【正文】 根據(jù)圖中所示，對(duì)于A主機(jī)（同網(wǎng)絡(luò)的主機(jī)也是這樣）要訪問互聯(lián)網(wǎng)上的其它主機(jī)（不是B主機(jī)網(wǎng)絡(luò)中的主機(jī)），這時(shí)就不需要進(jìn)行VPN保護(hù)了。可以將IKE分為兩個(gè)階段：Phase 1主要工作是進(jìn)行認(rèn)證，建立一個(gè)IKE SA和Phase 2主要是進(jìn)行密鑰交換，利用Phase 1中的IKE SA來協(xié)商IPSec SA。 在phase 1 主要工作是： a）選用協(xié)商模式main mode（主模式）和aggressive mode（可譯為挑戰(zhàn)模式或積極模式）兩種模式的區(qū)別是，主模式安全性要高，提供了對(duì)通信雙方身份的保護(hù)，如IP地址等信息，安全性更高；挑戰(zhàn)模式去除了上主模式中的身份的保護(hù)等功能，因此速度上要比前一種快。在思科路由器上可以使用如下命令定義加密算法：(isakmp)encryption {des | 3des}d）選用一種驗(yàn)證算法 驗(yàn)證算法即散列算法，主要用于對(duì)所傳輸數(shù)據(jù)或信息的完整進(jìn)行驗(yàn)證的一種方法，那前面工作任務(wù)中提到的HASH算法。除非購買高端路由器，或是VPN通信比較少，否則最好使用group 1長度的密鑰，group命令有兩個(gè)參數(shù)值：1和2。值得注意的是兩端的路由器都要設(shè)置相同的SA周期，否則VPN在正常初始化之后，將會(huì)在較短的一個(gè)SA周期到達(dá)中斷。 在思科路由器上可以使用如下命令定義IKE SA的生存周期：(isakmp)lifetime seconds（3）路由器R1和R2協(xié)商IKE第2階段會(huì)話（IPsec安全關(guān)聯(lián)）； a）選用協(xié)議封裝ESP與AH是數(shù)據(jù)封裝的兩種常用方式：Encapsulating Security Payload（ESP）IP 封裝安全負(fù)載協(xié)議協(xié)議號(hào)為50，ESP為IP數(shù)據(jù)包提供完整性檢查、認(rèn)證和加密，提供機(jī)密性并可防止篡改。詳細(xì)信息可通過網(wǎng)絡(luò)進(jìn)行查詢?cè)谒淼婪绞较?整個(gè)IP包都封裝在一個(gè)新的IP包中,并在新的IP包頭和原來的IP包頭之間插入IPSec頭(AH/ ESP)；傳輸模式主要為上層協(xié)議提供保護(hù)，AH和/或ESP包頭插入在IP包頭和運(yùn)輸層協(xié)議包頭之間。與IKE SA的生存時(shí)間作用不同，但原理上是類似。實(shí)驗(yàn)步驟： 思科安全設(shè)備管理工具SDM的安裝 Cisco Security Device Manager，即Cisco安全設(shè)備管理工具，簡(jiǎn)稱SDM。多數(shù)Cisco的大部分中低端路由器的新版本IOS都可以支持SDM。因?yàn)镾DM是利用WEB界面、Java技術(shù)和交互配置向?qū)?duì)路由器進(jìn)行遠(yuǎn)程配置的，在本計(jì)算機(jī)上要設(shè)置IE等瀏覽器的安全設(shè)置中的ActiveX控件和插件，啟用AXTIVE。當(dāng)IE提示阻止時(shí)，點(diǎn)擊選擇允許，如果出現(xiàn)后臺(tái)程序腳本，點(diǎn)右鍵刷新可以看到SDM登錄的認(rèn)證。 圖 5 利用SDM配置站點(diǎn)到站點(diǎn)VPN1）安裝JAVA運(yùn)行環(huán)境 SDM軟件通過WEB方式配置路由器，需要支持JAVA運(yùn)行環(huán)境：注意：建議安裝如下圖所示的J2RE的JAVA運(yùn)行環(huán)境，不要安裝Java Runtime Environment (java運(yùn)行時(shí)環(huán)境) Update，更不要同時(shí)安裝這兩者，否則會(huì)出現(xiàn)路由器無法用SDM登錄，或登錄后防火墻及IPS等功能集不可用的情況。3）安裝配置SDM軟件 在A計(jì)算機(jī)上啟動(dòng)SDM軟件并進(jìn)行連接，如圖所示。r1(config) line vty 0 4r1(configline) privilege level 15r1(configline) login local //ssh通過本地的用戶名和密碼登錄驗(yàn)證。圖 9這里有兩種配置方式：快速安裝是按SDM的默認(rèn)值進(jìn)行配置， 這里選擇逐步操作向?qū)瓿烧军c(diǎn)到站點(diǎn)VPN的配置任務(wù)，了解VPN的配置項(xiàng)目。圖 11IKE提案里要設(shè)置在Internet密鑰交換過程中，VPN建立的雙方的協(xié)商，這里需要設(shè)置為主保護(hù)協(xié)商過程的信息機(jī)密性（加密方法）、完整性（散列算法）、加密材料長度（DH分組）、身份驗(yàn)證方式。如下圖所示圖 15完成以上的配置后，通過命令行連接到路由器上，可以看到路由器上已經(jīng)完成了VPN的配置。 r1 show crypto isakmp sa //列出活動(dòng)的IKE會(huì)話 r1 show crypto ipsec sa //列出活動(dòng)的IPsec安全關(guān)聯(lián) r1 debug cr。選擇即可進(jìn)行測(cè)試，SDM可以提出錯(cuò)誤點(diǎn)及排錯(cuò)方法。圖 13 在這一步中要設(shè)置的是對(duì)哪種數(shù)據(jù)流進(jìn)行VPN保護(hù)，在這個(gè)工作任務(wù)中。 對(duì)等項(xiàng)標(biāo)識(shí)是指VPN的另一端的信息，如是否是固定IP，如果是要輸入IP地址 驗(yàn)證方式這里選擇預(yù)共享密鑰，這是進(jìn)行VPN連接時(shí)雙方進(jìn)行交流時(shí)使用的同一保密密鑰，雙方要設(shè)置一致。圖 8選擇配置頁中的VPN，就可以開始VPN功能的配置了，這里根據(jù)任務(wù)安排，應(yīng)該選擇站點(diǎn)到站點(diǎn)VPN。具體命令如下：r1(config)ip serverr1(config)ip secureserverr1(config)ip authentication local //當(dāng)進(jìn)行HTTP訪問是，通過本地的用戶名和密碼登錄驗(yàn)證用戶身份。也就是說首先要配置路由器的FE0/0接口的IP，同時(shí)配置A計(jì)算機(jī)網(wǎng)絡(luò)的IP地址與其在同一網(wǎng)段（這里需要同一網(wǎng)段，實(shí)際中只要能進(jìn)行網(wǎng)絡(luò)通信就可以）。如下圖所示，長春分公司的內(nèi)部主機(jī)A、B通過VPN實(shí)現(xiàn)對(duì)北京總部?jī)?nèi)的C、D主機(jī)進(jìn)行安全通信。 另外，還要在本機(jī)上安裝JAVA運(yùn)行環(huán)境。圖 2在選擇SDM的管理程序安裝的位置處，可以選擇安裝在本計(jì)算機(jī)上，也可以通過本計(jì)算機(jī)連接到路由器上，將其安裝到路由器內(nèi)。SDM在新版CCNP課程ISCW中重點(diǎn)講解，其利用WEB界面、Java技術(shù)和交互配置向?qū)沟糜脩魺o需了解命令行接口(CLI)即可輕松地完成IOS路由器的功能配置、狀態(tài)監(jiān)控和安全審計(jì)，對(duì)于一些復(fù)雜的配置功能包括：防火墻、QoS、VPN、IDS/IPS、DHCP Server、動(dòng)態(tài)路由協(xié)議等都可以利用SDM通過圖形界面方式進(jìn)行輕松配置。（5）IPsec隧道終止。 c）選用一種驗(yàn)證算法 在思科路由器上可以使用如下命令定義IPSec協(xié)議封裝方式、加密算與驗(yàn)證算法：crypto ipsec transformset 變換集名字 espdes espmd5hmac d）選用是否使用diffiehellman 公鑰密碼系統(tǒng)來執(zhí)行完美向前保密PFS，默認(rèn)為none禁用PFS。而ESP是對(duì)部分?jǐn)?shù)據(jù)包做數(shù)據(jù)完整性驗(yàn)證時(shí)，不包括IP頭部分。如設(shè)置為0 則表示IKE SA的連接會(huì)一直保持不中斷。 在思科路由器上可以使用如下命令定義DiffieHellman密鑰材料長度：(isakmp)group {1 | 2} f）定義IKE SA的生存周期對(duì)生成新SA的周期進(jìn)行調(diào)整。DH是基于非對(duì)稱加密的一種算法，只進(jìn)行密鑰的生成，使通信雙方都得到用于通信數(shù)據(jù)加密的對(duì)稱加密密鑰。 在思科路由器上可以使用如下命令定義散列算法：(isamkp)hash {sha | md5} 在思科路由器上可以使用如下命令定義身份認(rèn)證的方法：(isamkp)authentication {rsasig | rsaencr | preshare}。SA是單向的；在兩個(gè)對(duì)等端之間存在兩個(gè)SA。 因此在路由器R1和R2上要配置訪問控制列表定義哪些數(shù)據(jù)是感興趣數(shù)據(jù)流，哪些不是感興趣數(shù)據(jù)流，不是感興趣數(shù)據(jù)流需要通過配置NAT進(jìn)行轉(zhuǎn)換。例如：，反之同理。2. 能夠利用VPN技術(shù)解決實(shí)際需求，能對(duì)企業(yè)提出的需求加以實(shí)現(xiàn)。2. 能正確在路由器上基于命令行方式（不建議用SDM）進(jìn)行VPN連接的配置。配置隧道后測(cè)試（1）利用Ping命令測(cè)試 完成上面的配置任務(wù)后進(jìn)行保存配置，并進(jìn)行測(cè)試。圖 7下面利用3臺(tái)路器2臺(tái)交換機(jī)和2臺(tái)計(jì)算機(jī)搭建出企業(yè)總部與分支機(jī)構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)，如下圖所示（其中交換機(jī)可以省去，為便于理解所以在圖中加上了）。具體使用方法在網(wǎng)上進(jìn)行查詢。 實(shí)驗(yàn)步驟：工具軟件使用路由器模擬軟件DynamipsGUI 下面是DynamipsGUI的安裝界面，在完成DynamipsGUI的安裝后，系統(tǒng)會(huì)提示需要WinPcap（這是一個(gè)包捕獲與分析的底層驅(qū)動(dòng)，換句話說它可以使網(wǎng)卡工作于混雜模式，接收不是發(fā)給自己的數(shù)據(jù)幀）的支持，安裝即可。 被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由。隧道技術(shù)的概括 隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。但它并不是一種安全的隧道方法。私有網(wǎng)絡(luò)公共網(wǎng)絡(luò)私有網(wǎng)絡(luò)C圖加密的隧道圖 2通用路由封裝協(xié)議 GRE (Generic Routing Encapsulation): 是對(duì)某些網(wǎng)絡(luò)層協(xié)議（如：IP, IPX等）的數(shù)據(jù)報(bào)文進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)文能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議（如IP）中傳輸，GRE在IP協(xié)議中的協(xié)議號(hào)為47。2. 學(xué)習(xí)隧道技術(shù)，協(xié)議是可以多次包裝的3. 掌握隧道協(xié)議GRE在路由器上的配置，以實(shí)現(xiàn)總部與分支的連接實(shí)驗(yàn)工具與軟件：路由器模擬軟件DynamipsGUI； 路由器配置軟件及路由器IOS； 實(shí)際路由器配置中的工具軟件。2. 能正確配置路由器，并能在路由器上配置隧道技術(shù)，實(shí)現(xiàn)基于GRE封裝的隧道。 此時(shí)可以利用Sniffer pro進(jìn)行捕獲分析，可以在B或C主機(jī)上完成檢查工作。 　⑤ B用摘要算法對(duì)C的證書明文制作數(shù)字摘要。圖 10數(shù)字證書的驗(yàn)證過程(以B、C雙方進(jìn)行安全通信時(shí)B驗(yàn)證A的數(shù)字證書為例 )：?、?B要求C出示數(shù)字證書。基本是如下過程，區(qū)別是不用在IIS上生成請(qǐng)求文件了：（1）通過IE瀏覽器申請(qǐng)證書，申請(qǐng)時(shí)要選擇WEB瀏覽器證書。選擇下載證書到本地計(jì)算機(jī)。這里可通知CA服務(wù)器管理員進(jìn)行信息核實(shí)后頒發(fā)證書。”后下一步。 可參見后面圖所示過程（注：，則證書申請(qǐng)的URL為：）CA認(rèn)證中心商家（WEB網(wǎng)站）客戶（IE瀏覽器）申請(qǐng)客戶證書驗(yàn)證并發(fā)放客戶證書申請(qǐng)服務(wù)器證書驗(yàn)證并發(fā)放服務(wù)器證書圖 4商家WEB服務(wù)器申請(qǐng)CA證書（在C主機(jī)上完成）（1）生成服務(wù)申請(qǐng)證書的文件在IIS服務(wù)器中的WEB站點(diǎn)上右鍵屬性，目錄安全性，中選擇安全通信，服務(wù)器證書，然后下一步，在出現(xiàn)的下一個(gè)窗口中選擇“創(chuàng)建一個(gè)新證書”，下一步后出現(xiàn)，現(xiàn)在準(zhǔn)備請(qǐng)求…，依次選擇下一步，輸入證書名、密鑰位數(shù)、組織信息、公用名、地理信息、最后會(huì)生成一個(gè)請(qǐng)求文件名，默認(rèn)為：c:\，也可修改。②申請(qǐng)者的計(jì)算機(jī)隨機(jī)產(chǎn)生一對(duì)公私密鑰。證書的申請(qǐng)要通過IIS以WEB形式完成。這些都是CA的真實(shí)信息，要得到申請(qǐng)者的確信。必須從另一個(gè) CA 獲取 CA 證書。1. 證書頒發(fā)者：頒發(fā)與吊銷證書； 2. 證書持有者：申請(qǐng)、安裝并出示（使用）證書；3. 證書的檢驗(yàn)者：檢查證書真實(shí)有效性。在實(shí)際運(yùn)作中，CA可由大家都信任的一方擔(dān)當(dāng)。ITUT數(shù)字證書是一個(gè)經(jīng)證書授權(quán)（2）數(shù)字證書包含內(nèi)容 數(shù)字證書就是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證您身份的方式，其作用類似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證。交易各方通過出示自己的數(shù)字證書來證明自己的身份。把此簽名與原文一并通過公共網(wǎng)絡(luò)發(fā)給B，B用A的公鑰即可確認(rèn)數(shù)據(jù)是否是由A發(fā)來的，并通過后面的摘要對(duì)比確定數(shù)據(jù)是否完整。實(shí)驗(yàn)工具與軟件：WIN2003操作系統(tǒng)； 安裝CA服務(wù)器；IE瀏覽器。2. 數(shù)字證書服務(wù)機(jī)構(gòu)的實(shí)現(xiàn)流程。并對(duì)發(fā)送者的身份進(jìn)行確認(rèn)，即通過簽名驗(yàn)證，是否是A發(fā)送的文件。圖 9圖 10學(xué)習(xí)任務(wù)環(huán)境設(shè)置 在如下圖所示的環(huán)境下進(jìn)行分組實(shí)驗(yàn)，兩個(gè)人一組，以A與B為例，A也B分別將自己的公鑰上傳到由教師指定的FTP中，以便到兩者互相獲取到對(duì)方的公鑰，即將對(duì)方的公鑰導(dǎo)入到自己的系統(tǒng)中來。 張曼玉利用劉德華公鑰LG檢驗(yàn)數(shù)字簽名QM，解出數(shù)字摘要ZY1，確定數(shù)據(jù)是劉德華發(fā)來的； 劉德華對(duì)上一步生成的數(shù)字摘ZY1要進(jìn)行簽名，即用劉德華的私鑰（LS）加密處理數(shù)字摘要得到數(shù)字簽名QM；2）實(shí)施辦法或計(jì)劃方案：也可以單擊顯示有創(chuàng)建的用戶右鍵，選擇“Export…（導(dǎo)出）”，在出現(xiàn)的保存對(duì)話框中，確認(rèn)是只選中了“Include Extensions”（），然后選擇一個(gè)目錄，再點(diǎn)“保存”按鈕，即可導(dǎo)出你的公鑰。 接下來進(jìn)入Key Generation Progress（密鑰生成階段），等待主密鑰（Key）和次密鑰（Subkey）生成完畢（Done）。輸入購買時(shí)的產(chǎn)品相關(guān)License Number等信息。如果沒有安裝過PGP則這里選擇如下圖所示中的，“No I’m a new user”，然后選擇“NEXT”，出現(xiàn)程序的安裝目錄，建議將PGP安裝在安裝程序默認(rèn)的目錄，也就是系統(tǒng)盤內(nèi)，程序很小。下面介紹軟件的安裝與設(shè)置。3）非對(duì)稱密鑰加密體制特點(diǎn)分析優(yōu)點(diǎn)： (1)解決了密鑰管理問題，通過特有的密鑰發(fā)放體制，使得當(dāng)用戶數(shù)大幅度增加時(shí)，密鑰也不會(huì)向外擴(kuò)散； (2)由于密鑰已事先分配，不需要在通信過程中傳輸密鑰，安全性大大提高； (3)具有很高的加密強(qiáng)度。（2）非對(duì)稱密鑰加密技術(shù)的典型算法或公鑰體制—Elgamal Elgamal公鑰體制的公鑰加密算法是非確定性的，即使加密相同的明文，得到的明文也是不同的，因此又稱為概率加密體制。 用私鑰加密的信息只能用與該私鑰配對(duì)的公鑰才能解密（是驗(yàn)證）比如A向B發(fā)送信息，A用自己的私鑰對(duì)信息進(jìn)行加密（簽名）發(fā)送出去，B用A的公鑰可以解密簽名，所以B可以確認(rèn)信息是A