【文章內(nèi)容簡介】 沒有第三方篡改 MD5源認(rèn)證（Authenticity） 源認(rèn)證 DH(迪夫赫爾曼算法)(一)、IPSce框架(1)、散列函數(shù)（HASH函數(shù)） 代表：MD5/SHA1 散列函數(shù)的特點(diǎn)： MD5 輸出長度總是128bit SHA1輸出長度總是160bit 原始數(shù)據(jù)修改一個bit,也會發(fā)生巨大變化 幾乎不能找到另外一個數(shù)據(jù)和當(dāng)前數(shù)據(jù)計(jì)算的HASH值相同。 散列函數(shù)能夠確認(rèn)數(shù)據(jù)的完整性，卻不能確保這個數(shù)據(jù)來自于可信的源（不提供源認(rèn)證）為了彌補(bǔ)不提供源認(rèn)證的漏洞，就可以用HMAC這項(xiàng)技術(shù)來解決，HMAC 不僅僅能夠?qū)崿F(xiàn)完整性校驗(yàn)，還能完成認(rèn)證的任務(wù)。HMAC（Hashbased Message Authentication Code)是密鑰相關(guān)的哈希運(yùn)算消息認(rèn)證碼。（例如HMAC技術(shù)如何驗(yàn)證OSPF路由更新包）（2）加密算法 ； 相同密鑰 優(yōu)點(diǎn)：速度快、安全、緊湊 缺點(diǎn)：明文傳輸共享密鑰、參與人多密鑰急劇膨脹、密鑰不好管理、不支持?jǐn)?shù)字簽名。 對稱加密算法的主流協(xié)議： 在使用非對稱加密算法之前，都要使用非對稱加密算法（如：RSA）產(chǎn)生一對密鑰，包括一個公鑰和一個私鑰。 私鑰用于數(shù)字簽名，公鑰實(shí)現(xiàn)數(shù)據(jù)加密，共同實(shí)現(xiàn)數(shù)據(jù)的私密性、不可否認(rèn)性。 優(yōu)點(diǎn)：安全、密鑰數(shù)據(jù)不變、事先不用建立信任關(guān)系、支持簽名 缺點(diǎn)： 加密速度慢、密文會變長 非對稱加密的主流協(xié)議： （數(shù)字證書和數(shù)字簽名的主要協(xié)議） (IPSec產(chǎn)生密鑰資源的主要協(xié)議) ( 橢圓曲線算法)在加密解決的方案中一般采用對稱加密算法加密數(shù)據(jù)，非對稱加密算法加密隨機(jī)密鑰IPSec VPN使用非對稱密鑰算法DH來產(chǎn)生密鑰資源，再用對稱密鑰算法來加密實(shí)際數(shù)據(jù)。Diffie–Hellman key exchange(迪菲－赫爾曼密鑰交換)（三）封裝協(xié)議 IPSec有ESP和AH兩種封裝協(xié)議。，ESP能夠?yàn)閿?shù)據(jù)提供加密、完整性和源認(rèn)證三大方面的保護(hù)。而且能夠抵御重放攻擊（反復(fù)發(fā)送相同的數(shù)據(jù)包）（Authentication Header）IP協(xié)議號為51，只能為數(shù)據(jù)提供完整性和源認(rèn)證兩方面的安全服務(wù)，并且抵御重放攻擊。 AH不提供加密服務(wù)。 AH協(xié)議封裝的IPsec數(shù)據(jù)包不能穿越NAT。 IPSec有兩種封裝模式：傳輸模式和隧道模式 傳輸模式封裝會在IP頭的后面加入ESP頭部，再數(shù)據(jù)最后加ESP尾部和ESP驗(yàn)證數(shù)據(jù)傳輸模式：原始IP頭ESP頭TCP頭應(yīng)用層數(shù)據(jù)ESP尾部ESP驗(yàn)證數(shù)據(jù)隧道模式：新IP頭ESP頭原始IP頭TCP頭應(yīng)用層數(shù)據(jù)ESP尾部ESP驗(yàn)證數(shù)據(jù)CISCO IPSec VPN 加密密鑰，默認(rèn)每一個小時（3600S） 更新一次。PFS 完美向前保密 每一個小時重新生成DH算法交換新的加密密鑰。三、互聯(lián)網(wǎng)密鑰交換協(xié)議IKE(Internet Key Exchange) 作用：執(zhí)行加密協(xié)議、散列函數(shù)、封裝協(xié)議、封裝模式、和密鑰有效期等協(xié)商任務(wù)的協(xié)議。 協(xié)商完成后的結(jié)果就叫做安全關(guān)聯(lián)SA SA有兩種類型：一是IKE SA,另一種是IPSec SA. IKE SA 維護(hù)了安全防護(hù)（加密協(xié)議、散列函數(shù)、封裝協(xié)議、封裝模式、和密鑰有效期）IKE協(xié)議細(xì)節(jié) IPSec SA則維護(hù)安全防護(hù)實(shí)際用戶流量的細(xì)節(jié)IKE 3大組成協(xié)議SKEME 決定了IKE的密鑰交換方式，IKE主要使用DH來實(shí)現(xiàn)密鑰交換。Oakley 決定了IPSec的框架設(shè)計(jì)，讓IPSec能夠支持更多的協(xié)議。ISAKMP是IKE的本質(zhì)協(xié)議，它決定了IKE協(xié)商包的封裝格式，交換過程和模式的切換。ISAKMP是IKE的核心協(xié)議，通常會把IKE與這兩個術(shù)語互換使用。IKE的2個階段和3個模式 （1）IKE的2個階段 階段1第一階段協(xié)商的主要目的就是對建立IPSec的雙方進(jìn)行認(rèn)證，以確保只有合法的對等體（Peer）才能建立IPSecVNP 第一階段協(xié)商分別可以用6個包交換的主模式或者3個包交換的主動模式（野蠻模式）來完成。 在網(wǎng)絡(luò)上建立一個IKE SA，為階段2協(xié)商提供保護(hù) 主模式（Main Mode）和野蠻模式（Aggressive Mode） 只有一種情況可以才使用Aggressive Mode ，這就是通過預(yù)共享密鑰認(rèn)證的遠(yuǎn)程訪問VPN( EzVPN)。IKE主模式第一階段6個包主模式IKE12 包交換過程12兩個包交換主要負(fù)責(zé)2個任務(wù)：一是核對源IP，二是協(xié)商IKE策略。IKE策略協(xié)商包含5項(xiàng)內(nèi)容：加密策略散列函數(shù)DH組認(rèn)證方式密鑰有效期注：IKE策略協(xié)商是對IKE數(shù)據(jù)包進(jìn)行處理的策略。它決定了加密主模式的56個數(shù)據(jù)包和快速模式的13個數(shù)據(jù)包的策略。但是這個策略絕對不是加密實(shí)際數(shù)據(jù)流量的策略。 感興趣流量的加密策略是在第二階段的快速模式中協(xié)商的。主模式IKE34 包交換過程主要通過DH算法得到一個加密和HMAC處理IKE信息的密鑰。主模式IKE56 包交換過程從IKE56包開始往后，都使用IKE12包交換所協(xié)商的加密與HMAC算法進(jìn)行安全保護(hù)下進(jìn)行認(rèn)證。IPSec VNP的認(rèn)證方式有3個，分別是預(yù)共享密鑰、證書認(rèn)證、RSA加密隨機(jī)數(shù)認(rèn)證。 第一階段類似于合作公司之間通過查工商執(zhí)照建立信任關(guān)系。IKE 主動（野蠻）模式階段2第二階段的目的就是根據(jù)需要加密的實(shí)際流量，來協(xié)商保護(hù)這些流量的策略。協(xié)商的結(jié)果就是IPSce SA。在階段1建立的IKE SA的保護(hù)下完成IPSec SA的協(xié)商 快速模式（Quick Mode） 基于感興趣流的IPSec策略包含6項(xiàng)內(nèi)容：感興趣流加密策略散列函數(shù)封裝協(xié)議封裝模式密鑰有效期IPsec 的框架結(jié)構(gòu)：在本次課題中，主要用于對DMVPN的加密 GRE 隧道CISCO公司開發(fā)的一種輕量級隧道協(xié)議，沒有加密機(jī)制。本次課題中用于DMVPN 創(chuàng)建隧道。 DMVPN Dynamic Multipoint VPN（DMVPN）是一種動態(tài)建立VPN Tunnel的技術(shù)，目的是在HubAndSpoke網(wǎng)絡(luò)環(huán)境下，使用Next Hop Resolution Protocol（NHRP）技術(shù)解析需要建立VPN隧道的對端地址，并使用multipoint GRE tunnel端口建立多點(diǎn)的GRE over IPSec VPN隧道。由于IPSec VPN技術(shù)是目前使用最廣的VPN技術(shù)，而HubandSpoke又是使用最多的網(wǎng)絡(luò)拓?fù)?，因此DMVPN技術(shù)具有一定的應(yīng)用價值。DMVPN適用于一個企業(yè)擁有幾百個分支點(diǎn)的網(wǎng)絡(luò)環(huán)境，分支節(jié)點(diǎn)可以是動態(tài)IP。增加新的分支點(diǎn)不用更改中心配置。DMVPN具有以下特點(diǎn)：一，配置簡單化，減少Hub端的配置過程，日后添加新的Spoke端也不需要再次進(jìn)行配置修改；二，支持動態(tài)路由協(xié)議，基于GRE隧道技術(shù)的VPN技術(shù)，可以跨網(wǎng)傳遞路由協(xié)議信息；三、支持隧道兩端動態(tài)地址協(xié)商（Hub端地址必須固定），這在對端IP地址無法確定，例如使用虛擬撥號的site to site VPN而言重要性不言而喻；四、Spoke之間可以動態(tài)建立VPN隧道。 NHRP(下一跳解析協(xié)議協(xié)議)介紹，NHRP是一種C/S架構(gòu)的協(xié)議。其中服務(wù)端成為NHS，需要固定的地址為客戶端提供注冊服務(wù)。NHRP客戶端必須將自己注冊到NHS的映射表上。當(dāng)其它NHRP客戶端需要獲得該客戶端的地址時，通過向NHS發(fā)送請求即可獲得。但建立了隧道后，NHRP之間的unicast流量通過隧道轉(zhuǎn)發(fā)，而multicast或者控制流量仍舊通過Hub轉(zhuǎn)發(fā)。 NHRP 　　NHRP：下一跳解析協(xié)議　?。∟HRP：Next Hop Resolution Protocol）　　下一跳解析協(xié)議（NHRP）用于連接到非廣播、多路訪問（NBMA）式子網(wǎng)絡(luò)的源站（主機(jī)或路由器）決定到達(dá)目標(biāo)站間的 “ NBMA 下一跳 ”的互聯(lián)網(wǎng)絡(luò)層地址和 NBMA 子網(wǎng)地址。如果目的地與 NBMA 子網(wǎng)連接， NBMA 下一跳就是目標(biāo)站；否則， NBMA 下一跳是從 NBMA 子網(wǎng)到目標(biāo)站最近的出口路由器。 NHRP 被設(shè)計(jì)用于 NBMA 子網(wǎng)下的多重協(xié)議互聯(lián)網(wǎng)絡(luò)層環(huán)境中?！　≡诘竭_(dá)要生成響應(yīng)的站之前， NBMA 子網(wǎng)內(nèi)的 NHRP 解析請求經(jīng)過一個甚至更多的跳。包括源站在內(nèi)的每個站選擇一個它要轉(zhuǎn)發(fā) NHRP 解析請求所去的鄰近 NHS 。 NHS 選擇過程是：在能返回路由決定的協(xié)議層路由表上應(yīng)用目的協(xié)議層地址。這種路由選擇決定用于轉(zhuǎn)發(fā) NHRP 請求給下游的 NHS 。先前提到的目標(biāo)協(xié)議層地址存放在 NHRP 解析請求包中。注意：即使一個協(xié)議層地址被用來獲取路由選擇決定， NHRP 包不會被封裝于協(xié)議層頭，而是通過由它自己的頭描述的封裝形式存放于 NBMA 層。 其他技術(shù) NATNAT屬接入廣域網(wǎng)(WAN)技術(shù),是一種將私有(保留)地址轉(zhuǎn)化為公有(合法)IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。基本網(wǎng)絡(luò)地址轉(zhuǎn)換（Basic NAT）是一種將一組 IP地址映射到另一組 IP 地址的技術(shù)，這對終端用戶來說是透明的。網(wǎng)絡(luò)地址端口轉(zhuǎn)換（NAPT）是一種將群體網(wǎng)絡(luò)地址及其對應(yīng) TCP/UDP 端口翻譯成單個網(wǎng)絡(luò)地址及其對應(yīng)TCP/UDP端口的方法。這兩種操作，即傳統(tǒng) NAT 提供了一種機(jī)制，將只有私有地址的內(nèi)部領(lǐng)域連接到有全球唯一注冊地址的外部領(lǐng)域。 項(xiàng)目實(shí)施 路由功能的實(shí)現(xiàn) 模擬互聯(lián)網(wǎng)在R4 ,R5，R6，R7，R8上模擬互聯(lián)網(wǎng)，中間跑OSPF 路由協(xié)議，其中R4作為電信DNS，R5作為網(wǎng)通DNS，且將R4的e0/ R5的e0/R7的e0/R8的e0/2加入OSPF 進(jìn)程中： interface Ethernet0/2 ip address ip ospf 1 area 0 NAT的實(shí)現(xiàn)，R3上有兩條NAT分別指向公網(wǎng)路由器R4，R5，其分公司R10指向公網(wǎng)路由器R8，分公司R9指向公網(wǎng)路由器R7配置如下：R3：routemap ISP_CT permit 10 match interface Ethernet0/2routemap ISP_CNC permit 10 match interface Ethernet0/1ip nat inside source routemap ISP_CNC interface Ethernet0/1 overloadip nat inside source routemap ISP_CT interface Ethernet0/2 overloadip route ip route interface Ethernet0/3ip nat insideinterface Ethernet0/0ip nat insideinterface Ethernet0/1ip nat outsideinterface Ethernet0/2ip nat outsideR10：ip nat inside source list NAT interface Ethernet0/2 overloadip route ! ip accesslist standard NAT permit anyinterface Ethernet0/0ip nat insideinterface Ethernet0/1ip nat insideinterface Ethernet0/2ip nat outsideR9：ip nat inside source list NAT interface Ethernet0/2 overloadip route ! ip accesslist standard NAT permit anyinterface Ethernet0/0ip nat insideinterface Ethernet0/1ip nat insideinterface Ethernet0/2ip nat outside PBR的實(shí)現(xiàn)目的模擬：在R3上使去往R7走電信DNS，去往R8走網(wǎng)通DNS步驟：（1）將R3的e0/2 和e0/1 分別加入route_map ISP_CT 和 route_map ISP_CNC（2） 在R3上做NAT