【正文】 *Mar 1 00:44:: ISAKMP:(0:1:SW:1): sending packet to my_port 500 peer_port 500 (I) MM_SA_SETUP//第3個包。發(fā)送方向對等體發(fā)送一條包含一組或多組策略提議，在策略提議中包括5元組（加密算法，散列算法，DH，認證方法，IKE SA壽命）：1）加密算法：選擇DES或3DES2）hash算法：選擇MD5或SHA3）認證方法：選擇證書認證、預置共享密鑰認證或Kerberos v5認證4）DiffieHellman組的選擇*Mar 1 00:44:: ISAKMP (0:0): received packet from dport 500 sport 500 Global (I) MM_NO_STATE//第2個包。 (key eng. msg.) OUTBOUND local= , remote= , local_proxy= (type=1), remote_proxy= (type=1), protocol= ESP, transform= esp3des espshahmac (Tunnel), //觸發(fā)的crypto map細節(jié)。Router(config)crypto ipsec transformset WORD ? ahmd5hmac AHHMACMD5 transform ahshahmac AHHMACSHA transform plzs IP Compression using the LZS pression algorithm esp3des ESP transform using 3DES(EDE) cipher (168 bits) espaes ESP transform using AES cipher espdes ESP transform using DES cipher (56 bits) espmd5hmac ESP transform using HMACMD5 auth espnull ESP transform w/o cipher espseal ESP transform using SEAL cipher (160 bits) espshahmac ESP transform using HMACSHA auth定義感興趣流量定義哪些流量需要通過VPN來傳輸，通過IPsec來保護；匹配流量的方法為定義ACL，建議使用Extended ACL來匹配指定的流量，ACL中被permit匹配的的流量表示加密，而被deny匹配的流量則表示不加密。配置R4：r4(config) interface fastEthernet 0/1r4(configif)ip address r4(configif)no shutdownr4(config)ip route 說明：配置R4的接口地址，并寫默認路由指向R3。GNS3 是一個可以模擬復雜網絡的圖形化網絡模擬器，它可以運行在Windows、Linux、MAC OS 上，允許你在虛擬環(huán)境中運行Cisco IOS。同時，Area 1~ Area 6與Area 、。因此，結合1和2關于GRE與IPSec優(yōu)缺點的描述來看，為了滿足本案例的業(yè)務需求，可將GRE與IPSec相結合而互補優(yōu)缺點。但是這種技術即使實現了IPSec支持動態(tài)路由協(xié)議的功能，也無法滿足百大集團的現實需求，因為在現有的網絡設備的軟件版本來說，很多版本并不支持這種技術。因此需要一種VPN技術來滿足集團的業(yè)務需求。本章簡要地介紹了GRE與IPSec相關技術，下一張將結合前一章和本章內容，來對本課題案例的系統(tǒng)進行分析和概要設計。因為在消息收到之后，只有來自通過認證的實體，而且消息在傳輸過程中并未發(fā)生改變。主動模式允許同時傳送與SA、密鑰交換和認證相關的載荷，而將這些載荷組合到一條信息中，減少了信息的交換次數，但這樣正如前述而無法提供身份保護。本次交換中通信雙方會交換DH公開值以及偽隨機Nonce，并生成SKEYID狀態(tài)。（2）主模式前文中筆者提到，IKE分為兩個階段，其中第1階段有兩種模式，分別為主模式和主動模式，第2階段只有一種模式，則為快速模式。DH組決定了在進行一次DH交換時通信雙方需要采用的參數。IKE的相關概述對于IPSec而言，IKE則定義了其需要的密鑰交換技術。IV．如果啟用了抗重放服務，使用抗重放窗口來決定某個包是否是重放包，如果是重放包，拋棄該數據包并審核事件。1）處理外出數據包當某IPSec實現接收一個外出的數據包時，它使用相應的選擇符（目的IP地址端口、傳輸協(xié)議等）查找SPD并且確認哪些策略適用于數據流。同AH一樣，ESP是否啟用抗重放服務也是由接收方來決定。如果接收方啟動了抗重放功能，它便使用滑動接收窗口機制檢測重放包。在傳輸模式下，是受保護的上層協(xié)議的值，如UDP或TCP。認證機制使IP 通信的數據接收方能夠確認數據發(fā)送方的真實身份以及數據在傳輸過程中是否遭篡改。SA的創(chuàng)建份兩步進行：協(xié)商SA參數，然后用SA更新SADB。其中SPD指定了數據流應該使用的策略，SADB則包含了活動的SA參數，二者都需要單獨的輸入輸出數據庫。 數據封裝形式IPSec協(xié)議的實現之所以說IPsec協(xié)議不是一個單獨的協(xié)議，則是因為它給出了應用于IP層上網絡數據安全的一整套體系結構，包括網絡認證協(xié)議AH（Authentication Header，認證頭）、ESP（Encapsulating Security Payload，封裝安全載荷）、IKE（Internet Key Exchange，因特網密鑰交換）和用于網絡認證及加密的一些算法等。（2）數據完整性（Data Integrity）：IPsec 接收方對發(fā)送方發(fā)送來的包進行認證，以確保數據在傳輸過程中沒有被篡改。在正常的數據傳輸中，數據在發(fā)送之前先計算出相應的Hash值，當接收者收到數據后也要對數據計算Hash值，如果發(fā)現自己計算的Hash值與數據附帶的值不匹配，便認為數據在傳輸過程中遭到了篡改，從而拒絕不正確的數據包。在對數據進行解密時使用的密鑰和加密使用的密鑰是完全相同的，這種加密算法稱為對稱加密算法，也叫做私鑰算法；同時在對數據進行解密時使用的密鑰和加密使用的密鑰是完全不相同的，這種加密算法稱為非對稱加密算法，也叫做公鑰算法。GRE隧道對傳輸數據進行加封裝與解封裝的主要過程如下：一個X協(xié)議的報文要想穿越IP網絡在Tunnel中傳輸，必須要經過加封裝與解封裝兩個過程，： X協(xié)議網絡通過GRE隧道連接（1）加封裝過程1） Router A 連接Group 1 的接口收到X 協(xié)議報文后，首先交由X 協(xié)議處理；2）X 協(xié)議檢查報文頭中的目的地址域來確定如何路由此包；3）若報文的目的地址要經過 Tunnel 才能到達，則設備將此報文發(fā)給相應的Tunnel接口；4） Tunnel 口收到此報文后進行GRE 封裝，在封裝IP 報文頭后，設備根據此IP包的目的地址及路由表對報文進行轉發(fā)，從相應的網絡接口發(fā)送出去。第二章 GRE與IPSec相關技術概述 GRE概述GRE引入[20]GRE（Generic Routing Encapsulation），中文譯為通用路由封裝，該協(xié)議在IP頭中的協(xié)議號是47。適用于遠程撥號連接的VPN網絡環(huán)境。SSL協(xié)議：SSL(Secure Sockets Layer 安全套接層)協(xié)議位于TCP/IP協(xié)議與各種應用層協(xié)議之間，為數據通訊提供安全支持。在當今互聯網的應用當中，有一種虛擬的隧道技術穿越互聯網，以達到內部網絡之間，以及其他一些不需要外部網絡知曉的網絡通信之間相互互聯的目的。網絡設計之初，很多網絡設計者解決上述問題的最簡單直接的辦法就是在不同區(qū)域間的內部局域網之間鋪設自己的專用物理鏈路，這樣就會增加網絡建設的開支。訪問攻擊：黑客企圖獲得對網絡和網絡資源的未授權的或者非法的訪問。設備配置中的弱點，包括網絡設備的設定、配置和管理。 網絡安全的威脅類型安全威脅主要來自兩個方面，即網絡外部用戶和內部用戶。拒絕訪問攻擊，即DoS攻擊：黑客企圖拒絕到特定資源的合法流量和用戶訪問，或者至少降低對資源的服務質量。同時隨著自身發(fā)展需求的不斷增大，自身的內部局域網也逐步壯大和擴散，這樣將會使得自身鋪設的物理鏈路劇增，會使得自身的網絡建設費用隨之劇增。首先，這種虛擬隧道技術不需要鋪設實際的物理鏈路，也不需要租用運營商的物理鏈路，當然也就不必支付高額的費用；其次，此技術在達到比前面所述解決方案更加優(yōu)越的效果，還帶來了更加寬泛的網絡互連域，提供了更加安全的互聯通信，因為很多虛擬隧道技術采用了安全加密技術進行數據通信。MPLS[2]：多協(xié)議標簽交換（MPLS）是一種用于快速數據包交換和路由的體系，它為網絡數據流量提供了目標、路由、轉發(fā)和交換等能力。L2F協(xié)議：Layer 2 Forwarding，即第二層轉發(fā)協(xié)議。GRE是一種最傳統(tǒng)的隧道封裝協(xié)議，提供了將一種協(xié)議的報文封裝在另一種協(xié)議報文中的機制，使報文能夠在異種網絡中傳輸。（2）GRE解封裝的過程解封裝過程和加封裝的過程相反。當前涉及到的各種加密算法有：（1）對稱加密算法（私鑰算法）DES（Data Encryption Standard）DES加密共有三種形式，分為DES（40bit長度加密），DES（56bit長度加密）以及3DES（3倍的56bit長度加密，即168bit長度加密）；由于3DES加密長度夠長，安全性夠高，所以推薦使用3DES?；贖ash的以上特征， Hash多用于認證，而認證對等體雙方在相互認證時，只需要交換密碼的Hash值即可，而無需交換密碼，從而防止了密碼被竊取。（3）數據來源認證（Data Authentication）：IPsec 在接收端可以認證發(fā)送IPsec 報文的發(fā)送端是否合法。其中，AH協(xié)議和ESP協(xié)議用于提供安全服務，IKE協(xié)議用于密鑰交換。IPSec協(xié)議要求在所有通信流處理的過程中都必須檢查SPD，不管通信流是輸入還是輸出。如果安全策略要求建立安全、保密的連接，但又找不到相應的SA，IPSec內核便會自動調用IKE，IKE會與目的主機或者途中的主機/路由器協(xié)商具體的SA，而且如果策略要求，還需要創(chuàng)建這個SA。加密機制通過對數據進行加密運算來保證數據的機密性，以防數據在傳輸過程中被竊聽。而在隧道模式下，是受保護的IP協(xié)議的值。認證數據字段：包含完整性校驗值（ICV），采用的轉碼方案則決定了ICV的長度，而SA指定生成ICV的算法。ESP 頭可以放置在 IP 頭之后、上層協(xié)議頭之前 （傳送層），或者在被封裝的 IP 頭之前 （隧道模式）。如果需要IPSec處理并且SA已經建立，則與數據包選擇符相匹配的SPD項將指向SADB中的相應SA。V．如果SA指定需要認證服務，應用SA指定的認證算法和密鑰生成數據包的ICV，將其和ESP認證數據域中的值相比較，如果二者不同，則拋棄該數據包并審核事件。IKE交換的結果就是一個已經認證的密鑰以及建立在雙方協(xié)議基礎上的服務，即IPSec SA。IKE中定義了5個組，并為每個組分配了獨有的值。主模式主要應用于協(xié)商階段1的ISAKMP SA，其將密鑰交換信息與身份認證信息分離開來，保護了身份信息，而交換的身份信息受到了前面生成的DH共享密鑰的保護，因此這些增加了3個消息的開銷。消息5和消息6發(fā)起者和響應者交換標識數據并認證DH交換。主動模式運用的場合很少，但在實際應用當中也能碰到，比如在需要運行遠程訪問的環(huán)境下，由于發(fā)起者的地址是響應者無法預先知曉，而且雙方都打算使用預共享密鑰認證方法，則要想建立IKE SA，主動模式便是唯一可行的交換方式。至于加密則是通過使用SKEYID_e的值來完成的。第三章 系統(tǒng)VPN分析與概要設計前面兩章介紹了VPN的基本概念，以及GRE與IPSec相關技術，后續(xù)內容將從本章開始，結合合肥百大集團網絡拓撲，開始本課題的設計與仿真。但是，前文中已經描述過，VPN技術由很多種（），如何在諸多種VPN技術中選擇出適合本集團所需的VPN技術呢，這要根據集團網絡實際設計和需求來決定。所以需要選擇另外的、比較傳統(tǒng)的隧道技術來結合傳統(tǒng)的IPSec協(xié)議，這種比較傳統(tǒng)且較為常用的技術就是GRE隧道技術。經過以上分析可知，GRE協(xié)議和IPSec協(xié)議具有互補性，結合二者這種互補性，可以滿足百大集團的關于同時支持動態(tài)路由協(xié)議和安全加密認證的需求。GRE隧道設計合肥總部路由器Center的接口serial0/0與各個分支機構的OSPF區(qū)域邊界路由器的接口serial0/0，通過互相指派為源和目的來建立GRE隧道，然后在每個隧道運行0SPF協(xié)議，使得能夠動態(tài)學習到相關的網段。GNS3 是dynagen 的圖形化前端，用于搭建網絡拓撲，并生成dynagen 所可以加載的net 文件，用來加載Cisco IOS的核心程序是dynamips。 網絡拓撲實驗環(huán)境第四章 GRE與IPSec相關技術分析在第二章和第三章中針對相關技術，如GRE技術、IPSec技術等進行了詳細介紹，本章將對這些技術的相關配置進行詳細講述，同時最后針對GRE over IPSec VPN與IPSec over GRE VPN二者的配置，以及二者的區(qū)別進行詳細講述，以便最終選擇出本課題案例的最佳方案。配置R5：r5(config) interface fastEthernet 0/1r5(configif)ip address r5(configif)no shutdownr5(config) interface fastEthernet 0/0r5(