泛應(yīng)用于建立VPN網(wǎng)絡(luò)隧道，例如有一個(gè)大型企業(yè)需要利用VPN將分布在兩地的總部和辦事處網(wǎng)絡(luò)連接起來(lái)，在辦事處網(wǎng)絡(luò)路由器A與總部網(wǎng)絡(luò)路由器B之間建立一個(gè)GRE隧道，則辦事處網(wǎng)絡(luò)中的主機(jī)A和總部網(wǎng)絡(luò)中的主機(jī)B可以通過(guò)該隧道進(jìn)行網(wǎng)絡(luò)通信。如圖1所示，這就是一個(gè)非常典型的利用GRE隧道協(xié)議來(lái)實(shí)現(xiàn)VPN網(wǎng)絡(luò)的模型，本文中所描述的各種情況均以該網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為基礎(chǔ)。(2)GRE協(xié)議數(shù)據(jù)包結(jié)構(gòu)GRE協(xié)議可以實(shí)現(xiàn)對(duì)IP、IPX、AppleTalk等協(xié)議數(shù)據(jù)包的封裝，本文以使用最為廣泛的IP協(xié)議為例。通過(guò)GRE協(xié)議封裝過(guò)的數(shù)據(jù)包格式如圖2所示：在GRE數(shù)據(jù)包結(jié)構(gòu)中，前面的IP包頭部結(jié)構(gòu)是傳送數(shù)據(jù)報(bào)頭部，用于將其他被封裝的數(shù)據(jù)包封裝成IP包并在IP網(wǎng)絡(luò)中傳輸，在本文中稱(chēng)之為外部IP報(bào)頭。GRE報(bào)頭部用來(lái)傳送與有效負(fù)載數(shù)據(jù)包有關(guān)的控制信息，用來(lái)在控制GRE數(shù)據(jù)包在隧道中的傳輸以及GRE報(bào)文加封裝和解封裝過(guò)程，其結(jié)構(gòu)如圖3所示。有效載荷數(shù)據(jù)包是被封裝的其他協(xié)議的數(shù)據(jù)包，若被封裝的協(xié)議為IP數(shù)據(jù)包，則有效載荷數(shù)據(jù)包就是一個(gè)IP數(shù)據(jù)包。(3)GRE協(xié)議報(bào)文處理過(guò)程GRE協(xié)議報(bào)文在隧道中傳輸時(shí)，必須要經(jīng)過(guò)加封裝與解封裝兩個(gè)過(guò)程。在圖1所描述的網(wǎng)絡(luò)中，辦事處網(wǎng)絡(luò)中主機(jī)A與總部網(wǎng)絡(luò)中主機(jī)B的通信過(guò)程如下所述：1、A發(fā)送的IP報(bào)文首先到達(dá)路由器A，路由器A連接內(nèi)部網(wǎng)絡(luò)的接口收到該IP報(bào)文后首先交由IP報(bào)文處理進(jìn)程處理，其檢查IP報(bào)頭中的目的地址域來(lái)確定如何路由該IP報(bào)文。由于其目的地址為總部網(wǎng)絡(luò)中的IP地址，則開(kāi)始進(jìn)行數(shù)據(jù)包的加封裝，即在該IP報(bào)文前加上新的IP報(bào)頭即外部IP報(bào)頭和GRE報(bào)頭。之后將封裝好的報(bào)文通過(guò)GRE隧道接口發(fā)送出去。2、器B從GRE隧道接口收到路由器A發(fā)送的經(jīng)過(guò)封裝的GRE報(bào)文后，檢查目的地址，發(fā)現(xiàn)目的地就是此路由器時(shí)，先去掉外部IP報(bào)頭，將剩下的報(bào)文交由GRE協(xié)議處理。GRE協(xié)議進(jìn)行檢查校驗(yàn)和、序列號(hào)等處理，之后進(jìn)行GRE解封裝，即將GRE報(bào)頭部去掉。再將解封裝之后的IP報(bào)文交由IP報(bào)文處理進(jìn)程象對(duì)待一般IP報(bào)文一樣對(duì)此報(bào)文進(jìn)行處理，即將該IP數(shù)據(jù)包交給連接內(nèi)部網(wǎng)絡(luò)的接口，按照目的地址發(fā)送給主機(jī)B。由上述的GRE協(xié)議處理過(guò)程可以看出，GRE協(xié)議只提供了數(shù)據(jù)包的封裝，并沒(méi)有提供增強(qiáng)安全性的加密功能。2.3IPsec協(xié)議分析IPsec協(xié)議是目前用于所有Internet_通信的唯一的一種安全協(xié)議。IPSec保護(hù)IP數(shù)據(jù)包的安全，主要包括:數(shù)據(jù)起源地驗(yàn)證、無(wú)連接數(shù)據(jù)的完整性驗(yàn)證、保證數(shù)據(jù)內(nèi)容機(jī)密性、抗重播保護(hù)和保護(hù)有限數(shù)據(jù)流的機(jī)密性等。提供了一種標(biāo)準(zhǔn)的、健壯的以及包容廣泛的機(jī)制，為運(yùn)行于IP頂部的任何一種協(xié)議(如TCP,UDP,ICMP等)提供保護(hù)。IPSec確保端到端的數(shù)據(jù)安全。IPSe。在網(wǎng)絡(luò)內(nèi)部實(shí)施時(shí)，即構(gòu)成了虛擬專(zhuān)用網(wǎng)。IPSe。運(yùn)行在網(wǎng)絡(luò)層上，所以屬于第三層隧道協(xié)議。IPSec是一組協(xié)議套件，包括AH(驗(yàn)證頭),ESP(封裝安全載荷)、IKE(Internet密鑰交換)、ISAKMP/Oakley以及轉(zhuǎn)碼。各組件之間的交互方式如圖1所示:IPSec策略由安全策略數(shù)據(jù)庫(kù)(SecurityPolicyDatabase,SPD)加以維護(hù)。在SPD數(shù)據(jù)庫(kù)中，每個(gè)條目都定義了所要保護(hù)的通信類(lèi)別、保護(hù)方法以及與誰(shuí)共享這種保護(hù)。進(jìn)人或離開(kāi)IP堆棧的每個(gè)數(shù)據(jù)包都必須檢索SPD數(shù)據(jù)庫(kù)，調(diào)查可能的安全應(yīng)用。每一個(gè)SPD條目定義的行為是丟棄、繞過(guò)或應(yīng)用中的一種。行為是“應(yīng)用的”P(pán)D條目，會(huì)指向一個(gè)或一套安全聯(lián)盟(SecurityAssociationSA)，表示對(duì)數(shù)據(jù)包實(shí)施應(yīng)用安全保護(hù)。實(shí)施方案都要構(gòu)建一個(gè)安全聯(lián)盟數(shù)據(jù)庫(kù)(SecurityAssociationDatabase,SADB)來(lái)維護(hù)SA記錄。SA是兩個(gè)通信實(shí)體經(jīng)協(xié)商建立起來(lái)的一種協(xié)定，該協(xié)定決定了用來(lái)保護(hù)數(shù)據(jù)包安全的IPSec協(xié)議、轉(zhuǎn)碼方式、密鑰及密鑰的有效存活時(shí)間等。SA是單向的，對(duì)于一個(gè)主機(jī)分別有SA(in)和SA(out)處理進(jìn)人和外出的數(shù)據(jù)包。SA具有協(xié)議相關(guān)性，若某一主機(jī)同時(shí)使用AH和ESP兩種協(xié)議進(jìn)行安全通信，那么該主機(jī)會(huì)針對(duì)每一個(gè)協(xié)議構(gòu)建一個(gè)獨(dú)立的SA,SA是以成對(duì)的形式存在的，既可人工創(chuàng)建，也可動(dòng)態(tài)創(chuàng)建。在進(jìn)人通信時(shí)，若SA不存在，則丟棄數(shù)據(jù)包;對(duì)于外出通信，若SA不存在，則通過(guò)Internet密鑰交換動(dòng)態(tài)創(chuàng)建。三、協(xié)議漏洞3.1協(xié)議漏洞解決措施GREoverIPsec，是將整個(gè)已經(jīng)封裝過(guò)的GRE數(shù)據(jù)包進(jìn)行加密，于IPsec不支持對(duì)多播和廣播數(shù)據(jù)包的加密，這樣的話(huà)，使用IPsec的隧道中，動(dòng)態(tài)路由協(xié)議等依靠多播和廣播的協(xié)議就不能進(jìn)行正常通告，所以，這時(shí)候要配合GRE隧道，GRE隧道會(huì)將多播和廣播數(shù)據(jù)包封裝到單播包中，再經(jīng)過(guò)IPsec加密。3.2協(xié)議漏洞解決詳解我們知道，最初，某大客戶(hù)的總部網(wǎng)絡(luò)和分支機(jī)構(gòu)網(wǎng)絡(luò)之間的業(yè)務(wù)主要局限于一些傳統(tǒng)的FTP，HTTP等，網(wǎng)絡(luò)結(jié)構(gòu)如下：使用IPsec協(xié)議，對(duì)總部和分支機(jī)構(gòu)之間傳送的數(shù)據(jù)報(bào)文進(jìn)行加密，客戶(hù)已經(jīng)成功部署了這方面的業(yè)務(wù)。隨著企業(yè)規(guī)模的擴(kuò)大，現(xiàn)在需要開(kāi)啟大量新業(yè)務(wù)，比如：語(yǔ)音、視頻等組播業(yè)務(wù)，組播服務(wù)器放在公司總部，組播客戶(hù)端位于分支機(jī)構(gòu)，網(wǎng)絡(luò)結(jié)構(gòu)如下:當(dāng)總部向分支機(jī)構(gòu)提供語(yǔ)音、視頻等組播業(yè)務(wù)時(shí)，組播數(shù)據(jù)流要通過(guò)Internet進(jìn)行傳輸，出于安全的需要，也要求使用IPSEC技術(shù)對(duì)客戶(hù)在Internet上傳送的語(yǔ)音、視頻等組播數(shù)據(jù)包進(jìn)行加密，保證組播數(shù)據(jù)報(bào)文在Internet上傳輸時(shí)的私有性、完整性和真實(shí)性。但是由于IPSEC協(xié)議目前只能對(duì)單播報(bào)文進(jìn)行加密和保護(hù)，不能對(duì)組播報(bào)文進(jìn)行加密和保護(hù)，所以人么迫切希望能不能采用其他的方法來(lái)實(shí)現(xiàn)這方面的需求。四、協(xié)議完善具體實(shí)現(xiàn)4.1實(shí)現(xiàn)分析既然IPSEC協(xié)議只能對(duì)單播數(shù)據(jù)報(bào)文進(jìn)行加密，我們可以設(shè)想把組播源或者組播客戶(hù)端發(fā)出的組播報(bào)文，采用某種技術(shù)或者協(xié)議在組播報(bào)文的前面封裝一個(gè)單播的IP報(bào)文頭，構(gòu)造一個(gè)普通的單播IP數(shù)據(jù)報(bào)文，組播報(bào)文可以看作是它的數(shù)據(jù)凈荷，那么這個(gè)構(gòu)造的報(bào)文在傳輸過(guò)程中，就可以使用IPsec協(xié)議對(duì)其進(jìn)行加密了，這也意味著組播報(bào)文作為構(gòu)造的單播IP數(shù)據(jù)報(bào)文里“數(shù)據(jù)凈荷”被加密了。如圖所示：(1)組播客戶(hù)端發(fā)出一個(gè)組播報(bào)文，在NE16A上使用上面提到的某種技術(shù)，在組播報(bào)文前面封裝一個(gè)單播IP頭，目的地址是NE16B；(2)在NE08A和NE08B之間建立一條IPSEC隧道，當(dāng)構(gòu)造的IP單播報(bào)文進(jìn)入到隧道時(shí)，在NE08上A對(duì)其數(shù)據(jù)凈荷進(jìn)行加密；在NE08B上對(duì)其數(shù)據(jù)凈荷進(jìn)行解密；(3)當(dāng)這個(gè)報(bào)文到達(dá)NE16B時(shí)，去掉封裝的IP頭，還原出組播報(bào)文，這樣組播報(bào)文就可以到達(dá)組播服務(wù)器了。組播報(bào)文本身就是一個(gè)IP報(bào)文，采用上面的設(shè)想就等同于在一個(gè)IP報(bào)文前面再加上或者可以說(shuō)是再封裝一個(gè)單播的IP報(bào)文頭，能夠?qū)崿F(xiàn)這種IP內(nèi)封裝IP的協(xié)議或者技術(shù)，我們可以采用GRE。一個(gè)封裝好的報(bào)文的形式如下：舉例來(lái)說(shuō)，一個(gè)封裝在IPTunnel中的IP傳輸報(bào)文的格式如下：一個(gè)封裝好的報(bào)文的形式如下：舉例來(lái)說(shuō)，一個(gè)封裝在IPTunnel中的IP傳輸報(bào)文的格式如下：4.2GRE實(shí)現(xiàn)流程分析通過(guò)上面的分析，解決的方案就很清晰了：將GRE與IPsec結(jié)合使用，彌補(bǔ)IPsec不能保護(hù)組播數(shù)據(jù)的缺陷。因?yàn)镚RE可以封裝組播數(shù)據(jù)并在GRE隧道中傳輸，所以對(duì)于諸如路由協(xié)議、語(yǔ)音、視頻等組播數(shù)據(jù)需要在IPSec隧道中傳輸?shù)那闆r，可以通過(guò)建立GRE隧道，并對(duì)組播數(shù)據(jù)進(jìn)行GRE封裝，然后再對(duì)封裝后的報(bào)文進(jìn)行IPsec的加密處理，就實(shí)現(xiàn)了組播數(shù)據(jù)在IPsec隧道中的加密傳輸。我們根據(jù)下面這個(gè)圖例進(jìn)行詳細(xì)的分析：具體組網(wǎng)描述如下：總部有兩臺(tái)路由器，分別是NE08B和NE16B，組播服務(wù)器直接下掛在NE16B下。組播服務(wù)器的IP地址和網(wǎng)關(guān)分別為/24和/24；NE08B和NE16B的互連IP地址為/30和/30，NE08B連接Internet的接口IP地址為/30。分支機(jī)構(gòu)也有兩臺(tái)路由器，分別是NE16A和NE08A，組播客戶(hù)端下掛在NE16A下。組播客戶(hù)端的IP地址和網(wǎng)關(guān)分別為/24和/24；NE16A和NE08A的互連IP地址為/30和/30；NE08A連接Internet的接口IP地址為/30。在NE16A和NE16B之間建立GRE隧道tunnel，tunnel兩端IP地址分別為/30和/30，NE08A和NE08B之間建立IPSECtunnel。我們以組播客戶(hù)端訪問(wèn)組播服務(wù)器為例，即數(shù)據(jù)報(bào)文的傳輸方向是從NE16A路由器到NE16B路由器，對(duì)GRE的實(shí)現(xiàn)流程進(jìn)行說(shuō)明：(1)在NE16A上，GREtunnel接口的sourceIPaddress為，destinationIPaddress為。(2)組播客戶(hù)端發(fā)出的組播報(bào)文，到達(dá)NE16A后，進(jìn)入GREtunnel前，分別要封裝兩個(gè)報(bào)文頭：GRE和IP報(bào)文頭。特別注意的是：封裝IP報(bào)文頭的sourceIPaddress和destinationIPaddress就是GREtunnel接口的sourceIPaddress和destinationIPaddress，即和，出GRE隧道之前，始終不變。封裝前組播報(bào)文格式：(3)當(dāng)封裝后的組播報(bào)文即將進(jìn)入IPSEC隧道時(shí)，NE08A會(huì)對(duì)報(bào)文的凈荷或者整個(gè)報(bào)文進(jìn)行加密。假如對(duì)報(bào)文的凈荷加密，那么報(bào)文格式如下：(4)當(dāng)報(bào)文即將出IPSEC隧道時(shí)，NE08B會(huì)對(duì)報(bào)文的加密凈荷進(jìn)行解密。還原出一個(gè)加密前的報(bào)文，格式如下：(5)當(dāng)報(bào)文到達(dá)NE16B時(shí)，即將出GREtunnel接口時(shí)，NE16B會(huì)將單播的IP包頭和GRE頭去掉，還原出一個(gè)組播報(bào)文，格式如下：(6)NE16B將還原出來(lái)的組播報(bào)文，轉(zhuǎn)發(fā)給組播源。整個(gè)過(guò)程可以用下圖進(jìn)行表示：4.3簡(jiǎn)單設(shè)備設(shè)置本文提供的數(shù)據(jù)配置只涉及GRE和IPSEC，命令行的含義參考《QuidwayNetEngine16E/08E/05路由器命令手冊(cè)》，其他基礎(chǔ)配置也可以參考《QuidwayNetEngine16E/08E/05路由器命令手冊(cè)》。NE16A的數(shù)據(jù)配置：interfacetunnel1/0/0ipaddress52sourcedestinationNE16B的數(shù)據(jù)配置：interfacetunnel1/0/0ipaddress52sourcedestinationNE08A的數(shù)據(jù)配置：ikepeerfenzhipre-shared-key123remote-addressipsecproposalfenzhiipsecpolicyfenzhi1isakmpsecurityacl2100pfsdh-group1ike-peerfenzhiproposalfenzhisadurationtime-based86400aclnumber2100rule0permitipsource0destination0rule1denyipNE08A的數(shù)據(jù)配置：ikepeerzongbupre-shared-key123remote-addressipsecproposalzongbipsecpolicyzongbu1isakmpsecurityacl2100pfsdh-group1ike-peerzongbuproposalzongbusadurationtime-based86400aclnumber2100rule0permitipsource0destination0rule1denyip五、案安全性分析本文通過(guò)IPsec和GRE的結(jié)合應(yīng)用，實(shí)現(xiàn)了客戶(hù)在通過(guò)廣域網(wǎng)以VPN的形式部署業(yè)務(wù)，又能很好的保證安全性的需求，而且通過(guò)GRE巧妙的解決了穿透廣域網(wǎng)實(shí)現(xiàn)組播業(yè)務(wù)部署的問(wèn)題。IPsec是一種比較常用的加密技術(shù)，而且本身具備構(gòu)建VPN的能力，所以在跨廣域網(wǎng)部署私有業(yè)務(wù)時(shí)，被廣泛的應(yīng)用。IPsec在安全加密方面應(yīng)用比較廣泛，而且不同的產(chǎn)品為了適應(yīng)客戶(hù)大量的安全加密需求，將IPsec的安全加密功能進(jìn)行硬件實(shí)現(xiàn)，很好的緩解了加密/解密對(duì)轉(zhuǎn)發(fā)性能的影響。但是IPsec在構(gòu)建VPN方面存在一定的不足，通過(guò)IPSEC建立的VPN拓?fù)涫恰包c(diǎn)到點(diǎn)”的，如果實(shí)現(xiàn)“網(wǎng)狀”拓?fù)?，必須手工逐點(diǎn)配置，而且IPsec本身不具備拓?fù)浒l(fā)現(xiàn)能力，必須依賴(lài)路由協(xié)議為其保證網(wǎng)絡(luò)層可達(dá)性。IPsec在適應(yīng)上層應(yīng)用的能力上也存在一定的不足，本方案中就有IPSEC與組播結(jié)合應(yīng)用的需求，因?yàn)槟壳癐PSEC通道內(nèi)部還不能直接承載組播數(shù)據(jù)，所以才引出了IPsec與GRE結(jié)合應(yīng)用的方案。GRE可以說(shuō)是傳統(tǒng)IP網(wǎng)絡(luò)中應(yīng)用最為廣泛的VPN技術(shù)，部署簡(jiǎn)單，配置復(fù)雜度不高，當(dāng)然GRE也有不能發(fā)現(xiàn)拓?fù)涞娜秉c(diǎn)，但是在“點(diǎn)到點(diǎn)”業(yè)務(wù)接入點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu)中，完全可以滿(mǎn)足要求。本文對(duì)GRE從原理到報(bào)文封裝都進(jìn)行了詳細(xì)的介紹，并且給出了相關(guān)配置。另外，目前的GRE雖然可以比較方便的靜態(tài)部署“點(diǎn)到點(diǎn)”VPN，但是在適應(yīng)多業(yè)務(wù)承載方面存在一定的不足，在目前的GRE封裝里，除了應(yīng)用tunnel的“destination”和“source”以外，沒(méi)有其他手段來(lái)區(qū)分不同的隧道，這對(duì)于兩個(gè)接入點(diǎn)有多種業(yè)務(wù)互通需求，但是出口設(shè)備又只有一對(duì)“公網(wǎng)”IP地址的小型網(wǎng)絡(luò)來(lái)說(shuō)，就無(wú)法很好的解決。我們知道，GRE會(huì)在封裝的IP報(bào)文前再封裝以GRE報(bào)文頭和“destination”對(duì)應(yīng)的IP頭，所以GRE嵌套層數(shù)越多，轉(zhuǎn)發(fā)效率也就越低，并且對(duì)于不允許分片的報(bào)文來(lái)說(shuō)，可能還會(huì)面臨MTU值的問(wèn)題。六、程設(shè)計(jì)心得、總結(jié)要做好一個(gè)課程設(shè)計(jì)，就必須做到：在設(shè)計(jì)程序之前，對(duì)所用網(wǎng)絡(luò)協(xié)議的結(jié)構(gòu)有一個(gè)系統(tǒng)的了解，而且要有一個(gè)清晰的思路和一個(gè)完整的的流程圖；在設(shè)計(jì)程序時(shí)，不能妄想一次就將整個(gè)方案設(shè)計(jì)好，反復(fù)修改、不斷改進(jìn)是完善設(shè)計(jì)的必經(jīng)之路；要養(yǎng)成細(xì)心的好習(xí)慣，一個(gè)方案的完美與否不僅僅是實(shí)現(xiàn)功能，而應(yīng)該讓人一看就能明白你的思路，這樣也為資料的保存和交流提供了方便；在設(shè)計(jì)課程過(guò)程中遇到問(wèn)題是很正常的，但我們應(yīng)該將每次遇到的問(wèn)題記錄下來(lái)，并分析清楚，以免下次再碰到同樣的問(wèn)題的課程設(shè)計(jì)結(jié)束了，但是從中學(xué)到的知識(shí)會(huì)讓我受益終身。發(fā)現(xiàn)、提出、分析、解決問(wèn)題和實(shí)踐能力的提高都會(huì)受益于我在以后的學(xué)習(xí)、工作和生活中。設(shè)計(jì)過(guò)程，好比是我們?nèi)祟?lèi)成長(zhǎng)的歷程，常有一些不如意，但畢竟這是第一次做，難免會(huì)遇到各種各樣的問(wèn)題。在設(shè)計(jì)的過(guò)程中發(fā)現(xiàn)了自己的不足之處，對(duì)以前所學(xué)過(guò)的知識(shí)理解得不夠深刻，掌握得不夠牢固。我通過(guò)查閱大量有關(guān)資料，并與同學(xué)交流經(jīng)驗(yàn)和自學(xué)，若遇到實(shí)在搞不明白的問(wèn)題就會(huì)及時(shí)請(qǐng)教老師，使自己學(xué)到了不少知識(shí)，也經(jīng)歷了不少艱辛，但收獲同樣巨大。通過(guò)這次課程設(shè)計(jì)我也發(fā)現(xiàn)了自身存在的不足之處，雖然感覺(jué)理論上已經(jīng)掌握，但在運(yùn)用到實(shí)踐的過(guò)程中仍有意想不到的困惑，經(jīng)過(guò)一番努力才得以解決。這也激發(fā)了我今后努力學(xué)習(xí)的興趣，我想這將對(duì)我以后的學(xué)習(xí)產(chǎn)生積極的影響。通過(guò)這次設(shè)計(jì)，我懂得了學(xué)習(xí)的重要性，了解到理論知識(shí)與實(shí)踐相結(jié)合的重要意義，學(xué)會(huì)了堅(jiān)持、耐心和努力，這將為自己今后的學(xué)習(xí)和工作做出了最好的榜樣。覺(jué)得課程設(shè)計(jì)反映的是一個(gè)從理論到實(shí)際應(yīng)用的過(guò)程，但是更遠(yuǎn)一點(diǎn)可以聯(lián)系到以后畢業(yè)之后從學(xué)校轉(zhuǎn)到踏上社會(huì)的一個(gè)過(guò)程。小組人員的配合﹑相處，以及自身的動(dòng)腦和努力，都是以后工作中需要的。七、參考文獻(xiàn)【1】 IETF.RFC1701.GenericRoutingEncapsulation(GRE).1994【2】IETF.RFC1702.GenericRoutingEncapsulationoverIPv4networks.1994【2】 Gauis.ThingstodoinCiscoLandwhenyouaredead.PhrackMagazine,總第56期,第10卷.2000【3】 JoshuaWright.RedTeamAssessmentofParliamentHillFirewall.SANSGIACGCIHPracticalAssignment.2001【4】 CiscoSecurityResponse.CiscoIOSGREDecapsulationVulnerability.2006【6】徐崢.基于三層隧道技術(shù)的IPSec－VPN技術(shù)[J].微計(jì)算機(jī)信息，2006，3-3：98-99課程設(shè)計(jì)評(píng)價(jià)課程設(shè)計(jì)教師評(píng)語(yǔ)及成績(jī)指導(dǎo)教師：日期：基于C8051F單片機(jī)直流電動(dòng)機(jī)反饋控制系統(tǒng)的設(shè)計(jì)與研究基于單片機(jī)的嵌入式Web服務(wù)器的研究MOTOROLA單片機(jī)MC68HC（8）05PV8/A內(nèi)嵌EEPROM的工藝和制程方法及對(duì)良率的影響研究基于模糊控制的電阻釬焊單片機(jī)溫度控制系統(tǒng)的研制基于MCS-51系列單片機(jī)的通用控制模塊的研究基于單片機(jī)實(shí)現(xiàn)的供暖系統(tǒng)最佳啟停自校正（STR）調(diào)節(jié)器單片機(jī)控制的二級(jí)倒立擺系統(tǒng)的研究基于增強(qiáng)型51系列單片機(jī)的TCP/IP協(xié)議棧的實(shí)現(xiàn)基于單片機(jī)的蓄電池自動(dòng)監(jiān)測(cè)系統(tǒng)基于32位嵌入式單片機(jī)系統(tǒng)的圖像采集與處理技術(shù)的研究基于單片機(jī)的作物營(yíng)養(yǎng)診斷專(zhuān)家系統(tǒng)的研究基于單片機(jī)的交流伺服電機(jī)運(yùn)動(dòng)控制系統(tǒng)研究與開(kāi)發(fā)基于單片機(jī)的泵管內(nèi)壁硬度測(cè)試儀的研制基于單片機(jī)的自動(dòng)找平控制系統(tǒng)研究基于C8051F040單片機(jī)的嵌入式系統(tǒng)開(kāi)發(fā)基于單片機(jī)的液壓動(dòng)力系統(tǒng)狀態(tài)監(jiān)測(cè)儀開(kāi)發(fā)模糊Smith智能控制方法的研究及其單片機(jī)實(shí)現(xiàn)一種基于單片機(jī)的軸快流CO〈,2〉激光器的手持控制面板的研制基于雙單片機(jī)沖床數(shù)控系統(tǒng)的研究基于CYGNAL單片機(jī)的在線(xiàn)間歇式濁度儀的研制基于單片機(jī)的噴油泵試驗(yàn)臺(tái)控制器的研制基于單片機(jī)的軟起動(dòng)器的研究和設(shè)計(jì)基于單片機(jī)控制的高速快走絲電火花線(xiàn)切割機(jī)床短循環(huán)走絲方式研究基于單片機(jī)的機(jī)電產(chǎn)品控制系統(tǒng)開(kāi)發(fā)基于PIC單片機(jī)的智能手機(jī)充電器基于單片機(jī)的實(shí)時(shí)內(nèi)核設(shè)計(jì)及其應(yīng)用研究基于單片機(jī)的遠(yuǎn)程抄表系統(tǒng)的設(shè)計(jì)與研究基于單片機(jī)的煙氣二氧化硫濃度檢測(cè)儀的研制基于微型光譜儀的單片機(jī)系統(tǒng)單片機(jī)系統(tǒng)軟件構(gòu)件開(kāi)發(fā)的技術(shù)研究基于單片機(jī)的液體點(diǎn)滴速度自動(dòng)檢測(cè)儀的研制基于單片機(jī)系統(tǒng)的多功能溫度測(cè)量?jī)x的研制基于PIC單片機(jī)的電能采集終端的設(shè)計(jì)和應(yīng)用基于單片機(jī)的光纖光柵解調(diào)儀的研制氣壓式線(xiàn)性摩擦焊機(jī)單片機(jī)控制系統(tǒng)的研制基于單片機(jī)的數(shù)字磁通門(mén)傳感器基于單片機(jī)的旋轉(zhuǎn)變壓器-數(shù)字轉(zhuǎn)換器的研究基于單片機(jī)的光纖Bragg光柵解調(diào)系統(tǒng)的研究單片機(jī)控制的便攜式多功能乳腺治療儀的研制基于C8051F020單片機(jī)的多生理信號(hào)檢測(cè)儀基于單片機(jī)的電機(jī)運(yùn)動(dòng)控制系統(tǒng)設(shè)計(jì)Pico專(zhuān)用單片機(jī)核的可測(cè)性設(shè)計(jì)研究基于MCS-51單片機(jī)的熱量計(jì)基于雙單片機(jī)的智能遙測(cè)微型氣象站MCS-51單片機(jī)構(gòu)建機(jī)器人的實(shí)踐研究基于單片機(jī)的輪軌力檢測(cè)基于單片機(jī)的GPS定位儀的研究與實(shí)現(xiàn)基于單片機(jī)的電液伺服控制系統(tǒng)用于單片機(jī)系統(tǒng)的MMC卡文件系統(tǒng)研制基于單片機(jī)的時(shí)控和計(jì)數(shù)系統(tǒng)性能優(yōu)化的研究基于單片機(jī)和CPLD的粗光柵位移測(cè)量系統(tǒng)研究單片機(jī)控制的后備式方波UPS提升高職學(xué)生單片機(jī)應(yīng)用能力的探究基于單片機(jī)控制的自動(dòng)低頻減載裝置研究基于單片機(jī)控制的水下焊接電源的研究基于單片機(jī)的多通道數(shù)據(jù)采集系統(tǒng)基于uPSD3234單片機(jī)的氚表面污染測(cè)量?jī)x的研制基于單片機(jī)的紅外測(cè)油儀的研究96系列單片機(jī)仿真器研究與設(shè)計(jì)基于單片機(jī)的單晶金剛石刀具刃磨設(shè)備的數(shù)控改造基于單片機(jī)的溫度智能控制系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)基于MSP430單片機(jī)的電梯門(mén)機(jī)控制器的研制基于單片機(jī)的氣體測(cè)漏儀的研究基于三菱M16C/6N系列單片機(jī)的CAN/USB協(xié)議轉(zhuǎn)換器基于單片機(jī)和DSP的變壓器油色譜在線(xiàn)監(jiān)測(cè)技術(shù)研究基于單片機(jī)的膛壁溫度報(bào)警系統(tǒng)設(shè)計(jì)基于AVR單片機(jī)的低壓無(wú)功補(bǔ)償控制器的設(shè)計(jì)基于單片機(jī)船舶電力推進(jìn)電機(jī)監(jiān)測(cè)系統(tǒng)基于單片機(jī)網(wǎng)絡(luò)的振動(dòng)信號(hào)的采集系統(tǒng)基于單片機(jī)的大容量數(shù)據(jù)存儲(chǔ)技術(shù)的應(yīng)用研究基于單片機(jī)的疊圖機(jī)研究與教學(xué)方法實(shí)踐基于單片機(jī)嵌入式Web服務(wù)器技術(shù)的研究及實(shí)現(xiàn)基于AT89S52單片機(jī)的通用數(shù)據(jù)采集系統(tǒng)基于單片機(jī)的多道脈沖幅度分析儀研究機(jī)器人旋轉(zhuǎn)電弧傳感角焊縫跟蹤單片機(jī)控制系統(tǒng)基于單片機(jī)的控制系統(tǒng)在PLC虛擬教學(xué)實(shí)驗(yàn)中的應(yīng)用研究基于單片機(jī)系統(tǒng)的網(wǎng)絡(luò)通信研究與應(yīng)用基于PIC16F877單片機(jī)的莫爾斯碼自動(dòng)譯碼系統(tǒng)設(shè)計(jì)與研究基于單片機(jī)的模糊控制器在工業(yè)電阻爐上的應(yīng)用研究基于雙單片機(jī)沖床數(shù)控系統(tǒng)的研究與開(kāi)發(fā)基于Cygnal單片機(jī)的μC/OS-Ⅱ的研究基于單片機(jī)的一體化智能差示掃描量熱儀系統(tǒng)研究基于TCP/IP協(xié)議的單片機(jī)與Internet互聯(lián)的研究與實(shí)現(xiàn)變頻調(diào)速液壓電梯單片機(jī)控制器的研究基于單片機(jī)γ-免疫計(jì)數(shù)器自動(dòng)換樣功能的研究與實(shí)現(xiàn)基于單片機(jī)的倒立擺控制系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)單片機(jī)嵌入式以太網(wǎng)防盜報(bào)警系統(tǒng)基于51單片機(jī)的嵌入式Internet系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)單片機(jī)監(jiān)測(cè)系統(tǒng)在擠壓機(jī)上的應(yīng)用MSP430單片機(jī)在智能水表系統(tǒng)上的研究與應(yīng)用基于單片機(jī)的嵌入式系統(tǒng)中TCP/IP協(xié)議棧的實(shí)現(xiàn)與應(yīng)用HYPERLIN