【導(dǎo)讀】IPSec針對數(shù)據(jù)在通過公共網(wǎng)絡(luò)時的數(shù)據(jù)完整性、安全性和合法性等問題設(shè)計了。一整套隧道、加密和認(rèn)證方案。IPSec能為IPv4/IPv6網(wǎng)絡(luò)提供能共同操作/使用的、高品質(zhì)的、基于加密的安全機制。提供包括存取控制、無連接數(shù)據(jù)的完整性、數(shù)據(jù)源認(rèn)。證、防止重發(fā)攻擊、基于加密的數(shù)據(jù)機密性和受限數(shù)據(jù)流的機密性服務(wù)。在VMWAREWORKSTATION虛擬機上安裝WINDOWSSERVER2021相應(yīng)服務(wù)器..........29

　　

【正文】 tside interfaces: Serial2/0 Inside interfaces: f0/0 …… 在 IP 地址為 的計算機上，執(zhí)行必要的測試工作，以驗證內(nèi)部計算機可以通過 PAT 訪問 Inter。 c:ping …… Reply from : bytes=32 time=1ms TTL=255 …… c:ping …… Reply from : bytes=32 time=769ms TTL=248 …… 此時，在路由器上，可以通過命令觀察 PAT 的實際運行情況，再次驗證 PAT 配置正確。 R1show ip nat tran Pro Inside global Inside local Outside local Outside global icmp :1975 :1975 :1975 :1975 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計與實現(xiàn) 26 …… 以上測試過程說明， NAT 配置正確。內(nèi)部計算機可以通過安全 的途徑訪問 Inter。當(dāng)然，如果業(yè)務(wù)要求，不允許所有的內(nèi)部員工 /計算機，或只允許部分內(nèi)部計算機訪問Inter，那么，只需要適當(dāng)修改上述配置命令，即可實現(xiàn)。 R1show ip route , 1 subs O [110/128] via , 00:00:23, Serial2/0 O [110/129] via , 00:00:23, Serial2/0 , 1 subs C is directly connected, Serial2/0 , 1 subs O [110/128] via , 00:00:23, Serial2/0 , 1 subs S is directly connected, Serial2/0 C , FastEther0/0 , 1 subs O [110/128] via , 00:00:23, Serial2/0 R2sh ip route , 1 subs O [110/128] via , 00:00:21, Serial2/0 O [110/129] via , 00:00:21, Serial2/0 , 1 subs C is directly connected, FastEther0/0 , 1 subs O [110/128] via , 00:00:21, Serial2/0 , 1 subs O [110/128] via , 00:00:21, Serial2/0 , 1 subs S is directly connected, Serial2/0 , 1 subs C is directly connected, Serial2/0 R3show ip route 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計與實現(xiàn) 27 , 1 subs O [110/128] via , 00:00:35, Serial2/0 C , FastEther0/0 , 1 subs O [110/128] via , 00:00:35, Serial2/0 , 1 subs C is directly connected, Serial2/0 , 1 subs C is directly connected, FastEther1/0 S , Serial2/0 , 1 subs O [110/128] via , 00:00:35, Serial2/0 R4show ip route , 1 subs C is directly connected, Serial2/0 , 1 subs C is directly connected, FastEther0/0 O [110/129] via , 00:00:43, Serial2/0 , 1 subs O [110/128] via , 00:00:43, Serial2/0 , 1 subs O [110/128] via , 00:00:43, Serial2/0 , 1 subs O [110/128] via , 00:00:43, Serial2/0 R5sh ip route , 1 subs C is directly connected, Serial2/0 O [110/65] via , 00:01:00, Serial2/3 , 1 subs C is directly connected, Serial2/1 , 1 subs C is directly connected, Serial2/3 , 1 subs 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計與實現(xiàn) 28 C is directly connected, Serial2/2 4. 配置 ESPDES IPSec 并測試 以下配置是配置 VPN 的關(guān)鍵。首先， VPN 隧道只能限于內(nèi)部地址使用。如果有更多的內(nèi)部網(wǎng)絡(luò)，可在此添加相應(yīng)的命令。 R1(config)accesslist 102 permit ip R1(config)accesslist 103 permit ip R1(config)accesslist 104permit ip 指定 VPN 在建立連接時協(xié)商 IKE 使用的策略。方案中使用 sha 加密算法，也可以使用 md5 算法。在 IKE 協(xié)商過程中使用預(yù)定義的碼字。 R1(config)crypto isakmp policy 10 R1(configisakmp)hash sha R1(configisakmp)authentication preshare R1(configisakmp)encryption des R1(configisakmp)group 1 R1(configisakmp)lifetime 86400 R1(configisakmp)exit 針對每個 VPN 路由器，指定預(yù)定義的碼字?？梢砸粯樱部梢圆灰粯?。但為了簡明起見，建議使用一致 的碼字。 R1(config)crypto isakmp key cisco address R1(config)crypto isakmp key cisco address R1(config)crypto isakmp key cisco address 為每個 VPN（到不同的路由器，建立不同的隧道）制定具體的策略，并對屬于本策略的數(shù)據(jù)包實施保護。 本方案包括 3 個 VPN 隧道。需要制定 3個相應(yīng)的入口策略 (下面只給出 1個 )。 R1(config)crypto map R1 20 ipsecisakmp R1(configcryptomap)set peer R1(configcryptomap)set transformset R1 R1(configcryptomap)match address 102 R1(configcryptomap)exit 使用路由器的外部接口作為所有 VPN 入口策略的發(fā)起 方。與對方的路由器建IPSec。 R1(config)crypto map R1 localaddress serial2/0 IPSec 使用 ESPDES 算法（ 56位加密），并帶 SHA 驗證算法。 R1(config)crypto ipsec transformset R1 espdes espshahmac 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計與實現(xiàn) 29 指明串口使用上述已經(jīng)定義的策略。 R1(config)inter seria20/0 R1(configif)crypto map R1 在 IP地址為 的計算機上驗證 : c:ping …… Reply from : bytes=32 time=17ms TTL=255 …… R1show crypto engine conn acti ID Interface IPAddress State Algorithm Encrypt Decrypt 1 none none set HMAC_SHA+DES_56_CB 0 0 2021 Serial2/0 set HMAC_SHA+DES_56_CB 0 452 2021 Serial2/0 set HMAC_SHA+DES_56_CB 694 0 同時，這種連接使用了 IPSec，而沒有使用 NAT 技術(shù)。 移動用戶與總部進行連接 移動用戶與總部進行連接 采用 accessvpn 即： 遠程訪問 VPN vpdn enable //以下是 ADSL 撥號配置 int f0/1 pppoe enable pppoeclient dialerpoolnumber 1 //定義 dialerpool int dialer1 mtu 1492 //VPN 連接中許多問題是 MTU 造成的 ip address negotiated //IP 地址與對端協(xié)商， ISP 隨機提供動 態(tài) IP encapsulation ppp dialer pool 1 //引用 dialer pool dialergroup 1 //引用敏感流量，符合條件的觸發(fā) ADSL 撥號 ppp authentication pap callin //定義 pap 明文密碼傳輸 ppp pap sentusername xxxx2223030 password 7 ****** dialerlist 1 protocol ip permit //定義敏感流量，這里為所有流量 在 VMware Workstation 虛擬機上安裝 windows server 2021 相應(yīng)服務(wù)器 VMware Workstation 允許 操作系統(tǒng) (OS)和 應(yīng)用程序 (Application)在一臺虛擬機內(nèi)部運行。虛擬機是獨立運行主機操作系統(tǒng)的離散環(huán)境。在 VMware Workstation 中，基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計與實現(xiàn) 30 你可以在一個窗口中加載一臺虛擬機，它可以運行自己的操作系統(tǒng)和應(yīng)用程序。可以在運行于桌面上的多臺虛擬機之間切換，通過一個 網(wǎng)絡(luò) 共享虛擬機，掛起和恢復(fù)虛擬機以及退出虛擬機 ， 一款功能強大的桌面虛擬計算機軟件 。 在這次設(shè)計中，我選用 windows server 2021 系統(tǒng)，在該系統(tǒng)上安裝 WEB、 FTP 等服務(wù)器，用來實現(xiàn) XPC 與服務(wù)器的兩種訪問模式。 圖 45 Vmware上的 2021服務(wù)器 5 測試： VPN 應(yīng)用測試 將所有路由器按照上述過程，根據(jù)具體的環(huán)境參數(shù)，做必要修改后，完成 VPN的配置。網(wǎng)絡(luò)部分任務(wù)完成，可以順利開展業(yè)務(wù)應(yīng)用了。 路由器上測試 如果需要，路由器本身提供更詳細的調(diào)試命令： debug crypto engine connections active debug crypto isakmp sa debug crypto ipsec sa 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計與實現(xiàn) 31 圖 51 R1上的測試 R1ping 顯示目標(biāo)地址不 可達。 R1ping source 可以通信。相對上一次測試加了源地址，說明是從 VPN 通信的。 使用本地主機訪問各服務(wù)器 1） 訪問 公網(wǎng) 網(wǎng)站 圖 終端 通過公網(wǎng) 訪問 對方 外網(wǎng)網(wǎng)站 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計與實現(xiàn) 32 2）訪問內(nèi)網(wǎng)網(wǎng)站 圖 終端通過 VPN訪問對方內(nèi)網(wǎng)網(wǎng)站 結(jié)論及尚存在的問題 ，主要在路由器上進行配置，防火墻只充當(dāng)訪問控制工作，而交換機負(fù)責(zé)局域網(wǎng)的劃分，在設(shè)計論文敘述中不予詳述。 ，一定要注意相對變換 （ 1）在兩端的 accesslist 要互為相反 ,如在 R1 路由器上寫： accesslist 102 permit ip 則在 R2 路由器上寫：