【正文】 ，它可以運(yùn)行自己的操作系統(tǒng)和應(yīng)用程序。網(wǎng)絡(luò)部分任務(wù)完成，可以順利開展業(yè)務(wù)應(yīng)用了。 使用本地主機(jī)訪問各服務(wù)器 1） 訪問 公網(wǎng) 網(wǎng)站 圖 終端 通過公網(wǎng) 訪問 對方 外網(wǎng)網(wǎng)站 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 32 2）訪問內(nèi)網(wǎng)網(wǎng)站 圖 終端通過 VPN訪問對方內(nèi)網(wǎng)網(wǎng)站 結(jié)論及尚存在的問題 ，主要在路由器上進(jìn)行配置，防火墻只充當(dāng)訪問控制工作，而交換機(jī)負(fù)責(zé)局域網(wǎng)的劃分，在設(shè)計(jì)論文敘述中不予詳述。 R1ping source 可以通信。 在這次設(shè)計(jì)中，我選用 windows server 2021 系統(tǒng)，在該系統(tǒng)上安裝 WEB、 FTP 等服務(wù)器，用來實(shí)現(xiàn) XPC 與服務(wù)器的兩種訪問模式。 移動(dòng)用戶與總部進(jìn)行連接 移動(dòng)用戶與總部進(jìn)行連接 采用 accessvpn 即： 遠(yuǎn)程訪問 VPN vpdn enable //以下是 ADSL 撥號(hào)配置 int f0/1 pppoe enable pppoeclient dialerpoolnumber 1 //定義 dialerpool int dialer1 mtu 1492 //VPN 連接中許多問題是 MTU 造成的 ip address negotiated //IP 地址與對端協(xié)商， ISP 隨機(jī)提供動(dòng) 態(tài) IP encapsulation ppp dialer pool 1 //引用 dialer pool dialergroup 1 //引用敏感流量，符合條件的觸發(fā) ADSL 撥號(hào) ppp authentication pap callin //定義 pap 明文密碼傳輸 ppp pap sentusername xxxx2223030 password 7 ****** dialerlist 1 protocol ip permit //定義敏感流量，這里為所有流量 在 VMware Workstation 虛擬機(jī)上安裝 windows server 2021 相應(yīng)服務(wù)器 VMware Workstation 允許 操作系統(tǒng) (OS)和 應(yīng)用程序 (Application)在一臺(tái)虛擬機(jī)內(nèi)部運(yùn)行。與對方的路由器建IPSec。 R1(config)crypto isakmp key cisco address R1(config)crypto isakmp key cisco address R1(config)crypto isakmp key cisco address 為每個(gè) VPN（到不同的路由器，建立不同的隧道）制定具體的策略，并對屬于本策略的數(shù)據(jù)包實(shí)施保護(hù)。在 IKE 協(xié)商過程中使用預(yù)定義的碼字。首先， VPN 隧道只能限于內(nèi)部地址使用。 R1show ip nat tran Pro Inside global Inside local Outside local Outside global icmp :1975 :1975 :1975 :1975 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 26 …… 以上測試過程說明， NAT 配置正確。 以下是測試命令，通過該命令，可以判斷配置是否有根本的錯(cuò)誤。 （ 2） 配置 PAT，使內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)可以訪問外部網(wǎng)絡(luò)，但不能訪問其他電視臺(tái) R1(config)inter eth0/0 R1(configif)ip nat inside R1(configif)inter serial0/0 R1(configif)ip nat outside R1(configif)exit 以上命令的作用是 指定內(nèi)外端口。 R1(config)inter f0/0 R1(configif)ip address R1(configif)no shutdown 以下是測試命令： R1ping … !!!!! … R1ping … !!!!! … 在 IP 地址為 的計(jì)算機(jī)上 : c:ping Pinging with 32 bytes of data: Reply from : bytes=32 time=5ms TTL=255 …… 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 24 結(jié)果證明連接及配置正確。外部網(wǎng)絡(luò)接口地址由 ISP 分配，至少一個(gè)地址，多者不限。執(zhí)行下述命令進(jìn)入 配置模式。例如在主機(jī)上 tracert 命令， 可以清晰看到訪問的具體經(jīng)過的路徑。 在本設(shè)計(jì)中，重要是點(diǎn)到點(diǎn) VPN，采用 IPSec VPN，各分支機(jī)構(gòu)都有一條到總公司的 VPN 線路，根據(jù)業(yè)務(wù)需要，也可以在分機(jī)構(gòu)間建立 VPN。 基礎(chǔ)網(wǎng)絡(luò)構(gòu)建如下所示：基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 19 圖 31 設(shè)計(jì) 圖 在已構(gòu)建的網(wǎng)絡(luò)上配置 VPN； 有通暢的基礎(chǔ)網(wǎng)絡(luò)基礎(chǔ)是構(gòu)建 VPN 網(wǎng)絡(luò)通信的重要前提。 廣州端 的 內(nèi)部各部門都在各自不同的網(wǎng)段。 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 18 3 需求分析 運(yùn)行環(huán)境 在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)完成之后，用模擬軟件對該網(wǎng)絡(luò)結(jié)構(gòu)予以實(shí)現(xiàn)，在這里我選用DynamipsGUI 模擬器。 網(wǎng)絡(luò)總體設(shè)計(jì)不僅要考慮到近期目標(biāo)，也要為企業(yè)以及網(wǎng)絡(luò)的進(jìn)一步發(fā)展留有余地。網(wǎng)絡(luò)安全應(yīng)是永遠(yuǎn)以能符合企業(yè)經(jīng)營目標(biāo)的最大利益為優(yōu)先考量。 在企業(yè)網(wǎng)的設(shè)計(jì)中，安全性的設(shè)計(jì)是很重要的。 作為一個(gè)具有一定規(guī)模的中型企業(yè)。 3）開放性原則。所以，網(wǎng)絡(luò)方案設(shè)計(jì)中應(yīng)把握“夠用”和“實(shí)用”原則。對于大的素?cái)?shù)，計(jì)算出離散對數(shù)幾乎是不可能的。 因?yàn)?XA和 XB 是保密的，一個(gè)敵對方可以利用的參數(shù)只有 q、 a、 YA和 YB。 B 對 XB 的值保密存放而使 YB 能被 A公開獲得。 詳細(xì)過程： 有兩個(gè)全局公開的參數(shù)，一個(gè)素?cái)?shù) q 和一個(gè)整數(shù) a， a是 q的一個(gè)原根。 2. 數(shù)字證書用來防止中間人攻擊。 數(shù)字證書的解決辦法： 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 16 ，形成證書，這樣公鑰就和身份相對應(yīng)。 圖 214 中間人攻擊 圖示解說： ，（即“公鑰”）指的是 hacker 的公鑰，并不是真正的公鑰，但是 Alice 認(rèn)為是 BOb 的公鑰。 驗(yàn)證算法： 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 15 圖 213 驗(yàn)證算法 數(shù)字簽名總結(jié)： 的技術(shù)支持：完整性算法和公鑰密碼體制。 圖 212 簽名算法 圖示說明：數(shù)據(jù)用 hash 函數(shù)哈希得到定長的輸出，然后用私鑰簽名 hash 值。 DSS 中選用 SHA( Secure Hash Algorithm )。數(shù)字簽名涉及的技術(shù)：公鑰密碼體制和完整性檢驗(yàn)。 消息認(rèn)證碼總結(jié)： 主要功能是用來做消息認(rèn)證的。 注意： IPSEC VPN 里用的就是 HMAC。 將發(fā)出的消息和密鑰一起做 hash 運(yùn)算，得到 mac 值，附在消息后面。這樣就驗(yàn)證了 對方的身份。 ，只有對應(yīng)的公鑰才能解密。 【身份認(rèn)證】 身份認(rèn)證：一種用來驗(yàn)證發(fā)送者的身份的真實(shí)性，通過身份認(rèn)證可以發(fā)現(xiàn)那些假冒的頂替的入侵者。（這里需要注意的是完整性可以通過 hash 函數(shù)來實(shí)現(xiàn) ，但是這些 hash 函數(shù)不僅僅只能用來做完整性保護(hù)，具體情況要看被 hash 的數(shù)據(jù)是什么而定，后續(xù)會(huì)提到。 ： DES， 3DES， AES；常用 的非對稱加密算法： RSA，DiffieHellman（簡稱 DH） 【完整性保護(hù)】 通過對主機(jī) A 的原始數(shù)據(jù)加密形成密文再傳送保護(hù)了數(shù)據(jù)的機(jī)密性，但是在傳輸過程中，如果密文因?yàn)槟承┰騺G失了一部分，或者被別人篡改了，那么在主機(jī) B中就不能收到完整的 A所發(fā)送的的信息了。 如果在算法中 Ke 和 Kd 是不一樣 的，我們就說這是個(gè)非對稱密鑰算法。就上面的例子來說，你知道算法是加密后移 k位，解密前移 k 位，但是你不知道密鑰 k是多少，所以也就不能解密了。解密密鑰也是 x（這里也是 3），接受方根據(jù)解密算法就可以將密文向前移位三個(gè)字母，就可以得到明文。分為加密密鑰 Ke和解密密鑰 Kd。 （如圖 26） 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 8 圖 26 AH頭 示意圖 3)IKE(Inter Key Exchange) IKE協(xié)議是負(fù)責(zé)在二個(gè) IPsec對等體間協(xié)商一條 IPsec隧道的協(xié)議 ,IKE在隧道建立過程中主要完成以下任務(wù) : 協(xié)商協(xié)議參數(shù) 交換公共密鑰 對雙方進(jìn)行認(rèn)證 在交換后對密鑰進(jìn)行管理 圖 27 IKE示意圖 IKE 也是由三個(gè)協(xié)議組成 SKEME提供為認(rèn)證目的使用公開密鑰加密的機(jī)制 Oakley提供在二個(gè) IPsec 對等體間達(dá)成相同加密密鑰的基于模式的機(jī)制 ISAKMP定義了消息交換 的體系結(jié)構(gòu) ,包括二個(gè) IPsec 對等體間分組形式和狀態(tài)轉(zhuǎn)換 . IKE 協(xié)議分為二個(gè)階段 .一條完整的 IPsec 隧道通過以下事件序列建立起來 : 第一步 : IPsec 對等體收到感興趣流量 (即我們想被加密的流量 )后 ,將產(chǎn)生 IKE 會(huì)話 . 第二步 : 使用 IKE 的主模式 (6條消息 )或主動(dòng)模式 (3條消息 )協(xié)商來使二個(gè) IKE 對等體的 IKE 安全聯(lián)盟被創(chuàng)建 . 第三步 : 使用 IKE 的快速模式協(xié)商 ,創(chuàng)建二個(gè) IPsec 對等體間的二個(gè)安全聯(lián)盟 . 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 9 第四步 : 數(shù)據(jù)開始在加密的信道上傳輸 ,使用了 ESP 或是 AH 封裝技術(shù) (或都采用了 ). 從第二步和第 三步可以看出 IKE 協(xié)議分為二個(gè)階段 : 第一階段使用主模式 (6 條消息 )或主動(dòng)模式 (3 條消息 )來完成下面三個(gè)任務(wù) : 協(xié)商形成用來認(rèn)證二個(gè)對等體的一個(gè)參數(shù)集合并加密一部分主模式和所有的快速模式交換 .如果協(xié)商中使用主動(dòng)模式則沒有主動(dòng)模式被加密 . 二個(gè)對等體間相互認(rèn)證 .這里驗(yàn)證有三種方法 :預(yù)共享 ,數(shù)字簽名 ,加密臨時(shí)值 . 當(dāng)協(xié)商完成時(shí)產(chǎn)生密鑰 ,該密鑰用于生成實(shí)際加密數(shù)據(jù)的密鑰資源 . 第二階段為快速模式 (3 條消息 ): 主要目標(biāo)是允許二個(gè)對等協(xié)商一些用于產(chǎn)生 IPsec 安全聯(lián)盟的屬性 ,安全聯(lián)盟可以加密二個(gè)主機(jī)間的 數(shù)據(jù) (ESP). IKE 如何用來形成一條 IPsec 隧道的呢 ? 這一系列過程都是 IKE 這個(gè)協(xié)議來實(shí)現(xiàn) ,IKE 這個(gè)協(xié)議也存在著一些不足 ,“ IKE 之子”或第二版 IKE 正在開發(fā)之中 . 主模式 (6 條消息 )或主動(dòng)模式 (3 條消息 ) 第一階段三個(gè)任務(wù) ,分別用 6個(gè)消息 (主模式 )來完成 ,每二個(gè)為一組 . 第一個(gè)消息由隧道的發(fā)起者發(fā)起 ,攜帶了如這樣一些參數(shù) ,如加密機(jī)制 DES,散列機(jī)制 MD5HMAC,DiffieHellman 組 2,認(rèn)證機(jī)制 預(yù)共享 . 第二個(gè)消息由響應(yīng)者回應(yīng) ,內(nèi)容基本一樣 ,主要與發(fā)起者比較 ,是否與發(fā)起者匹配 ,不匹配就進(jìn)行下一組的比較 .如果最終都找不到匹配 ,隧道就停止建立 . 第三個(gè)消息由發(fā)起者發(fā)出 ,但是在發(fā)出這個(gè)消息之前 ,有個(gè)過程必須先完成 ,就是DiffieHellman算法過程 .該過程的目的是什么呢？剛剛第一二條消息中所協(xié)商的算法它們必須需要一個(gè) KEY,這個(gè) KEY 在二個(gè)對等體上必須一樣 ,但同時(shí)這個(gè) KEY 不能在鏈路中傳遞 ,因?yàn)閭鬟f KEY 是一個(gè)不安全的手段 .所以 ,該過程的目的是分別在二個(gè)對等間獨(dú)立地生成一個(gè) DH公共值 (該 DH公共值不是我們上面所說的 KEY),該公共值有什么用呢？因?yàn)槎€(gè)對等體上都生成該 DH 公共值 后 ,它們會(huì)在接下來的第三第四消息中傳送給對方 ,打個(gè)比方 ,就是 A收到了 B的 DH 公共值 Xb,B 收到了 A的 DH公共值 A,B 都收到了對方的該公共值后 ,問題就好解決了 .因?yàn)橛幸粋€(gè)公式在數(shù)學(xué)中被論證成立 ,借助該 公式 ,就可以在二個(gè)對等上生成一個(gè)只有他們二個(gè)對等體知道的相同的 KEY,該公式為 發(fā)起者密秘 =(Xb)amod p=(Xa)bmod p=響應(yīng)者密秘 Xb為對等體 B 的 DH 公共值 ,Xa 為對等體 A的 DH 公共值 a 為只有對等體 A知道的秘密 . b 為只有對等體 B 知道的秘密 . 注意 ,這里發(fā)起者秘密和響應(yīng)者密秘相等 ,但這個(gè) 秘密不是最終算法中使用的 KEY,但對等體可通過該秘密材料來生 成另外三個(gè)密鑰 ,分別是 : SKEYID_d此密鑰被用于計(jì)算后續(xù) IPsec 密鑰資源 . 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 10 SKEYID_a此密鑰被用于提供后續(xù) IKE 消息的數(shù)據(jù)完整性以及認(rèn)證 . SKEYID_e此密鑰被用于對后續(xù) IKE 消息進(jìn)行