【正文】 configif)ip address r5(configif)no shutdown說明：配置R5的接口地址，因為R5模擬Internet，所以R5不需要寫任何路由，也不允許寫任何路由。 注：在配置ACL定義感興趣流量時需要格外注意的是ACL中不要使用any來表示源或者目標，否則會出問題。 lifedur= 3600s and 4608000kb, spi= 0x9076EC32(2423712818), conn_id= 0, keysize= 0, flags= 0x400E*Mar 1 00:44:: ISAKMP: received ke message (1/1)*Mar 1 00:44:: ISAKMP:(0:0:N/A:0): SA request profile is (NULL)*Mar 1 00:44:: ISAKMP: Created a peer struct for , peer port 500*Mar 1 00:44:: ISAKMP: New peer created peer = 0x64A76F64 peer_handle = 0x80000004//主模式的交換正在開始：還沒有策略被共享，路由器仍處于MM_NO_STATE狀態(tài)。響應者收到發(fā)起者的第1條消息后查看IKE策略消息，并嘗試在本地尋找與之匹配的策略，找到后，則返回給發(fā)起者一條消息，即第2條消息。*Mar 1 00:44:: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE*Mar 1 00:44:: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM2 New State = IKE_I_MM3 *Mar 1 00:44:: ISAKMP (0:134217729): received packet from dport 500 sport 500 Global (I) MM_SA_SETUP//第4個包。下面兩個數(shù)據(jù)包信息則就是這兩條信息的具體體現(xiàn)。*Mar 1 00:44:: ISAKMP:(0:0:N/A:0): sending packet to my_port 500 peer_port 500 (I) MM_NO_STATE//第1個包。首先在VPN1和Center上同時打開debug crypto ipsec和debug crypto isakmp，然后在VPN1執(zhí)行命令ping ，調(diào)試中現(xiàn)實的代碼如下：VPN1VPN1debug crypto ipsec Crypto IPSEC debugging is onVPN1debug crypto isakmpCrypto ISAKMP debugging is onVPN1ping Type escape sequence to abort.Sending 5, 100byte ICMP Echos to , timeout is 2 seconds:Packet sent with a source address of *Mar 1 00:44:: IPSEC(sa_request): ,//數(shù)據(jù)觸發(fā)SA。配置IPsec轉(zhuǎn)換集（Transform Set）也就是定義階段2中一些加密算法以及HMAC算法，此Transform Set就是定義了VPN流量中的數(shù)據(jù)包是受到怎樣的保護。配置R3：r3(config) interface fastEthernet 0/0r3(configif)ip address r3(configif)no shutdownr3(config) interface fastEthernet 0/1r3(configif)ip address r3(configif)no shutdownr3(config)ip route 說明：配置R3的接口地址，并寫默認路由指向Internet（路由器R5）。在已經(jīng)搭建好的網(wǎng)絡拓撲中，所有路由器均是模擬型號為3640的思科路由器。由于各個分支機構(gòu)與總部的連接方式大同小異，因此每個分支機構(gòu)在與總部互連時也是大同小異，“系統(tǒng)網(wǎng)絡設計與實現(xiàn)拓撲圖”，： 系統(tǒng)網(wǎng)絡拓撲圖 系統(tǒng)網(wǎng)絡設計與實現(xiàn)拓撲圖思科模擬器軟件GNS3針對于本課題的設計與實現(xiàn)，則是在思科模擬器GNS3上得以實現(xiàn)的。整個網(wǎng)絡進行OSPF區(qū)域劃分合肥總部網(wǎng)絡中心的區(qū)域為Area 6，其中服務器分別為WWW服務器、Email服務器、FTP服務器以及Database服務器，；，依次分別為Area Area Area Area Area 5，；穿越互聯(lián)網(wǎng)的區(qū)域為Area 0。 適用場合：適用于高安全性能、簡單拓撲配置的IP網(wǎng)絡環(huán)境。在IPSec協(xié)議的實現(xiàn)過程中，研究機構(gòu)為了彌補IPSec的這種缺陷，也相繼研究出實現(xiàn)IPSec協(xié)議支持動態(tài)路由協(xié)議的特性，即IPSec Profile。然而，在實際應用當中，就如同前文所述（），穿越整個互聯(lián)網(wǎng)，是不可能鋪設專門的物理鏈路來滿足業(yè)務的需求，因為架設專用鏈路所需的代價太高，顯然這樣的設計是不切實際的。3）消息3消息3是用于對前面的交換進行認證，僅由ISAKMP和散列載荷組成。其中消息的認證時通過相關(guān)散列函數(shù)進行，來自IKE SA的SKEYID_a的值作為一個密鑰，對快速模式進行相關(guān)認證，這樣除了保障了快速模式下數(shù)據(jù)的完整性之外，還能提供對數(shù)據(jù)源的身份認證。由于對消息的數(shù)量進行了限制，主動模式同時也限制了它的協(xié)商能力，而且不會提供身份保護。消息3和消息4發(fā)起者和響應者交換DH公開值和輔助數(shù)據(jù)，如Nonce，Nonce是計算共享秘密（用來生成加密密鑰和認證密鑰）所必需的。對于SKEID的生成，通信各方都要分別提供一個Cookie和Nonce。在這種交換中，IKE通信雙方可相互間傳達有關(guān)錯誤信息和狀態(tài)咨詢，而且一種新的組交換模式可是各方協(xié)商如何在它們之中使用一個新的DiffieHellman組（以下簡稱DH組）。另外IKE定義了它自身的兩種密鑰交換方式。III．檢查所找到的SA是否和步驟II找到的策略相匹配，如果匹配失敗，則重復步驟III和IV，直到所有的策略匹配完成或者匹配成功。其間的含義在于對于外出包來說，先進行加密；對于進入的包來說，認證是首先進行的。同時，作為可選項，用戶可以選擇MDSHA1 算法保證報文的完整性和真實性。AH規(guī)范強制發(fā)送方發(fā)送序列號給接收方，而接收方有權(quán)選擇是否使用抗重放特性，這時接收方可以不管數(shù)據(jù)流中的數(shù)據(jù)報序列號。： AH頭格式下一個頭字段：8bit長度，表示AH頭之后的下一個載荷的類型。 AH和ESPIPsec 提供了兩種安全機制：認證和加密。SA可以創(chuàng)建也可以刪除，可由手工進行創(chuàng)建和刪除操作，也可通過一個Internet標準密鑰管理協(xié)議來完成，如IKE。對于IPSec數(shù)據(jù)流處理而言，有兩個必要的數(shù)據(jù)庫：安全策略數(shù)據(jù)庫SPD和安全關(guān)聯(lián)數(shù)據(jù)庫SADB。，Data為傳輸層數(shù)據(jù)。IPsec所提供的主要安全服務有：（1）數(shù)據(jù)機密性（Confidentiality）：IPsec 發(fā)送方在通過網(wǎng)絡傳輸包前對包進行加密。HMAC（Hashed Message Authentication Code）：Hash算法的特征在于任何大小的數(shù)據(jù)通過Hash計算后，得到的Hash值都是固定長度的，所以如果僅僅是根據(jù)Hash值，是無法推算出數(shù)據(jù)內(nèi)容的，包括將數(shù)據(jù)內(nèi)容還原。根據(jù)在對數(shù)據(jù)進行解密時使用的密鑰和加密使用的密鑰是否完全相同，可將加密算法分為兩類：對稱加密算法和非對稱加密算法。（3）將整個GRE數(shù)據(jù)包當作數(shù)據(jù)，在外層封裝公網(wǎng)IP包頭，也就是隧道的起源和終點，從而路由到隧道終點。以上兩種劃分方式并非沒有關(guān)聯(lián)，相反則是相互包含，比如加密VPN有IPSec VPN和SSL VPN等，非加密VPN則有非數(shù)據(jù)嚴格加密的GRE VPN等，混合VPN則如本課題所涉及到的GRE over IPSec VPN和IPSec over GRE VPN，等等。其工作原理很簡單：第一步，具有PAC的遠程計算機用戶撥號接入使用PPP的本地ISP的網(wǎng)絡訪問服務器（NAS）；第二步，PAC通過PPP連接建立一條控制信道，并且通過互聯(lián)網(wǎng)連接到屬于本地網(wǎng)絡的PNS；第三步，通過控制隧道協(xié)商PPTP隧道參數(shù)，建立PPTP隧道；第四步，通過PAC與PNS之間的PPTP隧道，從遠程用戶建立進入專用NAS的PPP連接；第五步，完成以上四個步驟之后，一個PPTP VPN就建立起來，進而進行相應的網(wǎng)絡數(shù)據(jù)通信。GRE協(xié)議：GRE協(xié)議是VPN的第三層隧道協(xié)議，后續(xù)章節(jié)將對其進行詳細論述，此處不再深入。后來，人們便又逐漸想出很多種辦法來彌補上述的不足，比如遠程撥入，這種網(wǎng)絡互連方法只能滿足那些在流量需求相對比較小、覆蓋范圍比較小的情況，對于覆蓋范圍大、流量需求大的網(wǎng)絡互聯(lián)則體現(xiàn)出遠程撥入的弱勢。首先，如果不同區(qū)域間的計算機內(nèi)網(wǎng)相互通信，必然會穿越互聯(lián)網(wǎng)，這很顯然會將自己的內(nèi)部局域網(wǎng)在互聯(lián)網(wǎng)上公之于眾，必然面臨諸多網(wǎng)絡安全威脅。以上描述了網(wǎng)絡安全威脅的基本組件，談到威脅的分類，則通常通過以下術(shù)語進行分類：勘測攻擊：黑客試圖獲得相關(guān)網(wǎng)絡的信息，包括網(wǎng)絡拓撲、網(wǎng)絡中的設備、在設備上運行的軟件以及應用到設備上的配置。計算機技術(shù)弱點，包括網(wǎng)絡信息運行協(xié)議和操作系統(tǒng)等的安全弱點。絕大多數(shù)的網(wǎng)絡的安全威脅來自于內(nèi)部，所以在進行網(wǎng)絡安全設計時，必須通過內(nèi)部措施處理這個問題，以保護重要資源。網(wǎng)絡安全解決方案一個較好的網(wǎng)絡安全解決方案應該具備以下基本條件：易于使用和實施、應該使公司能夠在網(wǎng)絡中開發(fā)和部署新的應用；應該使公司能以一個安全的方式使用Internet。面對這樣的難題，一般的區(qū)域網(wǎng)絡建設者和使用者，是無法承受得起這么一筆高額費用。以上所最終演變出來的虛擬隧道技術(shù)所形成的互聯(lián)互通的網(wǎng)絡技術(shù)，就是今天眾口皆碑的虛擬專用網(wǎng)技術(shù)，即VPN技術(shù)。MPLS 獨立于第二和第三層協(xié)議。它允許通信載體和其他服務提供商提供遠程撥號接入，其在某些方面和PPTP有些相似。其根本功能就是要實現(xiàn)隧道功能，通過隧道連接的兩個遠程網(wǎng)絡就如同直連，GRE在兩個遠程網(wǎng)絡之間模擬出直連鏈路，從而使網(wǎng)絡間達到直連的效果。1） Router B 從Tunnel 接口收到IP 報文，檢查目的地址；2） 如果發(fā)現(xiàn)目的地是本路由器，則 Router B 剝掉此報文的IP 報頭，交給GRE協(xié)議處理（進行檢驗密鑰、檢查校驗和及報文的序列號等）；3）GRE 協(xié)議完成相應的處理后，剝掉GRE 報頭，再交由X 協(xié)議對此數(shù)據(jù)報進行后續(xù)的轉(zhuǎn)發(fā)處理。AES（Advanced Encryption Standard）AES加密共有三種形式，分為AES 128（128bit長度加密），AES 192（192bit長度加密）以及AES 256（256bit長度加密）；由于AES 256加密長度夠長，安全性夠高，所以推薦使用AES 256。目前Hash算法有：MD5（Message Digest 5）：將任何數(shù)據(jù)通過計算后輸出128bit長度的Hash值。（4）防重放（AntiReplay）：IPsec 接收方可檢測并拒絕接收過時或重復的報文。在實際進行 IP 通信時，可以根據(jù)實際安全需求同時使用這兩種協(xié)議或選擇使用其中的一種。SPD中包含一個策略條目的有序列表，通過使用一個或多個選擇符來確定每一個條目。SA在創(chuàng)建好且加入SADB后，保密數(shù)據(jù)包便會在兩個主機間正常地傳輸。IPsec 協(xié)議中的AH 協(xié)議定義了認證的應用方法，提供數(shù)據(jù)源認證和完整性保證；ESP 協(xié)議定義了加密和可選認證的應用方法，提供數(shù)據(jù)可靠性保證。SPI字段：SPI（任意制定的32bit整數(shù)值）、源地址或者外部IP頭的目的地址和安全協(xié)議（AH或ESP）三者共同構(gòu)成的一個三元組，來唯一標識這個包的安全關(guān)聯(lián)SA。計算ICV的算法因IPSec實施的不同而不同，然而為了保證互操作性，AH有2個默認強制執(zhí)行的認證器：HMACSHA96和HMACMD596。IANA 分配給 ESP 一個協(xié)議數(shù)值 50，在 ESP 頭前的協(xié)議頭總是在“next head”字段（IPv6）或“協(xié)議”（IPv4）字段里包含該值 50。如果SA未建立，IPSec實現(xiàn)將使用IKE協(xié)議協(xié)商一個SA并將其鏈接到SPD選項，接下來SA將用于進行以下處理：I．生成序列號；II．加密數(shù)據(jù)包；III．計算ICV：IV．分段。VI．如果SA指定需要加密服務，應用SA指定的加密算法和密鑰解密數(shù)據(jù)包。 IKE協(xié)議簇圖IKE使用了兩個階段的ISAKMP，其中第1階段建立一個保密的和已認證無誤的通信信道，即IKE SA，以及建立通過認證的密鑰，為雙方的IKE通信提供機密性、消息完整性以及消息源認證服務。而對IKE影響最大的當屬認證方法，通過通信雙方協(xié)商的認證方法，可以改變一次IKE交換，常用的認證方法有：預共享密鑰（Preshared Keys，簡稱PSK）、PKI（系統(tǒng)默認）、使用RSA或者DES得到的數(shù)字簽名、使用交換加密的Nonce。而在整個主模式下共有3個步驟并包含6條消息，三個步驟分別為SA協(xié)商、1次DH交換和1次Nonce交換以及對ISAKMP協(xié)商能力的完全利用。這兩條消息中傳遞的信息是經(jīng)過加密的，而用于加密的密鑰來自于消息3和消息4中交換的密鑰信息，因此身份信息受到了保護。另外，如果發(fā)起者已知響應者的策略，或者對策略有著非常全面的理解，此時發(fā)起方?jīng)]有必要利用IKE和響應者協(xié)商全部功能，則此時也可以用主動模式交換，這樣它們可以更加快捷地建立IKE SA。：1）消息1，發(fā)起者向接收者分別發(fā)送散列載荷、SA載荷、Nonce載荷各一個，以及可選的密鑰交換信