【正文】 A 將用于進行下述數(shù)據(jù)包的處理 [6]： 生成或增加序列號；加密數(shù)據(jù)包， 如果傳輸需要保密服務， SA 將指明使用的加密算法； 計算完整性校驗值 ， 如果數(shù)據(jù)包的 SA 指定應用 ESP 認證服務，則 ICV 的計算使用了除認證數(shù)據(jù)域外的所有 ESP 頭域，而認證數(shù)據(jù)域用來存放 ICV， 數(shù)據(jù)包的 SA 指定了用來生成 ICV 的消息認證碼算法；分段， 如果需要分段，可以通過適當?shù)姆椒ㄈ〉脧陌脑吹侥康牡芈窂降淖畲髠鬏攩卧?MTU）。如果需要 IPSec 處理并且 SA 已建立，則與數(shù)據(jù)包選擇符相匹配的 SPD 項將指向安全關聯(lián)庫（ SAD）中的相應 SA。 ② ESP 處理 外出處理。在安全網(wǎng)關之間的隧道模式中運行 ESP 能夠為在兩個網(wǎng)關之間進行的通信提供機密性和身份驗證。如果隧道是位于兩個主機之間，在新的 IP 報文頭中的源和目的 IP 地址可能與它們在原始IP 報文頭中的地址一樣。 隧道模式把整個原始 IP 報文封裝在新的 IP 報文中。由于使用原始 IP 報文頭， IP 報文的源和目的地不能改變。 在傳送模式中， ESP 報文頭被插入原始 IP 報文頭之后，如果有必要，還可以附加ESP 報文尾和驗證段。 ESP 通過使用消息認證碼（ MAC）提供認證服務。數(shù)據(jù)流保密由隧道式下的保密服 務提供。實際上， ESP 提供和 AH 類似的服務，但增加了兩個額外的服務：數(shù)據(jù)保密和有限的數(shù)據(jù)流保密服務。 封裝安全載荷（ ESP） 和驗證頭（ AH）一樣，設計封裝安全載荷（ ESP）的目的是用于提高 IP 的安全性。如果兩個值不同，則拋棄數(shù)據(jù)包。如果是重放包，則拋棄。如果匹配失敗，重復步驟 5，直到處理完所有的策略條目或直到匹配成功。 第三， 使用數(shù)據(jù)包中的選擇符進入 SPD 中查找一條與選擇符匹配的策略。如果選擇符不匹配，應用將拋棄數(shù)據(jù)包。 第二， 使用步驟 1 中查找到的 SA 進行 IPSec 處理。 接下來看一下 AH 的 進入 處理，主要體現(xiàn)在以下幾個方面：第一， 使用 IP 頭中的 SPI、目的 IP 地址以及 IPSec 協(xié)議在進入的 SA 數(shù)據(jù)庫中查找數(shù)據(jù)包所屬數(shù)據(jù)流的 SA。如果需要對數(shù)據(jù)包進行 IPSec 處理，并且到目的主機的一個 SA已經(jīng)建立，那么符合數(shù) 據(jù)包選擇符的 SPD 將指向外出 SA 數(shù)據(jù)庫的一個相應 SA。 ③ AH 的處理 首先看一下外出處理。設為 0 后，整個 IP 數(shù)據(jù)報以一個比特串的形式作為 MAC 的輸入。當通信雙方建立了一個 SA 后，就有了所有用來 計算它們交換的數(shù)據(jù)報的 ICV 值的參數(shù)。 IPSec 的通信各方必須能夠產(chǎn)生 ICV 來校驗交互的數(shù)據(jù)報的完整性，因此，通信雙方需要共享密鑰。此外，為了添加和去除這些額外的報文頭，需要更強的處理能力。原始 IP 報文保持完整不變，而被封裝在新的 IP 報文中。除了那些在前面提到的可變字段， ICV 值在整個新的 IP 報文上計算出來。 9 在傳送模式中，保留原始 IP 報文頭作為新的 IP 報文的報文頭，驗證報文頭插入在IP 報文頭和原始的有效負載之間。MAC 是一種算法，它接收一個任意長度的消息和一個密鑰，生成一個固定長度的輸出，稱作消息摘要或指紋 [5]。 AH 的作用是為 IP 數(shù)據(jù)流提供高強度的密碼認證，以確保被修改過的數(shù)據(jù)包可以被檢查出來。AH 協(xié)議提供無連接的完整性、數(shù)據(jù)源認證和抗重放保護服務。對于 SPD 和 SAD，都需要單獨的輸入和輸出數(shù)據(jù)庫。 SPD 指定了用于到達或者源自特定主機或者網(wǎng)絡的數(shù)據(jù)流的策略。安全關聯(lián)是單向的，因此，輸出和輸入的數(shù)據(jù)流需要獨立的 SA。 SA 是通信對等方之間對某些要素的一種協(xié)定，例如 IPSec 協(xié)議、協(xié)議的操作模式（傳輸模式和隧道模式）、密碼算法、密鑰、用于保護它們之間數(shù)據(jù)流的密鑰的生存期。 IPSec 使用的兩種協(xié)議（ AH 和 ESP）均使用 SA。通過使用安全關聯(lián)（ SA）， IPSec 能夠區(qū)分對不同的數(shù)據(jù)流提供的安全服務。 IPSec 所使用的協(xié)議被設計成與算法無關的。這些服務是可選的，但如果使用 ESP 就必須選擇其中之一。當需要身份驗證而不需要機密性的時候，該協(xié)議是適當?shù)摹? AH 協(xié)議在 IP 報文頭之后放置一個新的報文頭。這些服務通過使用兩個安全協(xié)議 AH 和 ESP，以及通過使用加密密鑰管理過程和協(xié)議來實現(xiàn)。由于所有支持 TCP／ IP 協(xié)議的主機進行通信時，都要經(jīng)過 IP 層的處理，所以提供了 IP 層的安全性就相當于為整個網(wǎng)絡提供了安全通信的基礎。 IPSec 是設計用來為 IPv4 8 以及 IPv6 提供能夠共同使用的、強壯的基于密碼學的安全性。因此附加的協(xié)議和處理過 程是非常必要的。 L2TP 協(xié)議將很快地成為標準的 RFC 協(xié)議，有關 L2TP 的標準 MIB 也將很快地得到制定，這樣可以統(tǒng)一地采用 SNMP 網(wǎng)絡管理方案進行方便的網(wǎng)絡維護與管理 [4]。 作為 PPP 的擴展協(xié)議， L2TP 支持標準的安全特性 CHAP 和 PAP，可以進行用戶身份認證。面向無連接的 UDP 無法保證網(wǎng)絡數(shù)據(jù)的可靠傳輸， L2TP 使用 Nr（下一個希望接受的信息序列號）和 Ns（當前發(fā)送的數(shù)據(jù)包序列號）字段進行流量和差錯控制。 L2TP 是把鏈路層 的 PPP 幀裝入公用網(wǎng)絡設施，如IP、 ATM、幀中繼中進行隧道傳輸?shù)姆庋b協(xié)議。 L2F 服務器將包去封裝后把它們接入到公司自己的網(wǎng)絡中。在這種情況下，隧道的配置和建立對用戶是完全透明的。因此，網(wǎng)絡的鏈路層完全獨立于用戶的鏈路層協(xié)議。 二層轉發(fā)協(xié)議 （ L2F） L2F（ Layer Two Forwarding protocol）是由 Cisco 公司提出的可以在多種介質，如 ATM、幀中繼、 IP 網(wǎng)上建立多協(xié)議的安全虛擬專用網(wǎng)的通信。遠端用戶能夠透過任何支持 PPTP 的 ISP訪問公 司的專用網(wǎng)絡 [3]。 PPTP 使用 PPP 協(xié)議的 PAP 或 CHAP（ MSCHAP）進行認證，另外也支持 Microsoft 公司的點到點加密技術（ MPPE）。 隧道協(xié)議 點對點隧道協(xié)議（ PPTP） 下面簡單介紹一下 PPTP 網(wǎng)絡協(xié)議。 SKIP 主要是利用 DiffieHellman的演算法則，在網(wǎng)絡上傳輸密鑰；在 ISAKMP 中，雙方都有兩把密鑰，分別用于公用、私用。 密鑰管理技術的主要任務是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。采用實時加解密技術的系統(tǒng)由于沒有了明文過程，這個問題也就不存在了。這就要求使用者在這個階段要有足 夠的保密意識，在使用這些加密的對象時必須保證絕對的安全。實時加解密技術必須和操作系統(tǒng)融為一體，因此技術要求比較高。 IPSec（ IP Security）是由一組 RFC 文 6 檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務所使用密鑰等服務，從而在 IP 層提供安全保障。第三層隧道協(xié)議是把各種網(wǎng)絡協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第二層隧道協(xié)議有L2F、 PPTP、 L2TP 等。第二層隧道協(xié)議是先把各種網(wǎng)絡協(xié)議封裝到 PPP 中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。 隧道技術是 VPN 的基本技術類似于點對點連接技術，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。 VPN 的隧道技術 目前 VPN 主要采用四項技術來保證安全，這四項技術分別是隧道技術（ Tunneling）、加解密技術（ Encryption amp。而在 Inter 上， VPN 使用者可以控制自己與其它使用者的聯(lián)系，同時支持撥號的用戶。如果用戶需要一些別的服務， 需要填寫許多的單據(jù)，再等上相當一段時間，才能享受到新的服務。 VPN 是基于公網(wǎng) ,利用隧道加密等技術 ,為用戶提供的虛擬專用網(wǎng)絡 ,它給用戶一種直接連接到私人局域網(wǎng)的感覺。 它可以通過特殊的加密的通訊協(xié)議在連接在 Inter 上的位于不同地方的兩個或多個企業(yè)內部網(wǎng) 之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。所謂專用網(wǎng)絡，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡。 IETF 草案理解基于 IP 的 VPN 為： 使用 IP 機制仿真出一個私有的廣域網(wǎng) 是通過私有的隧道技術在公共數(shù)據(jù)網(wǎng)絡上仿真一條點到點的專線技術。虛擬專用網(wǎng)指的是依靠 ISP（ Inter 服務提供商）和其它 NSP（網(wǎng)絡服務提供商），在公用網(wǎng)絡中建立專用的數(shù)據(jù)通信網(wǎng)絡的技術。 技術 VPN 的 定義 VPN 的英文全稱是 “Virtual Private Network” ，翻譯過來就是 “ 虛擬專用網(wǎng)絡 ” [1]。 9 特定設備庫 此庫包含不同設備類 型中不同型號的設備，它隨著設備類型庫的選擇級聯(lián)顯示。 7 網(wǎng)絡設備庫 該庫包括設備類型庫和特定設備庫。 5 工作區(qū) 此區(qū)域中我們可以創(chuàng)建網(wǎng)絡拓撲，監(jiān)視模擬過程查看各種信息和統(tǒng)計數(shù)據(jù)。 3 常用工具欄 此欄提供了常用的工作區(qū)工具包括：選擇 、整體移動、備注、刪除、查看、添加簡單數(shù)據(jù)包和添加復雜數(shù)據(jù)包等。主要 包括菜單欄、主工具欄、常用工具欄、物理 /邏輯工具轉換欄等，具體如 圖 1 所示 : 圖 1 Packet Tracer 基本 界面 Packet Tracer 的主界面可分為十個區(qū)域，每個區(qū)域都有自己的功能特點，具體如表 1 所示： 4 表 1 Packet Tracer 基本界面介紹 1 菜單欄 此欄中有文件、選項和幫助按鈕，我們在此可以找到一些基本的命令如打開、保存、打印和選項設置，還可以訪問活動向導。其主要功能有： 首先，具有靈活的設計仿真環(huán)境， 可以通過該軟件自定義網(wǎng) 3 絡拓撲圖， 再 根據(jù)自己設計的拓撲圖來配置交換機、路由器等設備，所有操作與真實的環(huán)境完全相 同 ； 然后 ，可以 定制經(jīng)典的網(wǎng)絡實驗 ， Packet Tracer 除了允許用戶自定義網(wǎng)絡拓撲圖外，還提供了一些定制 好的經(jīng)典的網(wǎng)絡拓撲圖，并給出操作步驟和命令答案，適合用戶自學用； 其次 ， Packet Tracer 與國際認證考試接軌， 是 Cisco 路由器、交換機模擬程序，模擬 Cisco 環(huán)境下的網(wǎng)絡硬件平臺， 它為那些正在準備 CCNA、 CCNP 考試，然而卻苦于沒有 實驗設備、實驗環(huán)境的備考者提供了練習考試中命令的有力環(huán)境和工具；最后， Pac