【正文】 穩(wěn)定的保證總部與分支的數(shù)據(jù)通訊，分支和中心之間采用OSPF動態(tài)路由協(xié)議。然而，在實際應用當中，就如同前文所述（），穿越整個互聯(lián)網(wǎng)，是不可能鋪設專門的物理鏈路來滿足業(yè)務的需求，因為架設專用鏈路所需的代價太高，顯然這樣的設計是不切實際的。另外，MPLS VPN在此也不大適合集團的VPN設計，因為MPLS是獨立于二層和三層的協(xié)議，其適合更大的機構網(wǎng)絡運用，因為大型網(wǎng)絡要結合IGP和BGP，而MPLS就是由于此種需求應運而生的，因此在本案例設計中，也不應該用此技術。在IPSec協(xié)議的實現(xiàn)過程中，研究機構為了彌補IPSec的這種缺陷，也相繼研究出實現(xiàn)IPSec協(xié)議支持動態(tài)路由協(xié)議的特性，即IPSec Profile。 缺點：不提供安全加密功能。 適用場合：適用于高安全性能、簡單拓撲配置的IP網(wǎng)絡環(huán)境。關于這兩種技術（即GRE over IPSec VPN技術和IPSec over GRE VPN技術）的細則問題，則后文第四章的相關章節(jié)有詳細的介紹，此處不多做解釋，而最終的選擇則是GRE over IPSec VPN技術，下面將針對此技術進行本系統(tǒng)的規(guī)劃和設計。整個網(wǎng)絡進行OSPF區(qū)域劃分合肥總部網(wǎng)絡中心的區(qū)域為Area 6，其中服務器分別為WWW服務器、Email服務器、FTP服務器以及Database服務器，；，依次分別為Area Area Area Area Area 5，；穿越互聯(lián)網(wǎng)的區(qū)域為Area 0。由此可見，針對于GRE數(shù)據(jù)包，各分支機構的邊界路由器與總部的邊界路由器之間相互通信的加密點和通信點均落在所有的邊界路由器上，故而可以選擇的IPSec的數(shù)據(jù)包封裝模式為傳輸模式，而不是選擇隧道模式，主要是因為隧道模式要比傳輸模式多了一個20B的、和傳輸模式一樣的報頭，這樣就使得每個隧道模式的數(shù)據(jù)包比傳輸模式的數(shù)據(jù)包少傳輸20B的數(shù)據(jù)，影響到數(shù)據(jù)的傳輸速率。由于各個分支機構與總部的連接方式大同小異，因此每個分支機構在與總部互連時也是大同小異，“系統(tǒng)網(wǎng)絡設計與實現(xiàn)拓撲圖”，： 系統(tǒng)網(wǎng)絡拓撲圖 系統(tǒng)網(wǎng)絡設計與實現(xiàn)拓撲圖思科模擬器軟件GNS3針對于本課題的設計與實現(xiàn)，則是在思科模擬器GNS3上得以實現(xiàn)的。Wireshark軟件為了驗證所設計的VPN隧道的功能是否與預期的相一致，在本課題最終實現(xiàn)的過程中，通過在模擬的互聯(lián)網(wǎng)和終端進行數(shù)據(jù)流捕獲操作，然后對捕獲得到的數(shù)據(jù)條目信息進行直觀地分析，并在一定程度上對部分數(shù)據(jù)包進行深入分析，這樣則可以驗證數(shù)據(jù)通信在整個VPN隧道和終端的傳輸過程，進而檢驗本課題設計與仿真的成功與否。在已經(jīng)搭建好的網(wǎng)絡拓撲中，所有路由器均是模擬型號為3640的思科路由器。下面將結合實例進行詳細配置介紹。配置R3：r3(config) interface fastEthernet 0/0r3(configif)ip address r3(configif)no shutdownr3(config) interface fastEthernet 0/1r3(configif)ip address r3(configif)no shutdownr3(config)ip route 說明：配置R3的接口地址，并寫默認路由指向Internet（路由器R5）。（2）在合肥總部路由器R3上配置連接到安慶分部路由器R1的GRE隧道：r3(config)interface tunnel 3r3(configif)ip address r3(configif)tunnel source r3(configif)tunnel destination r3(configif)exit（3）在創(chuàng)建GRE隧道的路由器雙方將去往對方私有網(wǎng)段的數(shù)據(jù)包引入GRE隧道中傳輸：R1：r1(config)ip route tunnel 1R3：r3(config)ip route tunnel 3：r2ping Type escape sequence to abort.Sending 5, 100byte ICMP Echos to , timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), roundtrip min/avg/max = 24/80/240 ms說明：。配置IPsec轉換集（Transform Set）也就是定義階段2中一些加密算法以及HMAC算法，此Transform Set就是定義了VPN流量中的數(shù)據(jù)包是受到怎樣的保護。 Router(config)crypto map WORD 1 ipsecisakmpRouter(configcryptomap)set ? identity Identity restriction. ip Interface Internet Protocol config mands isakmpprofile Specify isakmp Profile nat Set NAT translation peer Allowed Encryption/Decryption peer. pfs Specify pfs settings securityassociation Security association parameters transformset Specify list of transform sets in priority order將crypto map應用于接口 crypto map配置后，是不會生效的，必須將crypto map應用到三層功能的接口上。首先在VPN1和Center上同時打開debug crypto ipsec和debug crypto isakmp，然后在VPN1執(zhí)行命令ping ，調(diào)試中現(xiàn)實的代碼如下：VPN1VPN1debug crypto ipsec Crypto IPSEC debugging is onVPN1debug crypto isakmpCrypto ISAKMP debugging is onVPN1ping Type escape sequence to abort.Sending 5, 100byte ICMP Echos to , timeout is 2 seconds:Packet sent with a source address of *Mar 1 00:44:: IPSEC(sa_request): ,//數(shù)據(jù)觸發(fā)SA。*Mar 1 00:44:: ISAKMP:(0:0:N/A:0): beginning Main Mode exchange//開始IKE階段1中的主模式交換。*Mar 1 00:44:: ISAKMP:(0:0:N/A:0): sending packet to my_port 500 peer_port 500 (I) MM_NO_STATE//第1個包。*Mar 1 00:44:: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH*Mar 1 00:44:: ISAKMP:(0:0:N/A:0):Old State = IKE_I_MM1 New State = IKE_I_MM2 //MM 12主要作用就是協(xié)商peer的地址和第一階段的策略。下面兩個數(shù)據(jù)包信息則就是這兩條信息的具體體現(xiàn)。*Mar 1 00:44:: ISAKMP:(0:1:SW:1): processing KE payload. message ID = 0*Mar 1 00:44:: ISAKMP:(0:1:SW:1): processing NONCE payload. message ID = 0*Mar 1 00:44:: ISAKMP:(0:1:SW:1):found peer preshared key 。*Mar 1 00:44:: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE*Mar 1 00:44:: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM2 New State = IKE_I_MM3 *Mar 1 00:44:: ISAKMP (0:134217729): received packet from dport 500 sport 500 Global (I) MM_SA_SETUP//第4個包。*Mar 1 00:44:: ISAKMP: encryption 3DESCBC*Mar 1 00:44:: ISAKMP: hash SHA*Mar 1 00:44:: ISAKMP: default group 2*Mar 1 00:44:: ISAKMP: auth preshare*Mar 1 00:44:: ISAKMP: life type in seconds*Mar 1 00:44:: ISAKMP: life duration (VPI) of 0x0 VPN10x1 0x51 0x80 *Mar 1 00:44:: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 0//此消息代表匹配的策略已經(jīng)找到，表示第2個包協(xié)商成功。響應者收到發(fā)起者的第1條消息后查看IKE策略消息，并嘗試在本地尋找與之匹配的策略，找到后，則返回給發(fā)起者一條消息，即第2條消息。RFC中建議，cookie是將源/目IP、源/目端口、本地生成的隨機數(shù)、日期以及時間進行散列操作得到的，從而成為留在IKE協(xié)商中交換信息的唯一標識。 lifedur= 3600s and 4608000kb, spi= 0x9076EC32(2423712818), conn_id= 0, keysize= 0, flags= 0x400E*Mar 1 00:44:: ISAKMP: received ke message (1/1)*Mar 1 00:44:: ISAKMP:(0:0:N/A:0): SA request profile is (NULL)*Mar 1 00:44:: ISAKMP: Created a peer struct for , peer port 500*Mar 1 00:44:: ISAKMP: New peer created peer = 0x64A76F64 peer_handle = 0x80000004//主模式的交換正在開始：還沒有策略被共享，路由器仍處于MM_NO_STATE狀態(tài)。 IPSec VPN實驗拓撲，筆者在此假定路由器的接口等基本配置已經(jīng)完成，筆者緊緊根據(jù)IPSec通信兩端進行IPSec配置。 注：在配置ACL定義感興趣流量時需要格外注意的是ACL中不要使用any來表示源或者目標，否則會出問題。 IPSec VPN基本配置步驟配置IKE（ISAKMP）策略定義IKE 階段1中的策略，包括加密算法（Encryption），Hash算法（HMAC），密鑰算法（DiffieHellman），認證方式（Authentication）等等，每項的具體信息請參考前文內(nèi)容。配置R5：r5(config) interface fastEthernet 0/1r5(configif)ip address r5(configif)no shutdownr5(config) interface fastEthernet 0/0r5(configif)ip address r5(configif)no shutdown說明：配置R5的接口地址，因為R5模擬Internet，所以R5不需要寫任何路由，也不允許寫任何路由。 GRE實驗拓撲 配置網(wǎng)絡環(huán)境配置R1：r1(config) interface fastEthernet0/0 r1(configif)ip address r1(configif)no shutdownr1(config) interface fastEthernet0/1r1(configif)ip address r1(configif)no shutdownr1(config)ip route 說明：配置R1的接口地址，并寫默認路由指向Internet（路由器R5）。 網(wǎng)絡拓撲實驗環(huán)境第四章 GRE與IPSec相關技術分析在第二章和第三章中針對相關技術，如GRE技術、IPSec技術等進行了詳細介紹，本章將對這些技術的相關配置進行詳細講述，同時最后針對GRE over IPSec VPN與IPSec over GRE VPN二者的配置，以及二者的區(qū)別進行詳細講述，以便最終選擇出本課題案例的最佳方案。在本課題的設計與仿真當中，在VMware Workstation軟件上安裝兩個windows server 2003系統(tǒng)來構建兩臺虛擬機，其中一臺用作系統(tǒng)中位于總部的服務器，另一臺用作位于VPN1路由器端得終端PC。GNS3 是dynagen 的圖形化前端，用于搭建網(wǎng)絡拓撲，并生成dynagen 所可以加載的net 文件，用