【正文】 路由器上測(cè)試 如果需要，路由器本身提供更詳細(xì)的調(diào)試命令： debug crypto engine connections active debug crypto isakmp sa debug crypto ipsec sa 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 31 圖 51 R1上的測(cè)試 R1ping 顯示目標(biāo)地址不 可達(dá)。 R1(config)inter seria20/0 R1(configif)crypto map R1 在 IP地址為 的計(jì)算機(jī)上驗(yàn)證 : c:ping …… Reply from : bytes=32 time=17ms TTL=255 …… R1show crypto engine conn acti ID Interface IPAddress State Algorithm Encrypt Decrypt 1 none none set HMAC_SHA+DES_56_CB 0 0 2021 Serial2/0 set HMAC_SHA+DES_56_CB 0 452 2021 Serial2/0 set HMAC_SHA+DES_56_CB 694 0 同時(shí)，這種連接使用了 IPSec，而沒有使用 NAT 技術(shù)。但為了簡(jiǎn)明起見，建議使用一致 的碼字。 R1show ip route , 1 subs O [110/128] via , 00:00:23, Serial2/0 O [110/129] via , 00:00:23, Serial2/0 , 1 subs C is directly connected, Serial2/0 , 1 subs O [110/128] via , 00:00:23, Serial2/0 , 1 subs S is directly connected, Serial2/0 C , FastEther0/0 , 1 subs O [110/128] via , 00:00:23, Serial2/0 R2sh ip route , 1 subs O [110/128] via , 00:00:21, Serial2/0 O [110/129] via , 00:00:21, Serial2/0 , 1 subs C is directly connected, FastEther0/0 , 1 subs O [110/128] via , 00:00:21, Serial2/0 , 1 subs O [110/128] via , 00:00:21, Serial2/0 , 1 subs S is directly connected, Serial2/0 , 1 subs C is directly connected, Serial2/0 R3show ip route 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 27 , 1 subs O [110/128] via , 00:00:35, Serial2/0 C , FastEther0/0 , 1 subs O [110/128] via , 00:00:35, Serial2/0 , 1 subs C is directly connected, Serial2/0 , 1 subs C is directly connected, FastEther1/0 S , Serial2/0 , 1 subs O [110/128] via , 00:00:35, Serial2/0 R4show ip route , 1 subs C is directly connected, Serial2/0 , 1 subs C is directly connected, FastEther0/0 O [110/129] via , 00:00:43, Serial2/0 , 1 subs O [110/128] via , 00:00:43, Serial2/0 , 1 subs O [110/128] via , 00:00:43, Serial2/0 , 1 subs O [110/128] via , 00:00:43, Serial2/0 R5sh ip route , 1 subs C is directly connected, Serial2/0 O [110/65] via , 00:01:00, Serial2/3 , 1 subs C is directly connected, Serial2/1 , 1 subs C is directly connected, Serial2/3 , 1 subs 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 28 C is directly connected, Serial2/2 4. 配置 ESPDES IPSec 并測(cè)試 以下配置是配置 VPN 的關(guān)鍵。 R1(config)ip nat inside source routemap cisco interface serial2/0 overload 上述命令的作用是聲明使用串口的注冊(cè) IP 地址，在數(shù)據(jù)包遵守對(duì)外訪問的規(guī)則的情況下，使用 PAT 技術(shù)。測(cè)試時(shí)，使用基本的測(cè)試命令 ping。 圖 41 模擬實(shí)現(xiàn)圖 設(shè)備選用如下： 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 21 圖 42設(shè)備需求配置圖 網(wǎng)絡(luò)構(gòu)建過程中的 IP 地址分配如 B 表一 ： 表 41 IP地址分配 即： 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 22 圖 43 網(wǎng)絡(luò)詳細(xì)配置圖 模擬器上設(shè)備連接如圖： 圖 44 設(shè)備線路連接圖 VPN配置過程及測(cè)試步驟 siteto site 站點(diǎn)到站點(diǎn)，多用于總部與分支辦公室連接 1. 配置路由器的基本參數(shù)，并測(cè)試網(wǎng)絡(luò)的連通性 （ 1） 進(jìn)入路由器配置模式 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 23 將計(jì)算機(jī)串口與路由器 console 口連接，并按照路由器說明書配置 “ 終端仿真 ” 程序。 VPN 是很好的選擇。內(nèi)網(wǎng)通過 NAT 轉(zhuǎn)換訪問外網(wǎng)，比如武漢分支機(jī)構(gòu)； 而有的機(jī)構(gòu)相對(duì)較大，有對(duì)外的服務(wù)器，內(nèi)部網(wǎng)絡(luò)也較為完善，比如廣州端。 7）可擴(kuò)展性原則。 5）安全性原則。 在實(shí)用的基礎(chǔ)上還可以具有一定的前瞻性，在網(wǎng)絡(luò)結(jié)構(gòu)上要做到能適應(yīng)較長(zhǎng)時(shí)期企業(yè)和網(wǎng)絡(luò)技術(shù)的發(fā)展，不要在網(wǎng)絡(luò)剛組建不久就發(fā)現(xiàn)很難實(shí)現(xiàn)某些較新的應(yīng)用，或者根本不能應(yīng)用目前的一些主流軟件，這樣勢(shì)必造成企業(yè)網(wǎng)絡(luò)資源的浪費(fèi)。DiffieHellman 密鑰交換算法的安全性依賴于這樣一個(gè)事實(shí)：雖然計(jì)算以一個(gè)素?cái)?shù)為基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 17 模的指數(shù)相對(duì)容易，但計(jì)算離散對(duì)數(shù)卻很困難。類似地，用戶 B選擇一個(gè)私有的隨機(jī)數(shù) XBq，并計(jì)算公開密鑰 YB=aXB mod q。 數(shù)字證書總結(jié)： 1. 驗(yàn)證過程： A 從第三方下載證書，內(nèi)有 B的公鑰和 B的身份標(biāo)識(shí)，由第三方證明公鑰是由 B 所持有。 數(shù)字證書可以防止“中間人攻擊”。 圖 211 和圖 212 表示簽名算法和驗(yàn)證算法。 【數(shù)字簽名】 數(shù)字簽名，目的是認(rèn)證，防止欺騙或抵賴。達(dá)到認(rèn)證和完整性的目的。將公鑰公開，就是任何人都可以得到公鑰，發(fā)送者用相應(yīng)的私鑰加密，由于只有發(fā)送者才有私鑰，所以只要接受者能用公鑰解開，就能證明一定是擁有私鑰的人發(fā)送的。 函數(shù)是單向的，即正向計(jì)算容易，求逆極其困難，我們這里認(rèn)為是不可能的。 ，算法是可以公開的，需要保護(hù)的是密鑰。但是密鑰是要保護(hù)的，這樣即時(shí)知道了算法，也不能解密。 密鑰：可以看作是密碼算法的參數(shù)，用來控制加密，解密操作。 圖 25 ESP封裝示意圖 2)AH(Authentication Header) AH只涉及到認(rèn)證，不涉及到加密。“序列號(hào)”用來區(qū)分使用同一組加密策略的不同數(shù)據(jù)包。 SA可以進(jìn)行兩種方式的組合，分別為傳輸臨近和嵌套隧道。為了介紹這三個(gè)協(xié)議，需要先引人一個(gè)非常重要的術(shù)語 SA(Securlty Association 安全關(guān)聯(lián) )。 圖 22 IPSec體系示意圖 IPSec 既可以只對(duì) IP數(shù)據(jù)包進(jìn)行加密，或只進(jìn)行認(rèn)證，也可以同時(shí)實(shí)施二者。當(dāng)找到一個(gè)相匹配的規(guī)則時(shí)，包過濾防火墻就按照該規(guī)則制定的方法對(duì)接收到的IP數(shù)據(jù)包進(jìn)行處理。因此，有人堅(jiān)定地認(rèn)為， IPSec 是提供站點(diǎn)到站點(diǎn)連接的首要工具，是企業(yè)構(gòu)建 VPN 的最佳選擇；而 SSL VPN 缺少站點(diǎn)到站點(diǎn)連接的理想解決方案。在性能、應(yīng)用覆蓋和兼容性等方面也存在問題。 7. IPSec 方案適用于在“站點(diǎn) —— 站點(diǎn)” VPN 方案 IPSec 對(duì) VPN 而言仍是主導(dǎo)性的隧道和加密技術(shù)，就通常的企業(yè)用戶和“站點(diǎn)到站點(diǎn)”連接所需要的直接訪問企業(yè)網(wǎng)絡(luò)功能而言， IPSec 無可比擬。它在事實(shí)上將遠(yuǎn)程客戶端“置于”企業(yè)內(nèi)部網(wǎng)，使遠(yuǎn)程客戶端擁有內(nèi)部網(wǎng)用戶一樣的權(quán)限和操作功能。 VPN 具有節(jié)省成本、提供遠(yuǎn)程訪問、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等優(yōu)點(diǎn)，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。例如，分布在不同城市或者不同國(guó)家的所屬部門都想要實(shí)現(xiàn)建立在安全之上的信息交流和信息共享；出差的人員要求隨時(shí)隨地地訪問企業(yè)內(nèi)部網(wǎng)等等。當(dāng)在路由器或防火墻上安裝 IPSec 時(shí)，無需更 改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。在各種網(wǎng)絡(luò)安全的解決方案中， IETF于 1998 年推出的 IPSec 協(xié)議有著獨(dú)特的優(yōu)勢(shì)，占據(jù)著重要的基礎(chǔ)地位。提供包括存取控制、無連接數(shù)據(jù)的完整性、數(shù)據(jù)源認(rèn)證、防止重發(fā)攻擊、基于加密的數(shù)據(jù)機(jī)密性和受限數(shù)據(jù)流的機(jī)密性服務(wù)。 ［關(guān)鍵詞］ 思科 ； 網(wǎng)絡(luò)安全 ； 隧道技術(shù) The Design and Implementation of IPSec VPN based on Cisco devices Network Management Professional Dingfan [Abstract]: IPSec protocol is a work layer protocol, is provided for the protection of a range of IP munication protocol suite. IPSec for data in the data through public work integrity, security and legality of such issues as designing a set of tunnels, encryption and authentication scheme .IPSec for IPv4/IPv6 works to cooperation/use, highquality, encryptionbased security mechanism. Provided, including access control, connectionless data integrity, data origin authentication, to prevent resend attack, the encrypted data based on confidentiality and the confidentiality of restricted data flow services. [Key words]: Cisco。 IPSec 協(xié)議是現(xiàn)在 VPN 開發(fā)中使用的最廣泛的一種協(xié)議，它有可能在將來成為 IPVPN 的標(biāo)準(zhǔn)。即使在終端系統(tǒng)中執(zhí)行 IPSec，應(yīng)用程序一類的上層軟件也不會(huì)被影響。傳統(tǒng)的企業(yè)網(wǎng) 專用網(wǎng)的解決方案大多通過向運(yùn)營(yíng)商租用各種類型的長(zhǎng)途線路來連接各種分支機(jī)構(gòu)局域網(wǎng)，或采取數(shù)字加密機(jī)加專線的方式進(jìn)行點(diǎn)到點(diǎn)的數(shù)據(jù)傳輸，但是這種方式的網(wǎng)絡(luò)費(fèi)用高，大多數(shù)企業(yè)難以承受，且可擴(kuò)展性極差。 預(yù)期目標(biāo)和經(jīng)濟(jì)效益 預(yù)期目標(biāo) 該網(wǎng)絡(luò)設(shè)計(jì)是 總部公司與其他三個(gè)子公司 相互之間整體網(wǎng)絡(luò)的一個(gè)簡(jiǎn)化， 各公司都接入到公網(wǎng)中，有完整的內(nèi)網(wǎng)，在已有的網(wǎng)絡(luò)結(jié)構(gòu)基礎(chǔ)上，通過點(diǎn)到點(diǎn)的方式建立 IPSec VPN，使各子公司都能通過 VPN