【正文】 如圖 2－ 3所示，只對 IP 數(shù)據(jù)包的有效負載進行加密或認證。 AH 和 ESP都需要使用 SA，而 IKE的主要功能就是 SA 的建立和維護。ESP 是與具體的加密算法相獨立的，幾乎可以支持各種對稱密鑰加密算法，例如 DES，TripleDES， RC5等。其中“下一個頭部 (Next Header)”用來指出有效負載部分使用的協(xié)議，可能是傳輸層協(xié)議 (TCP 或 UDP)，也可能還是 IPSec 協(xié)議 (ESP或 AH)。主要是處理數(shù)據(jù)對，可以對 IP 頭部進行認證，而 ESP的認證功能主要是面對 IP 的有效負載。就上面的例子，比如 A的消息“ hello”就是明文，假設算法是這樣的一組規(guī)則：加密的時候?qū)⒆帜竿笠?x個字母，解密的時候往前移位三個字母。算法是公開的，密鑰是私有的，如何管理和分配私鑰成為重要問題。因此我們需要一種方法來解決這個問題，即驗證數(shù)基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 12 據(jù)的完整性。 從例子上看， A發(fā)給 B 消息， B 要驗證消息確實是 A發(fā)出的，而不是別人發(fā)出的。 總結(jié)一句話：私鑰加密，公鑰解密，實現(xiàn)身份認證。 完整性和數(shù)據(jù)源認證的區(qū)別 本質(zhì)區(qū)別：完整性檢驗只對消息做 hash 值，而數(shù)據(jù)源認證對數(shù)據(jù)和密鑰做 hash。 回顧公鑰密碼體制的最重要特性：密鑰是成對的，而且公鑰加密只有私鑰能解，同樣私鑰加密只有公鑰能解。 數(shù)字簽名的核心在于用私鑰加密。 。 【 DH 算法】 DH 算法，全稱： Diffie — Hellman 算法，是一種非對稱密鑰算法。 用戶 A產(chǎn)生共享秘密密鑰的計算方式是 K = (YB)XA mod q。 IPSec VPN 網(wǎng)絡設計原則 1）實用性原則。網(wǎng)絡系統(tǒng)應采用開放的標準和技術(shù)，如 TCP/IP 協(xié)議、 IEEE802 系列標準等。每家企業(yè)都有自己的商業(yè)機密，如果這些機密被竊取，后果是不堪設想的。因此，需要統(tǒng)一規(guī)劃和設計。 例如業(yè)務部屬于 vlan10，技術(shù)部屬于 vlan20。 VPN 本身就是為了數(shù)據(jù)的安全傳輸設置的，因此不是所有用戶都能夠通過 VPN隧道進行通信，因此，配置 時對感興趣流量進行有效控制。 Routeren Routerconfig terminal Router(config) （ 2） 配置路由器的基本安全參數(shù) 主要是設置特權(quán)口令、遠程訪問口令和路由器名稱，方便遠程調(diào)試。 （ 4） 配置路由器的串口，并測試與上級路由器的連通性 R1(config)inter serial2/0 R1(configif)ip address R1(configif)bandwidth 256 R1(configif)encapsulation ppp R1(configif)no cdp enable R1(configif)no shutdown 以下是測試命令： R1ping …… !!!!! …… R1ping …… !!!!! …… 結(jié)果證明連接及配置正確。 R1show ip nat stat Total active translations: 0 (0 static, 0 dynamic。如果有更多的內(nèi)部網(wǎng)絡，可在此添加相應的命令。 本方案包括 3 個 VPN 隧道。虛擬機是獨立運行主機操作系統(tǒng)的離散環(huán)境。相對上一次測試加了源地址，說明是從 VPN 通信的。 圖 45 Vmware上的 2021服務器 5 測試： VPN 應用測試 將所有路由器按照上述過程，根據(jù)具體的環(huán)境參數(shù)，做必要修改后，完成 VPN的配置。 R1(config)crypto map R1 localaddress serial2/0 IPSec 使用 ESPDES 算法（ 56位加密），并帶 SHA 驗證算法。 R1(config)crypto isakmp policy 10 R1(configisakmp)hash sha R1(configisakmp)authentication preshare R1(configisakmp)encryption des R1(configisakmp)group 1 R1(configisakmp)lifetime 86400 R1(configisakmp)exit 針對每個 VPN 路由器，指定預定義的碼字。內(nèi)部計算機可以通過安全 的途徑訪問 Inter。 R1(config)routemap cisco permit 10 基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 25 R1(configroutemap)match ip address 101 R1(configroutemap)exit 以上命令的作用是指定對外訪問的規(guī)則名。以下假定為一個，使用 PAT(端口地址轉(zhuǎn)換 )模式，地址為 ，上級路由器為 。 4 IPSec VPN 網(wǎng)絡具體規(guī)劃與設計 基礎(chǔ) 網(wǎng)絡構(gòu)建和服務器配置 在總體上規(guī)劃好企業(yè)網(wǎng)絡之后，就要進入具體設計的階段，這也是網(wǎng)絡設計的最重要的環(huán)節(jié)。 在構(gòu)建完基礎(chǔ)網(wǎng)絡后，將進行 VPN 的配置。 設備詳單： 1) 路由器 5 臺 7200 IOS 2) 交換機 2 臺 3640 IOS （目前 DynamipsGUI 模擬器不支持 cisco switch IOS，采用 router 3640 模擬） 3) 服務器 3 臺 windows server 2021 系統(tǒng) 4) 本地主機 windows XP 系統(tǒng) 5) 需求分析設計 按功能初步分為以下 三 個模塊 ： 基礎(chǔ)網(wǎng)絡的構(gòu)建； 基礎(chǔ)網(wǎng)絡的構(gòu)建，是后面搭建 VPN 的前提，要想各分支機構(gòu)無論是要通過公網(wǎng)通信還是要通過 VPN 到其他機構(gòu)的通信，都是以通暢的基礎(chǔ)網(wǎng)絡作為前提和基礎(chǔ)。 6）可管理性原則。企業(yè)的網(wǎng)絡不允許有異常情況發(fā)生，因為一旦網(wǎng)絡發(fā)生異常情況，就會帶來很大的損失。網(wǎng)絡系統(tǒng)應采用成熟可靠的技術(shù)和設備，達到實用、經(jīng)濟和有效的目的。因而敵對方被迫取離散對數(shù)來確定密鑰。 假設用戶 A和 B希望交換一個密鑰，用戶 A選擇一個作為私有密鑰的隨機數(shù) XAq，并計算公開密鑰 YA=aXA mod q。 。 ： DSS 。 p, q, g可由一組用戶共享，但在實際應用中，使基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 14 公共模數(shù)可能會帶來一定的威脅。 hash 算法來實現(xiàn)的。 收到消息和 mac值，將消息和他共享密鑰做同樣的 hash 運 算。 用于身份認證 ，只有對應的私鑰才能解密。） HASH 算法是通過 HASH 函數(shù)來實現(xiàn)的。 在這里不對比這兩種算法的優(yōu)缺點，這里只需知道不管是對稱還是非對稱，都是加密算法，都可以用來作加密，只是密鑰不同。 因此我們可以 這樣理解，加密是要由算法和密鑰共同組成的。 A和 B要進行安全通信，假設 A 要發(fā)送給 B：“ hello“這個信息，肯定不可能直接明文發(fā)送，所以要對發(fā)出去的信息進行加密處理，然后 B收到后再進行解密處理，這樣的過程就是保護數(shù)據(jù)機密性的 過程。當 ESP 工作在傳輸模式時，采用當前的 IP 頭部。使用 ESP 進行安全通信之前，通信雙方需要先協(xié)商好一組將要采用的加密策略，包括使用的算法、密鑰以及密鑰的有效期等。 SA 就是能向其上的數(shù)據(jù)傳輸提供某種 IPSec 安全保障的一個簡單連接，可以由 AH或 ESP 提供。 圖 24 隧道模式示意圖 IPSec 中的三個主要協(xié)議 前面 已經(jīng)提到 IPSec 主要功能為加密和認證，為了進行加密和認證 IPSec 還需要有密鑰的管理和交換的功能，以便為加密和認證提供所需要的密鑰并對密鑰的使用進行管理。但是包過濾防火墻不能保證自內(nèi)部網(wǎng)絡出去的數(shù)據(jù)包不被截取，也不能保證進入內(nèi)部網(wǎng)絡的數(shù)據(jù)包未經(jīng)過篡改。 IPSec 基本工作原理 IPSec 的工作原理 (如圖 l所示 )類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴展。然而，如今企業(yè)信息管理要求支持各種類型的應用： TCP 和 UDP、客戶機 /服務器和 Web、現(xiàn)成和內(nèi)部開發(fā)的程序。有助于降低成本、減緩遠程桌面維護方面的擔憂。這樣降低了在集線器點的擁擠。安全數(shù)據(jù)隧道本質(zhì)上是提供獨立封閉的數(shù)據(jù)包安全傳輸。 VPN 技術(shù)，也就是虛擬專用網(wǎng)技術(shù)，是指在公共網(wǎng)絡中建立私有專用網(wǎng)絡，數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡中傳遞信息。 產(chǎn)品背景 在信息是時代，隨著企業(yè)網(wǎng)應用的日益廣泛，企業(yè)網(wǎng)的范圍也在不斷擴大，從本地網(wǎng)絡發(fā)展到跨地區(qū)、跨城市，甚至是跨國家的網(wǎng)絡。 IPSec 的主要特征在于它可以對所有 IP 級的通信進行加密和認證，正是這一點才使 IPSec 可以確保包括遠程登錄、客戶 /服務器、電子郵件、文件傳輸及 Web 訪問在內(nèi)多種應用程序的安全。Inter 是一個建立在 TCP/IP 協(xié)議基礎(chǔ)上的開放的分組交換網(wǎng)，由于其在最初設計時缺乏安全考慮，導致目前 Inter 的安全性能嚴重不足。 IPSec 針對數(shù)據(jù)在通過公共網(wǎng)絡時的數(shù)據(jù)完整性、安全性和合法性等問題設計了一整套隧道、加密和認證方案。 Tunnel Technology 基于 IPSec 安全體系的 VPN 網(wǎng)絡設計與實現(xiàn) 目 錄 1 引言 ................................................................... 1 產(chǎn)品背景 ............................................................ 1 預期目標和經(jīng)濟效益 .................................................. 2 預期目標 ........................................................ 2 經(jīng)濟效益 ........................................................ 2 2 VPN 接入技術(shù)的選用與 IPSEC VPN 概述 ...................................... 2 VPN 技術(shù)的選用 ...................................................... 2 IPSec VPN ....................................................... 2 SSL VPN ......................................................... 3 IPSEC VPN概述 ....................................................... 4 IPSec 協(xié)議簡介 .................................................. 4 IPSec 基本工作原理 .............................................. 4 IPSec 中的三個主要協(xié)議 .......................................... 6 IPSEC VPN網(wǎng)絡設計原則 .............................................. 17 3 需求分析 .............................................................. 18 運行環(huán)境 ........................................................... 18 需求分析設計 ....................................................... 18 基礎(chǔ)網(wǎng)絡的構(gòu)建； ............................................... 18 在已構(gòu)建的網(wǎng)絡上配置 VPN； ..................................... 19 用網(wǎng)絡測試工具對 VPN 通信進行測試 ............................... 19 4 IPSEC VPN 網(wǎng)絡具體規(guī)劃與設計 ........................................... 20 基礎(chǔ)網(wǎng)絡構(gòu)建和服務器配置 ........................................... 20 VPN 配置過程及測試步驟 ............................................. 22 siteto site 站點到站點，多用于總部與分支辦公室連接 ............ 22 移動用戶與總部進行連接 ..........................