【導(dǎo)讀】IPSec針對(duì)數(shù)據(jù)在通過(guò)公共網(wǎng)絡(luò)時(shí)的數(shù)據(jù)完整性、安全性和合法性等問(wèn)題設(shè)計(jì)了。一整套隧道、加密和認(rèn)證方案。IPSec能為IPv4/IPv6網(wǎng)絡(luò)提供能共同操作/使用的、高品質(zhì)的、基于加密的安全機(jī)制。提供包括存取控制、無(wú)連接數(shù)據(jù)的完整性、數(shù)據(jù)源認(rèn)。證、防止重發(fā)攻擊、基于加密的數(shù)據(jù)機(jī)密性和受限數(shù)據(jù)流的機(jī)密性服務(wù)。在VMWAREWORKSTATION虛擬機(jī)上安裝WINDOWSSERVER2020相應(yīng)服務(wù)器..........29

　　

【正文】 Inside local Outside local Outside global icmp :1975 :1975 :1975 :1975 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 26 …… 以上測(cè)試過(guò)程說(shuō)明， NAT 配置正確。內(nèi)部計(jì)算機(jī)可以通過(guò)安全的途徑訪問(wèn) Inter。當(dāng)然，如果業(yè)務(wù)要求，不允許所有的內(nèi)部員工 /計(jì)算機(jī)，或只允許部分內(nèi)部計(jì)算機(jī)訪問(wèn)Inter，那么，只需要適當(dāng)修改上述配置命令，即可實(shí)現(xiàn)。 R1show ip route , 1 subs O [110/128] via , 00:00:23, Serial2/0 O [110/129] via , 00:00:23, Serial2/0 , 1 subs C is directly connected, Serial2/0 , 1 subs O [110/128] via , 00:00:23, Serial2/0 , 1 subs S is directly connected, Serial2/0 C , FastEther0/0 , 1 subs O [110/128] via , 00:00:23, Serial2/0 R2sh ip route , 1 subs O [110/128] via , 00:00:21, Serial2/0 O [110/129] via , 00:00:21, Serial2/0 , 1 subs C is directly connected, FastEther0/0 , 1 subs O [110/128] via , 00:00:21, Serial2/0 , 1 subs O [110/128] via , 00:00:21, Serial2/0 , 1 subs S is directly connected, Serial2/0 , 1 subs C is directly connected, Serial2/0 R3show ip route 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 27 , 1 subs O [110/128] via , 00:00:35, Serial2/0 C , FastEther0/0 , 1 subs O [110/128] via , 00:00:35, Serial2/0 , 1 subs C is directly connected, Serial2/0 , 1 subs C is directly connected, FastEther1/0 S , Serial2/0 , 1 subs O [110/128] via , 00:00:35, Serial2/0 R4show ip route , 1 subs C is directly connected, Serial2/0 , 1 subs C is directly connected, FastEther0/0 O [110/129] via , 00:00:43, Serial2/0 , 1 subs O [110/128] via , 00:00:43, Serial2/0 , 1 subs O [110/128] via , 00:00:43, Serial2/0 , 1 subs O [110/128] via , 00:00:43, Serial2/0 R5sh ip route , 1 subs C is directly connected, Serial2/0 O [110/65] via , 00:01:00, Serial2/3 , 1 subs C is directly connected, Serial2/1 , 1 subs C is directly connected, Serial2/3 , 1 subs 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 28 C is directly connected, Serial2/2 4. 配置 ESPDES IPSec 并測(cè)試 以下配置是配置 VPN 的關(guān)鍵。首先， VPN 隧道只能限于內(nèi)部地址使用。如果有更多的內(nèi)部網(wǎng)絡(luò)，可在此添加相應(yīng)的命令。 R1(config)accesslist 102 permit ip R1(config)accesslist 103 permit ip R1(config)accesslist 104permit ip 指定 VPN 在建立連接時(shí)協(xié)商 IKE使用的策略。方案中使用 sha加密算法，也可以使用 md5 算法。在 IKE協(xié)商過(guò)程中使用預(yù)定義的碼字。 R1(config)crypto isakmp policy 10 R1(configisakmp)hash sha R1(configisakmp)authentication preshare R1(configisakmp)encryption des R1(configisakmp)group 1 R1(configisakmp)lifetime 86400 R1(configisakmp)exit 針 對(duì)每個(gè) VPN 路由器，指定預(yù)定義的碼字?？梢砸粯樱部梢圆灰粯?。但為了簡(jiǎn)明起見(jiàn)，建議使用一致 的碼字。 R1(config)crypto isakmp key cisco address R1(config)crypto isakmp key cisco address R1(config)crypto isakmp key cisco address 為每個(gè) VPN（到不同的路由器，建立不同的隧道）制定具體的策略，并對(duì)屬于本策略的數(shù)據(jù)包實(shí) 施保護(hù)。 本方案包括 3 個(gè) VPN 隧道。需要制定 3 個(gè)相應(yīng)的入口策略 (下面只給出 1 個(gè) )。 R1(config)crypto map R1 20 ipsecisakmp R1(configcryptomap)set peer R1(configcryptomap)set transformset R1 R1(configcryptomap)match address 102 R1(configcryptomap)exit 使用路由器的外部接口作為所有 VPN 入 口策略的發(fā)起方。與對(duì)方的路由器建IPSec。 R1(config)crypto map R1 localaddress serial2/0 IPSec 使用 ESPDES 算法（ 56 位加密），并帶 SHA 驗(yàn)證算法。 R1(config)crypto ipsec transformset R1 espdes espshahmac 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 29 指明串口使用上述已經(jīng)定義的策略。 R1(config)inter seria20/0 R1(configif)crypto map R1 在 IP 地址為 的計(jì)算機(jī)上驗(yàn)證 : c:ping …… Reply from : bytes=32 time=17ms TTL=255 …… R1show crypto engine conn acti ID Interface IPAddress State Algorithm Encrypt Decrypt 1 none none set HMAC_SHA+DES_56_CB 0 0 2020 Serial2/0 set HMAC_SHA+DES_56_CB 0 452 2020 Serial2/0 set HMAC_SHA+DES_56_CB 694 0 同時(shí)，這種連接使用了 IPSec，而沒(méi)有使用 NAT 技術(shù)。 移動(dòng)用戶與總部進(jìn)行連接 移動(dòng)用戶與總部進(jìn)行連接 采用 accessvpn 即： 遠(yuǎn)程訪問(wèn) VPN vpdn enable //以下是 ADSL 撥號(hào)配置 int f0/1 pppoe enable pppoeclient dialerpoolnumber 1 //定義 dialerpool int dialer1 mtu 1492 //VPN 連接中許多問(wèn)題是 MTU 造成的 ip address negotiated //IP 地址與對(duì)端協(xié)商， ISP 隨機(jī)提供動(dòng)態(tài) IP encapsulation ppp dialer pool 1 //引用 dialer pool dialergroup 1 //引用敏感流量，符合條件的觸發(fā) ADSL 撥號(hào) ppp authentication pap callin //定義 pap 明文密碼 傳輸 ppp pap sentusername xxxx2223030 password 7 ****** dialerlist 1 protocol ip permit //定義敏感流量，這里為所有流量 在 VMware Workstation 虛擬機(jī)上安裝 windows server 2020 相應(yīng)服務(wù)器 VMware Workstation 允許 操作系統(tǒng) (OS)和 應(yīng)用程序 (Application)在一臺(tái)虛擬機(jī)內(nèi)部運(yùn)行。虛擬機(jī)是獨(dú)立運(yùn)行主機(jī)操作系統(tǒng)的離散環(huán)境。在 VMware Workstation 中，基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 30 你可以在一個(gè)窗口中加載一臺(tái)虛擬機(jī)，它可以運(yùn)行自己的操作系統(tǒng)和應(yīng)用程序。可以在運(yùn)行于桌面上的多臺(tái)虛擬機(jī)之間切換，通過(guò)一個(gè) 網(wǎng)絡(luò) 共享虛擬機(jī)，掛起和恢復(fù)虛擬機(jī)以及退出虛擬機(jī) ， 一款功能強(qiáng)大的桌面虛擬計(jì)算機(jī)軟件 。 在這次設(shè)計(jì)中，我選用 windows server 2020 系統(tǒng)，在該系統(tǒng)上安裝 WEB、 FTP 等服務(wù)器，用來(lái)實(shí)現(xiàn) XPC 與服務(wù)器的兩種訪問(wèn)模式。 圖 45 Vmware上的 2020服務(wù)器 5 測(cè)試： VPN 應(yīng)用測(cè)試 將所有路由器按照上述過(guò)程，根據(jù)具體的環(huán)境參數(shù)，做必要修改后，完成 VPN 的配置。網(wǎng)絡(luò)部分任務(wù)完成，可以順利開(kāi)展業(yè)務(wù)應(yīng)用了。 路由器上測(cè)試 如果需要，路由器本身提供更詳細(xì)的調(diào)試命令： debug crypto engine connections active debug crypto isakmp sa debug crypto ipsec sa 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 31 圖 51 R1上的測(cè)試 R1ping 顯示目標(biāo)地址不可達(dá)。 R1ping source 可以通信。相對(duì)上一次測(cè)試加了源地址，說(shuō)明是從 VPN通信的。 使用本地主機(jī)訪問(wèn)各服務(wù)器 1）訪問(wèn)公網(wǎng)網(wǎng)站 圖 終端通過(guò)公網(wǎng)訪問(wèn)對(duì)方外網(wǎng)網(wǎng)站 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 32 2）訪問(wèn)內(nèi)網(wǎng)網(wǎng)站 圖 終端通過(guò) VPN訪問(wèn)對(duì)方內(nèi)網(wǎng)網(wǎng)站 結(jié)論及尚存在的問(wèn)題 ，主要在路由器上進(jìn)行配置，防火墻只充當(dāng)訪問(wèn)控制工作，而交換機(jī)負(fù)責(zé)局域網(wǎng)的劃分，在設(shè)計(jì)論文敘述中不予詳述。 ，一定要注意相對(duì)變換 （ 1）在兩端的 accesslist 要互為相反 ,如在 R1 路由器上寫(xiě)： accesslist 102 permit ip 則在 R2路由器上寫(xiě)： accesslist 102 permit ip （ 2）在兩端的 transform set 名稱要一致 如都寫(xiě) crypto ipsec transformset encrydes espdes 總之在使用手工方式時(shí)，在兩端的配置應(yīng)該盡量一樣或相對(duì)。 由于整個(gè)設(shè)計(jì)在模擬器上實(shí)現(xiàn)，因此存在一定的局限性。同時(shí)由于技術(shù)有限，設(shè)計(jì)中存在一定的漏洞，有待進(jìn)一步提高。 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 33 參考文獻(xiàn) [1] 美國(guó)思科公司 .《思科網(wǎng)絡(luò)技術(shù)學(xué)院 CCNA教 程》 .人民郵電出版社 ,2020年 6月 . [2] Richard Tibbs.《防火墻與 VPN原理與實(shí)踐》 .清華大學(xué)出版社 ,2020年 12