基于IPSec安全體系的VPN網(wǎng)絡(luò)設(shè)計與實(shí)現(xiàn)

基于IPSec安全體系的VPN網(wǎng)絡(luò)設(shè)計與實(shí)現(xiàn)BasedonIPSec［摘要］VPN技術(shù)在近幾年的發(fā)展可謂是相當(dāng)?shù)目焖?。因?yàn)関pn的出現(xiàn)，使私有網(wǎng)絡(luò)幾乎達(dá)到任何想要到達(dá)的地方，VPN技術(shù)目前最具活力的研究領(lǐng)域之一，因?yàn)樗奶匦赃m合于大多數(shù)的中小型企業(yè)，VPN和一般的網(wǎng)絡(luò)不同，它可以為邏輯上不存在連接的兩個站點(diǎn)建立一條虛擬的通道，讓連個局域網(wǎng)在在虛擬的情況下進(jìn)行連接，VPN網(wǎng)絡(luò)有很多種類型，而在這之中IPSEC就是一種非常棒的VPN，這是一個加密認(rèn)證技術(shù)，也就是這次的討論對象。本次討論的目標(biāo)就是要設(shè)計一個基于ipsec的VPN實(shí)驗(yàn)，這個方案可以使站點(diǎn)的所有網(wǎng)絡(luò)進(jìn)行跨越，并且通過VPN進(jìn)行連接，而關(guān)于IPSEC協(xié)議的主要功能是體現(xiàn)在加密技術(shù)上面。本文將以IPSEC為基礎(chǔ)，對虛擬專用網(wǎng)絡(luò)這個目前使用很廣泛的信息安全技術(shù)進(jìn)行較深入的研究，設(shè)計一個基于IPSEC協(xié)議的高效率，安全，穩(wěn)定的vpn網(wǎng)關(guān)，并且通過模擬器對其進(jìn)行研究。[關(guān)鍵詞]：VPN，隧道技術(shù)，IPSEC，方案實(shí)現(xiàn)[abstract]thedevelopmentofVPNtechnologyinrecentyearsisquitefast.TheemergenceoftheVPN,makeprivatenetworkreachedalmostanyplaceyouwanttogettotheVPN,oneofthemostactiveresearchfieldsbecauseofitsfeaturesissuitableforthemajorityofsmallandmediumenterprises,VPNandgeneralnetwork,itcanbelogicallythereisnoconnectionoftwositestobuildavirtualchannel,toconnectalocalareanetwork(LAN)inundertheconditionofthevirtualconnection,therearemanykindsoftypesofVPNnetwork,andintheIPSECVPNisakindofverygood,thisisanencryptedauthenticationtechnology,whichistheobjectofdiscussion.ThegoalofthisdiscussionistodesignanexperimentbasedonipsecVPN,thisschemecanmakethesiteallacrossthenetwork,andthroughtheVPNconnection,andthemainfunctionistoreflectonipsecprotocolonencryptiontechnology.

ThisarticleisbasedonIPSEC,thevirtualprivatenetworkthatcurrentlyuseawiderangeofinformationsecuritytechnology,afurtherstudytodesignahighefficiencybasedonIPSECprotocol,securityandstabilityoftheVPNgateway,andthroughthesimulatortostudy.

[keywords]:theVPNtunneltechnology,IPSEC,planimplementation

目錄TOC\o"1-3"\h\u7067緒論 4119591.課題研究的背景及意義 4150861.2國內(nèi)對于ipsec的研究現(xiàn)狀 4320901.2.1研究現(xiàn)狀 466101.2.2國外的研究現(xiàn)狀 536861.3主要研究內(nèi)容 5130892.相關(guān)技術(shù)分析 5236102.1VPN概述 5325182.2IPSecVPN概述 5206202.2.1IPSec協(xié)議簡介 5127142.2.2IPSecVPN 5171312.3IPsec框架 641682.4散列函數(shù) 620522.5加密算法 760862.5.1對稱密鑰算法 7752.5.2非對稱密鑰算法 8187672.6封裝協(xié)議 8186191)ESP(EncapsulatingSecuityFayload) 8216302)AH(AuthenticationHeader) 917382.7IPsec的數(shù)據(jù)封裝模式 10215301.傳輸模式 10206742.隧道模式 10147052.8密鑰有效期 11322862.9本章小結(jié) 1191753.網(wǎng)絡(luò)需求分析 12183373.1網(wǎng)絡(luò)硬件需求 1232843.2網(wǎng)絡(luò)功能需求 1274803.3網(wǎng)絡(luò)安全需求 12140843.4本章小結(jié) 1220294網(wǎng)絡(luò)規(guī)劃與設(shè)計 12319274.1網(wǎng)絡(luò)架構(gòu)設(shè)計 12246944.2網(wǎng)絡(luò)功能設(shè)計 12176204.3網(wǎng)絡(luò)安全設(shè)計 12100135.網(wǎng)絡(luò)環(huán)境部署 13224105.1萬能拓?fù)鋱D 13286985.2效果拓?fù)鋱D 13229965.2.1邊界路由器配置 13121855.2.2校區(qū)站點(diǎn)配置 16117435.3網(wǎng)絡(luò)功能測試 17191955.3.1mplsvpn測試 18101905.3.2測試R2于R3loo1的連通性 18166605.3.3IPSEC的一些問題 19167546總結(jié)與展望 1924266.1全文總結(jié) 1933096.2研究展望 202844致謝 2025958參考文檔 2019640參考文獻(xiàn) 20緒論隨著現(xiàn)代網(wǎng)絡(luò)的發(fā)展，很多人慢慢的把技術(shù)的矚目點(diǎn)從網(wǎng)絡(luò)的可用性、信息的獲取性轉(zhuǎn)移到網(wǎng)絡(luò)的安全性、應(yīng)用的簡易性上來。新興發(fā)展起來的一種技術(shù)虛擬專用網(wǎng)（Virtual

Private

Network，VPN）正在被現(xiàn)在網(wǎng)絡(luò)廣泛的使用，許多的ISP都非常的推崇這一項(xiàng)技術(shù)，因?yàn)樗娴暮芊奖?。與此相應(yīng)，網(wǎng)絡(luò)中的安全問題也漸漸的受到重視。由于在剛開始建立網(wǎng)絡(luò)的時候沒有相對詳細(xì)的考慮安全問題，導(dǎo)致現(xiàn)在的網(wǎng)絡(luò)狀況很不理想，安全性變得非常的差，為什么？因?yàn)榫W(wǎng)絡(luò)中的IP數(shù)據(jù)包一般都是通過明文來傳輸?shù)?，毫無安全性可言。在網(wǎng)絡(luò)安全的發(fā)展中，各種技術(shù)相應(yīng)的出現(xiàn)，而在1988年IETF推出了ipsec這一項(xiàng)具有優(yōu)勢的網(wǎng)絡(luò)安全技術(shù)。IPSec協(xié)議現(xiàn)在已經(jīng)變成世界上使用最為廣泛的技術(shù)，它在將來很有可能會變成ip網(wǎng)絡(luò)中VPN的標(biāo)志性技術(shù)。但是IPSec協(xié)議是一個新興的安全協(xié)議，其中技術(shù)命令復(fù)雜，IPSec在各個方面，例如理論和實(shí)踐方面都是需要改進(jìn)的?；谒鼘τ诰W(wǎng)絡(luò)安全真的非常重要。1.課題研究的背景及意義在信息時代，隨著企業(yè)及各種學(xué)院的廣泛使用，企業(yè)網(wǎng)的范圍也在持續(xù)不斷增大，從本地網(wǎng)絡(luò)發(fā)展到跨地區(qū)、跨城市，甚至是跨國家的網(wǎng)絡(luò)。internet范圍的增大，使得在生活中對網(wǎng)絡(luò)的應(yīng)用的要求變得很高。比如說，分布在不一樣的國家的不一樣的部門都想有一個安全的平臺來共享信息；在旅游時或者出差時，員工想要訪問公司的內(nèi)部網(wǎng)絡(luò)。企業(yè)會時常遇見這些問題，都是想ISP租用長型的線路和數(shù)字加密技術(shù)來保證該企業(yè)在網(wǎng)絡(luò)方面的需求，但是這種網(wǎng)絡(luò)消費(fèi)方式不是每個企業(yè)都能承受的，而且在網(wǎng)絡(luò)的擴(kuò)展性方面這方法也是非常差的。國內(nèi)的信息公用網(wǎng)在這幾年來已經(jīng)得到的告訴的發(fā)展。在網(wǎng)絡(luò)的物理連接上，公眾的共享信息平臺是公開的，所以當(dāng)有些企業(yè)要傳遞信息時需要經(jīng)過公眾網(wǎng)絡(luò)，所以在這里就有很大安全性問題，就是因?yàn)槌霈F(xiàn)了安全性問題，IPSEC則破殼而出成為了如今被使用最為廣泛的安全傳輸協(xié)議。虛擬專用網(wǎng)（VPN）技術(shù)是最近幾年新興出現(xiàn)的技術(shù)，它既可以拜托企業(yè)中繁重的維護(hù)等工作，就可以加強(qiáng)企業(yè)網(wǎng)的安全性能。VPN技術(shù)，又稱為虛擬專用網(wǎng)技術(shù)，就是在有公共網(wǎng)絡(luò)的基礎(chǔ)上在建立私有網(wǎng)絡(luò)，傳遞的信息在IPSEC的加密下傳入公共網(wǎng)絡(luò)中。虛擬專用網(wǎng)技術(shù)可以節(jié)省成本、提供遠(yuǎn)程互聯(lián)、延展性好、方便管理和可以進(jìn)行多方面控制等優(yōu)點(diǎn)，這是目前每個企業(yè)在網(wǎng)絡(luò)方面發(fā)展的趨勢。1.2國內(nèi)對于ipsec的研究現(xiàn)狀1.2.1研究現(xiàn)狀在國內(nèi)對于IPSECVPN的研究相對國外來說是比較滯后的，但是這并不代表我們不會使用該技術(shù)，總所皆知，IPSEC技術(shù)是一個對所有的加密技術(shù)的一個集合體或者說是一個總成，IPSEC總是使用當(dāng)前最安全靠譜的機(jī)密技術(shù)來作為核心，對網(wǎng)絡(luò)進(jìn)行安全的防護(hù)。在國內(nèi)IPSEC被廣泛應(yīng)用于VPN技術(shù)中，與VPN技術(shù)結(jié)合，保護(hù)了信息的安全。1.2.2國外的研究現(xiàn)狀相對于國外來說，IPSEC被應(yīng)用的更為廣泛，它在任何方面都有被使用，就是因?yàn)镮PSEC技術(shù)是與時代共同進(jìn)步的技術(shù)，ipsec應(yīng)用范圍大，尤其在國外的應(yīng)用更廣泛。1.3主要研究內(nèi)容本次論文將對IPSECVPN進(jìn)行相對深入的講解，從多方面讓大家了解IPSEC技術(shù)的只是，主要會從IPSEC的基本原理，以及IPSEC框架，不同的IPSEC應(yīng)用場合等方面來介紹IPSEC著項(xiàng)技術(shù)。相關(guān)技術(shù)分析2.1VPN概述隨著時代的發(fā)展以及企業(yè)規(guī)模的發(fā)展壯大，網(wǎng)絡(luò)負(fù)擔(dān)也不斷的加強(qiáng)，這時，有些企業(yè)考慮到成本問題，相對的就產(chǎn)生了vpn技術(shù)。VPN（virtualprivatenetwork）即虛擬專用網(wǎng)絡(luò)，他可以實(shí)現(xiàn)以私網(wǎng)連接到公網(wǎng)的要求，因?yàn)槌杀颈容^低，所以被很多中小型企業(yè)采用。一般企業(yè)使用的vpn有兩種，sslvpn和ipsecvpn。這兩種方法同時又有兩種的連接方式：1、access-vpn訪問遠(yuǎn)程的用戶2、site-tosite點(diǎn)到點(diǎn)之間的通信2.2IPSecVPN概述2.2.1IPSec協(xié)議簡介IPSec協(xié)議，是用來維護(hù)三層的安全問題。因?yàn)榇蟛糠值木W(wǎng)絡(luò)信息都要經(jīng)過IP這一層，相當(dāng)于說，網(wǎng)絡(luò)中的幾乎所有的信息都是通過TCP/IP來傳輸?shù)?。關(guān)于ipsec的提出是在1992年。那時ipsec技術(shù)不太成熟，經(jīng)過一段時間的不斷研磨，在1998年的時候?qū)psec進(jìn)行了初步使用。預(yù)計在將來，ipsec技術(shù)會不斷的發(fā)展，乃至最后的成熟。2.2.2IPSecVPN在以往的網(wǎng)絡(luò)架構(gòu)中，一般都是使用GRE隧道模式對數(shù)據(jù)進(jìn)行傳輸，其實(shí)這樣的傳輸方式是不安全也是不可靠的，ipsec技術(shù)的出現(xiàn)彌補(bǔ)了GRE的這一缺點(diǎn)，它可以實(shí)現(xiàn)數(shù)據(jù)的端到端的數(shù)據(jù)加密型傳輸，保證了數(shù)據(jù)的安全性。IPSEC有兩種封裝協(xié)議分別是AH和ESP。IPSec的優(yōu)勢有：（1）數(shù)據(jù)機(jī)密性：當(dāng)公司的數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸?shù)臅r，都希望自己公司的數(shù)據(jù)是以密文的方式傳輸出去的，但是，在互聯(lián)網(wǎng)上的時候數(shù)據(jù)有時是密文有時是明文，像這種不同的情況就應(yīng)該用不同的方案來解決。（2）數(shù)據(jù)完整性：數(shù)據(jù)完整性確保數(shù)據(jù)在源主機(jī)和目的主機(jī)之間傳送時不被篡改。VPN一般使用hash算法進(jìn)行加密。哈希算法類似于校驗(yàn)和，但是更可靠，它可以確保沒有人能更改數(shù)據(jù)的內(nèi)容，驗(yàn)證算法包括MD5，SHA-1。（3）身份驗(yàn)證：身份驗(yàn)證確保信息來源的真實(shí)性，并傳送到真實(shí)的目的地。（4）防重放保護(hù)：IPSEC接受方可檢測并拒絕接收過時或重復(fù)的數(shù)據(jù)包。IPSEC協(xié)議不是一個單獨(dú)的協(xié)議，包括安全協(xié)議，AH、ESP、IKE和用于驗(yàn)證，等加密算法。2.3IPsec框架一些傳統(tǒng)的安全技術(shù)以及無線安全技術(shù)，旺往往會采用某種固定的加密和散列函數(shù)，這種做法帶有明顯的賭博性質(zhì)，因?yàn)槿绻程爝@個加密算法曝出嚴(yán)重漏洞，那么使用這個加密算法或者散列函數(shù)的安全技術(shù)也就難免要遭到淘汰，為了避免這種在一棵樹上吊死的悲慘事件發(fā)生，IPsec并沒有定義具體的加密和散列函數(shù)，IPSEC是以框架模式進(jìn)行工作的，ipsec每次應(yīng)用的加密都是要通過協(xié)商才能進(jìn)行使用，比如說，我們覺得3DES這個加密技術(shù)很好，那么就不放暫且使用這個額協(xié)議來加密數(shù)據(jù)，但是只要有一天3DES出現(xiàn)了嚴(yán)重漏洞，或者出現(xiàn)了一個更好的加密技術(shù)，那么我們也可以馬上更換加密協(xié)議，使IPSECVPN總是使用最新最好的協(xié)議來進(jìn)行加密，圖3-2所示為ipsec框架示意圖，這張圖旨在說明，不僅僅是散列函數(shù)，加密算法，還包括封裝協(xié)議和模式，密鑰有效期等內(nèi)容都可以通過協(xié)商決定，在兩個IPSEC對等體之間協(xié)商的協(xié)議較做IKE。我們現(xiàn)在就一IPSEC框架設(shè)計的技術(shù)為主線，詳細(xì)介紹這些技術(shù)的特點(diǎn)和工作原理。2.4散列函數(shù)散列函數(shù)就是HASH函數(shù)，hash算法有兩種：MD5與SHA-1。Hash算法的作用就是用來保證數(shù)據(jù)的完整性，通過hash算法計算過得數(shù)據(jù)就叫做hash值，這個散列值也常常被稱為數(shù)據(jù)的指紋，為什么散列函數(shù)會被稱為數(shù)據(jù)的指紋呢？這是因?yàn)樯⒘泻瘮?shù)的工作原理和日常我們對指紋采集和使用的原理幾乎一樣，在這之前，我們不妨先來回想以下日常生活中我們是如何對指紋進(jìn)行采集和使用的。步驟1：公安機(jī)關(guān)預(yù)先記錄：用戶“X”的指紋“指紋一”。步驟2：在犯罪現(xiàn)場中，公安機(jī)關(guān)獲取到“指紋二”步驟3：通過查詢指紋數(shù)據(jù)庫發(fā)現(xiàn)“指紋一”等于“指紋二”步驟4：由于指紋是獨(dú)一無二的，所以就能確定嫌疑犯了。這就是散列函數(shù)的工作機(jī)制，接下來看看他是如何驗(yàn)證數(shù)據(jù)完整性的。步驟1：對“重要文件”執(zhí)行散列函數(shù)計算，得到散列值“散列值一”步驟2：現(xiàn)在我們收到另外一個文件“文件？”。對它進(jìn)行散列值計算得到“散列值二”。步驟3：將“散列值一”和“散列值二”進(jìn)行對比，兩個散列值相等。步驟4：因?yàn)樯⒘兄狄彩仟?dú)一無二的，所以兩個散列值是相同的。1.固定大小散列值有一個特性，就是它可以接受任意大小的數(shù)據(jù)，但是產(chǎn)生的散列值大小總是一樣的。比說通過MD5計算的到的散列值總是128bite。2.蝴蝶效應(yīng)蝴蝶效應(yīng)的意思就是原本的數(shù)據(jù)只要稍微改變一點(diǎn)，其計算的到的散列值都會發(fā)生巨大的改變。單向意思就是說數(shù)據(jù)只能單向的進(jìn)行散列值計算，無法在還原到原來的數(shù)據(jù)。4.沖突避免這點(diǎn)體現(xiàn)了散列值的唯一性，不會有一個散列值是相同的，避免了散列值沖突現(xiàn)在我們來看一下散列算法如何驗(yàn)證數(shù)據(jù)的完整性。步驟1：用hash函數(shù)對“文件”和得到的“散列值一”進(jìn)行計算。步驟2：將“散列值一”和“文件”一起發(fā)送給對端步驟3：對端同樣對“文件”進(jìn)行計算得到“散列值二”步驟4：接收方將收到文件中“散列值一”和計算得到的“散列值二”進(jìn)行對比，如果兩個散列值相同，那么根據(jù)散列函數(shù)蝴蝶效應(yīng)和沖突避免的特點(diǎn)，就可以檢查“文件”在傳輸?shù)倪^程中有沒有被人更改了。2.5加密算法對稱密鑰算法非對稱密鑰算法2.5.1對稱密鑰算法對稱密鑰算法有一個很明顯的特點(diǎn)，發(fā)送方和接收方都使用相同的密鑰進(jìn)行加解密，這樣的加解密算法就叫做對稱算法，對稱密鑰算法有如下特點(diǎn)：優(yōu)先：速度快：安全：緊湊。缺點(diǎn)：明文傳輸共享密鑰，容易出現(xiàn)中途接觸竊聽的問題；密鑰與參加者之間的函數(shù)關(guān)系（n*（n-1）/2）；因?yàn)槊荑€數(shù)量過多，對密鑰的管理和存儲時一個很大的問題；對稱密鑰算法的幾種協(xié)議：DES3DESAES作一個比較直觀的比較，想必大多數(shù)讀者都有使用壓縮軟件的經(jīng)歷，而對稱密鑰算法加密的速度應(yīng)該比壓縮的速度稍快，另外，現(xiàn)在無線網(wǎng)絡(luò)的使用也很普及，無線都是使用WPA2進(jìn)行加密的，而WPA2是使用DES進(jìn)行加密的，用戶在使用無線網(wǎng)絡(luò)的時候，似乎并沒有因?yàn)榧用芏咕W(wǎng)絡(luò)發(fā)生太大的延遲，而且只要他們的路由器或者交換機(jī)配上硬件加速模塊，那就基本上能夠?qū)崿F(xiàn)線速加密，因此速度是對稱密鑰算法的一大優(yōu)勢。2.5.2非對稱密鑰算法在使用非對稱加密技術(shù)之前，所有參與者沒不管是用戶還是路由器等網(wǎng)絡(luò)設(shè)備，都是需要預(yù)先使用非對稱密鑰算法產(chǎn)生一對密鑰，其中包括一個公鑰和一個私鑰，公鑰可以共享給所以屬于密鑰系統(tǒng)的用戶，私鑰需要進(jìn)行嚴(yán)格的保護(hù)，只有持有這個私鑰的人才能使用。非對稱密鑰算法兩大安全特性：完整性校驗(yàn)源認(rèn)證工作特點(diǎn)：1.密鑰不能使用相同的密鑰進(jìn)行解密2.僅用于密鑰交換和數(shù)字簽名優(yōu)點(diǎn)：1.安全2.密鑰具有一對一的特性；3.交換公鑰不需要提前建立信任關(guān)系；非對稱密鑰算法協(xié)議：1.RSA；2.DH；3.ECC；2.6封裝協(xié)議1)ESP(EncapsulatingSecuityFayload)ESP的IP協(xié)議號為50,能夠抵御重放攻擊。對于IP數(shù)據(jù)包不會進(jìn)行任何的保護(hù)。ESP協(xié)議用于對ip數(shù)據(jù)包進(jìn)行加密，ESP除了對數(shù)據(jù)部分可以進(jìn)行加密工作，還有一些認(rèn)證的功能。ESP的加密是獨(dú)立的，它可以不依賴算法，大多數(shù)的數(shù)據(jù)都是可以使用ESP進(jìn)行加密的，例如DES，RC5等。因?yàn)镋SP才用了特殊的封裝方式，所以就算是在舊有的網(wǎng)絡(luò)中也是一樣可以運(yùn)行的。IPSEC的任何協(xié)議都是有兩種工作方式，所以對于ESP來說也有兩種工作方式：同樣是隧道模式和傳輸模式。當(dāng)ESP工做模式為傳輸模式的時候。在隧道模式的時候，對IP數(shù)據(jù)包整個有效字節(jié)進(jìn)行加密工作，并加入新的IP頭部，這與NAT有異曲同工之妙。圖2-5ESP封裝示意圖2)AH(AuthenticationHeader)AH只和認(rèn)證有關(guān)系，它不涉及加密。AH雖然在某些方面在功能上和ESP有些重復(fù)，但是AH有它自身的優(yōu)勢，比如說他可以專門為IP頭部進(jìn)行加密。對于AH，它可以是單獨(dú)使用，也可以在模式下使用例如隧道模式，或者是和ESP一起使用。（如圖2-6）圖2-6AH頭示意圖3)IKE(InternetKeyExchange)IKE是負(fù)責(zé)在兩臺節(jié)點(diǎn)之間進(jìn)行一種連接的作用，它可以創(chuàng)建一條隧道來供網(wǎng)絡(luò)信息使用，IKE在運(yùn)行要完成的工作有:--對運(yùn)行中需要的協(xié)議進(jìn)行協(xié)商--公共密鑰的相互交換--兩個節(jié)點(diǎn)之間的相互認(rèn)證--交換成功后對密鑰進(jìn)行管理圖2-7IKE示意圖IKE也是由三個協(xié)議組成--SKEME--Oakley--ISAKMPIKE協(xié)議分為二個階段.IPSEC隧道要建立起來就要經(jīng)過下面的一系列過程:第一步:將ike進(jìn)行連接第二步:安全系統(tǒng)的建立第三步:使用加速連接模式，建立第二個安全系統(tǒng)第四步:數(shù)據(jù)包進(jìn)行加密動作。2.7IPsec的數(shù)據(jù)封裝模式IPSEC可以對數(shù)據(jù)進(jìn)行加密也可以對數(shù)據(jù)進(jìn)行認(rèn)證。只是不管是進(jìn)行加密或者是進(jìn)行認(rèn)證功能，對于這兩種功能IPSEC都有兩種工作方式，一種是隧道模式，還有另一種就是傳輸模式1.傳輸模式傳輸模式，如圖2－3所示，傳輸模式其實(shí)很簡單，不管使用的是AH協(xié)議還是ESP協(xié)議，都在在IP頭部和有效數(shù)據(jù)之間加入一個協(xié)議頭部，另外值得一提的是，ESP協(xié)議在數(shù)據(jù)的后面再加上自己的尾部和一個ESP人認(rèn)證，并且對IP負(fù)載和ESP尾部進(jìn)行加密和驗(yàn)證處理，但原始IP頭部被完整地保留下來。圖2-3傳輸模式示意圖2.隧道模式隧道模式，如圖所示，這個模式的工作原理是將原本的整個IP數(shù)據(jù)包封裝到一個全新的IP數(shù)據(jù)包中，而在要插入一個EDP部分在原始數(shù)據(jù)包頭部和新數(shù)據(jù)包頭部之間，以此對整個原始IP數(shù)據(jù)包進(jìn)行了加密和驗(yàn)證處理。那么，什么樣的網(wǎng)絡(luò)拖布適合使用隧道模式來封裝IP數(shù)據(jù)包呢？其實(shí)我們可以這樣理解：當(dāng)通信點(diǎn)和加密點(diǎn)相同的時候就使用傳輸模式，當(dāng)通信點(diǎn)和加密點(diǎn)不同時就使用隧道模式。圖2-4隧道模式示意圖2.8密鑰有效期長期使用相同密鑰來加密數(shù)據(jù)是不明智的，所以在使用密鑰處理信息時，應(yīng)該要注意的一點(diǎn)就是要周期性的更新密鑰，至少要做到一到兩個小時進(jìn)行一次更新。我們也可以根據(jù)自身的情況對密鑰有效期進(jìn)行調(diào)整，但是這種調(diào)整應(yīng)該遵循一個簡單的原則，那就是密鑰加密的數(shù)據(jù)越多，密鑰的有效期就應(yīng)該越短，同樣的道理，加密的數(shù)據(jù)越少，密鑰周期就越長，思科的IPSECVPN雖然默認(rèn)每小時更換一次密鑰，但下一個小時使用的密鑰，是由當(dāng)前這個小時使用的密鑰，通過系列的算法衍生得出的，也就是說這些密鑰之間存在推演關(guān)系，這樣的密鑰更新就不能叫做完美的向前保密PFS，PFS要求每一次密鑰更新，更新的密鑰要求都是新的，跟之前的密鑰沒有一點(diǎn)關(guān)系，也沒有任何的衍生密鑰，思科的IPSECVPN一旦啟用了PFS技術(shù)，就會在每一個小時結(jié)束的時候，展開一次全新的DH交換，產(chǎn)生全新的密鑰用于下一個小時加密。2.9本章小結(jié)本章的主要任務(wù)就基于具體的感興趣流來協(xié)商相應(yīng)的IPSECSA，IKE快速模式交換的三個數(shù)據(jù)包都得到了安全保護(hù)（加密，完整性校驗(yàn)和源認(rèn)證）。還有兩個要注意的地方就是SPI和PFS。SPI是用來表示唯一的SPISA的，SPI的值是有出廠商的設(shè)備決定的，在CISCO中，是沒有啟用PFS的，設(shè)備管理員可以通過配置來啟用這項(xiàng)技術(shù)，讓每一次密鑰更新之前都進(jìn)行一次全新的DH交換，產(chǎn)生全新的密鑰。到此為止，對于IPSECVPN理論的介紹就要告一段落了，從下一章起，我們將會開始對CiscoIPSECVPN的配置方法進(jìn)行介紹，在介紹的同時會應(yīng)用到WEBIOU這項(xiàng)模擬實(shí)驗(yàn)工具，WEBIOU是一種基于cisco框架的實(shí)驗(yàn)?zāi)M器，它很好的兼容了思科設(shè)備，并且可自由搭建拓?fù)洹Ｏ嚓P(guān)的工具：VMware虛擬機(jī)、UDIOUv21、secureCRT、搜狐瀏覽器、億圖。網(wǎng)絡(luò)需求分析3.1網(wǎng)絡(luò)硬件需求在網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計中，我選用了WEBIOU來作為模擬器實(shí)現(xiàn)所設(shè)計。所用到的設(shè)備：1）路由器5臺7200IOS2）交換機(jī)3臺3640IOS3）服務(wù)器3臺3.2網(wǎng)絡(luò)功能需求改網(wǎng)絡(luò)拓?fù)鋵⒁詢蓚€校區(qū)為站點(diǎn)，中間網(wǎng)絡(luò)由運(yùn)營商提供，并且使用mplsvpn進(jìn)行連接，要求，現(xiàn)在兩個校區(qū)之間要相互通信。中間網(wǎng)絡(luò)運(yùn)行eigrp和ospf協(xié)議，這兩個協(xié)議作為底層，運(yùn)行bgp協(xié)議。校區(qū)與PE之間運(yùn)行EBGP。3.3網(wǎng)絡(luò)安全需求將它們之間發(fā)送的流量使用IPSECESP進(jìn)行數(shù)據(jù)包的封裝加密。讓公網(wǎng)中無法看見包的源目。3.4本章小結(jié)本章將接下來要進(jìn)行的實(shí)驗(yàn)粗略的介紹了一下，大體上闡述了實(shí)驗(yàn)所要實(shí)現(xiàn)的需求。并且實(shí)驗(yàn)將以閩南科技學(xué)院的兩個校區(qū)作為范本來搭建實(shí)驗(yàn)拓?fù)鋱D。具體情況請參看實(shí)驗(yàn)。4網(wǎng)絡(luò)規(guī)劃與設(shè)計4.1網(wǎng)絡(luò)架構(gòu)設(shè)計這次的網(wǎng)絡(luò)拓?fù)涞氖腔陂}南科技學(xué)院的兩個校區(qū)進(jìn)行規(guī)劃的，站點(diǎn)分為兩個點(diǎn)，分別是康美校區(qū)和美林校區(qū)，以這兩個校區(qū)為基點(diǎn)中間運(yùn)行運(yùn)營商提供的網(wǎng)絡(luò)，4.2網(wǎng)絡(luò)功能設(shè)計兩個校區(qū)之間的網(wǎng)絡(luò)分別運(yùn)行ospfeigrp還有mbgp協(xié)議以，期中以ospf和eigrp協(xié)議為底層配置mbgp同時使用一臺交換機(jī)來模擬兩個校區(qū)，中間運(yùn)行mplsvpn，在此基礎(chǔ)上配置ipsec加密技術(shù)。4.3網(wǎng)絡(luò)安全設(shè)計構(gòu)建VPN網(wǎng)絡(luò)通信的重要前提是要擁有通暢的基礎(chǔ)網(wǎng)絡(luò)?；A(chǔ)網(wǎng)絡(luò)構(gòu)建完善后，緊接著進(jìn)行VPN的配置工作。VPN作為一種很好的選擇，縮減了公司所需要支付的成本費(fèi)用。雖然專線能夠使各分支部門安全的與總部進(jìn)行通信和數(shù)據(jù)交換，在安全方面也具有絕對的保障。但專線的費(fèi)用昂貴，一般的公司難以承受。在本設(shè)計中，重要是點(diǎn)到點(diǎn)VPN，基于ipsec的mplsvpn，不同校區(qū)都有一條連接到公網(wǎng)的VPN線路。VPN本身就是為了數(shù)據(jù)的安全傳輸設(shè)置的，因此不是所有用戶都能夠通過VPN隧道進(jìn)行通信，因此，配置時對感興趣流量進(jìn)行有效控制。5.網(wǎng)絡(luò)環(huán)境部署5.1萬能拓?fù)鋱D5.2效果拓?fù)鋱D5.2.1邊界路由器配置R3:首先給接口配置ip地址：interfaceLoopback0interfaceLoopback0ipaddress55!interfaceLoopback1ipaddress!interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipvrfforwardingsite1ipaddressinterfaceSerial1/0ipaddressinterfaceSerial1/2ipaddressinterfaceSerial1/2ipaddress配置ospf協(xié)議：routerospf31routerospf31router-idnetworkarea1networkarea1networkarea1networkarea1mplslabelprotocolldpmplsldpexplicit-nullmplslabelprotocolldpmplsldpexplicit-nullmplsldprouter-idLoopback0force配置vrf：ipvrfsite1ipvrfsite1rd1:1route-targetexport1:1route-targetimport1:1配置bgp協(xié)議：routerbgp7routerbgp7bgprouter-idbgplog-neighbor-changesneighborremote-as7neighborupdate-sourceLoopback0neighborremote-as7neighborupdate-sourceLoopback0建立vpnv4：neighboractivateneighboractivateneighborsend-communityextendedneighbornext-hop-self配置與SW2的EBGPVRF鄰居：address-familyipv4vrfsite1address-familyipv4vrfsite1neighborremote-as777neighboractivateneighboras-overrideexit-address-familyR2：首先給接口配置ip地址：interfaceLoopback0interfaceLoopback0ipaddress55interfaceLoopback1ipaddressinterfaceEthernet0/0ipaddressinterfaceEthernet0/1ipvrfforwardingsite2ipaddressinterfaceSerial1/0ipaddressinterfaceSerial1/3ipaddress配置eigrp協(xié)議：routereigrp31routereigrp31networknetworknetworknetwork配置相應(yīng)的標(biāo)簽轉(zhuǎn)發(fā)協(xié)議和轉(zhuǎn)發(fā)源：mplslabelprotocolldpmplslabelprotocolldpmplsldpexplicit-nullmplsldprouter-idLoopback0force配置vrf：ipvrfsite2ipvrfsite2rd2:2route-targetexport1:1route-targetimport1:1配置bgp協(xié)議：routerbgp7routerbgp7bgprouter-idbgplog-neighbor-changesneighborremote-as7neighborupdate-sourceLoopback0neighborremote-as7neighborupdate-sourceLoopback0建立vpnv4：address-familyvpnv4address-familyvpnv4neighboractivateneighborsend-communityextendedneighbornext-hop-selfexit-address-familyaddress-familyipv4vrfsite2neighborremote-as777address-familyipv4vrfsite2neighborremote-as777neighboractivateneighboras-overrideexit-address-family5.2.2校區(qū)站點(diǎn)配置SW2配置：routerbgp777bgplog-neighbor-changesnobgpdefaultipv4-unicastrouterbgp777bgplog-neighbor-changesnobgpdefaultipv4-unicastaddress-familyipv4vrfsite1bgprouter-idnetworkmasknetworkmask55neighborremote-as7neighboractivateexit-address-family!address-familyipv4vrfsite2bgprouter-idnetworkmasknetworkmask55neighborremote-as7neighboractivateexit-address-familyR3：cryptoisakmppolicy10hashmd5cryptoisakmppolicy10hashmd5authenticationpre-sharegroup2cryptoisakmpkeyciscoaddresscryptoipsectransform-setIKE2esp-desesp-md5-hmaccryptomapgxl10ipsec-isakmpsetpeersettransform-setIKE2matchaddress101access-list101permitip5555在接口下調(diào)用：interfaceSerial1/0interfaceSerial1/0cryptomapgxlR2：cryptoisakmppolicy10hashmd5cryptoisakmppolicy10hashmd5authenticationpre-sharegroup2cryptoisakmpkeyciscoaddresscryptoipsectransform-setIKE2esp-desesp-md5-hmaccryptomapgxl10ipsec-isakmpsetpeersettransform-setIKE2matchaddress101access-list101permitip5555interfaceSerial1/0cryptomapgxlinterfaceSerial1/0cryptomapgxl5.3網(wǎng)絡(luò)功能測試SW2#traceroutevrfsite1Protocol[ip]:TargetIPaddress:Sourceaddress:SW2#traceroutevrfsite1Protocol[ip]:TargetIPaddress:Sourceaddress:Numericdisplay[n]:ResolveASnumberin(G)lobaltable,(V)RFor(N)one[G]:Timeoutinseconds[3]:Probecount[3]:MinimumTimetoLive[1]:MaximumTimetoLive[30]:PortNumber[33434]:Loose,Strict,Record,Timestamp,Verbose[none]:Typeescapesequencetoabort.TracingtheroutetoVRFinfo:(vrfinname/id,vrfoutname/id)10msec0msec0msec2[MPLS:Labels21/33Exp0]36msec36msec36msec3[MPLS:Labels22/33Exp0]36msec40msec40msec4[MPLS:Labels20/33Exp0]36msec32msec36msec5[MPLS:Labels0/33Exp0]36msec52msec36msec632msec*36msec5.3.2測試R2于R3loo1的連通性R2#pingTypeescapesequencetoabort.R2#pingTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:U.U.USuccessrateis0percent(0/5)帶源：R2#pingsourceR2#pingsourceTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:Packetsentwithasourceaddressof.!!!!Successrateis80percent(4/5),round-tripmin/avg/max=33/33/34ms這里我們就能看出實(shí)驗(yàn)的結(jié)論了，帶源p