【正文】 *Mar 1 00:44:: ISAKMP:(0:1:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCHVPN1*Mar 1 00:44:: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM3 New State = IKE_I_MM4 //MM 34包主要作用是交換DH公開值和輔助數(shù)據(jù)。*Mar 1 00:44:: ISAKMP:(0:1:SW:1): processing vendor id payload*Mar 1 00:44:: ISAKMP:(0:1:SW:1): vendor ID seems Unity/DPD but major 245 mismatch*Mar 1 00:44:: ISAKMP (0:134217729): vendor ID is NATT v7*Mar 1 00:44:: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE*Mar 1 00:44:: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM2 New State = IKE_I_MM2 //前兩條消息交換成功之后，便開始進(jìn)行第3條和第4條消息的交換，以用于交換DH的公開信息和隨機數(shù)。注意：發(fā)起者會將它的所有策略發(fā)送給響應(yīng)者，響應(yīng)者則在自己的策略中尋找與之匹配的策略，對比順序從優(yōu)先級號小的到大的（默認(rèn)策略實際就是個模版沒作用，如果認(rèn)證只配置預(yù)共享的話，其他參數(shù)就會copy默認(rèn)策略里的）。實際上cookie是用來防止DOS攻擊的，它把和其他設(shè)備建立IPSEC所需要的連接信息不是以緩存的形式保存在路由器里，而是把這些信息HASH成個 cookie值。*Mar 1 00:44:: ISAKMP: Locking peer struct 0x64A76F64, IKE refcount 1 for isakmp_initiator*Mar 1 00:44:: ISAKMP: local port 500, remote port 500*Mar 1 00:44:: ISAKMP: set new node 0 to QM_IDLE *Mar 1 00:44:: insert sa successfully sa = 63E2E4EC*Mar 1 00:44:: ISAKMP:(0:0:N/A:0):Can not start Aggressive mode, trying Main mode.*Mar 1 00:44:: ISAKMP:(0:0:N/A:0):found peer preshared key matching //路由器首先核實有一個預(yù)共享密鑰匹配對等設(shè)備的地址（在這點上還沒有做驗證）*Mar 1 00:44:: ISAKMP:(0:0:N/A:0): constructed NATT vendor07 ID*Mar 1 00:44:: ISAKMP:(0:0:N/A:0): constructed NATT vendor03 ID*Mar 1 00:44:: ISAKMP:(0:0:N/A:0): constructed NATT vendor02 ID*Mar 1 00:44:: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM*Mar 1 00:44:: ISAKMP:(0:0:N/A:0):Old State = IKE_READY New State = IKE_I_MM1 //這里表明IKE 協(xié)商已經(jīng)被發(fā)起，主模式協(xié)商中的第一條ISAKMP 消息即將被發(fā)送，注意該消息中的“I”，這里表明VPN1為IKE 協(xié)商的發(fā)起方，如果VPN1為應(yīng)答方，將顯示“R”。Center：crypto isakmp policy 100encryption 3deshash sha authentication preshare group 2exitcrypto isakmp key 0 dong address crypto ipsec transformset dxy esp3des espshahmac mode transport exitaccesslist 100 permit ip host host crypto map dxy 1 ipsecisakmpset peer set transformset dxymatch address 100exitinterface serial0/0crypto map dxyexitVPN1：crypto isakmp policy 100encryption 3deshash sha authentication preshare group 2exitcrypto isakmp key 0 dong address crypto ipsec transformset dxy esp3des espshahmac mode transport exitaccesslist 100 permit ip host host crypto map dxy 1 ipsecisakmpset peer set transformset dxymatch address 100exitinterface serial0/0crypto map dxyexit在以上配置完成以后，筆者將對其進(jìn)行調(diào)試，首先來通過ping命令來觸發(fā)IPSec的建立，從而來查看和分析IPSec系統(tǒng)的相關(guān)協(xié)商過程。 創(chuàng)建crypto map將之前定義的ACL、加密數(shù)據(jù)發(fā)往的對端、以及IPsec Transform Set結(jié)合在crypto map中。配置命令如下：Router (config)crypto isakmp policy policyidRouter(configisakmp)encryption ? 3des Three key triple DES aes AES Advanced Encryption Standard. des DES Data Encryption Standard (56 bit keys). //*默認(rèn)為desRouter(configisakmp)hash ? md5 Message Digest 5 sha Secure Hash Standard //*默認(rèn)為shaRouter(configisakmp)authentication ? preshare PreShared Key rsaencr RivestShamirAdleman Encryption rsasig RivestShamirAdleman SignatureRouter(configisakmp)group ? 1 DiffieHellman group 1 2 DiffieHellman group 2 5 DiffieHellman group 5//*默認(rèn)為 1定義認(rèn)證標(biāo)識 無論前面定義了何種認(rèn)證方式，都需要添加認(rèn)證信息，如密碼、數(shù)字證書等等。 配置GRE VPN在安慶分部與合肥總部之間配置GRE隧道（1）在安慶分部路由器R1上配置連接到合肥總部路由器R3的GRE隧道：r1(config)interface tunnel 1r1(configif)ip address r1(configif)tunnel source r1(configif)tunnel destination r1(configif)exit說明：在R1上創(chuàng)建GRE虛擬鏈路（隧道）接口，號碼為1，兩端號碼可不相同；。配置R2：r2(config) interface fastEthernet 0/0r2(configif)ip address r2(configif)no shutdownr2(config)ip route 說明：配置R2的接口地址，并寫默認(rèn)路由指向R1。 GRE基本配置與分析在遠(yuǎn)程路由器之間配置GRE，總共分為三步:1．創(chuàng)建虛擬鏈路（隧道）接口，號碼任意，兩端可不相同；2．配置虛擬鏈路（隧道）接口地址，該地址是在GRE包頭中被封裝的地址；3．定義虛擬鏈路（隧道）的源和目的，因為數(shù)據(jù)包最終要在公網(wǎng)中傳遞，所以該地址就是在公網(wǎng)中指導(dǎo)路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的可路由公網(wǎng)IP，也是建立隧道兩端路由器的真實公網(wǎng)IP。這兩臺虛擬機的虛擬網(wǎng)卡和本地主機的網(wǎng)卡，均是通過橋接的方式而融入到GNS3中的網(wǎng)絡(luò)拓?fù)渲?。GNS3 可以模擬Cisco Router、Cisco ASA、Cisco PIX、Cisco IDS/IPS、Juniper Router 以及通過路由器加載交換模塊實現(xiàn)部分交換功能；通過其所帶的qemu 還可以運行虛擬主機；程序還可通過Wireshark軟件來抓取虛擬網(wǎng)絡(luò)拓?fù)渲邢鄳?yīng)信息點的數(shù)據(jù)包。對于IPSec通信對等點，總部路由器的接口serial0/0與各個分支機構(gòu)路由器的接口serial0/0之間相互認(rèn)證為IPSec對等體，而且最終將對應(yīng)的IPSec的相關(guān)策略均相應(yīng)地在這些物理接口實施調(diào)用。IPSec隧道設(shè)計由于本系統(tǒng)相關(guān)技術(shù)是基于GRE over IPSec VPN技術(shù)，故而在各個分支機構(gòu)內(nèi)部以及總部的內(nèi)部網(wǎng)絡(luò)中的主機傳輸?shù)臄?shù)據(jù)，到達(dá)邊界路由器時便通過GRE隧道接口進(jìn)行GRE封裝，然后將經(jīng)過封裝后的GRE數(shù)據(jù)包再通過IPSec隧道接口進(jìn)行加密封裝。與路由器ISP的接口serial0/0~s1/1直連的總部以及分支機構(gòu)的接入網(wǎng)路由器的接口，除總部路由器Center接口為serial0/0外，其余分支機構(gòu)的分別為每個分支機構(gòu)路由器的接口serial0/0，、。而關(guān)于這兩種VPN技術(shù)的結(jié)合，有兩者結(jié)合方式，亦即GRE over IPSec VPN和IPSec over GRE VPN。 缺點：只支持單播和IP數(shù)據(jù)流。由上一章關(guān)于GRE與IPSec的介紹，我們不難總結(jié)出關(guān)于這兩種協(xié)議的優(yōu)缺點：GRE優(yōu)點：支持單播、組播、廣播和非IP數(shù)據(jù)流。但是如何在這兩種技術(shù)之間進(jìn)行優(yōu)選的決策呢？從前面章節(jié)（第二章）我們可以知道，IPSec VPN具有完好的加密認(rèn)證技術(shù)，但是其IP路由只支持靜態(tài)路由，顯然對于像百大集團這樣一個大型公司來說，靜態(tài)路由指派顯然是一件效率極其低下的事情。由于合肥百大集團在分支與中心之間采用三層路由協(xié)議，顯然就應(yīng)該使用三層VPN技術(shù)，從而淘汰前文所述的二層VPN技術(shù)，如PPTP VPN、L2F VPN和L2TP VPN等，同時也可以淘汰掉SSL VPN技術(shù)，因為SSL是高于IP層的第四層協(xié)議。由于合肥百大集團已經(jīng)發(fā)展到全省的各個市縣區(qū)均有業(yè)務(wù)分支機構(gòu)，分支機構(gòu)與合肥總部中心之間的數(shù)據(jù)交互密不可分，這樣就需要專門的鏈路來使得總部與各分支機構(gòu)之間互聯(lián)。隨著合肥百大集團不斷的壯大發(fā)展，不但在合肥擁有眾多百貨大樓，同時在安徽蚌埠、蕪湖、淮南、黃山等多個縣市擁有業(yè)務(wù)分支。散列2中包含指紋的生成和散列1中的類似，只是除去了載荷頭的發(fā)起者Nonce，Ni插入在消息ID之后、其他部分之前。：1）消息1，發(fā)起者向接收者分別發(fā)送散列載荷、SA載荷、Nonce載荷各一個，以及可選的密鑰交換信息和標(biāo)識信息。IKE保護(hù)快速模式的方式主要是對其進(jìn)行加密，并對消息進(jìn)行認(rèn)證。另外，如果發(fā)起者已知響應(yīng)者的策略，或者對策略有著非常全面的理解，此時發(fā)起方?jīng)]有必要利用IKE和響應(yīng)者協(xié)商全部功能，則此時也可以用主動模式交換，這樣它們可以更加快捷地建立IKE SA。二者的主要差別在于主動模式只需用到主模式一半的消息。這兩條消息中傳遞的信息是經(jīng)過加密的，而用于加密的密鑰來自于消息3和消息4中交換的密鑰信息，因此身份信息受到了保護(hù)。在本次交換中通信雙方需要協(xié)商IKE SA的各項參數(shù)，并對交換的其余部分?jǐn)M定規(guī)范。而在整個主模式下共有3個步驟并包含6條消息，三個步驟分別為SA協(xié)商、1次DH交換和1次Nonce交換以及對ISAKMP協(xié)商能力的完全利用。SKEID的生成取決于使用何種認(rèn)證方法，其他的以SKEID為基礎(chǔ)的私密信息都是以相同方式衍生出來。而對IKE影響最大的當(dāng)屬認(rèn)證方法，通過通信雙方協(xié)商的認(rèn)證方法，可以改變一次IKE交換，常用的認(rèn)證方法有：預(yù)共享密鑰（Preshared Keys，簡稱PSK）、PKI（系統(tǒng)默認(rèn)）、使用RSA或者DES得到的數(shù)字簽名、使用交換加密的Nonce。IKE的以上交換均屬于信息方面的交換。 IKE協(xié)議簇圖IKE使用了兩個階段的ISAKMP，其中第1階段建立一個保密的和已認(rèn)證無誤的通信信道，即IKE SA，以及建立通過認(rèn)證的密鑰，為雙方的IKE通信提供機密性、消息完整性以及消息源認(rèn)證服務(wù)。因此，ISAKMP、Oakley和SKEME這三個協(xié)議為IKE的基礎(chǔ)，IKE沿用了ISAKMP的基礎(chǔ)、Oakley的模式以及SKEME的共享和密鑰更新技術(shù)，并定義了自己獨特的密鑰素材導(dǎo)出方式，以及協(xié)商共享策略的方法。VI．如果SA指定需要加密服務(wù)，應(yīng)用SA指定的加密算法和密鑰解密數(shù)據(jù)包。II．使用包中的選擇符進(jìn)入SPDB中查找一條和包選擇符相匹配的策略。如果SA未建立，IPSec實現(xiàn)將使用IKE協(xié)議協(xié)商一個SA并將其鏈接到SPD選項，接下來SA將用于進(jìn)行以下處