【正文】 isakmp policy 10 R1(configisakmp)hash sha R1(configisakmp)authentication preshare R1(configisakmp)encryption des R1(configisakmp)group 1 R1(configisakmp)lifetime 86400 R1(configisakmp)exit 針對每個 VPN 路由器，指定預(yù)定義的碼字。 圖 45 Vmware上的 2021服務(wù)器 5 測試： VPN 應(yīng)用測試 將所有路由器按照上述過程，根據(jù)具體的環(huán)境參數(shù)，做必要修改后，完成 VPN的配置。虛擬機是獨立運行主機操作系統(tǒng)的離散環(huán)境。如果有更多的內(nèi)部網(wǎng)絡(luò)，可在此添加相應(yīng)的命令。 （ 4） 配置路由器的串口，并測試與上級路由器的連通性 R1(config)inter serial2/0 R1(configif)ip address R1(configif)bandwidth 256 R1(configif)encapsulation ppp R1(configif)no cdp enable R1(configif)no shutdown 以下是測試命令： R1ping …… !!!!! …… R1ping …… !!!!! …… 結(jié)果證明連接及配置正確。 VPN 本身就是為了數(shù)據(jù)的安全傳輸設(shè)置的，因此不是所有用戶都能夠通過 VPN隧道進(jìn)行通信，因此，配置 時對感興趣流量進(jìn)行有效控制。因此，需要統(tǒng)一規(guī)劃和設(shè)計。網(wǎng)絡(luò)系統(tǒng)應(yīng)采用開放的標(biāo)準(zhǔn)和技術(shù)，如 TCP/IP 協(xié)議、 IEEE802 系列標(biāo)準(zhǔn)等。 用戶 A產(chǎn)生共享秘密密鑰的計算方式是 K = (YB)XA mod q。 。 回顧公鑰密碼體制的最重要特性：密鑰是成對的，而且公鑰加密只有私鑰能解，同樣私鑰加密只有公鑰能解。 總結(jié)一句話：私鑰加密，公鑰解密，實現(xiàn)身份認(rèn)證。因此我們需要一種方法來解決這個問題，即驗證數(shù)基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計與實現(xiàn) 12 據(jù)的完整性。就上面的例子，比如 A的消息“ hello”就是明文，假設(shè)算法是這樣的一組規(guī)則：加密的時候?qū)⒆帜竿笠?x個字母，解密的時候往前移位三個字母。其中“下一個頭部 (Next Header)”用來指出有效負(fù)載部分使用的協(xié)議，可能是傳輸層協(xié)議 (TCP 或 UDP)，也可能還是 IPSec 協(xié)議 (ESP或 AH)。 AH 和 ESP都需要使用 SA，而 IKE的主要功能就是 SA 的建立和維護(hù)。但是 IPSec 不同于包過濾防火墻的是，對 IP 數(shù)據(jù)包的處理方法除了丟棄，直接轉(zhuǎn)發(fā) (繞過 IPSec)外，還有一種，即進(jìn)行 IPSec 處理。而這些應(yīng)用對公司及遠(yuǎn)程用戶來說卻是一個關(guān)鍵需求。用戶可以用數(shù)字證書或者預(yù)共享密鑰進(jìn)行認(rèn)證，與安全策略不一致的包被丟棄。國內(nèi)公共信息網(wǎng)在基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計與實現(xiàn) 2 近些年來得到了高速發(fā)展，已經(jīng)遍布全國各地。但是IPSec 協(xié)議是一個比較新的安全協(xié)議，而且非常復(fù)雜，作為一個還沒有完全成熟的協(xié)議，IPSec 在理論上和實踐上都有一些問題有待改進(jìn)。 IPSec 能為 IPv4/IPv6 網(wǎng)絡(luò)提供能共同操作 /使用的、高品質(zhì)的、基于加密的安全機制。 IPSec 在傳輸層之下，對于應(yīng)用程序來說是透明的。同時，企業(yè)還可以利用公共信息網(wǎng)的撥號接入設(shè)備，讓自己的用戶撥號到公共信息網(wǎng)上，就可以安全地連接進(jìn)入企業(yè)網(wǎng)中。 6. 從公司現(xiàn)狀考慮， IPSEC 能利用公司現(xiàn)有設(shè)備 IPSEC 可以結(jié)合現(xiàn)有的防火墻設(shè)備實現(xiàn)，公司總部網(wǎng)絡(luò)無需 增加新的設(shè)備。 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計與實現(xiàn) 4 綜上所述，在設(shè)計上， IPSec VPN 是一種基礎(chǔ)設(shè)施性質(zhì)的安全技術(shù)，這類 VPN的真正價值在于，它們盡量提高 IP 環(huán)境的安全性。只有在對 IP 數(shù)據(jù)包實施了加密和認(rèn)證后，才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機密性，真實性，完整性，通過 Inter進(jìn)新安全的通信才成為可能。當(dāng)給定了一個 SA，就確定了 IPSec 要執(zhí)行的處理，如加密，認(rèn)證等。而在隧道模式時，侍整個 IP 數(shù)據(jù)包進(jìn)行加密作為 ESP 的有效負(fù)載，并在 ESP 頭部前增添以網(wǎng)關(guān)地址為源地址的新的 IP頭部，此時可以起到 NAT 的作用。 目前，很多加密算法都是公開的，也就是大家可以知道這些算法是怎么算的，都是有標(biāo)準(zhǔn)的。 hash 函數(shù)有： MD5， SHA1 hash 函數(shù)的特點，必須記住的： ，輸出是固定長度的值的值（ MD5 是 128 位），叫 hash 值。 hash 值，因為只有消息和密鑰都一樣， hash 值才可能一樣，所以如果 hash 值一樣，則說明消息是正確的，而且說明消息是由 A（擁有共享密鑰的人）發(fā)送的。 簽名 過程如下： 圖 211 數(shù)字簽名示意圖 數(shù)字簽名方案有兩個部分：簽名算法和驗證算法。 注意： 數(shù)字證書安全的前提是第三方是可信任的，如果第三方被偽造，數(shù)字證書就沒有安全性可言。例如，要獲取用戶 B 的秘密密鑰，敵對方必須先計算 XB = inda ,q(YB)然后再使用用戶 B 采用的同樣方法計算其秘密密鑰 K。在這樣的網(wǎng)絡(luò)中，就要盡量使用冗余備份，當(dāng)某個網(wǎng)絡(luò)設(shè)備故障時，網(wǎng)絡(luò)還可以零間斷地繼續(xù)工作，這樣就很好的保障了企業(yè)網(wǎng)絡(luò)的可靠性。 在本設(shè)計中， 以北京站的總部為核心，上海、廣州和武漢三個地區(qū)的點位分支，各點 都 通過運營商提供的網(wǎng)絡(luò)來實現(xiàn)到互聯(lián)網(wǎng)的訪問 外網(wǎng)，內(nèi)部根據(jù)不同情況采取了不同的保護(hù)方式，有的分支機構(gòu)規(guī)模小，只有一臺路由器作為網(wǎng)關(guān)，沒有外網(wǎng)服務(wù)器，只有分支機構(gòu)內(nèi)部使用的 windows 2021 server 服務(wù)器，作為公司內(nèi)部信息的發(fā)布和資源的共享。在這個階段，要對拓?fù)渲械木W(wǎng)絡(luò)的連通、穩(wěn)定傳輸和安全等方面進(jìn)行詳細(xì)的規(guī)劃與設(shè)計。 R1(config)accesslist 101 deny R1(config)accesslist 101deny R1(config)accesslist 101 deny R1(config)accesslist 101 permit ip any 以上命令的作用是指定對外訪問的規(guī)則內(nèi)容?？梢砸粯?，也可以不一樣。網(wǎng)絡(luò)部分任務(wù)完成，可以順利開展業(yè)務(wù)應(yīng)用了。 移動用戶與總部進(jìn)行連接 移動用戶與總部進(jìn)行連接 采用 accessvpn 即： 遠(yuǎn)程訪問 VPN vpdn enable //以下是 ADSL 撥號配置 int f0/1 pppoe enable pppoeclient dialerpoolnumber 1 //定義 dialerpool int dialer1 mtu 1492 //VPN 連接中許多問題是 MTU 造成的 ip address negotiated //IP 地址與對端協(xié)商， ISP 隨機提供動 態(tài) IP encapsulation ppp dialer pool 1 //引用 dialer pool dialergroup 1 //引用敏感流量，符合條件的觸發(fā) ADSL 撥號 ppp authentication pap callin //定義 pap 明文密碼傳輸 ppp pap sentusername xxxx2223030 password 7 ****** dialerlist 1 protocol ip permit //定義敏感流量，這里為所有流量 在 VMware Workstation 虛擬機上安裝 windows server 2021 相應(yīng)服務(wù)器 VMware Workstation 允許 操作系統(tǒng) (OS)和 應(yīng)用程序 (Application)在一臺虛擬機內(nèi)部運行。首先， VPN 隧道只能限于內(nèi)部地址使用。 R1(config)inter f0/0 R1(configif)ip address R1(configif)no shutdown 以下是測試命令： R1ping … !!!!! … R1ping … !!!!! … 在 IP 地址為 的計算機上 : c:ping Pinging with 32 bytes of data: Reply from : bytes=32 time=5ms TTL=255 …… 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計與實現(xiàn) 24 結(jié)果證明連接及配置正確。 在本設(shè)計中，重要是點到點 VPN，采用 IPSec VPN，各分支機構(gòu)都有一條到總公司的 VPN 線路，根據(jù)業(yè)務(wù)需要，也可以在分機構(gòu)間建立 VPN。 網(wǎng)絡(luò)總體設(shè)計不僅要考慮到近期目標(biāo)，也要為企業(yè)以及網(wǎng)絡(luò)的進(jìn)一步發(fā)展留有余地。 3）開放性原則。 B 對 XB 的值保密存放而使 YB 能被 A公開獲得。 圖 214 中間人攻擊 圖示解說： ，（即“公鑰”）指的是 hacker 的公鑰，并不是真正的公鑰，但是 Alice 認(rèn)為是 BOb 的公鑰。數(shù)字簽名涉及的技術(shù)：公鑰密碼體制和完整性檢驗。這樣就驗證了 對方的身份。 ： DES， 3DES， AES；常用 的非對稱加密算法： RSA，DiffieHellman（簡稱 DH） 【完整性保護(hù)】 通過對主機 A 的原始數(shù)據(jù)加密形成密文再傳送保護(hù)了數(shù)據(jù)的機密性，但是在傳輸過程中，如果密文因為某些原因丟失了一部分，或者被別人篡改了，那么在主機 B中就不能收到完整的 A所發(fā)送的的信息了。分為加密密鑰 Ke和解密密鑰 Kd。加密數(shù)據(jù)部分除基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計與實現(xiàn) 7 了包含原 IP 數(shù)據(jù)包的有效負(fù)載，填充域 (用來保證加密數(shù)據(jù)部分滿足塊加密的長度要求 )包含其余部分在傳輸時都是加密過的。所謂安全關(guān)聯(lián)是指安全服務(wù)與它服務(wù)的載體之間的一個“連接”。 這里的處理工作 只有兩種：丟棄或轉(zhuǎn)發(fā) 圖 21 IPSec工作原理示意圖 IPSec 通過查詢 SPD(Security P01icy Database 安全策略數(shù)據(jù)庫 )決定對接收到的IP數(shù)據(jù)包的處理。 2. SSL VPN 無法為遠(yuǎn)程訪問應(yīng)用提供全面的解決方案，因為它并不有助于訪問內(nèi)部開發(fā)的應(yīng)用，也無助于訪問要求多個渠道和動態(tài)端口以及使用多種協(xié)議這類復(fù)雜的應(yīng)用。 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計與實現(xiàn) 3 IPSec 的優(yōu)勢有： 1. 強大的安全性 IPSec 協(xié)議固有的強大的安全特性能夠使用戶進(jìn)行認(rèn)證，保證數(shù)據(jù)的機密性和完整性。傳統(tǒng)的企業(yè)網(wǎng) 專用網(wǎng)的解決方案大多通過向運營商租用各種類型的長途線路來連接各種分支機構(gòu)局域網(wǎng)，或采取數(shù)字加密機加專線的方式進(jìn)行點到點的數(shù)據(jù)傳輸，但是這種方式的網(wǎng)絡(luò)費用高，大多數(shù)企業(yè)難以承受，且可擴展性極差。 IPSec 協(xié)議是現(xiàn)在 VPN 開發(fā)中使用的最廣泛的一種協(xié)議，它有可能在將來成為 IPVPN 的標(biāo)準(zhǔn)。提供包括存取控制、無連接數(shù)據(jù)的完整性、數(shù)據(jù)源認(rèn)證、防止重發(fā)攻擊、基于加密的數(shù)據(jù)機密性和受限數(shù)據(jù)流的機密性服務(wù)。當(dāng)在路由器或防火墻上安裝 IPSec 時，無需更 改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。 VPN 具有節(jié)省成本、提供遠(yuǎn)程訪問、擴展性強、便于管理和實現(xiàn)全面控制等優(yōu)點，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。 7. IPSec 方案適用于在“站點 —— 站點” VPN 方案 IPSec 對 VPN 而言仍是主導(dǎo)性的隧道和加密技術(shù)，就通常的企業(yè)用戶和“站點到站點”連接所需要的直接訪問企業(yè)網(wǎng)絡(luò)功能而言， IPSec 無可比擬。因此，有人堅定地認(rèn)為， IPSec 是提供站點到站點連接的首要工具，是企業(yè)構(gòu)建 VPN 的最佳選擇；而 SSL VPN 缺少站點到站點連接的理想解決方案。 圖 22 IPSec體系示意圖 IPSec 既可以只對 IP數(shù)據(jù)包進(jìn)行加密，或只進(jìn)行認(rèn)證，也可以同時實施二者。 SA可以進(jìn)行兩種方式的組合，分別為傳輸臨近和嵌套隧道。 圖 25 ESP封裝示意圖 2)AH(Authentication Header) AH只涉及到認(rèn)證，不涉及到加密。但是密鑰是要保護(hù)的，這樣即時知道了算法，也不能解密。 函數(shù)是單向的，即正向計算容易，求逆極其困難，我們這里認(rèn)為是不可能的。達(dá)到認(rèn)證和完整性的目的。 圖 211 和圖 212 表示簽名算法和驗證算法。 數(shù)字證書總結(jié)： 1. 驗證過程： A 從第三方下載證書，內(nèi)有 B的公鑰和 B的身份標(biāo)識，由第三方證明公鑰是由 B 所持有。DiffieHellman 密鑰交換算法的安全性依賴于這樣一個事實：雖然計算以一個素數(shù)為基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計與實現(xiàn) 17 模的指數(shù)相對容易，但計算離散對數(shù)卻很困難。 5）安全性原則。內(nèi)網(wǎng)通過 NAT 轉(zhuǎn)換