【正文】 ............... 29 在 VMWARE WORKSTATION虛擬機(jī)上安裝 WINDOWS SERVER 2021 相應(yīng)服務(wù)器 .......... 29 5 測試： VPN 應(yīng)用測試 ..................................................... 30 路由器上測試 ....................................................... 30 使用本地主機(jī)訪問各服務(wù) 器 ........................................... 31 結(jié)論及尚存在的問題 ...................................................... 32 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 參考文獻(xiàn) ................................................................ 33 致謝 .................................................................... 34 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 1 1 引言 隨著 Inter 的快速發(fā)展，人們逐漸把技術(shù)的焦點(diǎn)從網(wǎng)絡(luò)的可用性、信息的獲取性轉(zhuǎn)移到網(wǎng)絡(luò)的安全性、應(yīng)用的簡易性上來 。鑒于它的重要作用，很有必要對(duì)IPSec 協(xié)議及其 VPN 做相關(guān)的探討及研究。如果需要的話， IPSec 可以為個(gè)體用戶提供安全保障，這樣做就可以保護(hù)企業(yè)內(nèi)部的敏感信息。在物理上，各地的公共信息網(wǎng)都是連通 的，但是由于公共信息網(wǎng)是對(duì)社會(huì)開放的，如果企業(yè)的信息要通 過公共信息網(wǎng)進(jìn)行傳輸，在安全性上存在著很多問題。 2 VPN 接入技術(shù)的選用 與 IPSec VPN 概述 VPN 技術(shù)的選用 用于企業(yè)內(nèi)部建設(shè) VPN 虛擬專網(wǎng)的主要有兩種技術(shù) —— IP Sec VPN 和 SSL VPN。 2. 支持遠(yuǎn)程辦公和移動(dòng)辦公 3. IPSec VPN 數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備能夠?yàn)閿?shù) 萬地址上分散的用戶提供服務(wù)。 SSL 嵌在瀏覽器中，遠(yuǎn)程用戶通過瀏覽器來訪問企業(yè)內(nèi)部的 Web 應(yīng)用。譬如說， SSL VPN 沒有架構(gòu)來支持即時(shí)消息傳送、多播、數(shù)據(jù)饋送、視頻會(huì)議 及 VoIP。鑒于 IPv4 的應(yīng)用仍然很廣泛，所以后來在 IPSec 的制定中也增添了對(duì) IPv4 的支持。正是這新增添的處理基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 5 方法提供了比包過濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性。此時(shí)，繼續(xù)使用以前的 IP 頭部，只對(duì) IP 頭部的部分域進(jìn)行修改，而 IPSec 協(xié)議頭部插入到 IP頭部和傳輸層頭部之間。只要實(shí)現(xiàn) AH和 ESP 都必須提供對(duì) SA的支持。為了保證各種 IPSec 實(shí)現(xiàn)間的互操作性，目前 ESP 必須提供對(duì) 56位 DES 算法的支持。 通常， ESP 可以作為 IP 的有效負(fù)載進(jìn)行傳輸，這 JFIP 的頭 UKB 指出下廣個(gè)協(xié)議是ESP，而非 TCP 和 UDP。為了提供最基本的功能并保證互操作性， AH 必須包含對(duì) HMAC?/FONTSHA 和 HMAC?/FONTMD5(HMAC 是一種 SHA 和 MD5 都支持的對(duì)稱式認(rèn)證系統(tǒng) )的支持。密鑰是x，這里假設(shè)密鑰為 3。 現(xiàn)在來看下圖中的 Ke 和 Kd， Ke 是加密時(shí)候用的密鑰， Kd是解密時(shí)候用的密鑰。完整性，可以這樣理解，我們要通過某種方法，來判斷 B收到的信息和 A給的信息是一樣的，是完整的。 身份認(rèn)證可用公鑰密碼體制來驗(yàn)證。 IPSEC VPN 加密通信中的四個(gè)概念： 消息認(rèn)證碼 算法 【 MAC 消息認(rèn)證碼】 消息認(rèn)證碼（ MAC）就是帶密鑰的 hash 函數(shù)，用來做驗(yàn)證用。 第一，數(shù)據(jù)源認(rèn)證必須要求通信，而數(shù)據(jù)完整性認(rèn)證不一定需要通信，例如存儲(chǔ)數(shù)據(jù)的完整性認(rèn)證。 p： L bits 長的素?cái)?shù)。 這里 hash 函數(shù)的作用有兩個(gè)： 1）得到的定長輸出，位數(shù)短，私鑰簽名的時(shí)候速度快。 從中間人攻擊過程可以看出，不安全的因素在于不能識(shí)別公鑰的來源。 目的： 在一個(gè)非安全的通道上安全地建立一個(gè)共享密鑰，用來建立安全的信道。同樣，用戶 B產(chǎn)生共享秘密密鑰的計(jì)算是 K = (YA) XB mod q。 計(jì)算機(jī)設(shè)備、服務(wù)器 設(shè)備和網(wǎng)絡(luò)設(shè)備在技術(shù)性能逐步提升的同時(shí)，其價(jià)格卻在逐年下降。其目標(biāo)首先是要有利于未來網(wǎng)絡(luò)系統(tǒng)的擴(kuò)充，其次還要有利于在需要時(shí)與外部網(wǎng)絡(luò)互通。企業(yè)必須保護(hù)其網(wǎng)絡(luò)系 統(tǒng)，以避免受外來惡意性入侵，但也必須保留足夠空間，使其主要經(jīng)營之業(yè)務(wù)能順利運(yùn)作。網(wǎng)絡(luò)系統(tǒng)應(yīng)在規(guī) 模和性能兩方面具有良好的可擴(kuò)展性。 在本設(shè)計(jì)實(shí)現(xiàn)過程中，中間廣域網(wǎng)部分用一個(gè)路由器代替，用以路由。 用網(wǎng)絡(luò)測試工具對(duì) VPN 通信進(jìn)行測試 VPN 隧道建立后，對(duì)網(wǎng)絡(luò)通信方式進(jìn)行驗(yàn)證時(shí)必不可少的。 Router(config)enable secret linyongqiang Router(config)line vty 0 4 Router(configline)password nyist Router(configline)exit Router(config)hostname R1 R1(config) （ 3） 配置路由器的以太網(wǎng)接口，并測試與本地計(jì)算機(jī)的連通性 注意 : 配置前，請(qǐng)將線纜與相關(guān)設(shè)備連接好。 2. 配置路由器 NAT 網(wǎng)絡(luò) （ 1） 配置外出路由并測試 主要是配置缺省路由。 0 extended) Outside interfaces: Serial2/0 Inside interfaces: f0/0 …… 在 IP 地址為 的計(jì)算機(jī)上，執(zhí)行必要的測試工作，以驗(yàn)證內(nèi)部計(jì)算機(jī)可以通過 PAT 訪問 Inter。 R1(config)accesslist 102 permit ip R1(config)accesslist 103 permit ip R1(config)accesslist 104permit ip 指定 VPN 在建立連接時(shí)協(xié)商 IKE 使用的策略。需要制定 3個(gè)相應(yīng)的入口策略 (下面只給出 1個(gè) )。在 VMware Workstation 中，基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 30 你可以在一個(gè)窗口中加載一臺(tái)虛擬機(jī)，它可以運(yùn)行自己的操作系統(tǒng)和應(yīng)用程序。 使用本地主機(jī)訪問各服務(wù)器 1） 訪問 公網(wǎng) 網(wǎng)站 圖 終端 通過公網(wǎng) 訪問 對(duì)方 外網(wǎng)網(wǎng)站 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 32 2）訪問內(nèi)網(wǎng)網(wǎng)站 圖 終端通過 VPN訪問對(duì)方內(nèi)網(wǎng)網(wǎng)站 結(jié)論及尚存在的問題 ，主要在路由器上進(jìn)行配置，防火墻只充當(dāng)訪問控制工作，而交換機(jī)負(fù)責(zé)局域網(wǎng)的劃分，在設(shè)計(jì)論文敘述中不予詳述。 在這次設(shè)計(jì)中，我選用 windows server 2021 系統(tǒng)，在該系統(tǒng)上安裝 WEB、 FTP 等服務(wù)器，用來實(shí)現(xiàn) XPC 與服務(wù)器的兩種訪問模式。與對(duì)方的路由器建IPSec。在 IKE 協(xié)商過程中使用預(yù)定義的碼字。 R1show ip nat tran Pro Inside global Inside local Outside local Outside global icmp :1975 :1975 :1975 :1975 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 26 …… 以上測試過程說明， NAT 配置正確。 （ 2） 配置 PAT，使內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)可以訪問外部網(wǎng)絡(luò)，但不能訪問其他電視臺(tái) R1(config)inter eth0/0 R1(configif)ip nat inside R1(configif)inter serial0/0 R1(configif)ip nat outside R1(configif)exit 以上命令的作用是 指定內(nèi)外端口。外部網(wǎng)絡(luò)接口地址由 ISP 分配，至少一個(gè)地址，多者不限。例如在主機(jī)上 tracert 命令， 可以清晰看到訪問的具體經(jīng)過的路徑。 基礎(chǔ)網(wǎng)絡(luò)構(gòu)建如下所示：基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 19 圖 31 設(shè)計(jì) 圖 在已構(gòu)建的網(wǎng)絡(luò)上配置 VPN； 有通暢的基礎(chǔ)網(wǎng)絡(luò)基礎(chǔ)是構(gòu)建 VPN 網(wǎng)絡(luò)通信的重要前提。 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 18 3 需求分析 運(yùn)行環(huán)境 在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)完成之后，用模擬軟件對(duì)該網(wǎng)絡(luò)結(jié)構(gòu)予以實(shí)現(xiàn)，在這里我選用DynamipsGUI 模擬器。網(wǎng)絡(luò)安全應(yīng)是永遠(yuǎn)以能符合企業(yè)經(jīng)營目標(biāo)的最大利益為優(yōu)先考量。 作為一個(gè)具有一定規(guī)模的中型企業(yè)。所以，網(wǎng)絡(luò)方案設(shè)計(jì)中應(yīng)把握“夠用”和“實(shí)用”原則。 因?yàn)?XA和 XB 是保密的，一個(gè)敵對(duì)方可以利用的參數(shù)只有 q、 a、 YA和 YB。 詳細(xì)過程： 有兩個(gè)全局公開的參數(shù)，一個(gè)素?cái)?shù) q 和一個(gè)整數(shù) a， a是 q的一個(gè)原根。 數(shù)字證書的解決辦法： 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 16 ，形成證書，這樣公鑰就和身份相對(duì)應(yīng)。 驗(yàn)證算法： 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 15 圖 213 驗(yàn)證算法 數(shù)字簽名總結(jié)： 的技術(shù)支持：完整性算法和公鑰密碼體制。 DSS 中選用 SHA( Secure Hash Algorithm )。 消息認(rèn)證碼總結(jié)： 主要功能是用來做消息認(rèn)證的。 將發(fā)出的消息和密鑰一起做 hash 運(yùn)算，得到 mac 值，附在消息后面。 ，只有對(duì)應(yīng)的公鑰才能解密。（這里需要注意的是完整性可以通過 hash 函數(shù)來實(shí)現(xiàn) ，但是這些 hash 函數(shù)不僅僅只能用來做完整性保護(hù)，具體情況要看被 hash 的數(shù)據(jù)是什么而定，后續(xù)會(huì)提到。 如果在算法中 Ke 和 Kd 是不一樣 的，我們就說這是個(gè)非對(duì)稱密鑰算法。解密密鑰也是 x（這里也是 3），接受方根據(jù)解密算法就可以將密文向前移位三個(gè)字母，就可以得到明文。 （如圖 26） 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 8 圖 26 AH頭 示意圖 3)IKE(Inter Key Exchange) IKE協(xié)議是負(fù)責(zé)在二個(gè) IPsec對(duì)等體間協(xié)商一條 IPsec隧道的協(xié)議 ,IKE在隧道建立過程中主要完成以下任務(wù) : 協(xié)商協(xié)議參數(shù) 交換公共密鑰 對(duì)雙方進(jìn)行認(rèn)證 在交換后對(duì)密鑰進(jìn)行管理 圖 27 IKE示意圖 IKE 也是由三個(gè)協(xié)議組成 SKEME提供為認(rèn)證目的使用公開密鑰加密的機(jī)制 Oakley提供在二個(gè) IPsec 對(duì)等體間達(dá)成相同加密密鑰的基于模式的機(jī)制 ISAKMP定義了消息交換 的體系結(jié)構(gòu) ,包括二個(gè) IPsec 對(duì)等體間分組形式和狀態(tài)轉(zhuǎn)換 . IKE 協(xié)議分為二個(gè)階段 .一條完整的 IPsec 隧道通過以下事件序列建立起來 : 第一步 : IPsec 對(duì)等體收到感興趣流量 (即我們想被加密的流量 )后 ,將產(chǎn)生 IKE 會(huì)話 . 第二步 : 使用 IKE 的主模式 (6條消息 )或主動(dòng)模式 (3條消息 )協(xié)商來使二個(gè) IKE 對(duì)等體的 IKE 安全聯(lián)盟被創(chuàng)建 . 第三步 : 使用 IKE 的快速模式協(xié)商 ,創(chuàng)建二個(gè) IPsec 對(duì)等體間的二個(gè)安全聯(lián)盟 . 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 9 第四步 : 數(shù)據(jù)開始在加密的信道上傳輸 ,使用了 ESP 或是 AH 封裝技術(shù) (或都采用了 ). 從第二步和第 三步可以看出 IKE 協(xié)議分為二個(gè)階段 : 第一階段使用主模式 (6 條消息 )或主動(dòng)模式 (3 條消息 )來完成下面三個(gè)任務(wù) : 協(xié)商形成用來認(rèn)證二個(gè)對(duì)等體的一個(gè)參數(shù)集合并加密一部分主模式和所有的快速模式交換 .如果協(xié)商中使用主動(dòng)模式則沒有主動(dòng)模式被加密 . 二個(gè)對(duì)等體間相互認(rèn)證 .這里驗(yàn)證有三種方法 :預(yù)共享 ,數(shù)字簽名 ,加密臨時(shí)值 . 當(dāng)協(xié)商完成時(shí)產(chǎn)生密鑰 ,該密鑰用于生成實(shí)際加密數(shù)據(jù)的密鑰資源 . 第二階段為快速模式 (3 條消息 ): 主要目標(biāo)是允許二個(gè)對(duì)等協(xié)商一些用于產(chǎn)生 IPsec 安全聯(lián)盟的屬性 ,安全聯(lián)盟可以加密二個(gè)主機(jī)間的 數(shù)據(jù) (ESP). IKE 如何用來形成一條 IPsec 隧道的呢 ? 這一系列過程都是 IKE 這個(gè)協(xié)議來實(shí)現(xiàn) ,IKE 這個(gè)協(xié)議也存在著一些不足 ,“ IKE 之子”或第二版 IKE 正在開發(fā)之中 . 主模式 (6 條消息 )或主動(dòng)模式 (3 條消息 ) 第一階段三個(gè)任務(wù) ,分別用 6個(gè)消息 (主模式 )來完成 ,每二個(gè)為一組 . 第一個(gè)消息由隧道的發(fā)起者發(fā)起 ,攜帶了如這樣一些參數(shù) ,如加密機(jī)制 DES,散列機(jī)制 MD5HMAC,DiffieHellman 組 2,認(rèn)證機(jī)制 預(yù)共享 .