【正文】 使用本地主機訪問各服務器 1） 訪問 公網(wǎng) 網(wǎng)站 圖 終端 通過公網(wǎng) 訪問 對方 外網(wǎng)網(wǎng)站 基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 32 2）訪問內(nèi)網(wǎng)網(wǎng)站 圖 終端通過 VPN訪問對方內(nèi)網(wǎng)網(wǎng)站 結論及尚存在的問題 ，主要在路由器上進行配置，防火墻只充當訪問控制工作，而交換機負責局域網(wǎng)的劃分，在設計論文敘述中不予詳述。 R1ping source 可以通信。網(wǎng)絡部分任務完成，可以順利開展業(yè)務應用了。 在這次設計中，我選用 windows server 2021 系統(tǒng)，在該系統(tǒng)上安裝 WEB、 FTP 等服務器，用來實現(xiàn) XPC 與服務器的兩種訪問模式。在 VMware Workstation 中，基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 30 你可以在一個窗口中加載一臺虛擬機，它可以運行自己的操作系統(tǒng)和應用程序。 移動用戶與總部進行連接 移動用戶與總部進行連接 采用 accessvpn 即： 遠程訪問 VPN vpdn enable //以下是 ADSL 撥號配置 int f0/1 pppoe enable pppoeclient dialerpoolnumber 1 //定義 dialerpool int dialer1 mtu 1492 //VPN 連接中許多問題是 MTU 造成的 ip address negotiated //IP 地址與對端協(xié)商， ISP 隨機提供動 態(tài) IP encapsulation ppp dialer pool 1 //引用 dialer pool dialergroup 1 //引用敏感流量，符合條件的觸發(fā) ADSL 撥號 ppp authentication pap callin //定義 pap 明文密碼傳輸 ppp pap sentusername xxxx2223030 password 7 ****** dialerlist 1 protocol ip permit //定義敏感流量，這里為所有流量 在 VMware Workstation 虛擬機上安裝 windows server 2021 相應服務器 VMware Workstation 允許 操作系統(tǒng) (OS)和 應用程序 (Application)在一臺虛擬機內(nèi)部運行。 R1(config)crypto ipsec transformset R1 espdes espshahmac 基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 29 指明串口使用上述已經(jīng)定義的策略。與對方的路由器建IPSec。需要制定 3個相應的入口策略 (下面只給出 1個 )。 R1(config)crypto isakmp key cisco address R1(config)crypto isakmp key cisco address R1(config)crypto isakmp key cisco address 為每個 VPN（到不同的路由器，建立不同的隧道）制定具體的策略，并對屬于本策略的數(shù)據(jù)包實施保護?？梢砸粯樱部梢圆灰粯?。在 IKE 協(xié)商過程中使用預定義的碼字。 R1(config)accesslist 102 permit ip R1(config)accesslist 103 permit ip R1(config)accesslist 104permit ip 指定 VPN 在建立連接時協(xié)商 IKE 使用的策略。首先， VPN 隧道只能限于內(nèi)部地址使用。當然，如果業(yè)務要求，不允許所有的內(nèi)部員工 /計算機，或只允許部分內(nèi)部計算機訪問Inter，那么，只需要適當修改上述配置命令，即可實現(xiàn)。 R1show ip nat tran Pro Inside global Inside local Outside local Outside global icmp :1975 :1975 :1975 :1975 基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 26 …… 以上測試過程說明， NAT 配置正確。 0 extended) Outside interfaces: Serial2/0 Inside interfaces: f0/0 …… 在 IP 地址為 的計算機上，執(zhí)行必要的測試工作，以驗證內(nèi)部計算機可以通過 PAT 訪問 Inter。 以下是測試命令，通過該命令，可以判斷配置是否有根本的錯誤。 R1(config)accesslist 101 deny R1(config)accesslist 101deny R1(config)accesslist 101 deny R1(config)accesslist 101 permit ip any 以上命令的作用是指定對外訪問的規(guī)則內(nèi)容。 （ 2） 配置 PAT，使內(nèi)部網(wǎng)絡計算機可以訪問外部網(wǎng)絡，但不能訪問其他電視臺 R1(config)inter eth0/0 R1(configif)ip nat inside R1(configif)inter serial0/0 R1(configif)ip nat outside R1(configif)exit 以上命令的作用是 指定內(nèi)外端口。 2. 配置路由器 NAT 網(wǎng)絡 （ 1） 配置外出路由并測試 主要是配置缺省路由。 R1(config)inter f0/0 R1(configif)ip address R1(configif)no shutdown 以下是測試命令： R1ping … !!!!! … R1ping … !!!!! … 在 IP 地址為 的計算機上 : c:ping Pinging with 32 bytes of data: Reply from : bytes=32 time=5ms TTL=255 …… 基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 24 結果證明連接及配置正確。 關鍵是配置 IP 地址和啟用以太網(wǎng)接口。外部網(wǎng)絡接口地址由 ISP 分配，至少一個地址，多者不限。 Router(config)enable secret linyongqiang Router(config)line vty 0 4 Router(configline)password nyist Router(configline)exit Router(config)hostname R1 R1(config) （ 3） 配置路由器的以太網(wǎng)接口，并測試與本地計算機的連通性 注意 : 配置前，請將線纜與相關設備連接好。執(zhí)行下述命令進入 配置模式。在這個階段，要對拓撲中的網(wǎng)絡的連通、穩(wěn)定傳輸和安全等方面進行詳細的規(guī)劃與設計。例如在主機上 tracert 命令， 可以清晰看到訪問的具體經(jīng)過的路徑。 用網(wǎng)絡測試工具對 VPN 通信進行測試 VPN 隧道建立后，對網(wǎng)絡通信方式進行驗證時必不可少的。 在本設計中，重要是點到點 VPN，采用 IPSec VPN，各分支機構都有一條到總公司的 VPN 線路，根據(jù)業(yè)務需要，也可以在分機構間建立 VPN。 為了能夠使各分支部門安全的與總部進行通信和數(shù)據(jù)交換，通過專線是多安全的，但是專線的費用之昂貴是一般公司難以承受的。 基礎網(wǎng)絡構建如下所示：基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 19 圖 31 設計 圖 在已構建的網(wǎng)絡上配置 VPN； 有通暢的基礎網(wǎng)絡基礎是構建 VPN 網(wǎng)絡通信的重要前提。 在本設計實現(xiàn)過程中，中間廣域網(wǎng)部分用一個路由器代替，用以路由。 廣州端 的 內(nèi)部各部門都在各自不同的網(wǎng)段。 在本設計中， 以北京站的總部為核心，上海、廣州和武漢三個地區(qū)的點位分支，各點 都 通過運營商提供的網(wǎng)絡來實現(xiàn)到互聯(lián)網(wǎng)的訪問 外網(wǎng)，內(nèi)部根據(jù)不同情況采取了不同的保護方式，有的分支機構規(guī)模小，只有一臺路由器作為網(wǎng)關，沒有外網(wǎng)服務器，只有分支機構內(nèi)部使用的 windows 2021 server 服務器，作為公司內(nèi)部信息的發(fā)布和資源的共享。 基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 18 3 需求分析 運行環(huán)境 在網(wǎng)絡結構設計完成之后，用模擬軟件對該網(wǎng)絡結構予以實現(xiàn)，在這里我選用DynamipsGUI 模擬器。網(wǎng)絡系統(tǒng)應在規(guī) 模和性能兩方面具有良好的可擴展性。 網(wǎng)絡總體設計不僅要考慮到近期目標，也要為企業(yè)以及網(wǎng)絡的進一步發(fā)展留有余地。 網(wǎng)絡管理員能夠在不改變系統(tǒng)運行的情況下對網(wǎng)絡進行調整，不管網(wǎng)絡設備的物理位置在何處，網(wǎng)絡都應該是可以控制的。網(wǎng)絡安全應是永遠以能符合企業(yè)經(jīng)營目標的最大利益為優(yōu)先考量。企業(yè)必須保護其網(wǎng)絡系 統(tǒng)，以避免受外來惡意性入侵，但也必須保留足夠空間，使其主要經(jīng)營之業(yè)務能順利運作。 在企業(yè)網(wǎng)的設計中，安全性的設計是很重要的。在這樣的網(wǎng)絡中，就要盡量使用冗余備份，當某個網(wǎng)絡設備故障時，網(wǎng)絡還可以零間斷地繼續(xù)工作，這樣就很好的保障了企業(yè)網(wǎng)絡的可靠性。 作為一個具有一定規(guī)模的中型企業(yè)。其目標首先是要有利于未來網(wǎng)絡系統(tǒng)的擴充，其次還要有利于在需要時與外部網(wǎng)絡互通。 3）開放性原則。 2）前瞻性原則。所以，網(wǎng)絡方案設計中應把握“夠用”和“實用”原則。 計算機設備、服務器 設備和網(wǎng)絡設備在技術性能逐步提升的同時，其價格卻在逐年下降。對于大的素數(shù)，計算出離散對數(shù)幾乎是不可能的。例如，要獲取用戶 B 的秘密密鑰，敵對方必須先計算 XB = inda ,q(YB)然后再使用用戶 B 采用的同樣方法計算其秘密密鑰 K。 因為 XA和 XB 是保密的，一個敵對方可以利用的參數(shù)只有 q、 a、 YA和 YB。同樣，用戶 B產(chǎn)生共享秘密密鑰的計算是 K = (YA) XB mod q。 B 對 XB 的值保密存放而使 YB 能被 A公開獲得。 A對 XA的值保密存放而使 YA 能被 B公開獲得。 詳細過程： 有兩個全局公開的參數(shù)，一個素數(shù) q 和一個整數(shù) a， a是 q的一個原根。 目的： 在一個非安全的通道上安全地建立一個共享密鑰，用來建立安全的信道。 2. 數(shù)字證書用來防止中間人攻擊。 注意： 數(shù)字證書安全的前提是第三方是可信任的，如果第三方被偽造，數(shù)字證書就沒有安全性可言。 數(shù)字證書的解決辦法： 基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 16 ，形成證書，這樣公鑰就和身份相對應。 從中間人攻擊過程可以看出，不安全的因素在于不能識別公鑰的來源。 圖 214 中間人攻擊 圖示解說： ，（即“公鑰”）指的是 hacker 的公鑰，并不是真正的公鑰，但是 Alice 認為是 BOb 的公鑰。 【數(shù)字證書】 數(shù)字證書，數(shù)字證書將身份標識與公鑰綁定在一起，并由可信任的第三方權威機構用其私鑰簽名。 驗證算法： 基于 Cisco 設備 IP Sec VPN 的設計與實現(xiàn) 15 圖 213 驗證算法 數(shù)字簽名總結： 的技術支持：完整性算法和公鑰密碼體制。 這里 hash 函數(shù)的作用有兩個： 1）得到的定長輸出，位數(shù)短，私鑰簽名的時候速度快。 圖 212 簽名算法 圖示說明：數(shù)據(jù)用 hash 函數(shù)哈希得到定長的輸出，然后用私鑰簽名 hash 值。 簽名 過程如下： 圖 211 數(shù)字簽名示意圖 數(shù)字簽名方案有兩個部分：簽名算法和驗證算法。 DSS 中選用 SHA( Secure Hash Algorithm )。 p： L bits 長的素數(shù)。數(shù)字簽名涉及的技術：公鑰密碼體制和完整性檢驗。 算法可以用來做完整性檢驗，也可以用來做消息認證，取決于所 hash 的內(nèi)容有沒有包含密鑰。 消息認證碼總結： 主要功能是用來做消息認證的。 第一，數(shù)據(jù)源認證必須要求通信，而數(shù)據(jù)完整性認證不一定需要通信，例如存儲數(shù)據(jù)的完整性認證。 注意： IPSEC VPN 里用的就是 HMAC。 hash 值，因為只有消息和密鑰都一樣， hash 值才可能一樣，所以如果 hash 值一樣，則說明消息是正確的，而且說明消息是由 A（擁有共享密鑰的人）發(fā)送的。 將發(fā)出的消息和密鑰一起做 hash 運算，得到 mac 值，附在消息后面。 IPSEC VPN 加密通信中的四個概念： 消息認證碼 算法 【 MAC 消息認證碼】 消息認證碼（ MAC）就是帶密鑰的 hash 函數(shù)，用來做驗證用。這樣就驗證了 對方的身份。 用于數(shù)據(jù)加密 公鑰密碼