【正文】 ................................................... 18 需求分析設計 ....................................................... 18 基礎網絡的構建； ............................................... 18 在已構建的網絡上配置 VPN； ..................................... 19 用網絡測試工具對 VPN 通信進行測試 ............................... 19 4 IPSEC VPN 網絡具體規(guī)劃與設計 ........................................... 20 基礎網絡構建和服務器配置 ........................................... 20 VPN 配置過程及測試步驟 ............................................. 22 siteto site 站點到站點，多用于總部與分支辦公室連接 ............ 22 移動用戶與總部進行連接 ......................................... 29 在 VMWARE WORKSTATION虛擬機上安裝 WINDOWS SERVER 2021 相應服務器 .......... 29 5 測試： VPN 應用測試 ..................................................... 30 路由器上測試 ....................................................... 30 使用本地主機訪問各服務 器 ........................................... 31 結論及尚存在的問題 ...................................................... 32 基于 Cisco 設備 IP Sec VPN 的設計與實現 參考文獻 ................................................................ 33 致謝 .................................................................... 34 基于 Cisco 設備 IP Sec VPN 的設計與實現 1 1 引言 隨著 Inter 的快速發(fā)展，人們逐漸把技術的焦點從網絡的可用性、信息的獲取性轉移到網絡的安全性、應用的簡易性上來 。網絡上的 IP數 據包幾乎都是用明文傳輸的，非常容易遭到竊聽、篡改等攻擊。鑒于它的重要作用，很有必要對IPSec 協議及其 VPN 做相關的探討及研究。 IPSec 在傳輸層之下，對于應用程序來說是透明的。如果需要的話， IPSec 可以為個體用戶提供安全保障，這樣做就可以保護企業(yè)內部的敏感信息。網絡范圍的擴大，導致在實際應用上 對網絡的要求也越來越高。在物理上，各地的公共信息網都是連通 的，但是由于公共信息網是對社會開放的，如果企業(yè)的信息要通 過公共信息網進行傳輸，在安全性上存在著很多問題。同時，企業(yè)還可以利用公共信息網的撥號接入設備，讓自己的用戶撥號到公共信息網上，就可以安全地連接進入企業(yè)網中。 2 VPN 接入技術的選用 與 IPSec VPN 概述 VPN 技術的選用 用于企業(yè)內部建設 VPN 虛擬專網的主要有兩種技術 —— IP Sec VPN 和 SSL VPN。 IPSec 工作于網絡層，對終端站點間所有傳輸數據進行保護，而不管是哪類網絡應用。 2. 支持遠程辦公和移動辦公 3. IPSec VPN 數據轉發(fā)設備能夠為數 萬地址上分散的用戶提供服務。 6. 從公司現狀考慮， IPSEC 能利用公司現有設備 IPSEC 可以結合現有的防火墻設備實現，公司總部網絡無需 增加新的設備。 SSL 嵌在瀏覽器中，遠程用戶通過瀏覽器來訪問企業(yè)內部的 Web 應用。 但是， SSL 的局限性有如下幾方面： 1. 只能訪問通過網絡瀏覽器連接的資產。譬如說， SSL VPN 沒有架構來支持即時消息傳送、多播、數據饋送、視頻會議 及 VoIP。 基于 Cisco 設備 IP Sec VPN 的設計與實現 4 綜上所述，在設計上， IPSec VPN 是一種基礎設施性質的安全技術，這類 VPN的真正價值在于，它們盡量提高 IP 環(huán)境的安全性。鑒于 IPv4 的應用仍然很廣泛，所以后來在 IPSec 的制定中也增添了對 IPv4 的支持。當接收到一個 IP 數據包時，包過濾防火墻使用其頭部在一個規(guī)則表中進行匹配。正是這新增添的處理基于 Cisco 設備 IP Sec VPN 的設計與實現 5 方法提供了比包過濾防火墻更進一步的網絡安全性。只有在對 IP 數據包實施了加密和認證后，才能保證在外部網絡傳輸的數據包的機密性，真實性，完整性，通過 Inter進新安全的通信才成為可能。此時，繼續(xù)使用以前的 IP 頭部，只對 IP 頭部的部分域進行修改，而 IPSec 協議頭部插入到 IP頭部和傳輸層頭部之間。以上三方面的工作分別由 AH， ESP 和 IKE 三個協議規(guī)定。只要實現 AH和 ESP 都必須提供對 SA的支持。當給定了一個 SA，就確定了 IPSec 要執(zhí)行的處理，如加密，認證等。為了保證各種 IPSec 實現間的互操作性，目前 ESP 必須提供對 56位 DES 算法的支持?！鞍踩呗运?引”使用來標識發(fā)送方是使用哪組加密策略來處理 IP 數據包的，當接收方看到了這個序號就知道了對收到的 IP 數據包應該如何處理。 通常， ESP 可以作為 IP 的有效負載進行傳輸，這 JFIP 的頭 UKB 指出下廣個協議是ESP，而非 TCP 和 UDP。而在隧道模式時，侍整個 IP 數據包進行加密作為 ESP 的有效負載，并在 ESP 頭部前增添以網關地址為源地址的新的 IP頭部，此時可以起到 NAT 的作用。為了提供最基本的功能并保證互操作性， AH 必須包含對 HMAC?/FONTSHA 和 HMAC?/FONTMD5(HMAC 是一種 SHA 和 MD5 都支持的對稱式認證系統(tǒng) )的支持。 幾個概念： 算法：在加密和解密過程中采用的一組規(guī)則。密鑰是x，這里假設密鑰為 3。 目前，很多加密算法都是公開的，也就是大家可以知道這些算法是怎么算的，都是有標準的。 現在來看下圖中的 Ke 和 Kd， Ke 是加密時候用的密鑰， Kd是解密時候用的密鑰。 對稱加密算法有： DES， 3DES， AES， IDEA， RC4， A5， （記住常用的三個即可） 非對稱加密算法有： RSA， DiffieHellman， Rabin， ELGmal 機密性總結： 。完整性，可以這樣理解，我們要通過某種方法，來判斷 B收到的信息和 A給的信息是一樣的，是完整的。 hash 函數有： MD5， SHA1 hash 函數的特點，必須記住的： ，輸出是固定長度的值的值（ MD5 是 128 位），叫 hash 值。 身份認證可用公鑰密碼體制來驗證。 用于數據加密 公鑰密碼體制不僅可以用在保護數據的機密性，而且可以用在身份認證中。 IPSEC VPN 加密通信中的四個概念： 消息認證碼 算法 【 MAC 消息認證碼】 消息認證碼（ MAC）就是帶密鑰的 hash 函數，用來做驗證用。 hash 值，因為只有消息和密鑰都一樣， hash 值才可能一樣，所以如果 hash 值一樣，則說明消息是正確的，而且說明消息是由 A（擁有共享密鑰的人）發(fā)送的。 第一，數據源認證必須要求通信，而數據完整性認證不一定需要通信，例如存儲數據的完整性認證。 算法可以用來做完整性檢驗，也可以用來做消息認證，取決于所 hash 的內容有沒有包含密鑰。 p： L bits 長的素數。 簽名 過程如下： 圖 211 數字簽名示意圖 數字簽名方案有兩個部分：簽名算法和驗證算法。 這里 hash 函數的作用有兩個： 1）得到的定長輸出，位數短，私鑰簽名的時候速度快。 【數字證書】 數字證書，數字證書將身份標識與公鑰綁定在一起，并由可信任的第三方權威機構用其私鑰簽名。 從中間人攻擊過程可以看出，不安全的因素在于不能識別公鑰的來源。 注意： 數字證書安全的前提是第三方是可信任的，如果第三方被偽造，數字證書就沒有安全性可言。 目的： 在一個非安全的通道上安全地建立一個共享密鑰，用來建立安全的信道。 A對 XA的值保密存放而使 YA 能被 B公開獲得。同樣，用戶 B產生共享秘密密鑰的計算是 K = (YA) XB mod q。例如，要獲取用戶 B 的秘密密鑰，敵對方必須先計算 XB = inda ,q(YB)然后再使用用戶 B 采用的同樣方法計算其秘密密鑰 K。 計算機設備、服務器 設備和網絡設備在技術性能逐步提升的同時，其價格卻在逐年下降。 2）前瞻性原則。其目標首先是要有利于未來網絡系統(tǒng)的擴充，其次還要有利于在需要時與外部網絡互通。在這樣的網絡中，就要盡量使用冗余備份，當某個網絡設備故障時，網絡還可以零間斷地繼續(xù)工作，這樣就很好的保障了企業(yè)網絡的可靠性。企業(yè)必須保護其網絡系 統(tǒng)，以避免受外來惡意性入侵，但也必須保留足夠空間，使其主要經營之業(yè)務能順利運作。 網絡管理員能夠在不改變系統(tǒng)運行的情況下對網絡進行調整，不管網絡設備的物理位置在何處，網絡都應該是可以控制的。網絡系統(tǒng)應在規(guī) 模和性能兩方面具有良好的可擴展性。 在本設計中， 以北京站的總部為核心，上海、廣州和武漢三個地區(qū)的點位分支，各點 都 通過運營商提供的網絡來實現到互聯網的訪問 外網，內部根據不同情況采取了不同的保護方式，有的分支機構規(guī)模小，只有一臺路由器作為網關，沒有外網服務器，只有分支機構內部使用的 windows 2021 server 服務器，作為公司內部信息的發(fā)布和資源的共享。 在本設計實現過程中，中間廣域網部分用一個路由器代替，用以路由。 為了能夠使各分支部門安全的與總部進行通信和數據交換，通過專線是多安全的，但是專線的費用之昂貴是一般公司難以承受的。 用網絡測試工具對 VPN 通信進行測試 VPN 隧道建立后，對網絡通信方式進行驗證時必不可少的。在這個階段，要對拓撲中的網絡的連通、穩(wěn)定傳輸和安全等方面進行詳細的規(guī)劃與設計。 Router(config)enable secret linyongqiang Router(config)line vty 0 4 Router(configline)password nyist Router(configline)exit Router(config)hostname R1 R1(config) （ 3） 配置路由器的以太網接口，并測試與本地計算機的連通性 注意 : 配置前，請將線纜與相關設備連接好。 關鍵是配置 IP 地址和啟用以太網接口。 2. 配置路由器 NAT 網絡 （ 1） 配置外出路由并測試 主要是配置缺省路由。 R1(config)accesslist 101 deny R1(config)accesslist 101deny R1(config)accesslist 101 deny R1(config)accesslist 101 permit ip any 以上命令的作用是指定對外訪問的規(guī)則內容。 0 extended) Outside interfaces: Serial2/0 Inside interfaces: f0/0 …… 在 IP 地址為 的計算機上，執(zhí)行必要的測試工作，以驗證內部計算機可以通過 PAT 訪問 Inter。當然，如果業(yè)務要求，不允許所有的內部員工 /計算機，或只允許部分內部計算機訪問Inter，那么，只需要適當修改上述配置命令，即可實現。 R1(config)accesslist 102 permit ip R1(config)accesslist 103 permit ip R1(config)accesslist 104permit ip 指定 VPN 在建立連接時協商 IKE 使用的策略?？梢砸粯樱部梢圆灰粯?。需要制定 3個相應的入口策略 (下面只給出 1個 )。 R1(config)crypto ipsec transformset R1 espdes espshahmac 基于 Cisco 設備 IP Sec VPN 的設計與實現 29 指明串口使用上述已經定義的策略。在 VMware Workstation 中，基于 Cisco 設備 IP Sec VPN 的設計與實現 30 你可以在一個窗口中加載一臺虛擬機