【正文】 o Point Tunneling Protocol，即點(diǎn)到點(diǎn)隧道協(xié)議，其功能由兩部分構(gòu)成：訪問集中器PAC和網(wǎng)絡(luò)服務(wù)器PNS，而PPTP則是在二者之間實(shí)現(xiàn)，而且二者之間并不包括其他系統(tǒng)。VPN同實(shí)際物理鏈路網(wǎng)絡(luò)一樣，其中有時根據(jù)需要也要運(yùn)行某種網(wǎng)絡(luò)協(xié)議，VPN常用的協(xié)議有以下幾種：IPSec協(xié)議：IPSec是保護(hù)IP協(xié)議安全通信的標(biāo)準(zhǔn)，它主要對IP協(xié)議分組進(jìn)行加密和認(rèn)證，后續(xù)章節(jié)將對其進(jìn)行詳細(xì)論述，此處不再深入。同時運(yùn)營商只將自己的這部分物理鏈路租用給一家網(wǎng)絡(luò)，這顯然使得運(yùn)營商的物理鏈路沒有得到更高的使用效率，浪費(fèi)運(yùn)營商的物理網(wǎng)絡(luò)資源。于是，人類逐步想了諸多解決辦法。這些黑客建立和使用很高級的工具攻入網(wǎng)絡(luò)或者干擾網(wǎng)絡(luò)中正常運(yùn)行的各種服務(wù)。網(wǎng)絡(luò)安全的由來網(wǎng)絡(luò)安全可分為三個基本類型：網(wǎng)絡(luò)策略定義中的弱點(diǎn)，包括業(yè)務(wù)和安全策略弱點(diǎn)，而這些策略則是網(wǎng)絡(luò)正常運(yùn)行的先決條件。安全威脅的基本方式分為無組織的和有組織的兩種威脅類型，其中無組織的威脅是指由于缺乏經(jīng)驗(yàn)而崇拜黑客的人試圖獲得對網(wǎng)絡(luò)的訪問時形成的安全威脅。思科在網(wǎng)絡(luò)安全設(shè)計(jì)方面則有一套安全輪形圖，其中包含四個步驟，即：保護(hù)網(wǎng)絡(luò)安全、監(jiān)控網(wǎng)絡(luò)安全、測試網(wǎng)絡(luò)安全和改進(jìn)網(wǎng)絡(luò)安全。顯而易見，這種解決上述難題的辦法在當(dāng)今互聯(lián)網(wǎng)世界里是不切合實(shí)際的。 2. VPN技術(shù)簡介虛擬專用網(wǎng)（VPN）是通過互聯(lián)網(wǎng)來臨時建立一個臨時的、安全的網(wǎng)絡(luò)連接，是一種穿越互聯(lián)網(wǎng)的安全、穩(wěn)定的虛擬隧道。它提供了一種方式，將 IP 地址映射為簡單的具有固定長度的標(biāo)簽，用于不同的包轉(zhuǎn)發(fā)和包交換技術(shù)。L2TP：Layer 2 Tunneling Protocol，即第二層隧道協(xié)議，與PPTP和L2F相似，三者只是基于不同的網(wǎng)絡(luò)設(shè)備和設(shè)備生產(chǎn)商基于不同的目的而開發(fā)的。 GRE的主要特性如下：n（1）將原始數(shù)據(jù)包被包裹在外層協(xié)議之內(nèi)；n（2）GRE需要在原IP報(bào)頭之外增加新的IP報(bào)頭；n（3）GRE是一種無狀態(tài)協(xié)議，不提供可靠地流控傳輸機(jī)制；n（4） GRE支持IP協(xié)議和非IP協(xié)議；n（5）GRE支持單播、組播和廣播；n（6）GRE不具備安全加密功能。 IPSec概述加密學(xué)概述加密算法：當(dāng)不同的遠(yuǎn)程網(wǎng)絡(luò)通過Internet連接時，網(wǎng)絡(luò)之間直接通過私有地址進(jìn)行互訪只是需求之一，除此之外，還有個非常重要的需求，那就是數(shù)據(jù)安全。（2）對稱加密算法（公約加密算法）RSA公鑰加密算法的名字是發(fā)明者的人名：Rivest, Shamir and Adleman，該算法的長度位數(shù)不定，由人手工定義。SHA1（Secure Hash Algorithm 1）：160bit digest，將任何數(shù)據(jù)通過計(jì)算后輸出160bit長度的Hash值。IPSec的封裝模式IPsec 有如下兩種工作模式：（1）隧道（tunnel）模式：用戶的整個IP 數(shù)據(jù)包被用來計(jì)算AH或ESP 頭，AH或ESP 頭以及ESP加密的用戶數(shù)據(jù)被封裝在一個新的IP 數(shù)據(jù)包中。AH和ESP 都可以提供認(rèn)證服務(wù)，不過，AH 提供的認(rèn)證服務(wù)要強(qiáng)于ESP。IPSec選擇符包括：目的IP地址、源IP地址、名字、上層協(xié)議、源端口和目的端口以及一個數(shù)據(jù)敏感級別。SA的刪除有諸多情況：（1）存活時間過期；（2）密鑰已遭破解；（3）使用SA加密/解密或驗(yàn)證的字節(jié)數(shù)已經(jīng)超過策略設(shè)定的某一個閥值；（4）另一端請求刪除相應(yīng)SA。[21][22]AH（Authentication Header，認(rèn)證頭）AH用于為IP提供無連接的數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證和一些有限的（可選的）抗重放服務(wù)，但不提供任何加密服務(wù)，故而不需要任何加密算法，但需要一個認(rèn)證器，用于進(jìn)行后續(xù)的認(rèn)證操作。序列號：序列號包含一個單向遞增的計(jì)數(shù)器，是一個32bit的唯一的無符號整數(shù)值。ESP（Encapsulating Security Protocol，封裝安全載荷）[23]IPsec 封裝安全負(fù)載（IPsec ESP）是 IPsec 體系結(jié)構(gòu)中的一種主要協(xié)議，保證為通信中的數(shù)據(jù)提供機(jī)密性和完整性。ESP 包含一個非加密協(xié)議頭，后面是加密數(shù)據(jù)。2）處理進(jìn)入數(shù)據(jù)包當(dāng)接收方收到ESP包后的第一件事就是檢查處理這個包的SA，如果查找失敗，則丟棄此包，并重新審核該事件。一般加密處理對CPU和內(nèi)存的占用很大，如果允許IPSec系統(tǒng)進(jìn)行不必要的數(shù)據(jù)包加密/解密，系統(tǒng)很容易受到拒絕服務(wù)攻擊，所以需要加密/解密時，只有成功認(rèn)證數(shù)據(jù)包后才進(jìn)行加密和解密。第2階段則利用第1階段的IKE SA來協(xié)商建立IPSec 具體的SA。在通信雙方第一條信息時，通信各方在向?qū)Ψ桨l(fā)送一部分外部可見的特征外，彼此都會保留一些私密信息，用于認(rèn)證和保護(hù)IKE消息，以及為其他的安全服務(wù)衍生出相應(yīng)的密鑰。、由于本課題方案中采用的是預(yù)共享密鑰認(rèn)證方式，所以下面以預(yù)共享密鑰認(rèn)證為例，來講述主模式的體系結(jié)構(gòu)，而其他認(rèn)證方式的主模式交換體系結(jié)構(gòu)與此類似。本次交換中通信雙方各自標(biāo)定自己的身份，并相互交換認(rèn)證散列摘要，交換過程中，用SKEYID_e進(jìn)行加密。（4）快速模式在經(jīng)過階段1建立好IKE SA之后，可用這些IKE SA為其他安全協(xié)議生成相應(yīng)的SA，而這些SA則是通過快速模式交換建立起來的。如果需要PFS，則此消息中必須包含密鑰交換信息。根據(jù)業(yè)務(wù)的需要，為了更好更穩(wěn)定的保證總部與分支的數(shù)據(jù)通訊，分支和中心之間采用OSPF動態(tài)路由協(xié)議。另外，MPLS VPN在此也不大適合集團(tuán)的VPN設(shè)計(jì)，因?yàn)镸PLS是獨(dú)立于二層和三層的協(xié)議，其適合更大的機(jī)構(gòu)網(wǎng)絡(luò)運(yùn)用，因?yàn)榇笮途W(wǎng)絡(luò)要結(jié)合IGP和BGP，而MPLS就是由于此種需求應(yīng)運(yùn)而生的，因此在本案例設(shè)計(jì)中，也不應(yīng)該用此技術(shù)。 缺點(diǎn)：不提供安全加密功能。關(guān)于這兩種技術(shù)（即GRE over IPSec VPN技術(shù)和IPSec over GRE VPN技術(shù)）的細(xì)則問題，則后文第四章的相關(guān)章節(jié)有詳細(xì)的介紹，此處不多做解釋，而最終的選擇則是GRE over IPSec VPN技術(shù)，下面將針對此技術(shù)進(jìn)行本系統(tǒng)的規(guī)劃和設(shè)計(jì)。由此可見，針對于GRE數(shù)據(jù)包，各分支機(jī)構(gòu)的邊界路由器與總部的邊界路由器之間相互通信的加密點(diǎn)和通信點(diǎn)均落在所有的邊界路由器上，故而可以選擇的IPSec的數(shù)據(jù)包封裝模式為傳輸模式，而不是選擇隧道模式，主要是因?yàn)樗淼滥Ｊ揭葌鬏斈Ｊ蕉嗔艘粋€20B的、和傳輸模式一樣的報(bào)頭，這樣就使得每個隧道模式的數(shù)據(jù)包比傳輸模式的數(shù)據(jù)包少傳輸20B的數(shù)據(jù)，影響到數(shù)據(jù)的傳輸速率。Wireshark軟件為了驗(yàn)證所設(shè)計(jì)的VPN隧道的功能是否與預(yù)期的相一致，在本課題最終實(shí)現(xiàn)的過程中，通過在模擬的互聯(lián)網(wǎng)和終端進(jìn)行數(shù)據(jù)流捕獲操作，然后對捕獲得到的數(shù)據(jù)條目信息進(jìn)行直觀地分析，并在一定程度上對部分?jǐn)?shù)據(jù)包進(jìn)行深入分析，這樣則可以驗(yàn)證數(shù)據(jù)通信在整個VPN隧道和終端的傳輸過程，進(jìn)而檢驗(yàn)本課題設(shè)計(jì)與仿真的成功與否。下面將結(jié)合實(shí)例進(jìn)行詳細(xì)配置介紹。（2）在合肥總部路由器R3上配置連接到安慶分部路由器R1的GRE隧道：r3(config)interface tunnel 3r3(configif)ip address r3(configif)tunnel source r3(configif)tunnel destination r3(configif)exit（3）在創(chuàng)建GRE隧道的路由器雙方將去往對方私有網(wǎng)段的數(shù)據(jù)包引入GRE隧道中傳輸：R1：r1(config)ip route tunnel 1R3：r3(config)ip route tunnel 3：r2ping Type escape sequence to abort.Sending 5, 100byte ICMP Echos to , timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), roundtrip min/avg/max = 24/80/240 ms說明：。 Router(config)crypto map WORD 1 ipsecisakmpRouter(configcryptomap)set ? identity Identity restriction. ip Interface Internet Protocol config mands isakmpprofile Specify isakmp Profile nat Set NAT translation peer Allowed Encryption/Decryption peer. pfs Specify pfs settings securityassociation Security association parameters transformset Specify list of transform sets in priority order將crypto map應(yīng)用于接口 crypto map配置后，是不會生效的，必須將crypto map應(yīng)用到三層功能的接口上。*Mar 1 00:44:: ISAKMP:(0:0:N/A:0): beginning Main Mode exchange//開始IKE階段1中的主模式交換。*Mar 1 00:44:: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH*Mar 1 00:44:: ISAKMP:(0:0:N/A:0):Old State = IKE_I_MM1 New State = IKE_I_MM2 //MM 12主要作用就是協(xié)商peer的地址和第一階段的策略。*Mar 1 00:44:: ISAKMP:(0:1:SW:1): processing KE payload. message ID = 0*Mar 1 00:44:: ISAKMP:(0:1:SW:1): processing NONCE payload. message ID = 0*Mar 1 00:44:: ISAKMP:(0:1:SW:1):found peer preshared key 。*Mar 1 00:44:: ISAKMP: encryption 3DESCBC*Mar 1 00:44:: ISAKMP: hash SHA*Mar 1 00:44:: ISAKMP: default group 2*Mar 1 00:44:: ISAKMP: auth preshare*Mar 1 00:44:: ISAKMP: life type in seconds*Mar 1 00:44:: ISAKMP: life duration (VPI) of 0x0 VPN10x1 0x51 0x80 *Mar 1 00:44:: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 0//此消息代表匹配的策略已經(jīng)找到，表示第2個包協(xié)商成功。RFC中建議，cookie是將源/目IP、源/目端口、本地生成的隨機(jī)數(shù)、日期以及時間進(jìn)行散列操作得到的，從而成為留在IKE協(xié)商中交換信息的唯一標(biāo)識。 IPSec VPN實(shí)驗(yàn)拓?fù)?，筆者在此假定路由器的接口等基本配置已經(jīng)完成，筆者緊緊根據(jù)IPSec通信兩端進(jìn)行IPSec配置。 IPSec VPN基本配置步驟配置IKE（ISAKMP）策略定義IKE 階段1中的策略，包括加密算法（Encryption），Hash算法（HMAC），密鑰算法（DiffieHellman），認(rèn)證方式（Authentication）等等，每項(xiàng)的具體信息請參考前文內(nèi)容。 GRE實(shí)驗(yàn)拓?fù)?配置網(wǎng)絡(luò)環(huán)境配置R1：r1(config) interface fastEthernet0/0 r1(configif)ip address r1(configif)no shutdownr1(config) interface fastEthernet0/1r1(configif)ip address r1(configif)no shutdownr1(config)ip route 說明：配置R1的接口地址，并寫默認(rèn)路由指向Internet（路由器R5）。在本課題的設(shè)計(jì)與仿真當(dāng)中，在VMware Workstation軟件上安裝兩個windows server 2003系統(tǒng)來構(gòu)建兩臺虛擬機(jī)，其中一臺用作系統(tǒng)中位于總部的服務(wù)器，另一臺用作位于VPN1路由器端得終端PC。鑒于上述原因，最終選擇了GRE over IPSec VPN技術(shù)中的IPSec傳輸模式。路由器ISP則代表互聯(lián)網(wǎng)，其接口serial0/0~s1/1則代表運(yùn)營商提供給總部和每個分支機(jī)構(gòu)的出口，、。 IPSec優(yōu)點(diǎn)：為數(shù)據(jù)提供加密、完整性、源認(rèn)證和防重放功能。因此，鑒于以上分析，適合三層VPN技術(shù)的有GRE VPN技術(shù)和IPSec VPN技術(shù)。如何在開放的Internet網(wǎng)絡(luò)上建立私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程的分支連接起來，同時又要保證數(shù)據(jù)傳輸?shù)陌踩?？以下將根?jù)實(shí)際需求和相關(guān)技術(shù)的優(yōu)勝劣汰進(jìn)行闡述，以最終選擇出適合本課題的最佳技術(shù)方案。2）消息2消息2中的載荷和消息1中的載荷類型。在本模式交換中，通信雙方需要協(xié)商擬定IPSec SA的各項(xiàng)特征，并為其生成密鑰。（3）主動模式主動模式和主模式的作用相同，都是建立一個