【導讀】IPSec針對數據在通過公共網絡時的數據完整性、安全性和合法性等問題設計了。一整套隧道、加密和認證方案。IPSec能為IPv4/IPv6網絡提供能共同操作/使用的、高品質的、基于加密的安全機制。提供包括存取控制、無連接數據的完整性、數據源認。證、防止重發(fā)攻擊、基于加密的數據機密性和受限數據流的機密性服務。在VMWAREWORKSTATION虛擬機上安裝WINDOWSSERVER2020相應服務器..........29

　　

【正文】 Inside local Outside local Outside global icmp :1975 :1975 :1975 :1975 基于 Cisco 設備 IP Sec VPN 的設計與實現 26 …… 以上測試過程說明， NAT 配置正確。內部計算機可以通過安全的途徑訪問 Inter。當然，如果業(yè)務要求，不允許所有的內部員工 /計算機，或只允許部分內部計算機訪問Inter，那么，只需要適當修改上述配置命令，即可實現。 R1show ip route , 1 subs O [110/128] via , 00:00:23, Serial2/0 O [110/129] via , 00:00:23, Serial2/0 , 1 subs C is directly connected, Serial2/0 , 1 subs O [110/128] via , 00:00:23, Serial2/0 , 1 subs S is directly connected, Serial2/0 C , FastEther0/0 , 1 subs O [110/128] via , 00:00:23, Serial2/0 R2sh ip route , 1 subs O [110/128] via , 00:00:21, Serial2/0 O [110/129] via , 00:00:21, Serial2/0 , 1 subs C is directly connected, FastEther0/0 , 1 subs O [110/128] via , 00:00:21, Serial2/0 , 1 subs O [110/128] via , 00:00:21, Serial2/0 , 1 subs S is directly connected, Serial2/0 , 1 subs C is directly connected, Serial2/0 R3show ip route 基于 Cisco 設備 IP Sec VPN 的設計與實現 27 , 1 subs O [110/128] via , 00:00:35, Serial2/0 C , FastEther0/0 , 1 subs O [110/128] via , 00:00:35, Serial2/0 , 1 subs C is directly connected, Serial2/0 , 1 subs C is directly connected, FastEther1/0 S , Serial2/0 , 1 subs O [110/128] via , 00:00:35, Serial2/0 R4show ip route , 1 subs C is directly connected, Serial2/0 , 1 subs C is directly connected, FastEther0/0 O [110/129] via , 00:00:43, Serial2/0 , 1 subs O [110/128] via , 00:00:43, Serial2/0 , 1 subs O [110/128] via , 00:00:43, Serial2/0 , 1 subs O [110/128] via , 00:00:43, Serial2/0 R5sh ip route , 1 subs C is directly connected, Serial2/0 O [110/65] via , 00:01:00, Serial2/3 , 1 subs C is directly connected, Serial2/1 , 1 subs C is directly connected, Serial2/3 , 1 subs 基于 Cisco 設備 IP Sec VPN 的設計與實現 28 C is directly connected, Serial2/2 4. 配置 ESPDES IPSec 并測試 以下配置是配置 VPN 的關鍵。首先， VPN 隧道只能限于內部地址使用。如果有更多的內部網絡，可在此添加相應的命令。 R1(config)accesslist 102 permit ip R1(config)accesslist 103 permit ip R1(config)accesslist 104permit ip 指定 VPN 在建立連接時協商 IKE使用的策略。方案中使用 sha加密算法，也可以使用 md5 算法。在 IKE協商過程中使用預定義的碼字。 R1(config)crypto isakmp policy 10 R1(configisakmp)hash sha R1(configisakmp)authentication preshare R1(configisakmp)encryption des R1(configisakmp)group 1 R1(configisakmp)lifetime 86400 R1(configisakmp)exit 針 對每個 VPN 路由器，指定預定義的碼字。可以一樣，也可以不一樣。但為了簡明起見，建議使用一致 的碼字。 R1(config)crypto isakmp key cisco address R1(config)crypto isakmp key cisco address R1(config)crypto isakmp key cisco address 為每個 VPN（到不同的路由器，建立不同的隧道）制定具體的策略，并對屬于本策略的數據包實 施保護。 本方案包括 3 個 VPN 隧道。需要制定 3 個相應的入口策略 (下面只給出 1 個 )。 R1(config)crypto map R1 20 ipsecisakmp R1(configcryptomap)set peer R1(configcryptomap)set transformset R1 R1(configcryptomap)match address 102 R1(configcryptomap)exit 使用路由器的外部接口作為所有 VPN 入 口策略的發(fā)起方。與對方的路由器建IPSec。 R1(config)crypto map R1 localaddress serial2/0 IPSec 使用 ESPDES 算法（ 56 位加密），并帶 SHA 驗證算法。 R1(config)crypto ipsec transformset R1 espdes espshahmac 基于 Cisco 設備 IP Sec VPN 的設計與實現 29 指明串口使用上述已經定義的策略。 R1(config)inter seria20/0 R1(configif)crypto map R1 在 IP 地址為 的計算機上驗證 : c:ping …… Reply from : bytes=32 time=17ms TTL=255 …… R1show crypto engine conn acti ID Interface IPAddress State Algorithm Encrypt Decrypt 1 none none set HMAC_SHA+DES_56_CB 0 0 2020 Serial2/0 set HMAC_SHA+DES_56_CB 0 452 2020 Serial2/0 set HMAC_SHA+DES_56_CB 694 0 同時，這種連接使用了 IPSec，而沒有使用 NAT 技術。 移動用戶與總部進行連接 移動用戶與總部進行連接 采用 accessvpn 即： 遠程訪問 VPN vpdn enable //以下是 ADSL 撥號配置 int f0/1 pppoe enable pppoeclient dialerpoolnumber 1 //定義 dialerpool int dialer1 mtu 1492 //VPN 連接中許多問題是 MTU 造成的 ip address negotiated //IP 地址與對端協商， ISP 隨機提供動態(tài) IP encapsulation ppp dialer pool 1 //引用 dialer pool dialergroup 1 //引用敏感流量，符合條件的觸發(fā) ADSL 撥號 ppp authentication pap callin //定義 pap 明文密碼 傳輸 ppp pap sentusername xxxx2223030 password 7 ****** dialerlist 1 protocol ip permit //定義敏感流量，這里為所有流量 在 VMware Workstation 虛擬機上安裝 windows server 2020 相應服務器 VMware Workstation 允許 操作系統 (OS)和 應用程序 (Application)在一臺虛擬機內部運行。虛擬機是獨立運行主機操作系統的離散環(huán)境。在 VMware Workstation 中，基于 Cisco 設備 IP Sec VPN 的設計與實現 30 你可以在一個窗口中加載一臺虛擬機，它可以運行自己的操作系統和應用程序。可以在運行于桌面上的多臺虛擬機之間切換，通過一個 網絡 共享虛擬機，掛起和恢復虛擬機以及退出虛擬機 ， 一款功能強大的桌面虛擬計算機軟件 。 在這次設計中，我選用 windows server 2020 系統，在該系統上安裝 WEB、 FTP 等服務器，用來實現 XPC 與服務器的兩種訪問模式。 圖 45 Vmware上的 2020服務器 5 測試： VPN 應用測試 將所有路由器按照上述過程，根據具體的環(huán)境參數，做必要修改后，完成 VPN 的配置。網絡部分任務完成，可以順利開展業(yè)務應用了。 路由器上測試 如果需要，路由器本身提供更詳細的調試命令： debug crypto engine connections active debug crypto isakmp sa debug crypto ipsec sa 基于 Cisco 設備 IP Sec VPN 的設計與實現 31 圖 51 R1上的測試 R1ping 顯示目標地址不可達。 R1ping source 可以通信。相對上一次測試加了源地址，說明是從 VPN通信的。 使用本地主機訪問各服務器 1）訪問公網網站 圖 終端通過公網訪問對方外網網站 基于 Cisco 設備 IP Sec VPN 的設計與實現 32 2）訪問內網網站 圖 終端通過 VPN訪問對方內網網站 結論及尚存在的問題 ，主要在路由器上進行配置，防火墻只充當訪問控制工作，而交換機負責局域網的劃分，在設計論文敘述中不予詳述。 ，一定要注意相對變換 （ 1）在兩端的 accesslist 要互為相反 ,如在 R1 路由器上寫： accesslist 102 permit ip 則在 R2路由器上寫： accesslist 102 permit ip （ 2）在兩端的 transform set 名稱要一致 如都寫 crypto ipsec transformset encrydes espdes 總之在使用手工方式時，在兩端的配置應該盡量一樣或相對。 由于整個設計在模擬器上實現，因此存在一定的局限性。同時由于技術有限，設計中存在一定的漏洞，有待進一步提高。 基于 Cisco 設備 IP Sec VPN 的設計與實現 33 參考文獻 [1] 美國思科公司 .《思科網絡技術學院 CCNA教 程》 .人民郵電出版社 ,2020年 6月 . [2] Richard Tibbs.《防火墻與 VPN原理與實踐》 .清華大學出版社 ,2020年 12