【正文】 配置 R4： r4(config) interface fastEther 0/1 r4(configif)ip address r4(configif)no shutdown r4(config)ip route 說明：配置 R4 的接口地址，并寫默認路由指向 R3。 配置 R2： r2(config) interface fastEther 0/0 r2(configif)ip address r2(configif)no shutdown r2(config)ip route 說明：配置 R2 的接口地址，并寫默認路由指向 R1。 以下圖 ，配置 GRE： 說明：圖中 Inter使用路由器 R5 來模擬。 GRE基本配置與分析 在遠程路由器之間配置 GRE，總共分為三步 : 1．創(chuàng)建虛擬鏈路（隧道）接口，號碼任意，兩端可不相同； 2．配置虛擬鏈路（隧道）接口地址，該地址是在 GRE包頭中被封裝的地址； 3．定義虛擬鏈路（隧道）的源和目的，因為數(shù)據(jù)包最終要在公網(wǎng)中傳遞，所以該地址就是在公網(wǎng)中指導路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的可路由公網(wǎng) IP，也是建立隧道兩端路由器的真實公網(wǎng) IP。 整體在 GNS3軟件中搭建的網(wǎng)絡拓撲 實驗環(huán)境 如下圖 。這兩 21 臺虛擬機的虛擬網(wǎng)卡和本地主機的網(wǎng)卡，均是通過橋接的方式而融入到 GNS3中的網(wǎng)絡拓撲中。 VMware Workstation軟件 VMware Workstation軟件是一款可以建設(shè)虛擬計算的的平臺，利用此軟件進行虛擬計算機系統(tǒng)的架設(shè)，尤其方便在各種網(wǎng)絡實驗中虛擬服務器的架設(shè)。 GNS3 可以模擬 Cisco Router、 Cisco ASA、 Cisco PIX、 Cisco IDS/IPS、 Juniper Router 以及通過路由器加載交換模塊實現(xiàn)部 分交換功能； 通過其所帶的 qemu 還可以運行虛擬主機；程序還可通過 Wireshark軟件 來抓取虛擬網(wǎng)絡 拓撲 中 相應信息點 的數(shù)據(jù)包。 GNS3 是一個可以模擬復雜網(wǎng)絡的圖形化網(wǎng)絡模擬器，它可以運行在 Windows、 Linux、 MAC OS 上，允許你在虛擬環(huán)境中運行 Cisco IOS。 對于 IPSec通信對等點，總部路由器的接口 serial0/0與各個分支機構(gòu)路由器 的接口serial0/0之間相互認證為 IPSec對等體，而且最終將對應的 IPSec的相關(guān)策略均相應地在這些物理接口實施調(diào)用。同時，隧道模式因為多增加了數(shù)據(jù)報頭，就會增加網(wǎng)絡設(shè)備的內(nèi)存和 CPU資源，影響網(wǎng)絡設(shè)備的整體性能，增大網(wǎng)絡傳輸?shù)难舆t，等等。 IPSec隧道設(shè)計 由于本系統(tǒng)相關(guān)技術(shù)是基于 GRE over IPSec VPN技術(shù)，故而在各個分支機構(gòu)內(nèi)部以及總部的內(nèi)部網(wǎng)絡中的主機傳輸?shù)臄?shù)據(jù)，到達邊界路由器時便通過 GRE隧道接口進行 GRE封裝，然后將經(jīng)過封裝后的 GRE數(shù)據(jù)包再通過 IPSec隧道接口進行加密封裝。同時， Area 1~ Area 6 與 Area 0的所有邊界路由器的 RouterID分別為 、 、 、 。與路由器 ISP的接口 serial0/0~s1/1 直連的總部以及分支機構(gòu)的接入網(wǎng)路由器的接口，除總部路由器 Center 接口為 serial0/0外，其余分支機構(gòu)的分別為每個分支機構(gòu)路由器的接口 serial0/0，每個接口對應的 IP 地址非別為 、 、 、 。 系統(tǒng) VPN 規(guī)劃與概要設(shè)計 網(wǎng)絡設(shè)備的互聯(lián) 如下圖 ，則表示的是合肥百大集團 GRE over IPSec VPN的公網(wǎng)接入拓撲圖，其中路由器 Center 代表百大集團在合肥的總部中心路由器，而 VPN1~VPN5的五個路由器則分別代表分布在全省各個市縣區(qū)的分支機構(gòu) 的 接入網(wǎng) 路由器（此處只選擇其中的五個，因為每個分支機構(gòu)的配置都大同小異），亦即經(jīng) OSPF劃分區(qū)域后，這些路由器則為普通區(qū)域與骨干區(qū)域的邊界路由器。而關(guān)于這兩種 VPN技術(shù)的結(jié)合，有兩者結(jié)合方式，亦即 GRE over IPSec VPN和 IPSec over GRE VPN。 因此，結(jié)合 1和 2關(guān)于 GRE與 IPSec優(yōu)缺點的描述來看，為了滿足本案例的業(yè)務需求，可將 GRE與 IPSec相結(jié)合 而互補優(yōu)缺點。 缺點：只支持單播和 IP 數(shù)據(jù)流。 適用場合：適用于復雜的網(wǎng)絡拓撲、 IP 或非 IP 網(wǎng)絡及高安全性 能的網(wǎng)絡環(huán)境。 由上一章關(guān)于 GRE與 IPSec的介紹，我們不難總結(jié)出關(guān)于這兩種協(xié)議的優(yōu)缺點： 18 GRE 優(yōu)點：支持單播、組播、廣播和非 IP 數(shù)據(jù)流。但是這種技術(shù)即使實現(xiàn)了 IPSec支持動態(tài)路由協(xié)議的功能，也無法滿足百大集團的現(xiàn)實需求，因為在現(xiàn)有的網(wǎng)絡設(shè)備的軟件版本來說，很多版本并不支持這種技術(shù)。但是如何在這兩種技術(shù)之間進行優(yōu)選的決策呢？從 前 面章節(jié)（第 二 章）我們可以知道， IPSec VPN具有完好的加密認證技術(shù)，但是其 IP 路由只支持靜態(tài)路由，顯然對于像百大集團這樣一個大型公司來說，靜態(tài)路由指派顯然是一件效率極其低下的事情。同時，綜合上述淘汰的諸多 VPN技術(shù)，而產(chǎn)生的相互嵌套結(jié)合的 VPN技術(shù)也隨之被棄選。 由于合肥百大集團在分支與中心之間采用三層路由協(xié)議，顯然就應該使用三層 VPN技術(shù)，從而淘汰前文所述的二層 VPN技術(shù)，如 PPTP VPN、 L2F VPN和 L2TP VPN等，同時也可以淘汰掉 SSL VPN技術(shù)，因為 SSL是高于 IP 層的第四層協(xié)議。因此需要一種 VPN技術(shù)來滿足集團的業(yè)務需求。 系統(tǒng) VPN 需求分析 由于合肥百大集團已經(jīng)發(fā)展到全省的各個市縣區(qū)均有業(yè)務分支機構(gòu)，分支機構(gòu)與合肥總部中心之間的數(shù)據(jù)交互密不可分，這樣就需要專門的鏈路來使得總部與各分支機構(gòu)之間互聯(lián)。 由于網(wǎng)絡接入形式的多樣化，在考慮使用 VPN對專線備份，來滿足業(yè)務延展性的需要，對網(wǎng)絡的實現(xiàn)形式也增加了限制條件。 隨著合肥百大集團不斷的壯大發(fā)展，不但在合肥擁有眾多百貨大樓，同時在安徽蚌埠、蕪湖、淮南、黃山等多個縣市擁有業(yè)務分支。 本章簡要地介紹了 GRE與 IPSec相關(guān)技術(shù)，下一張將結(jié)合前一章和本章內(nèi)容，來對本課題案例的系統(tǒng)進行分析和概要設(shè)計。散列 2中包含指紋的生成和散列 1中的類似，只是除去了載荷頭的發(fā)起者 Nonce， Ni 插入在消息 ID 之后、其他部分之前。散列載荷中包含信息摘要，它是使用前面協(xié)商好的偽隨機函數(shù)對頭中的消息 ID 連同散列載荷后面的全部消息部分（包括所有載荷頭 ）進行計算的結(jié)果 。 快速模式交換結(jié)構(gòu)圖如下圖 ： 圖 圖 1）消息 1 如上圖 ，發(fā)起者向接收者分別發(fā)送散列載荷、 SA載荷、 Nonce載荷各一個， 16 以及可選的密鑰交換信息和標識信息。因為在消息收到之后，只有來自通過認證的實體，而且消息在傳輸過程中并未發(fā)生改變。 IKE保護快速模式的方式主要是對其進行加密，并對消息進行認證。同時，在單獨一個 IKE SA的保護下，可以執(zhí)行一次甚至并發(fā)地執(zhí)行多次快速模式交換。另外，如果發(fā)起者已知響應者的策略，或者對策略有著非常全面的理解，此時發(fā)起方?jīng)]有必要利用 IKE和響應者協(xié)商全部功能，則此時也可以用主動模式交換，這樣它們可以更加快捷地建立 IKE SA。主動模式允許同時傳送與 SA、密鑰交換和認證相關(guān)的載 荷，而將這些載荷組合到一條信息中，減少了信息的交換次數(shù)，但這樣正如前述而無法提供身份保護。二者的主要差別在于主動模式只需用到主模式一半的消息。 對于各種認證方式的主模式交換，可用一個比較形象且易于理解的圖示來說明，如上圖 。這兩條消息中傳遞的信息是經(jīng)過加密的，而用于加密的密鑰來自于消息 3和消息 4中交換的密鑰信息，因此身 份信息受到了保護。本次交換中通信雙方會交換 DH公開值以及偽隨 15 機 Nonce，并生成 SKEYID狀態(tài)。在本次交換中通信雙方需要協(xié)商 IKE SA的各項參數(shù)，并對交換的其余部分擬定規(guī)范。 圖 主模式交換結(jié)構(gòu)圖 圖 IKE協(xié)商會話 主模式交換的結(jié)構(gòu)圖如上圖 ，下面將針對圖中的 6條消息進行闡述。 而 在整個主模式下共有 3個步驟并包含 6條消息，三個步驟分別為 SA協(xié)商、 1次 DH交換和 1次 Nonce交換以及對 ISAKMP協(xié)商能力的完全利用。 （ 2）主模式 前文中 筆者 提到， IKE分為兩個階段，其中第 1階段有兩種模式，分別為主模式和主Phas e I S A （ IS AK MP S A ）Phas e I I SA （ IPS EC S A ） Phas e I I SA （ IPS EC S A ）主模式（ 6 Mes sa ges ）主動模式（ 3 Mes sa ges ）新的 IPSEC 隧道或者 Re key快速模式 快速模式A B C D受保護的數(shù)據(jù) 受保護的數(shù)據(jù) 14 動模式，第 2階段只有一種模式，則為快速模式。 SKEID的生成取決于使用何種認證方法，其他的以 SKEID為基礎(chǔ)的私密信息都是以相同方式衍生出來。這些私密信息包括以下四種： 1） SKEID：經(jīng)過交換密鑰信息后得到的共享密鑰 ID，后面三種均是建立它之上的。 而對 IKE影響最大的當屬認證方法，通過通信雙方協(xié)商的認證方法，可以改變一次 IKE交換，常用的認證方法有：預共享密鑰（ Preshared Keys，簡稱 PSK）、 PKI（系統(tǒng)默認）、使用 RSA或者 DES得到的數(shù)字簽名、使用交換加密的 Nonce。 DH組決定了在進行一次 DH交換時通信雙方需要采用的參數(shù)。 IKE的以上交換均屬于信息方面的交換。在 IKE定義的兩個階段中，如圖 IKE體系結(jié)構(gòu)圖所示，階段 1包含兩種模式， 筆者 稱之為主模式和主動模式，而階段 2只有一種模式，稱之為快速模式。 圖 IKE協(xié)議簇圖 IKE使用了兩個階段的 ISAKMP， 其中 第 1階段 建立一個保密的和已認證無誤的通信信道，即 IKE SA，以及建立通過認證的密鑰，為雙方的 IKE通信提供機密性、消 息完整性以及消息源認證服務。 IKE的相關(guān)概述 對于 IPSec而言， IKE則定義了其需要的密鑰交換技術(shù)。 因此， ISAKMP、 Oakley和SKEME這三個協(xié)議為 IKE的基礎(chǔ)， IKE沿用了 ISAKMP的基礎(chǔ)、 Oakley的模式以及 SKEME的 共享和密鑰更新技術(shù)，并定義了自己獨特的密鑰素材導出方式，以及協(xié)商共享策略的方法。 IKE協(xié)議 在使用 IPSec保護 IP 包之前必須建立一個 SA，而 IKE（ Inter Key Exchange， Inter密鑰交換）則可以動態(tài)地創(chuàng)建 SA，并組裝和管理 SADB。 VI． 如果 SA指定需要加密服務， 應用 SA指定的加密算法和密鑰解密數(shù)據(jù)包。 12 IV． 如果啟用 了抗重放服務，使用抗重放窗口來決定某個包是否是重放包，如果是重放包，拋棄該數(shù)據(jù)包并審核事件。 II． 使用包中的選擇符進入 SPDB中查找一條和包選擇符相匹配的策略。 而一旦確認了一個有效的 SA，就可以用 它對包進行相應處理，處理步驟如下： I． 用查到的 SA對 ESP包進行處理。如果 SA未建立，IPSec實現(xiàn)將使用 IKE協(xié)議協(xié)商一個 SA并將其鏈接到 SPD選項，接下來 SA將用于進行以下處理： I． 生成序列號； II． 加密數(shù)據(jù)包； III． 計算 ICV： IV． 分段。 1） 處理外出數(shù)據(jù)包 當某 IPSec實現(xiàn)接收一個外出的數(shù)據(jù)包時，它使用相應的選擇符 （目的 IP 地址端口、傳輸協(xié)議等）查找 SPD并且確認哪些策略適用于數(shù)據(jù)流。 （ 1） ESP處理 對于 ESP來說，密文是得到認證的，認證的明文則是未加密的。該加密數(shù)據(jù)既包括了受保護的 ESP 頭字段也包括了受保護的用戶數(shù)據(jù)，這個用戶數(shù)據(jù)可以是整個 IP 數(shù)據(jù)報，也可以是 IP 的上層協(xié)議幀（如： TCP 或 UDP）。 IANA 分配給 ESP 一個協(xié)議數(shù)值 50，在 ESP 頭前的協(xié)議頭總是在“ next head” 字段（ IPv6）或 “ 協(xié)議 ” （ IPv4）字段里包含該值 50。 同 AH一樣， ESP是否啟用 抗重放服務也是由接收方來決定。常見的加密算法有 DES、 3DES、 AES 等。 ESP 的工作原理是在每一個數(shù)據(jù)包的標準 IP 包頭后面添加一個 ESP 報文頭，并在數(shù)據(jù)包后面追加一個 ESP 尾。計算 ICV的算法因 IPSec實施的不同而不同，然而為了 保證互操作性， AH有 2個默認強制執(zhí)行的認證器： HMACSHA96和 HMACMD596。如果接收方啟動了抗重放功能，它便使用滑動接收窗口機制檢測重放包。而序列號的主要作用就是用來防止重放數(shù)據(jù)報。當建立 SA時，發(fā)送方和接收方的序列號初始化為 0。 SPI字段： SPI（任意制定的 32bit整數(shù)值）、源地址或者外部 IP 頭的目的地址和安全協(xié)議（ AH或 ESP）三者共同構(gòu)成的一個三元組，來唯一標識這個包的安全關(guān)聯(lián) SA。在傳輸模式下，是受保護的上層協(xié)議的值，如 UDP或 TCP。 AH作為一種 IP 協(xié)議，其在 IPv4數(shù)據(jù)報中的協(xié)議字段值為 51，表明 IP 頭之后是 AH頭。 AH 的工作原理是在每一個數(shù)據(jù)包上添加一個身份驗證報文頭