【正文】 5． 可管理性 由于 MPLS VPN通訊關(guān)系是由運營商指定的，用戶配置的靈活性并不高。例如在MPLS VPN傳遞數(shù)據(jù)，只是標(biāo)記了端點路由，對數(shù)據(jù)本身并不提供加密的防護(hù)手段。 隨著業(yè)務(wù)的不斷發(fā)展，移動用戶和在家辦公的用戶也越來越多， VPN客戶端的支持也非常重要，使用 IPSec客戶端可以讓移動用戶隨時隨地都能夠跟企業(yè)內(nèi)部進(jìn)行信息交換。響應(yīng)市場變化的速度快捷，可以在現(xiàn)有的任何 IP網(wǎng)絡(luò) 上部 33 署。而大型客戶往往在全國各地都有自己的分支機構(gòu)，如果寄希望這些分支機構(gòu)所在城市都有同一家運營商并且都提供 MPLS VPN的服務(wù)，顯然很不現(xiàn)實，特別是在偏遠(yuǎn)地區(qū)和移動用戶。采用 IPSec VPN，一次性設(shè)備投入比較大。這一點，是 MPLS鏈路無法達(dá)到的。目前基于 IPSec的 VPN技術(shù)已經(jīng)成熟，很多產(chǎn)品的運行都能夠非常穩(wěn)定可靠。 從可靠性來說， MPLS有很強的優(yōu)勢。 與 IPSec VPN比較， MPLS VPN有它優(yōu)越的一方面，但也并非處處完美。 隨著業(yè)務(wù)的不斷發(fā)展，客戶為改造現(xiàn)有語音數(shù)據(jù)綜合通信網(wǎng)絡(luò)并配合即將上馬的企業(yè) ERP系統(tǒng)的應(yīng)用，需要與多個分支機構(gòu)的業(yè)務(wù)點相互連接， 建立一個單獨的靈活的符合企業(yè)運用要求的通達(dá)全球的數(shù)據(jù)通信網(wǎng)絡(luò)，保證數(shù)據(jù)傳輸?shù)目煽啃院桶踩?，并能獲得優(yōu)良的網(wǎng)絡(luò)服務(wù)質(zhì)量保證。 圖 54 查看 IPSec的工作模式 使用 show crypto map 顯示所有配置在路由器上的 Crypto Map，便于更詳細(xì)的查看 ，如圖 55 所示。 圖 51 ping分部主機的 IP地址 然后我們 在 上海分部主機 PC4 上面來 ping公網(wǎng)的 IP地址， 如圖結(jié)果 可以看出 主機和上海分公司之間是不能 ping通的 ，因為公網(wǎng)對于 VPN來說只是一條透明的鏈路而已 ，如圖 52 所示。然而 IPv4 本身并不具備安全特性，很容易便可偽造出 IP包的地址、修改其內(nèi)容、重播以前的包以及在傳輸途中攔截并查看包的內(nèi)容。 圖 411 R5 的具體配 置 21 R6 的具體配置如 R5 一樣，我也用圖片的方式為大家介紹，如圖 412 所示。Set peer ：指定所對應(yīng) VPN鏈路對端的 IP地址， IP地址應(yīng)該同前面在 IKE中配置的 對端 IP地址相同。 (4) 配置加密映射并安全關(guān)聯(lián)（現(xiàn)在已經(jīng)構(gòu)造好了 VPN隧道需要的信息，需要通過配置 cryto map將它們整合在一起然后運用到指定的接口上） 創(chuàng)建三個 Crypto map，全部命名為 mapall，并定義不同的優(yōu)先級。也就是說，真正的 IP源地址和目的 地址都可以隱藏為因特網(wǎng)發(fā)送的普通數(shù)據(jù)。但是， 其數(shù)據(jù)源認(rèn)證沒有 AH功能強。 圖 49 IP安全策略 (2) 配置 IPSec工作模式并配置交換集（定義總部和深圳分部之間路由器的 IPSec工作模式為傳輸模式（ transport，默認(rèn)為 tunnel）并定義交換集名為aaa ，并使用了 ahmd5hmac的 驗證參數(shù)。 18 圖 48 VPN鏈路兩端的密碼 4． 配置 IPSec相關(guān)參數(shù) (1) 指定 Crypto map加密用的訪問列表（注意： IPSec只用于加密的訪問類別，而沒有定義的 訪問列表就等于沒有 IPSec的驗證，直接以明文的方式進(jìn)行傳送。（ SA— Secuity Associations安全聯(lián)盟，定義了各種類型的安全措施，這些措施的內(nèi)容包含了 IP包加密解密和認(rèn)證的相關(guān)信息） 如圖 47 所示。 SHA1 是安全散列算法，可產(chǎn)生一個 160 位的散列值。它使用 對稱式加密算法，加密和解密使用相同的密 鑰值，共 56 位，而 3DES是 DES的擴展，共 168 位。）默認(rèn)條件下， IKE在 Cisco ISO軟件中是激活的。 R1 的配置如下： (1) 啟用 IKE （ IKEInter Key Exchange 是基 于 Inter 安全 聯(lián) 盟和密鑰管理協(xié)議（ ISAKAMP）定義的框架。 圖 45 配置總部和分部的具體網(wǎng)絡(luò)參數(shù) (2) 配置深圳分部各個端口的具體網(wǎng)絡(luò)參數(shù)，并啟用一條默認(rèn)路由，下一跳地址由于不知道，配置為連接模擬公網(wǎng)的端口 Ether 0/1。 圖 42 配置模擬公網(wǎng)的具體網(wǎng)絡(luò)參數(shù) (2) 其次，在 R3 上配置各個端口的 IP地址，并啟用 OSPF協(xié)議，進(jìn)程號為300，將直連的網(wǎng)絡(luò)宣告到對應(yīng)的區(qū)域里（注意：是四個區(qū)域， R2 與 R3 之間的區(qū)域為骨干區(qū)域，其它區(qū)域為 area 2 ， area 3 和 area 4。（注意：每多一項功能，安全性就會升一級。 IPSec 協(xié)議不是一個單獨的協(xié)議，它給出了應(yīng)用 于 IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括網(wǎng)絡(luò)認(rèn)證協(xié)議 Authentication Header（ AH）、封裝安全載荷協(xié)議 Encapsulating Security Payload（ ESP）、密鑰管理協(xié)議 Inter Key Exchange （ IKE）和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。 Windowsamp。該模式允許為下列企業(yè)方案成功部署 IPSec：局域網(wǎng) (LAN)：客戶端 /服務(wù)器和對等網(wǎng)絡(luò)； 廣域網(wǎng) (WAN)：路由器到路由器和網(wǎng)關(guān)到網(wǎng)關(guān) ；遠(yuǎn)程訪問：撥號客戶機和從專用網(wǎng)絡(luò)訪問 Inter。考慮認(rèn)為 IP 地址本身沒有必要具有標(biāo)識，但 IP 地址后面的系統(tǒng)必須有一個通過身份驗證程序驗證過的標(biāo)識。利用 VPN技術(shù)可以組建安全的 Extra，既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。 ExtraVPN(外連虛擬專用網(wǎng) ) 如果是提供 B2B之間的安全訪問服務(wù)，則可以考慮 ExtraVPN。利用 VPN特性可以在 Inter上組建世界范圍內(nèi)的 IntraVPN。它適合于內(nèi)部有人員移動或遠(yuǎn)程辦公需要的企業(yè)。 VPN網(wǎng)關(guān)應(yīng)擁有 IP過濾語言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行 包過濾 。 一個 VPN系統(tǒng)應(yīng)支持標(biāo)準(zhǔn)的認(rèn)證方式，如 RADIUS(Remote Authentication Dial In User Service，遠(yuǎn)程認(rèn)證 撥號用戶 服務(wù) )認(rèn)證、基于 PKI（ Public Key Infrastructure， 公鑰基礎(chǔ)設(shè)施 ）的證書認(rèn)證以及逐漸興起的 生物識別技術(shù) 等等。而如果采用功能整合的產(chǎn)品，則上述問題不存在或很容易解決 ， VPN應(yīng)有一個開放的架構(gòu)。目前常見的 VPN網(wǎng)關(guān) 產(chǎn)品可以包括單純的 VPN網(wǎng)關(guān)、 VPN路由器、 VPN防火墻 、 VPN服務(wù)器等產(chǎn)品。 針對不同的用戶要求， VPN有三種解決方案： 遠(yuǎn)程訪問 虛擬網(wǎng) （ Access VPN）、企業(yè)內(nèi)部 虛擬網(wǎng) （ Intra VPN）和企業(yè)擴展 虛擬網(wǎng) （ Extra VPN），這三種類型的 VPN分別與傳統(tǒng)的 遠(yuǎn)程訪問 網(wǎng)絡(luò)、企業(yè)內(nèi)部的 Intra以及 企業(yè)網(wǎng) 和相關(guān)合作伙伴的 企業(yè)網(wǎng) 所構(gòu)成的 Extra（ 外部擴展 ）相對應(yīng)。顧名思義， 虛擬專用網(wǎng)絡(luò) 我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。 通道模式下，除了源主機和目的地主機之外，特殊的網(wǎng)關(guān)也將執(zhí)行密碼操作。數(shù)據(jù)（密碼文件）則是由源主機生成并由目的地主機檢索的。 IKE創(chuàng)建在由 ISAKMP定義的框架上，沿用了 OAKLEY的密鑰交換模式以及 SKEME的共享和密鑰更新技術(shù)，還定義了它自己的兩種密鑰交換方式：主要模式和積極模式。 第一階段 SA建立起安全通信信道后保存在高速緩存中，在此基礎(chǔ)上可以建立多個第二階段 SA協(xié)商，從而提高整個建立 SA過程的速度。如果不做特殊要求，只需要刷新 材料 后，生成新密鑰即可。第二階段協(xié)商消息受第一階段 SA保護(hù)，任何沒有第一階段 SA保護(hù)的消息將被拒收。 3.認(rèn)證 DH交換需要得到進(jìn)一步認(rèn)證，如果認(rèn)證不成功，通信將無法繼續(xù)下去。分兩個階段來完成這些服務(wù)有助于提高密鑰交換的速度。若某臺主機，如文件服務(wù)器或遠(yuǎn)程訪問服務(wù)器，需要同時與多臺客戶機通信，則該服務(wù)器需要與每臺客戶機分別建立不同的 SA。 SA(安全聯(lián)盟 ) SA是一種安全關(guān)聯(lián)， SA 對兩臺計算機之間的策略協(xié)議進(jìn)行編碼，指定它們將使用哪些算法和什么樣的密鑰長度，以及實際的密鑰本身。 AH和 ESP保護(hù)的數(shù)據(jù)相同時， AH頭會一直插在 ESP頭之后。在 IPv6 的情況下，下一個頭字段 5 的值由擴展頭的存在來決定。數(shù)據(jù)源驗證和無連接的完整性是相互關(guān)聯(lián)的服務(wù)，它們作為一個選項與機密性 （可選擇的）結(jié)合提供給用戶。該加密數(shù)據(jù)既包括了受保護(hù)的 ESP 頭字段也包括了受保護(hù)的用戶數(shù)據(jù)，這個用戶數(shù)據(jù)可以是整個 IP 數(shù)據(jù)報，也可以是 IP 的上層協(xié)議幀（如： TCP 或 UDP）。封裝受保護(hù)數(shù)據(jù)是非常必要的，這樣就可以為整個原始數(shù)據(jù)報提供機密性。然而， VPN需要的是網(wǎng)絡(luò)級的功能，這也正是 IPSec所提供的。討論的話題之一就是安全是否在恰當(dāng)?shù)膮f(xié)議層上被使用。如果需要的話， IPSec可以為個體用戶提供安全保障，這樣做就可以保護(hù)企業(yè)內(nèi)部的敏感信息。 IPSec在傳輸層之下，對于應(yīng)用程序來說是透明的。它通過端對端的安全性來提供主動的保護(hù)以防止專用網(wǎng)絡(luò)與 Inter 的攻擊。 Windowsamp。 論文的主要內(nèi)容和結(jié)構(gòu)安排 本論文主要基于下面四大 部分的研究，由淺入深細(xì)致地剖析了 IPsec vpn的原理及應(yīng)用，并給出實例講解了現(xiàn)實中應(yīng)用的 IPsec vpn，使這一技術(shù)層次分明 ,既 IPSEC技術(shù)基礎(chǔ) 、 VPN技術(shù)基礎(chǔ) 、 基于 IPSEC的 VPN設(shè)計與實現(xiàn) 、 IPSEC VPN的測試 。 IPSEC的組件的設(shè)計 :包括 IPSec基本協(xié)議、 SPD和 SADB、 IKE。 IPSEC體系結(jié)構(gòu) :包括 ESP(封裝安全載荷 )、 AH(驗證頭 )、 SA(安全聯(lián)盟 )、IKE(Inter密鑰交換 )。 IPSEC就如同武林盟主，許多綠林好漢都加入進(jìn)來，盟主定義盟規(guī)用來約束各個幫派及勢力，各幫派必須遵守盟約才可以。 IPSEC即“ Inter 協(xié)議安全性”是一種開放標(biāo)準(zhǔn)的框 架協(xié)議，通過使用加密的安全服務(wù)以確保在 Inter 協(xié)議 (IP) 網(wǎng)絡(luò)（ inter就是全球最大的 IP網(wǎng)絡(luò)）上進(jìn)行保密而安全的通訊。于是，虛擬專用網(wǎng) VPN （ Virtual Private Network）的概念與市場隨之出現(xiàn)。在這樣的背景下，遠(yuǎn)程辦公室、公司各分支機構(gòu)、公司與合作伙伴、供應(yīng)商、公司與客戶之間都可能要建立連接通道以進(jìn)行信息傳送。 目前許多電信運營商采用 IPSec隧道加密技術(shù) ,在寬帶業(yè)務(wù)的基礎(chǔ)上推出主要針對商用客戶的 VPN新業(yè)務(wù) ,為商用客戶既提供了高帶寬低資費的企業(yè)網(wǎng)絡(luò)聯(lián)網(wǎng)服務(wù) ,又提供了在公用網(wǎng)絡(luò)上 擁有私有 VPN網(wǎng)絡(luò)的數(shù)據(jù)傳輸安全保障服務(wù) ,贏得了廣大商用客戶的青睞。 I 摘 要 以 Inter為代表的全球信息化浪潮日益高漲。本文將研究 IPSec體系結(jié)構(gòu)、技術(shù)原理和 VPN基本技術(shù) ,分析了 IPSec VPN的主要實現(xiàn)方式 ,將上述研究得出的成果應(yīng)用于實際中 ,結(jié)合某國內(nèi)企業(yè)業(yè)務(wù)發(fā)展的需求 ,設(shè)計并創(chuàng)建了一個實用的IPSec VPN網(wǎng)絡(luò) ,并對該網(wǎng)絡(luò)進(jìn)行了實際測試。而在傳統(tǒng)的企業(yè)組網(wǎng)方案中，要進(jìn)行遠(yuǎn)程LAN 到 LAN互聯(lián)，除了租用 DDN專線或幀中繼之外，并沒有更好的解決方法。利用 VPN網(wǎng)絡(luò)能夠獲得語音、視頻方面的服務(wù)，如 IP電話業(yè)務(wù)、電視會議、遠(yuǎn)程教學(xué)，甚至證券行業(yè)的網(wǎng)上路演、網(wǎng)上交易等等。 IPSec 協(xié)議本不是一個單獨的協(xié)議，它給出了應(yīng)用于 IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括網(wǎng)絡(luò)認(rèn)證協(xié)議 Authentication Header（ AH）、封裝安全載荷協(xié)議 Encapsulating Security Payload（ ESP）、密鑰管理協(xié)議 Inter Key Exchange （ IKE）和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。 2 研究內(nèi)容 本文主要研究怎么對大型企業(yè)網(wǎng)絡(luò)中使 用的 VPN的應(yīng)用方案進(jìn)行規(guī)劃、設(shè)計與實現(xiàn)。 IPSEC的兩種模式 :包括傳送模式和通道模式 。 VPN使用的安全協(xié)議 :包括 SOCKSv5 協(xié)議、 IPSec協(xié)議、 PPTP/L2TP協(xié)議 。 3 第 2 章 IPSEC技術(shù)基礎(chǔ) IPSEC技術(shù)簡介 “ Inter 協(xié)議安全性 (IPSec)”是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過使用加密的安全服務(wù)以確保在 Inter 協(xié)議 (IP) 網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊。reg。在通信中，只有發(fā)送方和接收方才是唯一必須了解 IPSec 保護(hù)的計算機。當(dāng)在路由器或防火墻上安裝 IPSec時，無需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。 IPSec正向 Inter靠攏。想要提供 IP級的安全， IPSec必須成為配置在所有相關(guān)平臺（包括 Windows NT， Unix和 Macintosh系統(tǒng)）的網(wǎng)絡(luò)代碼中的一部分。 4 IPSec體系結(jié)構(gòu) ESP(封裝安全載荷 ) IPsec 封裝安全負(fù)載（ IPsec ESP）是 IPsec 體系結(jié)構(gòu)中的一種主要協(xié)議，其主要設(shè)計來在 IPv4 和 IPv6 中提供安全服務(wù)的混合應(yīng)用。 ESP 頭可以放置在 IP 頭之后、上層協(xié)議頭之前 （傳送層），或者在被封裝的 IP 頭之前 （隧道模式）。 ESP 提供機密性、數(shù)據(jù)源認(rèn)證、無連接的完整