【正文】 ISP與B相連接口S0/2ISP與C相連接口S0/1與ISP內(nèi)部相連地址Cisco 3640PS0/1與B_PE相連接口S0/0與BZ_PE相連接口Cisco 3640BZ_PES0/0與ISP內(nèi)部相連接口S0/1與BZ相連接口S0/2與CZ相連接口Cisco 3640CS0/2模擬客戶(hù)端接入路由Cisco 3640CZS0/2模擬客戶(hù)端接入路由表61圖62總拓?fù)鋱D圖63模擬實(shí)驗(yàn)圖說(shuō)明：由于使用模擬器來(lái)模擬真實(shí)拓?fù)洌捎谟?jì)算機(jī)一次無(wú)法啟用太多的設(shè)備，因此對(duì)于一些對(duì)于本課題不是很重要的設(shè)備被省略掉了，主要進(jìn)行VPN配置。 組網(wǎng)方案規(guī)劃 租用專(zhuān)線與使用VPN成本對(duì)比（1）租用專(zhuān)線費(fèi)用如下所示：圖61 租用專(zhuān)線費(fèi)用（2）使用VPN技術(shù)不用申請(qǐng)專(zhuān)線，只需要原有的公網(wǎng)基礎(chǔ)以及現(xiàn)有的路由器即可，可以大大節(jié)省開(kāi)支費(fèi)用。另外，現(xiàn)在很多企業(yè)都有自己的合作伙伴，合作伙伴之間的VPN網(wǎng)絡(luò)需要有很高的靈活性，使用VPN技術(shù)可以做到簡(jiǎn)單快捷的與合作伙伴建立聯(lián)系，真正實(shí)現(xiàn)想連就連，想斷就斷。對(duì)于數(shù)據(jù)簽名來(lái)講，這兩種密鑰的用途卻是相反的，公鑰是用來(lái)解密和驗(yàn)證簽名的，而私鑰是用來(lái)簽署消息的哈希值。3DES：它使用的是三個(gè)不同的56bit密鑰（DES加密、DES解密、DES加密）用來(lái)創(chuàng)建密文。常見(jiàn)的同步加密算法主要有DES、3DES和AES。 同步加密同步加密算法又稱(chēng)為秘密密鑰加密技術(shù)，它需要使用同一個(gè)秘密密鑰來(lái)進(jìn)行加密和解密。換而言之，就是每個(gè)方向都要使用獨(dú)立的密鑰素材。 IKE（Internet 密鑰交換）IKE協(xié)議是一種動(dòng)態(tài)更改Ipsec 密鑰和參數(shù)的機(jī)制，通過(guò)自動(dòng)的交換機(jī)制和密鑰的更新來(lái)防止Ipsec會(huì)話被攻擊。證書(shū)被發(fā)放到設(shè)備，需要驗(yàn)證設(shè)備的時(shí)候向第三方提交證書(shū)，然后由第三方進(jìn)行檢查，通過(guò)了就驗(yàn)證成功。圖51 vpn通道Ip幀/包 L2頭部IP頭部TCP/UDP頭部有效負(fù)載表51AH傳輸模式封裝原始IP報(bào)頭驗(yàn)證報(bào)頭（AH）有效負(fù)載表52AH隧道模式封裝新IP報(bào)頭驗(yàn)證報(bào)頭（AH）原始IP報(bào)頭有效負(fù)載表53ESP傳輸模式封裝原始IP報(bào)頭封裝安全有效負(fù)載（ESP）報(bào)頭有效負(fù)載ESP報(bào)尾ESP驗(yàn)證數(shù)據(jù)表54ESP隧道模式封裝新IP報(bào)頭封裝安全有效負(fù)載（ESP）報(bào)頭原始IP報(bào)頭有效負(fù)載ESP報(bào)尾ESP驗(yàn)證數(shù)據(jù)表55 對(duì)等體驗(yàn)證Ipsec對(duì)數(shù)據(jù)進(jìn)行加密防止數(shù)據(jù)在途中被竊取和修改，保護(hù)傳送過(guò)程中的數(shù)據(jù)，但是首先VPN端點(diǎn)要能夠?qū)?duì)方端點(diǎn)的進(jìn)行確認(rèn)，否則就談不上數(shù)據(jù)包的保密了。傳送模式就是僅僅把Ipsec頭部插在IP包中時(shí)。AES 高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）：是一種應(yīng)用很廣泛的傳統(tǒng)的加密方式。它不能夠單獨(dú)實(shí)現(xiàn)必須依賴(lài)于數(shù)據(jù)的完整性服務(wù)，由VPN的每個(gè)端點(diǎn)來(lái)完成，以確保對(duì)方的身份。Ipsec 無(wú)法將其業(yè)務(wù)擴(kuò)展到數(shù)據(jù)鏈路層，只能夠保護(hù)IP層以上的數(shù)據(jù)。 VPN Ipsec VPN技術(shù)Ipsec 是一種保護(hù)IP數(shù)據(jù)在不同地方傳輸時(shí)候安全性的功能特性值。當(dāng)VPN分組被打上兩層標(biāo)簽后，再通過(guò)PE輸出接口轉(zhuǎn)發(fā)出去，然后在MPLS骨干網(wǎng)絡(luò)中沿著LSP被逐級(jí)轉(zhuǎn)發(fā)下去。PEPE之間通過(guò)采MPIBGP進(jìn)行路由信息的交換，PE路由器通過(guò)維持IBGP網(wǎng)狀連接或使用路由反射器來(lái)確保路由信息分發(fā)給所有的PE路由器。 可以通過(guò)對(duì)Import RT和Export RT的進(jìn)行適當(dāng)?shù)呐渲茫\(yùn)營(yíng)商可以構(gòu)建不同拓?fù)漕?lèi)型的VPN網(wǎng)絡(luò)。 在PE路由器上針對(duì)每個(gè)site都創(chuàng)建個(gè)虛擬路由轉(zhuǎn)發(fā)表VRF(VPNRoutingamp。VPNv4地址只用于骨干網(wǎng)絡(luò)上路由信息的分發(fā)，它對(duì)客戶(hù)端來(lái)說(shuō)是不可預(yù)見(jiàn)性的。在整個(gè)MPLS VPN網(wǎng)絡(luò)中，P、PE設(shè)備需要支持MPLS的基本功能，P設(shè)備是MPLSVPN網(wǎng)絡(luò)的關(guān)鍵設(shè)備，根據(jù)PE路由器有無(wú)參與客戶(hù)的路由，MPLS VPN又分成Layer3MPLS VPN和Layer2 MPLS VPN。MPLS提供商的P路由器對(duì)于CE路由器是不可見(jiàn)的，所有路由重分發(fā)操作以及MPLS相關(guān)的其他操作都是由PE路由器完成的，而它對(duì)于站點(diǎn)的CE路由器是完全透明的。RD——一個(gè)64bit標(biāo)識(shí)符，附加在ipv4地址前可組成全球唯一的VPNV4地址。CE 路由器—— 客戶(hù)端路由器，直連在PE路由器上。本設(shè)計(jì)涉及的VPN技術(shù)有MPLS VPN和Ipsec這幾種。一個(gè)可靠的企業(yè)網(wǎng)絡(luò)可以為企業(yè)帶來(lái)無(wú)法衡量的利益，反之則有可能對(duì)公司帶來(lái)不可估量的損失。（4）虛擬租用線（VLL）：這用IP網(wǎng)絡(luò)對(duì)租用線進(jìn)行模擬，是對(duì)傳統(tǒng)的租用線業(yè)務(wù)的仿真，而從兩端的用戶(hù)看來(lái)這樣一條虛擬租用線等價(jià)于過(guò)去的租用線。 按VPN業(yè)務(wù)層次模型劃分這是根據(jù)ISP向用戶(hù)提供的VPN服務(wù)工作在第幾層來(lái)劃分的，而不是根據(jù)隧道協(xié)議工作在哪一層劃分的。遠(yuǎn)程用戶(hù)一般是一臺(tái)計(jì)算機(jī)，因此組成的VPN是一種主機(jī)到網(wǎng)絡(luò)的拓?fù)淠Ｐ?。上兩種類(lèi)型區(qū)分在于用戶(hù)數(shù)據(jù)在協(xié)議棧的哪一層被封裝，其中L2TP主要用于實(shí)現(xiàn)撥號(hào)VPN業(yè)務(wù)但也可以用于實(shí)現(xiàn)專(zhuān)線VPN業(yè)務(wù)，GRE、IPSec和MPLS主要用于實(shí)現(xiàn)專(zhuān)線VPN業(yè)務(wù)，這些協(xié)議之間本身是不沖突的，可以結(jié)合起來(lái)使用。（1）專(zhuān)線VPN：這是一種永久在線的VPN，是為已經(jīng)通過(guò)專(zhuān)線接入ISP邊緣路由器的用戶(hù)提供的VPN解決方案。不同的運(yùn)營(yíng)商在開(kāi)展VPN業(yè)務(wù)時(shí)也推出了不同的分類(lèi)方式，他們主要從它們業(yè)務(wù)的角度劃分而用戶(hù)也有它們自己的的劃分方法它們是根據(jù)自己的的需求進(jìn)行劃分?？偟膩?lái)說(shuō)，VPN具有良好靈活性、擴(kuò)展性，是一種能夠代替專(zhuān)線的，但是很難做到真正的與實(shí)際的專(zhuān)線一樣。 VPN技術(shù)目前存在的問(wèn)題 由于VPN是利用現(xiàn)有的公共網(wǎng)，搭建的是邏輯線路，并不是真實(shí)的專(zhuān)線，實(shí)質(zhì)是利用特殊的加密技術(shù)實(shí)現(xiàn)專(zhuān)線的效果，因此它不可能做到專(zhuān)線那樣絕對(duì)安全。 VPN技術(shù)使得企業(yè)可以更好地利用ISP的設(shè)施和服務(wù)，同時(shí)又掌握著自己網(wǎng)絡(luò)的控制權(quán)。一個(gè)企業(yè)想要擴(kuò)大原有的VPN的容量和覆蓋的范圍，只要與新的運(yùn)營(yíng)商簽約建立新的賬戶(hù)，就可以擴(kuò)大服務(wù)范圍。（2）對(duì)國(guó)際電路成本節(jié)約是極為顯著的。網(wǎng)管們可以使用VPN替代那些昂貴的租用線路來(lái)實(shí)現(xiàn)屬下各個(gè)分支機(jī)構(gòu)的連接。而對(duì)于企業(yè)來(lái)說(shuō)，使用VPN不僅可以保證內(nèi)部數(shù)據(jù)、網(wǎng)絡(luò)的安全，并且相對(duì)于申請(qǐng)搭建專(zhuān)線來(lái)說(shuō)VPN可以節(jié)省相當(dāng)大的費(fèi)用，其對(duì)于一個(gè)企業(yè)的作用是十分巨大的。VPN，為什么稱(chēng)為虛擬網(wǎng)呢？這是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并不需要建立傳統(tǒng)專(zhuān)用網(wǎng)所需的端到端的物理鏈路，而是采用架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，如Internet、ATM(異步傳輸模式)、Frame Relay （幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶(hù)數(shù)據(jù)是在邏輯鏈路中傳輸。 20 VPN的配置 227論文總結(jié) 25致 謝 252虛擬專(zhuān)用網(wǎng)絡(luò)（Virtual Private Network ，簡(jiǎn)稱(chēng)VPN)指的是在公網(wǎng)上建立專(zhuān)用網(wǎng)絡(luò)的技術(shù)。 20第一步：配置用作LDP路由器ID的環(huán)回接口。因此，業(yè)內(nèi)人士認(rèn)為基于IP的VPN服務(wù)有著巨大的前景，目前世界上使用最多的VPN也是基于IP的VPN。VPN技術(shù)在一般的路由器上可以實(shí)現(xiàn)，目前在防火墻、交換機(jī)、windows等軟件中也都支持VPN功能，所以現(xiàn)在VPN在企業(yè)中應(yīng)用十分廣泛?，F(xiàn)在的一些熱門(mén)服務(wù)如網(wǎng)上銀行，網(wǎng)上交易這些都需要絕對(duì)的安全。VPN作為一種降低成本的技術(shù)，其效果是立即且顯著的，主要體現(xiàn)在以下幾個(gè)方面：（1）移動(dòng)用戶(hù)長(zhǎng)途通信成本費(fèi)。另外，可以用單一的 WAN接口實(shí)現(xiàn)多種服務(wù)，從分支網(wǎng)絡(luò)互連、商業(yè)伙伴的外連網(wǎng)終端，本地提供高帶寬的線路等連接到撥號(hào)訪問(wèn)服務(wù)提供者。這樣可以更加迅速捕捉到一些商業(yè)機(jī)會(huì)，建立起可靠的商業(yè)伙伴關(guān)系。而且還支持各種協(xié)議，如IPvRSIP、MPLS、SNMPv3等。VPN的安全、私有特點(diǎn)主要是利用加密技術(shù)和隧道技術(shù)來(lái)實(shí)現(xiàn)，如何因地制宜的使用各種VPN技術(shù)，做到性?xún)r(jià)比最高，是最重要的。隨著人么安全意識(shí)的不斷提高，各種各樣的VPN技術(shù)不斷的涌現(xiàn)，在企業(yè)信息安全通信中扮演著不可或缺的角色。根據(jù)用戶(hù)的是使用專(zhuān)線還是撥號(hào)上網(wǎng)，VPN接入分為：專(zhuān)線接入和撥號(hào)接入。（2）第三層隧道協(xié)議：這包括IP安全（IPsec）、通用路由封裝協(xié)議（GRE），這是目前最流行的兩種三層協(xié)議。（1）接入VPN：這是企業(yè)員工出差或企業(yè)的分支機(jī)構(gòu)通過(guò)公網(wǎng)遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)的VPN方式。（3）內(nèi)聯(lián)網(wǎng)VPN：這一般是企業(yè)的總部與分支機(jī)構(gòu)之間通過(guò)公網(wǎng)構(gòu)筑的虛擬網(wǎng)，這是一種以對(duì)等的方式連接起來(lái)網(wǎng)絡(luò)到網(wǎng)絡(luò)所組成的VPN。（3）撥號(hào)VPN業(yè)務(wù)（VPDN）：這個(gè)是按接入方式劃分的，因?yàn)楹茈y明確VPDN究竟屬于哪一層。（3）可靠性對(duì)于企業(yè)網(wǎng)來(lái)說(shuō)，穩(wěn)定就是其最重要的要求。 采用VPN的理由相對(duì)于企業(yè)對(duì)網(wǎng)絡(luò)設(shè)計(jì)的要求，最好使用VPN，有以下理由：（1）與向運(yùn)營(yíng)商租用專(zhuān)線或者搭建專(zhuān)線對(duì)比，使用VPN是可以達(dá)到專(zhuān)線效果但比專(zhuān)線節(jié)省大量費(fèi)用的一種最優(yōu)技術(shù)手段；（2）專(zhuān)線的使用很大程度地制約了網(wǎng)絡(luò)的靈活性，而使用VPN可以很好的彌補(bǔ)這一點(diǎn)；（3）使用QoS的VPN服務(wù)通過(guò)配置隊(duì)列的優(yōu)先級(jí)可以控制不同類(lèi)型的數(shù)據(jù)流量，對(duì)于服務(wù)質(zhì)量可以有很大的改善，對(duì)企業(yè)內(nèi)部的管理有很大的幫助。了解MPLS VPN前必須來(lái)先了解一笑它相關(guān)的一些術(shù)語(yǔ)。VRF表——與客戶(hù)相關(guān)的路由表實(shí)例。CE路由器不需要支持MPLS，也不屬于MPLS體系架構(gòu)的組成部分，只用來(lái)負(fù)責(zé)發(fā)送和接收客戶(hù)的路由信息。骨干網(wǎng)核心路由器P負(fù)責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù)，其不與CE直接相連。RD具有惟一性，通過(guò)將8比特的RD作為IPv4地址前綴的擴(kuò)展項(xiàng)，可以使不惟一的IPv4地址轉(zhuǎn)化為惟一確定的VPNv4地址。RT使用了BGP中擴(kuò)展團(tuán)體屬性來(lái)用于路由信息的分發(fā)，同時(shí)其具有全局惟一性，同一個(gè)RT只能被一個(gè)VPN所使用，它分成Import RT和Export RT，分別用于路由信息的導(dǎo)入策略和導(dǎo)出策略。當(dāng)PE路由器收到VPNv4路由條目時(shí)，只有當(dāng)所帶RT標(biāo)記與VRF表中任意一個(gè)Import RT路由相符時(shí)才會(huì)被導(dǎo)入到VRF表中，從而形成不同的VPN，實(shí)現(xiàn)VPN的互訪與隔離的效果。CEPE路由器之間通過(guò)采用靜態(tài)/默認(rèn)路由或采用ICP(RIPvOSPF)等動(dòng)態(tài)路由協(xié)議。當(dāng)VPN傳輸數(shù)據(jù)的分組由CE路由器發(fā)給PE路由器的入口后，PE路由器開(kāi)始查找該子接口相對(duì)應(yīng)的VRF表，從VRF表中得到所需的VPN標(biāo)簽、初始外層標(biāo)簽和到出口PE路由器的輸出接口。以上就是MPLS VPN路由傳送的原理。任意兩個(gè)這樣的地點(diǎn)組合在一起就可以確定VPN的類(lèi)型。數(shù)據(jù)源驗(yàn)證：驗(yàn)證Ipsec vpn的數(shù)據(jù)源。以下是IPSEC ESP可以使用的加密方法。 IPSEC模式 Ipsec 定義了隧道模式和傳送模式兩種的運(yùn)行模式，它們對(duì)原始的IP包提供不同的保護(hù)能力。隧道模式中，包括原始IP 頭部在內(nèi)，整個(gè)數(shù)據(jù)包都可以得到保護(hù)，隧道模式會(huì)產(chǎn)生一個(gè)全新的隧道端點(diǎn)IP地址，這樣原來(lái)的IP地址就不會(huì)暴露在外面，這樣IP數(shù)據(jù)包就能夠得到更好的保護(hù)。數(shù)據(jù)證書(shū)——它是由第三方CA給設(shè)備發(fā)數(shù)字證書(shū)。生物測(cè)定——是通過(guò)分析人的物理特征例如語(yǔ)音、指紋和臉部的特征來(lái)驗(yàn)證。階段2也是一個(gè)強(qiáng)制的IKE階段，它是利用階段1協(xié)商同意的參數(shù)在兩個(gè)端點(diǎn)之間建立單向的SA。加密算法一般可以分為兩種：同步加密和異步加密。同步加密通常是用于大批量的加密需求。DES :密鑰有56bit，破解的話使用現(xiàn)代計(jì)算機(jī)只要24個(gè)小時(shí)左右可以破解，安全性不高。公鑰可以廣泛的發(fā)出，但是私鑰就必須的保密的。不過(guò)這些問(wèn)題如果使用VPN技術(shù)，這些難題迎刃而解。（3）企業(yè)網(wǎng)絡(luò)在進(jìn)行規(guī)劃設(shè)計(jì)時(shí)要注重考慮網(wǎng)絡(luò)的整體性?xún)r(jià)比，在考慮網(wǎng)絡(luò)的強(qiáng)度的同時(shí)要盡量節(jié)省公司資源，實(shí)現(xiàn)低成本，高效益的目的。 組網(wǎng)設(shè)備選型及實(shí)驗(yàn)地址規(guī)劃本實(shí)驗(yàn)采用的是小凡模擬器來(lái)模擬真實(shí)的環(huán)境，在實(shí)驗(yàn)中用到的路由的主要設(shè)備是cisco 3640系列的路由器。圖65 計(jì)算idle值圖66 計(jì)算出idle值3. 確定好生成文件輸出目錄。69 實(shí)現(xiàn)拓?fù)涞幕ヂ?lián)