【正文】 ，它可以運行自己的操作系統(tǒng)和應用程序。網(wǎng)絡部分任務完成，可以順利開展業(yè)務應用了。 使用本地主機訪問各服務器 1） 訪問 公網(wǎng) 網(wǎng)站 圖 終端 通過公網(wǎng) 訪問 對方 外網(wǎng)網(wǎng)站 基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 32 2）訪問內(nèi)網(wǎng)網(wǎng)站 圖 終端通過 VPN訪問對方內(nèi)網(wǎng)網(wǎng)站 結論及尚存在的問題 ，主要在路由器上進行配置，防火墻只充當訪問控制工作，而交換機負責局域網(wǎng)的劃分，在設計論文敘述中不予詳述。 R1ping source 可以通信。 在這次設計中，我選用 windows server 2021 系統(tǒng)，在該系統(tǒng)上安裝 WEB、 FTP 等服務器，用來實現(xiàn) XPC 與服務器的兩種訪問模式。 移動用戶與總部進行連接 移動用戶與總部進行連接 采用 accessvpn 即： 遠程訪問 VPN vpdn enable //以下是 ADSL 撥號配置 int f0/1 pppoe enable pppoeclient dialerpoolnumber 1 //定義 dialerpool int dialer1 mtu 1492 //VPN 連接中許多問題是 MTU 造成的 ip address negotiated //IP 地址與對端協(xié)商， ISP 隨機提供動 態(tài) IP encapsulation ppp dialer pool 1 //引用 dialer pool dialergroup 1 //引用敏感流量，符合條件的觸發(fā) ADSL 撥號 ppp authentication pap callin //定義 pap 明文密碼傳輸 ppp pap sentusername xxxx2223030 password 7 ****** dialerlist 1 protocol ip permit //定義敏感流量，這里為所有流量 在 VMware Workstation 虛擬機上安裝 windows server 2021 相應服務器 VMware Workstation 允許 操作系統(tǒng) (OS)和 應用程序 (Application)在一臺虛擬機內(nèi)部運行。與對方的路由器建IPSec。 R1(config)crypto isakmp key cisco address R1(config)crypto isakmp key cisco address R1(config)crypto isakmp key cisco address 為每個 VPN（到不同的路由器，建立不同的隧道）制定具體的策略，并對屬于本策略的數(shù)據(jù)包實施保護。在 IKE 協(xié)商過程中使用預定義的碼字。首先， VPN 隧道只能限于內(nèi)部地址使用。 R1show ip nat tran Pro Inside global Inside local Outside local Outside global icmp :1975 :1975 :1975 :1975 基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 26 …… 以上測試過程說明， NAT 配置正確。 以下是測試命令，通過該命令，可以判斷配置是否有根本的錯誤。 （ 2） 配置 PAT，使內(nèi)部網(wǎng)絡計算機可以訪問外部網(wǎng)絡，但不能訪問其他電視臺 R1(config)inter eth0/0 R1(configif)ip nat inside R1(configif)inter serial0/0 R1(configif)ip nat outside R1(configif)exit 以上命令的作用是 指定內(nèi)外端口。 R1(config)inter f0/0 R1(configif)ip address R1(configif)no shutdown 以下是測試命令： R1ping … !!!!! … R1ping … !!!!! … 在 IP 地址為 的計算機上 : c:ping Pinging with 32 bytes of data: Reply from : bytes=32 time=5ms TTL=255 …… 基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 24 結果證明連接及配置正確。外部網(wǎng)絡接口地址由 ISP 分配，至少一個地址，多者不限。執(zhí)行下述命令進入 配置模式。例如在主機上 tracert 命令， 可以清晰看到訪問的具體經(jīng)過的路徑。 在本設計中，重要是點到點 VPN，采用 IPSec VPN，各分支機構都有一條到總公司的 VPN 線路，根據(jù)業(yè)務需要，也可以在分機構間建立 VPN。 基礎網(wǎng)絡構建如下所示：基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 19 圖 31 設計 圖 在已構建的網(wǎng)絡上配置 VPN； 有通暢的基礎網(wǎng)絡基礎是構建 VPN 網(wǎng)絡通信的重要前提。 廣州端 的 內(nèi)部各部門都在各自不同的網(wǎng)段。 基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 18 3 需求分析 運行環(huán)境 在網(wǎng)絡結構設計完成之后，用模擬軟件對該網(wǎng)絡結構予以實現(xiàn)，在這里我選用DynamipsGUI 模擬器。 網(wǎng)絡總體設計不僅要考慮到近期目標，也要為企業(yè)以及網(wǎng)絡的進一步發(fā)展留有余地。網(wǎng)絡安全應是永遠以能符合企業(yè)經(jīng)營目標的最大利益為優(yōu)先考量。 在企業(yè)網(wǎng)的設計中，安全性的設計是很重要的。 作為一個具有一定規(guī)模的中型企業(yè)。 3）開放性原則。所以，網(wǎng)絡方案設計中應把握“夠用”和“實用”原則。對于大的素數(shù)，計算出離散對數(shù)幾乎是不可能的。 因為 XA和 XB 是保密的，一個敵對方可以利用的參數(shù)只有 q、 a、 YA和 YB。 B 對 XB 的值保密存放而使 YB 能被 A公開獲得。 詳細過程： 有兩個全局公開的參數(shù)，一個素數(shù) q 和一個整數(shù) a， a是 q的一個原根。 2. 數(shù)字證書用來防止中間人攻擊。 數(shù)字證書的解決辦法： 基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 16 ，形成證書，這樣公鑰就和身份相對應。 圖 214 中間人攻擊 圖示解說： ，（即“公鑰”）指的是 hacker 的公鑰，并不是真正的公鑰，但是 Alice 認為是 BOb 的公鑰。 驗證算法： 基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 15 圖 213 驗證算法 數(shù)字簽名總結： 的技術支持：完整性算法和公鑰密碼體制。 圖 212 簽名算法 圖示說明：數(shù)據(jù)用 hash 函數(shù)哈希得到定長的輸出，然后用私鑰簽名 hash 值。 DSS 中選用 SHA( Secure Hash Algorithm )。數(shù)字簽名涉及的技術：公鑰密碼體制和完整性檢驗。 消息認證碼總結： 主要功能是用來做消息認證的。 注意： IPSEC VPN 里用的就是 HMAC。 將發(fā)出的消息和密鑰一起做 hash 運算，得到 mac 值，附在消息后面。這樣就驗證了 對方的身份。 ，只有對應的公鑰才能解密。 【身份認證】 身份認證：一種用來驗證發(fā)送者的身份的真實性，通過身份認證可以發(fā)現(xiàn)那些假冒的頂替的入侵者。（這里需要注意的是完整性可以通過 hash 函數(shù)來實現(xiàn) ，但是這些 hash 函數(shù)不僅僅只能用來做完整性保護，具體情況要看被 hash 的數(shù)據(jù)是什么而定，后續(xù)會提到。 ： DES， 3DES， AES；常用 的非對稱加密算法： RSA，DiffieHellman（簡稱 DH） 【完整性保護】 通過對主機 A 的原始數(shù)據(jù)加密形成密文再傳送保護了數(shù)據(jù)的機密性，但是在傳輸過程中，如果密文因為某些原因丟失了一部分，或者被別人篡改了，那么在主機 B中就不能收到完整的 A所發(fā)送的的信息了。 如果在算法中 Ke 和 Kd 是不一樣 的，我們就說這是個非對稱密鑰算法。就上面的例子來說，你知道算法是加密后移 k位，解密前移 k 位，但是你不知道密鑰 k是多少，所以也就不能解密了。解密密鑰也是 x（這里也是 3），接受方根據(jù)解密算法就可以將密文向前移位三個字母，就可以得到明文。分為加密密鑰 Ke和解密密鑰 Kd。 （如圖 26） 基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 8 圖 26 AH頭 示意圖 3)IKE(Inter Key Exchange) IKE協(xié)議是負責在二個 IPsec對等體間協(xié)商一條 IPsec隧道的協(xié)議 ,IKE在隧道建立過程中主要完成以下任務 : 協(xié)商協(xié)議參數(shù) 交換公共密鑰 對雙方進行認證 在交換后對密鑰進行管理 圖 27 IKE示意圖 IKE 也是由三個協(xié)議組成 SKEME提供為認證目的使用公開密鑰加密的機制 Oakley提供在二個 IPsec 對等體間達成相同加密密鑰的基于模式的機制 ISAKMP定義了消息交換 的體系結構 ,包括二個 IPsec 對等體間分組形式和狀態(tài)轉(zhuǎn)換 . IKE 協(xié)議分為二個階段 .一條完整的 IPsec 隧道通過以下事件序列建立起來 : 第一步 : IPsec 對等體收到感興趣流量 (即我們想被加密的流量 )后 ,將產(chǎn)生 IKE 會話 . 第二步 : 使用 IKE 的主模式 (6條消息 )或主動模式 (3條消息 )協(xié)商來使二個 IKE 對等體的 IKE 安全聯(lián)盟被創(chuàng)建 . 第三步 : 使用 IKE 的快速模式協(xié)商 ,創(chuàng)建二個 IPsec 對等體間的二個安全聯(lián)盟 . 基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 9 第四步 : 數(shù)據(jù)開始在加密的信道上傳輸 ,使用了 ESP 或是 AH 封裝技術 (或都采用了 ). 從第二步和第 三步可以看出 IKE 協(xié)議分為二個階段 : 第一階段使用主模式 (6 條消息 )或主動模式 (3 條消息 )來完成下面三個任務 : 協(xié)商形成用來認證二個對等體的一個參數(shù)集合并加密一部分主模式和所有的快速模式交換 .如果協(xié)商中使用主動模式則沒有主動模式被加密 . 二個對等體間相互認證 .這里驗證有三種方法 :預共享 ,數(shù)字簽名 ,加密臨時值 . 當協(xié)商完成時產(chǎn)生密鑰 ,該密鑰用于生成實際加密數(shù)據(jù)的密鑰資源 . 第二階段為快速模式 (3 條消息 ): 主要目標是允許二個對等協(xié)商一些用于產(chǎn)生 IPsec 安全聯(lián)盟的屬性 ,安全聯(lián)盟可以加密二個主機間的 數(shù)據(jù) (ESP). IKE 如何用來形成一條 IPsec 隧道的呢 ? 這一系列過程都是 IKE 這個協(xié)議來實現(xiàn) ,IKE 這個協(xié)議也存在著一些不足 ,“ IKE 之子”或第二版 IKE 正在開發(fā)之中 . 主模式 (6 條消息 )或主動模式 (3 條消息 ) 第一階段三個任務 ,分別用 6個消息 (主模式 )來完成 ,每二個為一組 . 第一個消息由隧道的發(fā)起者發(fā)起 ,攜帶了如這樣一些參數(shù) ,如加密機制 DES,散列機制 MD5HMAC,DiffieHellman 組 2,認證機制 預共享 . 第二個消息由響應者回應 ,內(nèi)容基本一樣 ,主要與發(fā)起者比較 ,是否與發(fā)起者匹配 ,不匹配就進行下一組的比較 .如果最終都找不到匹配 ,隧道就停止建立 . 第三個消息由發(fā)起者發(fā)出 ,但是在發(fā)出這個消息之前 ,有個過程必須先完成 ,就是DiffieHellman算法過程 .該過程的目的是什么呢？剛剛第一二條消息中所協(xié)商的算法它們必須需要一個 KEY,這個 KEY 在二個對等體上必須一樣 ,但同時這個 KEY 不能在鏈路中傳遞 ,因為傳遞 KEY 是一個不安全的手段 .所以 ,該過程的目的是分別在二個對等間獨立地生成一個 DH公共值 (該 DH公共值不是我們上面所說的 KEY),該公共值有什么用呢？因為二個對等體上都生成該 DH 公共值 后 ,它們會在接下來的第三第四消息中傳送給對方 ,打個比方 ,就是 A收到了 B的 DH 公共值 Xb,B 收到了 A的 DH公共值 A,B 都收到了對方的該公共值后 ,問題就好解決了 .因為有一個公式在數(shù)學中被論證成立 ,借助該 公式 ,就可以在二個對等上生成一個只有他們二個對等體知道的相同的 KEY,該公式為 發(fā)起者密秘 =(Xb)amod p=(Xa)bmod p=響應者密秘 Xb為對等體 B 的 DH 公共值 ,Xa 為對等體 A的 DH 公共值 a 為只有對等體 A知道的秘密 . b 為只有對等體 B 知道的秘密 . 注意 ,這里發(fā)起者秘密和響應者密秘相等 ,但這個 秘密不是最終算法中使用的 KEY,但對等體可通過該秘密材料來生 成另外三個密鑰 ,分別是 : SKEYID_d此密鑰被用于計算后續(xù) IPsec 密鑰資源 . 基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 10 SKEYID_a此密鑰被用于提供后續(xù) IKE 消息的數(shù)據(jù)完整性以及認證 . SKEYID_e此密鑰被用于對后續(xù) IKE 消息進行