【文章內容簡介】 RD|ST 2 IPSEC 2 RD|ST 1 IPSEC flag meaning RDREADY STSTAYALIVE RLREPLACED FDFADING TO— TIMEOUT （ 5） 分部 1的 ipsec sa 狀態(tài)； [branch1]dis ipsec sa =============================== Interface: Serial2/0 path MTU: 1500 =============================== IPsec policy name: branch1 sequence number: 10 mode: isakmp connection id: 3 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: remote address: Flow : sour addr: : 0 protocol: GRE dest addr: : 0 protocol: GRE [inbound ESP SAs] spi: 3177135980 (0xbd5f3f6c) proposal: ESPENCRYPTDES ESPAUTHMD5 sa duration (kilobytes/sec): 1843200/3600 sa remaining duration (kilobytes/sec): 1843200/2348 max received sequencenumber: 1 antireplay check enable: Y antireplay window size: 32 udp encapsulation used for nat traversal: N 重慶科技學院《網(wǎng)絡系統(tǒng)集成》實訓報告 12 [outbound ESP SAs] spi: 4140546555 (0xf6cbb9fb) proposal: ESPENCRYPTDES ESPAUTHMD5 sa duration (kilobytes/sec): 1843200/3600 sa remaining duration (kilobytes/sec): 1843188/2348 max sent sequencenumber: 126 udp encapsulation used for nat traversal: N （ 6） 分部 1的路由表 [Branch1]dis ip routingtable Routing Tables: Public Destinations : 13 Routes : 13 Destination/Mask Proto Pre Cost NextHop Interface 實驗疑問解答 實驗中的當吧配置文檔敲進去后，我能夠看到實驗效果，就是網(wǎng)絡拓撲中兩端的 PC能夠 ping通，但是查看不了 各個路由器中的 ike sa狀態(tài)和 ipsec sa狀態(tài)。 原因：實驗中我配置的時候是以我的理解去配置實驗，配置的時候，我將IPSec policy 應用在 tunnel0 與 tunne1 上面，而不是應用在 Serial1/0 和 重慶科技學院《網(wǎng)絡系統(tǒng)集成》實訓報告 13 Serial2/0 里， 還有就是少配置了 idtype name 這條命令， 所以實驗中雖然能夠通，但是確不是從虛擬鏈路上面的。 問題回答 請闡述 IPSec是通過哪些 協(xié)議來實現(xiàn)安全服務的？這些協(xié)議分別起什么作用？。 Authentication Header： AH定義在 IETF RFC 2402，它支持 IPsec數(shù)據(jù)驗證、認證和完整性服務。它不支持數(shù)據(jù)加密。 AH一般是單獨實現(xiàn)的，但是它也可以與ESP一起實現(xiàn)。 AH只有當我們需要保證交換數(shù)據(jù)雙方安全時才會使用。 Encapsulating Security Payload： ESP定義在 IETF RFC 2406，它支持 IPsec數(shù)據(jù)加密、驗證、認證和完整性服務。 ESP可以單獨實現(xiàn)，也可以與 AH一起實現(xiàn)。AH頭是預先設置在 IP數(shù)據(jù)包的數(shù)據(jù)有效內容位置的，而 ESP則將 IP數(shù)據(jù)包的整個數(shù)據(jù)部分封裝到一個頭和尾上。 Inter Security Association and Key Management Protocol (ISAKMP)：這些協(xié)議提供了實現(xiàn) IPsec VPN服務協(xié)商的框架和過程。 ISAKMP定義在 IETF RFC 2408。 IKE定義在 IETF RFC 2409。 ISAKMP定義了創(chuàng)建和刪除認證密鑰和安全關聯(lián)（ SA）的模式、語法和過程。 IPsec節(jié)點會使用 SA來跟蹤不同 IPsec節(jié)點之間協(xié)商的各個方面的安全 性服務政策。 Inter Key Exchange： IKE是 Oakley密鑰判定協(xié)議和 SKEME密鑰交換協(xié)議的混合物。 IKE協(xié)議負責管理 IPsec VPN節(jié)點的 ISAKMP中的 IPsec安全關聯(lián)。 IKE協(xié)議可以被 ISAKMP使用； 但是它們并不相同。 IKE是建立 IPsec節(jié)點之間 IPsec連接的機制。 什么叫 GRE（ Generic Routing Encapsulation，通用路由封裝）協(xié)議，該協(xié)議有何特點？ 定義： IP隧道技術中使用的一種封裝格式：把企業(yè)內部網(wǎng)的各種信息分組封裝在內，可通過 IP協(xié)議透明地穿過因特網(wǎng)，實現(xiàn)端點之間互連。 GRE（ Generic Routing Encapsulation，通用路由封裝）協(xié)議是對某些網(wǎng)絡層協(xié)議（如 IP 和 IPX）的數(shù)據(jù) 報文 進行封裝，使這些被封裝的數(shù)據(jù)報文能夠在另一個網(wǎng)絡層協(xié)議（如 IP）中傳輸。 GRE采用了 Tunnel（隧道）技術，是 VPN（ Virtual Private Network）的第三層隧道協(xié)議。 Tunnel 是一個虛擬的點對點的連接，提供了一條通路使封裝的數(shù)據(jù) 報文 能夠在這個通路上傳輸，并且在一個 Tunnel 的兩端分別對數(shù)據(jù)報進行封裝及解封裝。 特點： 通過 GRE，用戶可以利用公共 IP網(wǎng)絡連接非 IP網(wǎng)絡 VPN通過 GRE，還可重慶科技學院《網(wǎng)絡系統(tǒng)集成》實訓報告 14 以使用保留地址進行網(wǎng)絡互聯(lián)，或者對公網(wǎng)隱藏企業(yè)網(wǎng)的 IP地址。擴大了網(wǎng)絡的工作范圍，包括那些路由網(wǎng)關有限的協(xié)議。 只封裝不加密，路由器性能影響較小，設備檔次要求相 對較低 。 缺點只封裝不加密，不能防止網(wǎng)絡監(jiān)聽和攻擊，所以在實際環(huán)境中經(jīng)常與 IPSec一起使用。基于隧道的 VPN實現(xiàn)方式，所以 IPSec VPN在管理、組網(wǎng)上的缺陷， GRE VPN也同樣具有。對原有 IP報文進行了重新封裝，所以同樣無法實施 IP QoS策略。 重慶科技學院《網(wǎng)絡系統(tǒng)集成》實訓報告 15 題目二、基于 IP 的數(shù)據(jù)會議網(wǎng)絡 實訓任務 組網(wǎng)需求 組網(wǎng)如下圖所示，熟悉通過 ME5000服務器召集基于 IP地址的多點會議以及TOPVIEW數(shù)據(jù)終端的應用。 組網(wǎng)圖 圖 組網(wǎng)圖 配置 要求 先熟悉兩種新設備 MG6030和 ME5000，并做好地址規(guī)劃。 （ 1） 配置 MG6030媒體網(wǎng)關。 （ 2） 配置 ME5000服務器。 (參考 ) （ 3） 實現(xiàn)通過 ME5000服務器召集基于 IP地址的多點會議。 （ 4） 實現(xiàn) TOPVIEW數(shù)據(jù)終端的安裝和配置。 (參考 ) （ 5） 實驗拓撲圖。 重慶科技學院《網(wǎng)絡系統(tǒng)集成》實訓報告 16 I p : 1 9 2 . 1 6 8 . 1 0 . 2 5 4I P : 1 9 2 . 1 6 8 . 1 0 . 1 1 0 I P : 1 9 2 . 1 6 8 . 1 0 . 1 2 0I P : 1 9 2 . 1 6 8 . 1 0 . 1 3 0 圖 實驗組網(wǎng)圖 實驗配置 （ 1） MCU終端添加如下圖所示。 圖 終端添加 （ 2） ME5000終端會議管理。 重慶科技學院《網(wǎng)絡系統(tǒng)集成》實訓報告 17 圖 終端管理 （ 3）創(chuàng)建會議，將分屏改成三分層，文字大小是小，字幕位置是下移，字體顏色是綠色，播放形式是滾動，播放速度是中速，循環(huán)次數(shù)是 9次 等 圖 創(chuàng)建會議 （ 4）會議控制 圖 會議控制設置 重慶科技學院《網(wǎng)絡系統(tǒng)集成》實訓報告 18 圖 會議控制設置 （ 5） TOPVIEW會議召開。 1）加入會議開始開會。 圖 加入會議 2）程序共享 圖 程序共享 重慶科技學院《網(wǎng)絡系統(tǒng)集成》實訓報告 19 3）文件傳輸 圖 文件傳輸 問題回答 什么叫 號碼，如何通過 號碼實現(xiàn)會議電視終端的點到點呼叫？ 號碼是 MSISDN 號碼，它是主叫用戶為呼叫移動通信網(wǎng)中用戶所需撥號的號碼。其格式為： CC+NDC+SN，也可以表示為：國家代碼 +N1N2N3+H0H1H2H3＋ ABCD（ CC=國家碼，中國為 86； NDC=國內目的碼； SN=用戶號碼） 。 采用 ENUM 解決電話和數(shù)據(jù)業(yè)務的惟一號碼問題，但是，實現(xiàn) ENUM 機制需要分配一個新的號碼，就是新的 號碼，如圖 1 所示是一個 PSTN 用戶對一個SIP 用戶的呼叫。呼叫首先要接到 ENUM 網(wǎng)關，將 號碼轉換成 URI 的 形式，如圖 1中的第三步，然后到域名服務器去查找用戶相關的信息，獲得該用戶的域名，再到域名服務器查找 SIP 服務的相關的 IP 地址，通過 SIP 服務器將呼叫接到 SIP 的客戶端。該種業(yè)務完全依賴于 DNS 系統(tǒng)，用戶的個人信息也將在 DNS系統(tǒng)中包括，因此 ENUM 的引入還有一個安全的問題，目前我國正在對于 ENUM 的引入進行研究。 在實現(xiàn)號碼個人化方面還有一個相關的業(yè)務就是號碼攜帶業(yè)務，當一個用戶需要更換運營商的時候，如果也要做到號碼的惟一性，就需要解決號碼的攜帶問題，因為這時的號碼翻譯不是在一個運營商的平臺就能完成的，需要 運營商間的合作才能提供。 重慶科技學院《網(wǎng)絡系統(tǒng)集成》實訓報告 20 題目三、網(wǎng)絡安全綜合實驗 實訓任務 組網(wǎng)需求 某企業(yè)采用 SecPath 防火墻設備和 IPS 設備構建安全防范體系。 防火墻上要求實現(xiàn) ipsweep和 portscan攻擊防范動態(tài)加入黑名單功能。 防火墻上實現(xiàn)分片報文攻擊防范、常見 flood 攻擊防范。 防火墻墻上添加相應的規(guī)則，進行常見病毒攻擊的防護。 防火墻郵件主題過濾、網(wǎng)頁地址過濾實現(xiàn)。 組網(wǎng)圖 I n t e r n e t防 火 墻P C 1I P : 1 7 2 . 1 6 8 . 1 . 1 1交 換 機交 換 機W e b 服 務 器I P : 1 9 2 . 1 6 . 1 . 9 9P C 2I P : 1 9 2 . 1 6 . 1 . 1 1E 0 / 0 I P : 1 9 2 . 1 6 . 1 . 1 / 2 4E 0 / 1 I P : 1 7 2 . 1 6 8 . 1 . 1 / 2 4I P : 1 7 2 . 1 6 8 . 1 . 9 9 圖 實驗 拓撲圖 防火墻配置文檔 防火墻上要求實現(xiàn) ipsweep和 portscan攻擊防范動態(tài)加入黑名單功能。 （ 1）配置文檔 給各個端口配置 IP 地址 [F]interface Ether 0/0 重慶科技學院《網(wǎng)絡系統(tǒng)集成》實訓報告 21 [FEther0/0]ip add 24 [FEther0/0]quit [F]interface Ether0/1 [FEther0/1]ip add 24 [FEther0/1]quit 防火墻打開 [F]firewall packetfilter enable [F]firewall packetfilter default permit 全局模式啟用統(tǒng)計功能 [F]firewall statistic system enable 啟用黑名單功能 [F]firewa