【正文】 .!!!!Success rate is 80 percent (4/5), roundtrip min/avg/max = 60/141/200 msVPN1*Mar 1 00:44:: ISAKMP:(0:0:N/A:0): processing SA payload. message ID = 0*Mar 1 00:44:: ISAKMP:(0:0:N/A:0): processing vendor id payload*Mar 1 00:44:: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 245 mismatch*Mar 1 00:44:: ISAKMP (0:0): vendor ID is NATT v7*Mar 1 00:44:: ISAKMP:(0:0:N/A:0):found peer preshared key matching *Mar 1 00:44:: ISAKMP:(0:0:N/A:0): local preshared key found*Mar 1 00:44:: ISAKMP : Scanning profiles for xauth ...*Mar 1 00:44:: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against priority 100 policy//ISAKMP/IKE 策略的比較在這里開始。Router (config) interface InterfaceRouter (configif)crypto map WORD IPSec VPN案例配置與解析下面將以本課題方案拓撲中的一個分支結(jié)構(gòu)與總部之間的拓撲，來對IPSec進行配置并調(diào)試，查看并IPSec系統(tǒng)中的相關(guān)協(xié)商及建立的過程。，配置GRE：說明：圖中Internet使用路由器R5來模擬。同時，隧道模式因為多增加了數(shù)據(jù)報頭，就會增加網(wǎng)絡(luò)設(shè)備的內(nèi)存和CPU資源，影響網(wǎng)絡(luò)設(shè)備的整體性能，增大網(wǎng)絡(luò)傳輸?shù)难舆t，等等。 適用場合：適用于復(fù)雜的網(wǎng)絡(luò)拓撲、IP或非IP網(wǎng)絡(luò)及高安全性 能的網(wǎng)絡(luò)環(huán)境。由于網(wǎng)絡(luò)接入形式的多樣化，在考慮使用VPN對專線備份，來滿足業(yè)務(wù)延展性的需要，對網(wǎng)絡(luò)的實現(xiàn)形式也增加了限制條件。同時，在單獨一個IKE SA的保護下，可以執(zhí)行一次甚至并發(fā)地執(zhí)行多次快速模式交換。 主模式交換結(jié)構(gòu)圖 IKE協(xié)商會話，下面將針對圖中的6條消息進行闡述。在IKE定義的兩個階段中， IKE體系結(jié)構(gòu)圖所示，階段1包含兩種模式，筆者稱之為主模式和主動模式，而階段2只有一種模式，稱之為快速模式。而一旦確認了一個有效的SA，就可以用它對包進行相應(yīng)處理，處理步驟如下：I．用查到的SA對ESP包進行處理。ESP 的工作原理是在每一個數(shù)據(jù)包的標準IP 包頭后面添加一個ESP 報文頭，并在數(shù)據(jù)包后面追加一個ESP 尾。AH 的工作原理是在每一個數(shù)據(jù)包上添加一個身份驗證報文頭，此報文頭插在標準IP 包頭后面，對數(shù)據(jù)提供完整性保護。SA（Security Association，安全關(guān)聯(lián)）IPsec的所有會話都是在通道中傳輸?shù)?，SA則是IPSec的基礎(chǔ)，但SA并不是隧道，而是一組規(guī)則，是通信對等方之間對某些要素的一種協(xié)定，如IPSec安全協(xié)議、協(xié)議的操作模式、密碼算法、密鑰、用于保護它們之間的數(shù)據(jù)流密鑰的生存期，等等。通常，隧道模式應(yīng)用在兩個安全網(wǎng)關(guān)之間的通信，此時加密點不等于通信點。注：在硬件方面，當采用公鑰加密算法時，速度明顯慢于私鑰加密算法。GRE工作原理及流程概述由上述可見，GRE中的IP數(shù)據(jù)包是一層套一層，總共有3個IP地址?；贛PLS的VPN就是通過LSP將私有網(wǎng)絡(luò)的不同分支聯(lián)結(jié)起來，形成一個統(tǒng)一的網(wǎng)絡(luò)，傳統(tǒng)的VPN一般是通過GRE（Generic Routing Encapsulation）、L2TP（Layer 2 Tunneling Protocol）、PPTP（Point to Point Tunneling Protocol）、IPSec協(xié)議等隧道協(xié)議來實現(xiàn)私有網(wǎng)絡(luò)間數(shù)據(jù)流在公網(wǎng)上的傳送。其次，后來隨著網(wǎng)絡(luò)運營商的發(fā)展及其不斷壯大，很多區(qū)域內(nèi)部網(wǎng)之間的互聯(lián)，便通過租用運營商的網(wǎng)絡(luò)鏈路來成為自身不同區(qū)域內(nèi)部網(wǎng)絡(luò)之間互聯(lián)的專用鏈路，這樣就必須向運營商提供費用不菲的鏈路租費。任何人均可以通過互聯(lián)網(wǎng)獲得很多工具用來發(fā)現(xiàn)網(wǎng)絡(luò)中的安全弱點，這些工具包括端口掃描工具、地址掃描工具以及其他很多工具。另一方面，有組織的威脅是由技術(shù)訓練有素的人試圖獲得對網(wǎng)絡(luò)訪問時實施的。雖然這種解決辦法相對于前者來說更加經(jīng)濟便捷，但是這種費用也不是一筆小的開支，也會使得相當大規(guī)模的網(wǎng)絡(luò)使用者無法承受。MPLS VPN相對于其他VPN，采用MPLS組建的VPN具有更好的可維護性及可擴展性，MPLS VPN更適合于組建大規(guī)模的復(fù)雜的VPN。GRE在實現(xiàn)隧道時，需要創(chuàng)建虛擬直連鏈路，GRE實現(xiàn)的虛擬直連鏈路可以認為是隧道，隧道是模擬鏈路，所以隧道兩端也有IP地址，但隧道需要在公網(wǎng)中找到起點和終點，所以隧道的源和終點分別都以公網(wǎng)IP地址結(jié)尾，該鏈路是通過GRE協(xié)議來完成的，隧道傳遞數(shù)據(jù)包的過程分為3步：（1）將接收原始IP數(shù)據(jù)包中的協(xié)議當作乘客協(xié)議，原始IP數(shù)據(jù)包包頭的IP地址為私有IP地址。雖然使用公鑰加密算法似乎更安全，但通常都使用私鑰加密算法，而使用私鑰加密算法的重點就是要保證密鑰的安全傳遞與交換，所以該工作就由公鑰加密算法來完成。（2） 傳輸（transport）模式：只是傳輸層數(shù)據(jù)被用來計算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被放置在原IP 包頭后面。SA由3個部分內(nèi)容唯一標識，即SPI、IP目的地址和安全協(xié)議標識符。AH定義了保護方法、頭的位置、認證范圍以及輸入輸出的處理機制，且沒有定義要用的具體認證算法, 可選擇的認證算法有MD5（Message Digest）、SHA1（Secure Hash Algorithm）等。與AH 協(xié)議不同的是，ESP 將需要保護的用戶數(shù)據(jù)進行加密后再封裝到IP 包中，以保證數(shù)據(jù)的機密性。首先檢驗已確定IP頭中的選擇符是否和SA中的匹配，如果不匹配則拋棄該數(shù)據(jù)包并審核事件；如果匹配，IPSec應(yīng)用跟蹤SA以及它相對于其他SA的應(yīng)用順序并重復(fù)查找SA和步驟I，直到遇到一個傳輸層協(xié)議或者一個非IPSec擴展頭。 IKE體系結(jié)構(gòu)圖在上述所說的階段1為IKE建立的IKE SA提供了一套保護套件，其中包括各種實踐中所需的參數(shù)，包括加密算法、散列算法、認證方法以及DiffieHellman組，其在協(xié)商過程中是作為整個套件進行協(xié)商。消息1和消息2發(fā)起者首先向響應(yīng)者發(fā)送其所有的SA載荷信息，響應(yīng)者收到發(fā)起者的消息1之后，將向發(fā)起者發(fā)送1個SA載荷，用于說明它所接受的正在協(xié)商的SA。在本模式交換中，通信雙方需要協(xié)商擬定IPSec SA的各項特征，并為其生成密鑰。如何在開放的Internet網(wǎng)絡(luò)上建立私有數(shù)據(jù)傳輸通道，將遠程的分支連接起來，同時又要保證數(shù)據(jù)傳輸?shù)陌踩?？以下將根?jù)實際需求和相關(guān)技術(shù)的優(yōu)勝劣汰進行闡述，以最終選擇出適合本課題的最佳技術(shù)方案。 IPSec優(yōu)點：為數(shù)據(jù)提供加密、完整性、源認證和防重放功能。鑒于上述原因，最終選擇了GRE over IPSec VPN技術(shù)中的IPSec傳輸模式。 GRE實驗拓撲 配置網(wǎng)絡(luò)環(huán)境配置R1：r1(config) interface fastEthernet0/0 r1(configif)ip address r1(configif)no shutdownr1(config) interface fastEthernet0/1r1(configif)ip address r1(configif)no shutdownr1(config)ip route 說明：配置R1的接口地址，并寫默認路由指向Internet（路由器R5）。 IPSec VPN實驗拓撲，筆者在此假定路由器的接口等基本配置已經(jīng)完成，筆者緊緊根據(jù)IPSec通信兩端進行IPSec配置。*Mar 1 00:44:: ISAKMP: encryption 3DESCBC*Mar 1 00:44:: ISAKMP: hash SHA*Mar 1 00:44:: ISAKMP: default group 2*Mar 1 00:44:: ISAKMP: auth preshare*Mar 1 00:44:: ISAKMP: life type in seconds*Mar 1 00:44:: ISAKMP: life duration (VPI) of 0x0 VPN10x1 0x51 0x80 *Mar 1 00:44:: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 0//此消息代表匹配的策略已經(jīng)找到，表示第2個包協(xié)商成功。*Mar 1 00:44:: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH*Mar 1 00:44:: ISAKMP:(0:0:N/A:0):Old State = IKE_I_MM1 New State = IKE_I_MM2 //MM 12主要作用就是協(xié)商peer的地址和第一階段的策略。 Router(config)crypto map WORD 1 ipsecisakmpRouter(configcryptomap)set ? identity Identity restriction. ip Interface Internet Protocol config mands isakmpprofile Specify isakmp Profile nat Set NAT translation peer Allowed Encryption/Decryption peer. pfs Specify pfs settings securityassociation Security association parameters transformset Specify list of transform sets in priority order將crypto map應(yīng)用于接口 crypto map配置后，是不會生效的，必須將crypto map應(yīng)用到三層功能的接口上。下面將結(jié)合實例進行詳細配置介紹。由此可見，針對于GRE數(shù)據(jù)包，各分支機構(gòu)的邊界路由器與總部的邊界路由器之間相互通信的加密點和通信點均落在所有的邊界路由器上，故而可以選擇的IPSec的數(shù)據(jù)包封裝模式為傳輸模式，而不是選擇隧道模式，主要是因為隧道模式要比傳輸模式多了一個20B的、和傳輸模式一樣的報頭，這樣就使得每個隧道模式的數(shù)據(jù)包比傳輸模式的數(shù)據(jù)包少傳輸20B的數(shù)據(jù)，影響到數(shù)據(jù)的傳輸速率。 缺點：不提供安全加密功能。根據(jù)業(yè)務(wù)的需要，為了更好更穩(wěn)定的保證總部與分支的數(shù)據(jù)通訊，分支和中心之間采用OSPF動態(tài)路由協(xié)議。（4）快速模式在經(jīng)過階段1建立好IKE SA之后，可用這些IKE SA為其他安全協(xié)議生成相應(yīng)的SA，而這些SA則是通過快速模式交換建立起來的。、由于本課題方案中采用的是預(yù)共享密鑰認證方式，所以下面以預(yù)共享密鑰認證為例，來講述主模式的體系結(jié)構(gòu)，而其他認證方式的主模式交換體系結(jié)構(gòu)與此類似。第2階段則利用第1階段的IKE SA來協(xié)商建立IPSec 具體的SA。2）處理進入數(shù)據(jù)包當接收方收到ESP包后的第一件事就是檢查處理這個包的SA，如果查找失敗，則丟棄此包，并重新審核該事件。ESP（Encapsulating Security Protocol，封裝安全載荷）[23]IPsec 封裝安全負載（IPsec ESP）是 IPsec 體系結(jié)構(gòu)中的一種主要協(xié)議，保證為通信中的數(shù)據(jù)提供機密性和完整性。[21][22]AH（Authentication Header，認證頭）AH用于為IP提供無連接的數(shù)據(jù)完整性、數(shù)據(jù)源認證和一些有限的（可選的）抗重放服務(wù)，但不提供任何加密服務(wù)，故而不需要任何加密算法，但需要一個認證器，用于進行后續(xù)的認證操作。IPSec選擇符包括：目的IP地址、源IP地址、名字、上層協(xié)議、源端口和目的端口以及一個數(shù)據(jù)敏感級別。IPSec的封裝模式IPsec 有如下兩種工作模式：（1）隧道（tunnel）模式：用戶的整個IP 數(shù)據(jù)包被用來計算AH或ESP 頭，AH或ESP 頭以及ESP加密的用戶數(shù)據(jù)被封裝在一個新的IP 數(shù)據(jù)包中。（2）對稱加密算法（公約加密算法）RSA公鑰加密算法的名字是發(fā)明者的人名：Rivest, Shamir and Adleman，該算法的長度位數(shù)不定，由人手工定義。 GRE的主要特性如下：n（1）將原始數(shù)據(jù)包被包裹在外層協(xié)議之內(nèi)；n（2）GRE需要在原IP報頭之外增加新的IP報頭；n（3）GRE是一種無狀態(tài)協(xié)議，不提供可靠地流控傳輸機制；n（4） GRE支持IP協(xié)議和非IP協(xié)議；n（5）GRE支持單播、組播和廣播；n（6）GRE不具備安全加密功能。它提供了一種方式，將 IP 地址映射為簡單的具有固定長度的標簽，用于不同的包轉(zhuǎn)發(fā)和包交換技術(shù)。顯而易見，這種解決上述