【正文】 來加載Cisco IOS的核心程序是dynamips。鑒于上述原因，最終選擇了GRE over IPSec VPN技術(shù)中的IPSec傳輸模式。GRE隧道設(shè)計合肥總部路由器Center的接口serial0/0與各個分支機構(gòu)的OSPF區(qū)域邊界路由器的接口serial0/0，通過互相指派為源和目的來建立GRE隧道，然后在每個隧道運行0SPF協(xié)議，使得能夠動態(tài)學(xué)習(xí)到相關(guān)的網(wǎng)段。路由器ISP則代表互聯(lián)網(wǎng)，其接口serial0/0~s1/1則代表運營商提供給總部和每個分支機構(gòu)的出口，、。經(jīng)過以上分析可知，GRE協(xié)議和IPSec協(xié)議具有互補性，結(jié)合二者這種互補性，可以滿足百大集團的關(guān)于同時支持動態(tài)路由協(xié)議和安全加密認(rèn)證的需求。 IPSec優(yōu)點：為數(shù)據(jù)提供加密、完整性、源認(rèn)證和防重放功能。所以需要選擇另外的、比較傳統(tǒng)的隧道技術(shù)來結(jié)合傳統(tǒng)的IPSec協(xié)議，這種比較傳統(tǒng)且較為常用的技術(shù)就是GRE隧道技術(shù)。因此，鑒于以上分析，適合三層VPN技術(shù)的有GRE VPN技術(shù)和IPSec VPN技術(shù)。但是，前文中已經(jīng)描述過，VPN技術(shù)由很多種（），如何在諸多種VPN技術(shù)中選擇出適合本集團所需的VPN技術(shù)呢，這要根據(jù)集團網(wǎng)絡(luò)實際設(shè)計和需求來決定。如何在開放的Internet網(wǎng)絡(luò)上建立私有數(shù)據(jù)傳輸通道，將遠程的分支連接起來，同時又要保證數(shù)據(jù)傳輸?shù)陌踩?？以下將根?jù)實際需求和相關(guān)技術(shù)的優(yōu)勝劣汰進行闡述，以最終選擇出適合本課題的最佳技術(shù)方案。第三章 系統(tǒng)VPN分析與概要設(shè)計前面兩章介紹了VPN的基本概念，以及GRE與IPSec相關(guān)技術(shù)，后續(xù)內(nèi)容將從本章開始，結(jié)合合肥百大集團網(wǎng)絡(luò)拓?fù)?，開始本課題的設(shè)計與仿真。2）消息2消息2中的載荷和消息1中的載荷類型。至于加密則是通過使用SKEYID_e的值來完成的。在本模式交換中，通信雙方需要協(xié)商擬定IPSec SA的各項特征，并為其生成密鑰。主動模式運用的場合很少，但在實際應(yīng)用當(dāng)中也能碰到，比如在需要運行遠程訪問的環(huán)境下，由于發(fā)起者的地址是響應(yīng)者無法預(yù)先知曉，而且雙方都打算使用預(yù)共享密鑰認(rèn)證方法，則要想建立IKE SA，主動模式便是唯一可行的交換方式。（3）主動模式主動模式和主模式的作用相同，都是建立一個已認(rèn)證的SA和密鑰，隨后IKE可用它們?yōu)槠渌麉f(xié)議建立SA。消息5和消息6發(fā)起者和響應(yīng)者交換標(biāo)識數(shù)據(jù)并認(rèn)證DH交換。消息1和消息2發(fā)起者首先向響應(yīng)者發(fā)送其所有的SA載荷信息，響應(yīng)者收到發(fā)起者的消息1之后，將向發(fā)起者發(fā)送1個SA載荷，用于說明它所接受的正在協(xié)商的SA。主模式主要應(yīng)用于協(xié)商階段1的ISAKMP SA，其將密鑰交換信息與身份認(rèn)證信息分離開來，保護了身份信息，而交換的身份信息受到了前面生成的DH共享密鑰的保護，因此這些增加了3個消息的開銷。2）SKEYID_d：用于為IPSec和其他協(xié)議的SA衍生出加密的材料；3）SKEYID_a：用來為IKE消息保障數(shù)據(jù)的完整性以及對數(shù)據(jù)源的身份認(rèn)證；4）SKEYID_e：用于對IKE消息進行加密。IKE中定義了5個組，并為每個組分配了獨有的值。 IKE體系結(jié)構(gòu)圖在上述所說的階段1為IKE建立的IKE SA提供了一套保護套件，其中包括各種實踐中所需的參數(shù)，包括加密算法、散列算法、認(rèn)證方法以及DiffieHellman組，其在協(xié)商過程中是作為整個套件進行協(xié)商。IKE交換的結(jié)果就是一個已經(jīng)認(rèn)證的密鑰以及建立在雙方協(xié)議基礎(chǔ)上的服務(wù)，即IPSec SA。IKE是一種混合協(xié)議（），是基于由Internet安全關(guān)聯(lián)和密鑰管理協(xié)議（ISAKMP）[24][25]定義的一個框架，并執(zhí)行了兩個密鑰管理協(xié)議——Oakley和SKEME的一部分。V．如果SA指定需要認(rèn)證服務(wù)，應(yīng)用SA指定的認(rèn)證算法和密鑰生成數(shù)據(jù)包的ICV，將其和ESP認(rèn)證數(shù)據(jù)域中的值相比較，如果二者不同，則拋棄該數(shù)據(jù)包并審核事件。首先檢驗已確定IP頭中的選擇符是否和SA中的匹配，如果不匹配則拋棄該數(shù)據(jù)包并審核事件；如果匹配，IPSec應(yīng)用跟蹤SA以及它相對于其他SA的應(yīng)用順序并重復(fù)查找SA和步驟I，直到遇到一個傳輸層協(xié)議或者一個非IPSec擴展頭。如果需要IPSec處理并且SA已經(jīng)建立，則與數(shù)據(jù)包選擇符相匹配的SPD項將指向SADB中的相應(yīng)SA。： ESP頭格式這里需要注意的是SPI和序列號均沒有被加密。ESP 頭可以放置在 IP 頭之后、上層協(xié)議頭之前 （傳送層），或者在被封裝的 IP 頭之前 （隧道模式）。與AH 協(xié)議不同的是，ESP 將需要保護的用戶數(shù)據(jù)進行加密后再封裝到IP 包中，以保證數(shù)據(jù)的機密性。認(rèn)證數(shù)據(jù)字段：包含完整性校驗值（ICV），采用的轉(zhuǎn)碼方案則決定了ICV的長度，而SA指定生成ICV的算法。通信雙方每使用一個特定的SA發(fā)出一個數(shù)據(jù)報，就將它們相應(yīng)的序列號加1。而在隧道模式下，是受保護的IP協(xié)議的值。AH定義了保護方法、頭的位置、認(rèn)證范圍以及輸入輸出的處理機制，且沒有定義要用的具體認(rèn)證算法, 可選擇的認(rèn)證算法有MD5（Message Digest）、SHA1（Secure Hash Algorithm）等。加密機制通過對數(shù)據(jù)進行加密運算來保證數(shù)據(jù)的機密性，以防數(shù)據(jù)在傳輸過程中被竊聽。為了降低系統(tǒng)被破解的威脅，系統(tǒng)經(jīng)常需要定期定量更新密鑰，而IPSec本身沒有提供更新密鑰的能力，為此必須先刪除已有的SA，然后再去協(xié)商并建立一個新SA。如果安全策略要求建立安全、保密的連接，但又找不到相應(yīng)的SA，IPSec內(nèi)核便會自動調(diào)用IKE，IKE會與目的主機或者途中的主機/路由器協(xié)商具體的SA，而且如果策略要求，還需要創(chuàng)建這個SA。SA由3個部分內(nèi)容唯一標(biāo)識，即SPI、IP目的地址和安全協(xié)議標(biāo)識符。IPSec協(xié)議要求在所有通信流處理的過程中都必須檢查SPD，不管通信流是輸入還是輸出。以上介紹的便是為IPSec服務(wù)的三種協(xié)議，即：IKE、ESP和AH。其中，AH協(xié)議和ESP協(xié)議用于提供安全服務(wù)，IKE協(xié)議用于密鑰交換。（2） 傳輸（transport）模式：只是傳輸層數(shù)據(jù)被用來計算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被放置在原IP 包頭后面。（3）數(shù)據(jù)來源認(rèn)證（Data Authentication）：IPsec 在接收端可以認(rèn)證發(fā)送IPsec 報文的發(fā)送端是否合法。IPSec的引入IPsec協(xié)議是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過使用加密的安全服務(wù)以確保在 Internet 協(xié)議 (IP) 網(wǎng)絡(luò)上進行保密而安全的通訊?；贖ash的以上特征， Hash多用于認(rèn)證，而認(rèn)證對等體雙方在相互認(rèn)證時，只需要交換密碼的Hash值即可，而無需交換密碼，從而防止了密碼被竊取。雖然使用公鑰加密算法似乎更安全，但通常都使用私鑰加密算法，而使用私鑰加密算法的重點就是要保證密鑰的安全傳遞與交換，所以該工作就由公鑰加密算法來完成。當(dāng)前涉及到的各種加密算法有：（1）對稱加密算法（私鑰算法）DES（Data Encryption Standard）DES加密共有三種形式，分為DES（40bit長度加密），DES（56bit長度加密）以及3DES（3倍的56bit長度加密，即168bit長度加密）；由于3DES加密長度夠長，安全性夠高，所以推薦使用3DES。隧道與加密是一個安全可靠的VPN技術(shù)兼?zhèn)涞脑兀瑑烧呷币徊豢?，否則就不算是完整的、安全的VPN。（2）GRE解封裝的過程解封裝過程和加封裝的過程相反。GRE在實現(xiàn)隧道時，需要創(chuàng)建虛擬直連鏈路，GRE實現(xiàn)的虛擬直連鏈路可以認(rèn)為是隧道，隧道是模擬鏈路，所以隧道兩端也有IP地址，但隧道需要在公網(wǎng)中找到起點和終點，所以隧道的源和終點分別都以公網(wǎng)IP地址結(jié)尾，該鏈路是通過GRE協(xié)議來完成的，隧道傳遞數(shù)據(jù)包的過程分為3步：（1）將接收原始IP數(shù)據(jù)包中的協(xié)議當(dāng)作乘客協(xié)議，原始IP數(shù)據(jù)包包頭的IP地址為私有IP地址。GRE是一種最傳統(tǒng)的隧道封裝協(xié)議，提供了將一種協(xié)議的報文封裝在另一種協(xié)議報文中的機制，使報文能夠在異種網(wǎng)絡(luò)中傳輸。根據(jù)VPN的加密特別可以劃分為三種，即：加密VPN、非加密VPN和混合VPN。L2F協(xié)議：Layer 2 Forwarding，即第二層轉(zhuǎn)發(fā)協(xié)議。MPLS VPN相對于其他VPN，采用MPLS組建的VPN具有更好的可維護性及可擴展性，MPLS VPN更適合于組建大規(guī)模的復(fù)雜的VPN。MPLS[2]：多協(xié)議標(biāo)簽交換（MPLS）是一種用于快速數(shù)據(jù)包交換和路由的體系，它為網(wǎng)絡(luò)數(shù)據(jù)流量提供了目標(biāo)、路由、轉(zhuǎn)發(fā)和交換等能力。VPN可以根據(jù)需要提供可加密、可認(rèn)證、可防火墻的功能，是穿越互聯(lián)網(wǎng)而虛擬隧道化的一種技術(shù)，因此可見，VPN是通過四項安全保障技術(shù)來保障安全數(shù)據(jù)傳輸?shù)?，四項安全保障技術(shù)為：隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)以及發(fā)送方與接收方之間的相互認(rèn)證技術(shù)。首先，這種虛擬隧道技術(shù)不需要鋪設(shè)實際的物理鏈路，也不需要租用運營商的物理鏈路，當(dāng)然也就不必支付高額的費用；其次，此技術(shù)在達到比前面所述解決方案更加優(yōu)越的效果，還帶來了更加寬泛的網(wǎng)絡(luò)互連域，提供了更加安全的互聯(lián)通信，因為很多虛擬隧道技術(shù)采用了安全加密技術(shù)進行數(shù)據(jù)通信。雖然這種解決辦法相對于前者來說更加經(jīng)濟便捷，但是這種費用也不是一筆小的開支，也會使得相當(dāng)大規(guī)模的網(wǎng)絡(luò)使用者無法承受。同時隨著自身發(fā)展需求的不斷增大，自身的內(nèi)部局域網(wǎng)也逐步壯大和擴散，這樣將會使得自身鋪設(shè)的物理鏈路劇增，會使得自身的網(wǎng)絡(luò)建設(shè)費用隨之劇增。但是在當(dāng)今經(jīng)濟騰飛、科技發(fā)達的世界里，地域之間、企業(yè)之間以及個體之間無時無刻不需要互聯(lián)，而這必然也面臨諸多問題。拒絕訪問攻擊，即DoS攻擊：黑客企圖拒絕到特定資源的合法流量和用戶訪問，或者至少降低對資源的服務(wù)質(zhì)量。另一方面，有組織的威脅是由技術(shù)訓(xùn)練有素的人試圖獲得對網(wǎng)絡(luò)訪問時實施的。 網(wǎng)絡(luò)安全的威脅類型安全威脅主要來自兩個方面，即網(wǎng)絡(luò)外部用戶和內(nèi)部用戶。網(wǎng)絡(luò)安全的普及宣傳研究畢業(yè)論文目 錄摘 要 IAbstract II第一章 網(wǎng)絡(luò)安全與VPN簡介 1 1 VPN技術(shù)簡介 2第二章 GRE over IPSec VPN相關(guān)技術(shù)描述 5 GRE隧道協(xié)議 5 IPSec概述 6 AH和ESP 9 IKE協(xié)議 12第三章 系統(tǒng)VPN分析與概要設(shè)計 17 17 18 20第四章 GRE over IPSec VPN相關(guān)技術(shù)分析 22 GRE基本配置與分析 22 配置網(wǎng)絡(luò)環(huán)境 22 配置GRE VPN 23 IPSec基本配置與分析 24 IPSec VPN基本配置步驟 24 IPSec VPN安利配置與分析 26 IPSec over GRE VPN和GRE over IPSec VPN基本配置與分析 36 IPSec over GRE VPN配置與分析 36 GRE over IPSec VPN配置與分析 42 GRE over IPSec VPN與IPSec over GRE VPN的區(qū)別 46第五章 基于GRE over IPsec VPN設(shè)計與仿真的實現(xiàn) 47 GRE over IPsec VPN配置與實現(xiàn) 47 查看本系統(tǒng)GRE over IPsec VPN配置文件 54 網(wǎng)絡(luò)系統(tǒng)調(diào)試與分析 59結(jié) 論 66一、技術(shù)要點和難點 66（一）技術(shù)要點 66（二）技術(shù)難點 69二、設(shè)計中遇到的問題 71三、畢業(yè)設(shè)計總結(jié) 73（一）個人體會 73（二）專業(yè)和技術(shù)總結(jié) 74（三）方案總結(jié) 75參考文獻 76致 謝 78附 錄 79II第一章 網(wǎng)絡(luò)安全與VPN簡介隨著互聯(lián)網(wǎng)的深入發(fā)展和應(yīng)用，在其帶給人類越來越多的利益之時，網(wǎng)絡(luò)中的各種威脅也隨之而來，并且日積月累，已經(jīng)發(fā)展成為威脅各種網(wǎng)絡(luò)的重大因素，其中涉及到國家信息機密安全、企業(yè)信息安全以及家庭甚至個人的網(wǎng)絡(luò)信息安全。設(shè)備配置中的弱點，包括網(wǎng)絡(luò)設(shè)備的設(shè)定、配置和管理。任何人均可以通過互聯(lián)網(wǎng)獲得很多工具用來發(fā)現(xiàn)網(wǎng)絡(luò)中的安全弱點，這些工具包括端口掃描工具、地址掃描工具以及其他很多工具。訪問攻擊：黑客企圖獲得對網(wǎng)絡(luò)和網(wǎng)絡(luò)資源的未授權(quán)的或者非法的訪問。[1]： 網(wǎng)絡(luò)安全輪形圖 VPN技術(shù)簡介VPN技術(shù)的由來眾所周知，計算機網(wǎng)絡(luò)發(fā)展之初，隨著計算機科技的飛速發(fā)展，以及計算機互聯(lián)給人民所帶來的便利逐步得到人類的認(rèn)可，計算機網(wǎng)逐步演化到世界的各個角落，隨之誕生的各種網(wǎng)絡(luò)安全猶如前文所述。網(wǎng)絡(luò)設(shè)計之初，很多網(wǎng)絡(luò)設(shè)計者解決上述問題的最簡單直接的辦法就是在不同區(qū)域間的內(nèi)部局域網(wǎng)之間鋪設(shè)自己的專用物理鏈路，這樣就會增加網(wǎng)絡(luò)建設(shè)的開支。其次，后來隨著網(wǎng)絡(luò)運營商的發(fā)展及其不斷壯大，很多區(qū)域內(nèi)部網(wǎng)之間的互聯(lián)，便通過租用運營商的網(wǎng)絡(luò)鏈路來成為自身不同區(qū)域內(nèi)部網(wǎng)絡(luò)之間互聯(lián)的專用鏈路，這樣就必須向運營商提供費用不菲的鏈路租費。在當(dāng)今互聯(lián)網(wǎng)的應(yīng)用當(dāng)中，有一種虛擬的隧道技術(shù)穿越互聯(lián)網(wǎng)，以達到內(nèi)部網(wǎng)絡(luò)之間，以及其他一些不需要外部網(wǎng)絡(luò)知曉的網(wǎng)絡(luò)通信之間相互互聯(lián)的目的。VPN是內(nèi)部網(wǎng)絡(luò)通過互聯(lián)網(wǎng)的一種擴展，可以幫助遠程用戶、分支機構(gòu)、業(yè)務(wù)伙伴以及自身與供應(yīng)商之間建立可信的安全連接，來保障安全的數(shù)據(jù)通信與互聯(lián)。SSL協(xié)議：SSL(Secure Sockets Layer 安全套接層)協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持?；贛PLS的VPN就是通過LSP將私有網(wǎng)絡(luò)的不同分支聯(lián)結(jié)起來，形成一個統(tǒng)一的網(wǎng)絡(luò)，傳統(tǒng)的VPN一般是通過GRE（Generic Routing Encapsulation）、L2TP（Layer 2 Tunneling Protocol）、PPTP（Point to Point Tunneling Protocol）、IPSec協(xié)議等隧道協(xié)議來實現(xiàn)私有網(wǎng)絡(luò)間數(shù)據(jù)流在公網(wǎng)上的傳送。適用于遠程撥號連接的VPN網(wǎng)絡(luò)環(huán)境。VPN的分類根據(jù)VPN運行的協(xié)議來劃分：，VPN按照上述協(xié)議則可結(jié)合相應(yīng)的協(xié)議形