毕业设计（论文）-基于IPSEC安全体系的VPN网络设计与实现

1、苏州高博软件职业技术学院毕业设计论文基于IPSec平安体系的VPN网络设计与实现Based on IPSec 学 院系： 网络工程系 专 业： 网络管理 学 生 姓 名： 学 号： 指 导 教 师职称： 评 阅 教 师： 完 成 日 期： 2021年5月 苏州高博软件职业技术学院Global Institute of Software Technology,Suzhou.基于IPSec平安体系的VPN网络设计与实现网络管理专业摘要IPSec协议是网络层协议,是为保障IP通信而提供的一系列协议族。IPSec针对数据在通过公共网络时的数据完整性、平安性和合法性等问题设计了一整套隧道、加密和认证方案

2、。IPSec能为IPv4/IPv6网络提供能共同操作/使用的、高品质的、基于加密的平安机制。提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性效劳。关键词思科；网络平安；隧道技术The Design and Implementation of IPSec VPN based on Cisco devicesNetwork Management ProfessionalDingfanAbstract: IPSec protocol is a network layer protocol, is provided for the protect

3、ion of a range of IP communication protocol suite. IPSec for data in the data through public network integrity, security and legality of such issues as designing a set of tunnels, encryption and authentication scheme .IPSec for IPv4/IPv6 networks to co-operation/use, high-quality, encryption-based s

4、ecurity mechanism. Provided, including access control, connectionless data integrity, data origin authentication, to prevent resend attack, the encrypted data based on confidentiality and the confidentiality of restricted data flow services.Key words: Cisco; Network Security ; Tunnel Technology 目录 T

5、OC o 1-3 h z u HYPERLINK l _Toc261941582 1 引言 PAGEREF _Toc261941582 h 1 HYPERLINK l _Toc261941583 1.1 产品背景 PAGEREF _Toc261941583 h 1 HYPERLINK l _Toc261941584 1.2 预期目标和经济效益 PAGEREF _Toc261941584 h 2 HYPERLINK l _Toc261941585 1.2.1 预期目标 PAGEREF _Toc261941585 h 2 HYPERLINK l _Toc261941586 1.2.2 经济效益 P

6、AGEREF _Toc261941586 h 2 HYPERLINK l _Toc261941587 2 VPN接入技术的选用与IPSec VPN概述 PAGEREF _Toc261941587 h 2 HYPERLINK l _Toc261941588 2.1 VPN技术的选用 PAGEREF _Toc261941588 h 2 HYPERLINK l _Toc261941589 2.1.1 IPSec VPN PAGEREF _Toc261941589 h 2 HYPERLINK l _Toc261941590 2.1.2 SSL VPN PAGEREF _Toc261941590 h 3

7、 HYPERLINK l _Toc261941591 2.2 IPSec VPN概述 PAGEREF _Toc261941591 h 4 HYPERLINK l _Toc261941592 2.2.1 IPSec协议简介 PAGEREF _Toc261941592 h 4 HYPERLINK l _Toc261941593 2.2.2 IPSec根本工作原理 PAGEREF _Toc261941593 h 4 HYPERLINK l _Toc261941594 2.2.3 IPSec中的三个主要协议 PAGEREF _Toc261941594 h 6 HYPERLINK l _Toc26194

8、1595 2.3 IPSec VPN网络设计原那么 PAGEREF _Toc261941595 h 17 HYPERLINK l _Toc261941596 3 需求分析 PAGEREF _Toc261941596 h 18 HYPERLINK l _Toc261941597 3.1 运行环境 PAGEREF _Toc261941597 h 18 HYPERLINK l _Toc261941598 3.2 需求分析设计 PAGEREF _Toc261941598 h 18 HYPERLINK l _Toc261941599 3.2.1 根底网络的构建； PAGEREF _Toc26194159

9、9 h 18 HYPERLINK l _Toc261941600 3.2.2 在已构建的网络上配置VPN； PAGEREF _Toc261941600 h 19 HYPERLINK l _Toc261941601 3.2.3 用网络测试工具对VPN通信进行测试 PAGEREF _Toc261941601 h 19 HYPERLINK l _Toc261941602 4 IPSec VPN网络具体规划与设计 PAGEREF _Toc261941602 h 20 HYPERLINK l _Toc261941603 4.1 根底网络构建和效劳器配置 PAGEREF _Toc261941603 h 2

10、0 HYPERLINK l _Toc261941604 4.2 VPN配置过程及测试步骤 PAGEREF _Toc261941604 h 22 HYPERLINK l _Toc261941605 4.2.1 site-to site 站点到站点，多用于总部与分支办公室连接 PAGEREF _Toc261941605 h 22 HYPERLINK l _Toc261941606 4.2.2 移动用户与总部进行连接 PAGEREF _Toc261941606 h 29 HYPERLINK l _Toc261941607 4.3 在VMware Workstation虚拟机上安装windows se

11、rver 2003 相应效劳器 PAGEREF _Toc261941607 h 29 HYPERLINK l _Toc261941608 5 测试：VPN应用测试 PAGEREF _Toc261941608 h 30 HYPERLINK l _Toc261941609 5.1 路由器上测试 PAGEREF _Toc261941609 h 30 HYPERLINK l _Toc261941610 5.2 使用本地主机访问各效劳器 PAGEREF _Toc261941610 h 31 HYPERLINK l _Toc261941611 结论及尚存在的问题 PAGEREF _Toc261941611

12、 h 32 HYPERLINK l _Toc261941612 参考文献 PAGEREF _Toc261941612 h 33 HYPERLINK l _Toc261941613 致谢 PAGEREF _Toc261941613 h 341 引言随着Internet的快速开展，人们逐渐把技术的焦点从网络的可用性、信息的获取性转移到网络的平安性、应用的简易性上来 。建立在IP技术根底上的虚拟专用网VirtualPrivateNetwork，VPN正快速成为新一代网络效劳的根底，许多效劳供给商推出了基于VPN的各种业务。与此相应，Internet的平安问题也日益受到重视。Internet是一个建立

13、在TCP/IP协议根底上的开放的分组交换网，由于其在最初设计时缺乏平安考虑，导致目前Internet的平安性能严重缺乏。网络上的IP数据包几乎都是用明文传输的，非常容易遭到窃听、篡改等攻击。在各种网络平安的解决方案中，IETF于1998年推出的IPSec协议有着独特的优势，占据着重要的根底地位。IPSec协议是现在VPN开发中使用的最广泛的一种协议，它有可能在将来成为IPVPN的标准。但是IPSec协议是一个比较新的平安协议，而且非常复杂，作为一个还没有完全成熟的协议，IPSec在理论上和实践上都有一些问题有待改良。鉴于它的重要作用，很有必要对IPSec协议及其VPN做相关的探讨及研究。实现V

14、PN技术的方式很多，常用的三种VPN：PPTP VPN ，SSL VPN 和IPSEC VPN，这三种VPN技术各有特色、各有所长。目前国外主要厂商对SSLVPN技术、MPLSVPN技术开展相比照较重视开展较快，但是目前应用最为广泛，技术最为成熟的仍然是IPSecVPN技术。IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录、客户/效劳器、电子邮件、文件传输及Web访问在内多种应用程序的平安。IPSec在传输层之下，对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时，无需更改用户或效劳器系统中的软件设置。即使在终端系统中执行

15、IPSec，应用程序一类的上层软件也不会被影响。IPSec对终端用户来说是透明的，因此不必对用户进行平安机制的培训。如果需要的话，IPSec可以为个体用户提供平安保障，这样做就可以保护企业内部的敏感信息。IPSec正向Internet靠拢。已经有一些机构局部或全部执行了IPSec。1.1 产品背景 在信息是时代，随着企业网应用的日益广泛，企业网的范围也在不断扩大，从本地网络开展到跨地区、跨城市，甚至是跨国家的网络。网络范围的扩大，导致在实际应用上对网络的要求也越来越高。例如，分布在不同城市或者不同国家的所属部门都想要实现建立在平安之上的信息交流和信息共享；出差的人员要求随时随地地访问企业内部网

16、等等。传统的企业网 专用网的解决方案大多通过向运营商租用各种类型的长途线路来连接各种分支机构局域网，或采取数字加密机加专线的方式进行点到点的数据传输，但是这种方式的网络费用高，大多数企业难以承受，且可扩展性极差。国内公共信息网在近些年来得到了高速开展，已经遍布全国各地。在物理上，各地的公共信息网都是连通的，但是由于公共信息网是对社会开放的，如果企业的信息要通过公共信息网进行传输，在平安性上存在着很多问题。因此如何利用现有的公共信息网来平安的建立企业的专用网络，就成了现今网络应用上最迫切需求解决的一个重要课题。 虚拟专用网VPN技术是近年来兴起的一个新兴技术，它既可以使企业摆脱繁重的网络升级维护

17、工作，又可以使公共网络得到有效的利用。VPN技术，也就是虚拟专用网技术，是指在公共网络中建立私有专用网络，数据通过平安的“加密管道在公共网络中传递信息。同时，企业还可以利用公共信息网的拨号接入设备，让自己的用户拨号到公共信息网上，就可以平安地连接进入企业网中。VPN具有节省本钱、提供远程访问、扩展性强、便于管理和实现全面控制等优点，是目前和今后企业网络开展的趋势。 预期目标和经济效益1. 预期目标该网络设计是总部公司与其他三个子公司相互之间整体网络的一个简化，各公司都接入到公网中，有完整的内网，在已有的网络结构根底上，通过点到点的方式建立IPSec VPN，使各子公司都能通过VPN平安的与总公

18、司进行通信和数据的传输。1.2.2 经济效益由于使用Internet进行传输相对于租用专线来说，费用极为低廉，所以VPN的出现使企业通过Internet既平安又经济地传输私有的机密信息成为可能，只需在现有设备上进行相关配置即可实现。2 VPN接入技术的选用与IPSec VPN概述2.1 VPN技术的选用用于企业内部建设VPN虚拟专网的主要有两种技术IP Sec VPN和SSL VPN。而通常采用的方式又主要分两种方式：1、site-to site 站点到站点，多用于总部与分支办公室连接2、access-vpn 远程访问VPN，多用于移动用户与总部进行连接。 IPSec VPNIPSec VPN

19、是通过IPSec技术建立平安数据隧道的VPN解决模型。平安数据隧道本质上是提供独立封闭的数据包平安传输。IPSec工作于网络层，对终端站点间所有传输数据进行保护，而不管是哪类网络应用。它在事实上将远程客户端“置于企业内部网，使远程客户端拥有内部网用户一样的权限和操作功能。IPSec的优势有：1. 强大的平安性 IPSec协议固有的强大的平安特性能够使用户进行认证，保证数据的机密性和完整性。用户可以用数字证书或者预共享密钥进行认证，与平安策略不一致的包被丢弃。2. 支持远程办公和移动办公3. IPSec VPN数据转发设备能够为数万地址上分散的用户提供效劳。4. 易于配置搭建VPN 并不需要效劳

20、提供商的介入，尽管许多企业为了降低花费、加快效劳入门和减轻风险，选择利用效劳提供商对区域性或者全局性多个站点配置的管理效劳经验。5. 减轻在集线器站点的拥挤当对分散隧道配置时，远端VPN客户端能直接转发预定的Internet流量，替代通过IPSec隧道，并仅对相关的正在被转发到集线器的流量建立隧道。这样降低了在集线器点的拥挤。6. 从公司现状考虑，IPSEC能利用公司现有设备IPSEC可以结合现有的防火墙设备实现，公司总部网络无需增加新的设备。7. IPSec方案适用于在“站点站点VPN方案IPSec对VPN而言仍是主导性的隧道和加密技术，就通常的企业用户和“站点到站点连接所需要的直接访问企业

21、网络功能而言，IPSec无可比较。 SSL VPNSSL的英文全称是“Secure Sockets Layer，中文名为“平安套接层协议层。它的“零客户端架构特别适合于远程用户连接。SSL嵌在浏览器中，远程用户通过浏览器来访问企业内部的Web应用。这些Web应用目前主要是内部网页游览、电子邮件及其它基于Web的查询工作。SSL VPN的优势为：使用、设置简单，不需要客户软件。有助于降低本钱、减缓远程桌面维护方面的担忧。但是，SSL的局限性有如下几方面：1. 只能访问通过网络浏览器连接的资产。在性能、应用覆盖和兼容性等方面也存在问题。2. SSL VPN无法为远程访问应用提供全面的解决方案，因为

22、它并不有助于访问内部开发的应用，也无助于访问要求多个渠道和动态端口以及使用多种协议这类复杂的应用。而这些应用对公司及远程用户来说却是一个关键需求。譬如说，SSL VPN没有架构来支持即时消息传送、多播、数据馈送、视频会议及VoIP。3. SSL VPN存在一定平安风险，因为用户可运用公众Internet站点接入。4. 尽管SSL能够保护由 创立的TCP通道的平安，但它并不适用于UDP通道。然而，如今企业信息管理要求支持各种类型的应用：TCP和UDP、客户机/效劳器和Web、现成和内部开发的程序。综上所述，在设计上，IPSec VPN是一种根底设施性质的平安技术，这类VPN的真正价值在于，它们尽

23、量提高IP环境的平安性。因此，有人坚决地认为，IPSec是提供站点到站点连接的首要工具，是企业构建VPN的最正确选择；而SSL VPN缺少站点到站点连接的理想解决方案。2.2 IPSec VPN概述 IPSec协议简介IPSec(1P Security)产生于IPv6的制定之中，用于提供IP层的平安性。由于所有支持TCPIP协议的主机进行通信时，都要经过IP层的处理，所以提供了IP层的平安性就相当于为整个网络提供了平安通信的根底。鉴于IPv4的应用仍然很广泛，所以后来在IPSec的制定中也增添了对IPv4的支持。最初的一组有关IPSec标准由IETF在1995年制定，但由于其中存在一些未解决的

24、问题，从1997年开始IETF又开展了新一轮的IPSec的制定工作，截止至1998年11月份主要协议已经根本制定完成。不过这组新的协议仍然存在一些问题，预计在不久的将来IETF又会进行下一轮IPSec的修订工作。 IPSec根本工作原理IPSec的工作原理(如图l所示)类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规那么表中进行匹配。当找到一个相匹配的规那么时，包过滤防火墙就按照该规那么制定的方法对接收到的IP数据包进行处理。 这里的处理工作只有两种：丢弃或转发图2-1 IPSec工作原理示意图IPSec通过查询SPD(Secur

25、ity P01icy Database平安策略数据库)决定对接收到的IP数据包的处理。但是IPSec不同于包过滤防火墙的是，对IP数据包的处理方法除了丢弃，直接转发(绕过IPSec)外，还有一种，即进行IPSec处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络平安性。进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过，可以拒绝来自某个外部站点的IP数据包访问内部某些站点，也可以拒绝某个内部站点方对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取，也不能保证进入内部网络的数据包未经过篡改。只有在对I

26、P数据包实施了加密和认证后，才能保证在外部网络传输的数据包的机密性，真实性，完整性，通过Internet进新平安的通信才成为可能。图2-2 IPSec体系示意图IPSec既可以只对IP数据包进行加密，或只进行认证，也可以同时实施二者。但无论是进行加密还是进行认证，IPSec都有两种工作模式，一种是与其前一节提到的协议工作方式类似的隧道模式，另一种是传输模式。传输模式，如图23所示，只对IP数据包的有效负载进行加密或认证。此时，继续使用以前的IP头部，只对IP头部的局部域进行修改，而IPSec协议头部插入到IP头部和传输层头部之间。图2-3 传输模式示意图隧道模式，如图2-4所示，对整个IP数据

27、色进行加密或认证。此时，需要新产生一个IP头部，IPSec头部被放在新产生的IP头部和以前的IP数据包之间，从而组成一个新的IP头部。图2-4 隧道模式示意图 IPSec中的三个主要协议前面已经提到IPSec主要功能为加密和认证，为了进行加密和认证IPSec还需要有密钥的管理和交换的功能，以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由AH，ESP和IKE三个协议规定。为了介绍这三个协议，需要先引人一个非常重要的术语SA(Securlty Association平安关联)。所谓平安关联是指平安效劳与它效劳的载体之间的一个“连接。AH和ESP都需要使用SA，而IKE

28、的主要功能就是SA的建立和维护。只要实现AH和ESP都必须提供对SA的支持。通信双方如果要用IPSec建立一条平安的传输通路，需要事先协商好将要采用的平安策略，包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的平安策略后，我们就说双方建立了一个SA。SA就是能向其上的数据传输提供某种IPSec平安保障的一个简单连接，可以由AH或ESP提供。当给定了一个SA，就确定了IPSec要执行的处理，如加密，认证等。SA可以进行两种方式的组合，分别为传输临近和嵌套隧道。1)ESP(Encapsulating Secuity Fayload)ESP协议主要用来处理对IP数据包的加密，此外对认证也提

29、供某种程度的支持。ESP是与具体的加密算法相独立的，几乎可以支持各种对称密钥加密算法，例如DES，TripleDES，RC5等。为了保证各种IPSec实现间的互操作性，目前ESP必须提供对56位DES算法的支持。ESP协议数据单元格式三个局部组成，除了头部、加密数据局部外，在实施认证时还包含一个可选尾部。头部有两个域：平安策略索引(SPl)和序列号(Sequencenumber)。使用ESP进行平安通信之前，通信双方需要先协商好一组将要采用的加密策略，包括使用的算法、密钥以及密钥的有效期等。“平安策略索引使用来标识发送方是使用哪组加密策略来处理IP数据包的，当接收方看到了这个序号就知道了对收到

30、的IP数据包应该如何处理。“序列号用来区分使用同一组加密策略的不同数据包。加密数据局部除了包含原IP数据包的有效负载，填充域(用来保证加密数据局部满足块加密的长度要求)包含其余局部在传输时都是加密过的。其中“下一个头部(Next Header)用来指出有效负载局部使用的协议，可能是传输层协议(TCP或UDP)，也可能还是IPSec协议(ESP或AH)。通常，ESP可以作为IP的有效负载进行传输，这JFIP的头UKB指出下广个协议是ESP，而非TCP和UDP。由于采用了这种封装形式，所以ESP可以使用旧有的网络进行传输。前面已经提到用IPSec进行加密是可以有两种工作模式，意味着ESP协议有两种

31、工作模式：传输模式(Transport Mode)和隧道模(TunnelMode)。当ESP工作在传输模式时，采用当前的IP头部。而在隧道模式时，侍整个IP数据包进行加密作为ESP的有效负载，并在ESP头部前增添以网关地址为源地址的新的IP头部，此时可以起到NAT的作用。图2-5 ESP封装示意图2)AH(Authentication Header)AH只涉及到认证，不涉及到加密。AH虽然在功能上和ESP有些重复，但AH除了对可以对IP的有效负载进行认证外，还可以对IP头部实施认证。主要是处理数据对，可以对IP头部进行认证，而ESP的认证功能主要是面对IP的有效负载。为了提供最根本的功能并保证

32、互操作性，AH必须包含对HMAC?/FONTSHA和HMAC?/FONTMD5(HMAC是一种SHA和MD5都支持的对称式认证系统)的支持。AH既可以单独使用，也可在隧道模式下，或和ESP联用。如图2-6图2-6 AH头示意图3)IKE(Internet Key Exchange)IKE协议是负责在二个IPsec对等体间协商一条IPsec隧道的协议,IKE在隧道建立过程中主要完成以下任务:-协商协议参数-交换公共密钥-对双方进行认证-在交换后对密钥进行管理图2-7 IKE示意图IKE也是由三个协议组成-SKEME提供为认证目的使用公开密钥加密的机制-Oakley提供在二个IPsec对等体间达成

33、相同加密密钥的基于模式的机制-ISAKMP定义了消息交换的体系结构,包括二个IPsec对等体间分组形式和状态转换.IKE协议分为二个阶段.一条完整的IPsec隧道通过以下事件序列建立起来:第一步: IPsec对等体收到感兴趣流量(即我们想被加密的流量)后,将产生IKE会话.第二步: 使用IKE的主模式(6条消息)或主动模式(3条消息)协商来使二个IKE对等体的IKE平安联盟被创立.第三步: 使用IKE的快速模式协商,创立二个IPsec对等体间的二个平安联盟.第四步: 数据开始在加密的信道上传输,使用了ESP或是AH封装技术(或都采用了).从第二步和第三步可以看出IKE协议分为二个阶段:第一阶段

34、使用主模式(6条消息)或主动模式(3条消息)来完成下面三个任务:-协商形成用来认证二个对等体的一个参数集合并加密一局部主模式和所有的快速模式交换.如果协商中使用主动模式那么没有主动模式被加密.-二个对等体间相互认证.这里验证有三种方法:预共享,数字签名,加密临时值.-当协商完成时产生密钥,该密钥用于生成实际加密数据的密钥资源.第二阶段为快速模式(3条消息):主要目标是允许二个对等协商一些用于产生IPsec平安联盟的属性,平安联盟可以加密二个主机间的数据(ESP).IKE如何用来形成一条IPsec隧道的呢?这一系列过程都是IKE这个协议来实现,IKE这个协议也存在着一些缺乏,“IKE之子或第二版

35、IKE正在开发之中.主模式(6条消息)或主动模式(3条消息)第一阶段三个任务,分别用6个消息(主模式)来完成,每二个为一组.第一个消息由隧道的发起者发起,携带了如这样一些参数,如加密机制-DES,散列机制-MD5-HMAC,Diffie-Hellman组-2,认证机制-预共享.第二个消息由响应者回应,内容根本一样,主要与发起者比较,是否与发起者匹配,不匹配就进行下一组的比较.如果最终都找不到匹配,隧道就停止建立.第三个消息由发起者发出,但是在发出这个消息之前,有个过程必须先完成,就是Diffie-Hellman算法过程.该过程的目的是什么呢？刚刚第一二条消息中所协商的算法它们必须需要一个KEY

36、,这个KEY在二个对等体上必须一样,但同时这个KEY不能在链路中传递,因为传递KEY是一个不平安的手段.所以,该过程的目的是分别在二个对等间独立地生成一个DH公共值(该DH公共值不是我们上面所说的KEY),该公共值有什么用呢？因为二个对等体上都生成该DH公共值后,它们会在接下来的第三第四消息中传送给对方,打个比方,就是A收到了B的DH公共值Xb,B收到了A的DH公共值Xa.当A,B都收到了对方的该公共值后,问题就好解决了.因为有一个公式在数学中被论证成立,借助该公式,就可以在二个对等上生成一个只有他们二个对等体知道的相同的KEY,该公式为发起者密秘=(Xb)amod p=(Xa)bmod p=

37、响应者密秘Xb为对等体B的DH公共值,Xa为对等体A的DH公共值a为只有对等体A知道的秘密. b为只有对等体B知道的秘密.注意,这里发起者秘密和响应者密秘相等,但这个秘密不是最终算法中使用的KEY,但对等体可通过该秘密材料来生成另外三个密钥,分别是:SKEYID_d-此密钥被用于计算后续IPsec密钥资源. SKEYID_a-此密钥被用于提供后续IKE消息的数据完整性以及认证. SKEYID_e-此密钥被用于对后续IKE消息进行加密.所以由发起者发起的第三条消息主要是向对等体发送自己的DH公共值和一个临时值.临时值被用作生成上述3个SKEYID的材料.第四条消息由响应者向发起者发送,主要是向发

38、送者发送自己的DH公共值和临时值.由于第一二条消息协商算法,第三四条消息生成KEY,所以在后续的第五六条消息就能被加密传送.第五条消息由发起者向响应者发送,主要是为了验证对端就是自己想要与之通信的对端.这可以通过预共享,数字签名,加密临时值来实现.第六条消息由响应者向发起者发送,主要目的和第五条一样.在这六条消息过后,也就是验证一旦通过,就进入了第二阶段:快速模式,快速模式使用二条消息来实现.快速模式发起者会在第一条消息中发送IPsec SA的转换集属性,如:封装-ESP,完整性检验-SHA-HMAC,DH组-2,模式-隧道响应者向发起者发送第二条消息,同意第一条消息中的属性,同时也能起到确认

39、收到对端消息的作用.这一步一旦完成,隧道就建立起来了,用户的数据就能被放入隧道中传送.图2-8 快速模式交换示意图2) IPSEC VPN的平安根底【机密性保护】 机密性保护的作用：防止信息泄漏给未经授权的个人。A和B要进行平安通信，假设A要发送给B：“hello“这个信息，肯定不可能直接明文发送，所以要对发出去的信息进行加密处理，然后B收到后再进行解密处理，这样的过程就是保护数据机密性的过程。几个概念：算法：在加密和解密过程中采用的一组规那么。密钥：可以看作是密码算法的参数，用来控制加密，解密操作。分为加密密钥Ke和解密密钥Kd。就上面的例子，比方A的消息“hello就是明文，假设算法是这样

40、的一组规那么：加密的时候将字母往后移x个字母，解密的时候往前移位三个字母。密钥是x，这里假设密钥为3。根据这个算法，加密后的密文就成了：“khoor，这样别人看到这串字母就不知道什么意思了。解密密钥也是x这里也是3，接受方根据解密算法就可以将密文向前移位三个字母，就可以得到明文。因此我们可以这样理解，加密是要由算法和密钥共同组成的。目前，很多加密算法都是公开的，也就是大家可以知道这些算法是怎么算的，都是有标准的。但是密钥是要保护的，这样即时知道了算法，也不能解密。就上面的例子来说，你知道算法是加密后移k位，解密前移k位，但是你不知道密钥k是多少，所以也就不能解密了。算法是公开的，密钥是私有的，

41、如何管理和分配私钥成为重要问题。现在来看下列图中的Ke和Kd，Ke是加密时候用的密钥，Kd是解密时候用的密钥。如果在算法中Ke和Kd是相同的，我们说这是个对称密钥算法。如果在算法中Ke和Kd是不一样的，我们就说这是个非对称密钥算法。在这里不比照这两种算法的优缺点，这里只需知道不管是对称还是非对称，都是加密算法，都可以用来作加密，只是密钥不同。记住常用的三个即可非对称加密算法有：RSA，Diffie-Hellman，Rabin，ELGmal机密性总结：1.在传输过程中对数据加密解密就是数据机密性的保护。2.目前情况，算法是可以公开的，需要保护的是密钥。3.常用的对称加密算法：DES，3DES，A

42、ES；常用的非对称加密算法：RSA，Diffie-Hellman简称DH【完整性保护】 通过对主机A的原始数据加密形成密文再传送保护了数据的机密性，但是在传输过程中，如果密文因为某些原因丧失了一局部，或者被别人篡改了，那么在主机B中就不能收到完整的A所发送的的信息了。因此我们需要一种方法来解决这个问题，即验证数据的完整性。完整性，可以这样理解，我们要通过某种方法，来判断B收到的信息和A给的信息是一样的，是完整的。我们通过hash算法实现这一功能。这里需要注意的是完整性可以通过hash函数来实现，但是这些hash函数不仅仅只能用来做完整性保护，具体情况要看被hash的数据是什么而定，后续会提到。

43、HASH算法是通过HASH函数来实现的。hash函数有：MD5，SHA-1hash函数的特点，必须记住的：1.输入是变长的数据，输出是固定长度的值的值MD5是128位，叫hash值。2.hash函数是单向的，即正向计算容易，求逆极其困难，我们这里认为是不可能的。【身份认证】身份认证：一种用来验证发送者的身份的真实性，通过身份认证可以发现那些假冒的顶替的入侵者。从例子上看，A发给B消息，B要验证消息确实是A发出的，而不是别人发出的。身份认证可用公钥密码体制来验证。首先了解一下公钥的密钥体制的一些重要概念:1.有一对密钥，分为公钥和私钥。2.私钥加密，只有对应的公钥才能解密。用于身份认证3.公钥加

44、密，只有对应的私钥才能解密。用于数据加密公钥密码体制不仅可以用在保护数据的机密性，而且可以用在身份认证中。将公钥公开，就是任何人都可以得到公钥，发送者用相应的私钥加密，由于只有发送者才有私钥，所以只要接受者能用公钥解开，就能证明一定是拥有私钥的人发送的。这样就验证了对方的身份。总结一句话：私钥加密，公钥解密，实现身份认证。IPSEC VPN加密通信中的四个概念：【MAC消息认证码】消息认证码MAC就是带密钥的hash函数，用来做验证用。MAC消息认证码是将共享密钥和数据一起做hash，验证过程：1.A和B通信之前已经协商好一个共享密钥，只有A和B知道。2.A将发出的消息和密钥一起做hash运算

45、，得到mac值，附在消息后面。3.B收到消息和mac值，将消息和他共享密钥做同样的hash运算。4.比照两个hash值，因为只有消息和密钥都一样，hash值才可能一样，所以如果hash值一样，那么说明消息是正确的，而且说明消息是由A拥有共享密钥的人发送的。到达认证和完整性的目的。注意：IPSEC VPN里用的就是HMAC。完整性和数据源认证的区别本质区别：完整性检验只对消息做hash值，而数据源认证对数据和密钥做hash。第一，数据源认证必须要求通信，而数据完整性认证不一定需要通信，例如存储数据的完整性认证。第二，数据源认证必然要求识别数据源，而数据完整性校验不一定需要，例如无源数据识别中的数

46、据完整性校验。消息认证码总结：1.MAC主要功能是用来做消息认证的。2.利用hash算法来实现的。3.Hash算法可以用来做完整性检验，也可以用来做消息认证，取决于所hash的内容有没有包含密钥。【数字签名】数字签名，目的是认证，防止欺骗或抵赖。数字签名涉及的技术：公钥密码体制和完整性检验。回忆公钥密码体制的最重要特性：密钥是成对的，而且公钥加密只有私钥能解，同样私钥加密只有公钥能解。p：L bits长的素数。L是64的倍数，范围是512到1024； q：是p - 1的160bits的素因子； g：g = h(p-1)/q) mod p，h满足h 1； x：秘密密钥，正整数，x q； y：y

47、= gx mod p ，( p, q, g, y )为公钥； k为随机数，0kq； H( x )：One-Way Hash函数。 DSS中选用SHA( Secure Hash Algorithm )。 p, q, g可由一组用户共享，但在实际应用中，使公共模数可能会带来一定的威胁。 签名过程如下： 图2-11 数字签名示意图数字签名方案有两个局部：签名算法和验证算法。图2-11和图2-12表示签名算法和验证算法。图2-12 签名算法图示说明：数据用hash函数哈希得到定长的输出，然后用私钥签名hash值。数字签名的核心在于用私钥加密。这里hash函数的作用有两个：1得到的定长输出，位数短，私钥

48、签名的时候速度快。2保证数据的完整性。验证算法：图2-13 验证算法数字签名总结：1.数字签名的技术支持：完整性算法和公钥密码体制。2.数字签名的标准：DSS3.数字签名是一种身份认证方式。【数字证书】数字证书，数字证书将身份标识与公钥绑定在一起，并由可信任的第三方权威机构用其私钥签名。数字证书可以防止“中间人攻击。 图2-14 中间人攻击图示解说：1.带有引号的公钥，即“公钥指的是hacker的公钥，并不是真正的公钥，但是Alice认为是BOb的公钥。2.通过数字顺序说明中间人攻击的过程。从中间人攻击过程可以看出，不平安的因素在于不能识别公钥的来源。数字证书就是为解决这个问题而来的。数字证书

49、的解决方法：1.身份标识与公钥绑定在一起，形成证书，这样公钥就和身份相对应。2.由可信任的第三方权威机构用其私钥签名来确保证书的有效性和平安性。注意： 数字证书平安的前提是第三方是可信任的，如果第三方被伪造，数字证书就没有平安性可言。数字证书总结：1. 验证过程：A从第三方下载证书，内有B的公钥和B的身份标识，由第三方证明公钥是由B所持有。2. 数字证书用来防止中间人攻击。【DH算法】DH算法，全称： Diffie Hellman算法，是一种非对称密钥算法。目的： 在一个非平安的通道上平安地建立一个共享密钥，用来建立平安的信道。数学根底：基于求离散对数难。详细过程：1、有两个全局公开的参数，一

50、个素数q和一个整数a，a是q的一个原根。2、假设用户A和B希望交换一个密钥，用户A选择一个作为私有密钥的随机数XAq，并计算公开密钥YA=aXA mod q。A对XA的值保密存放而使YA能被B公开获得。类似地，用户B选择一个私有的随机数XBenRouter#config terminalRouter(config)#2 配置路由器的根本平安参数 主要是设置特权口令、远程访问口令和路由器名称，方便远程调试。 Router(config)#enable secret linyongqiang Router(config)#line vty 0 4 Router(config-line)#passw

51、ord nyist Router(config-line)#exit Router(config)#hostname R1 R1(config)#3 配置路由器的以太网接口，并测试与本地计算机的连通性 注意: 配置前，请将线缆与相关设备连接好。其中f0/0端口接内部网络，s2/0端口接外部网络。外部网络接口地址由ISP分配，至少一个地址，多者不限。以下假定为一个，使用PAT(端口地址转换)模式，地址为，上级路由器为。 关键是配置IP地址和启用以太网接口。测试时，使用根本的测试命令ping。 R1(config)#inter f0/0 R1(config-if)#ip address 192 R

52、1(config-if)#no shutdown 以下是测试命令： R1#ping ! R1#ping ! 在IP地址为的计算机上: c:ping Pinging with 32 bytes of data: Reply from 192.168.: bytes=32 time=5ms TTL=255 结果证明连接及配置正确。4 配置路由器的串口，并测试与上级路由器的连通性 R1(config)#inter serial2/0 R1(config-if)#ip address R1(config-if)#bandwidth 256 R1(config-if)#encapsulation ppp

53、 R1(config-if)#no cdp enable R1(config-if)#no shutdown 以下是测试命令： R1#ping ! R1#ping ! 结果证明连接及配置正确。2. 配置路由器NAT网络 1 配置外出路由并测试 主要是配置缺省路由。 R1(config)#ip route .0 R1#ping ! 结果证明本路由器可以通过ISP访问Internet。 2 配置PAT，使内部网络计算机可以访问外部网络，但不能访问其他电视台 R1(config)#inter eth0/0 R1(config-if)#ip nat inside R1(config-if)#inter

54、 serial0/0 R1(config-if)#ip nat outside R1(config-if)#exit 以上命令的作用是指定内外端口。 R1(config)#route-map cisco permit 10 R1(config-route-map)#match ip address 101 R1(config-route-map)#exit 以上命令的作用是指定对外访问的规那么名。 R1(config)#access-list 101 deny 1968.1.0 .255 55 R1(config)#access-list 101deny 1968.1.0 .255 55 R1

55、(config)#access-list 101 deny 1968 .255 20.1.1 R1(config)#access-list 101 permit ip 1968 .255 any 以上命令的作用是指定对外访问的规那么内容。 R1(config)#ip nat inside source route-map cisco interface serial2/0 overload 上述命令的作用是声明使用串口的注册IP地址，在数据包遵守对外访问的规那么的情况下，使用PAT技术。 以下是测试命令，通过该命令，可以判断配置是否有根本的错误。 R1#show ip nat stat Tot

56、al active translations: 0 (0 static, 0 dynamic; 0 extended) Outside interfaces: Serial2/0 Inside interfaces: f0/0 在IP地址为1的计算机上，执行必要的测试工作，以验证内部计算机可以通过PAT访问Internet。 c:ping Reply from : bytes=32 time=1ms TTL=255 c:ping HYPERLINK :/ Reply from: bytes=32 time=769ms TTL=248 此时，在路由器上，可以通过命令观察PAT的实际运行情况，再次

57、验证PAT配置正确。 R1#show ip nat tran Pro Inside global Inside local Outside local Outside global icmp :1975 :1975 :1975 :1975 以上测试过程说明，NAT配置正确。内部计算机可以通过平安的途径访问Internet。当然，如果业务要求，不允许所有的内部员工/计算机，或只允许局部内部计算机访问Internet，那么，只需要适当修改上述配置命令，即可实现。R1#show ip route /24 is subnetted, 1 subnetsO 110/128 via , 00:00:23,

58、 Serial2/0O /24 110/129 via , 00:00:23, Serial2/0 /24 is subnetted, 1 subnetsC is directly connected, Serial2/0 /24 is subnetted, 1 subnetsO 110/128 via , 00:00:23, Serial2/0 .0/16 is subnetted, 1 subnetsS .0 is directly connected, Serial2/0C /24 is directly connected, FastEthernet0/0 /24 is subnett

59、ed, 1 subnetsO 110/128 via , 00:00:23, Serial2/0R2#sh ip route /24 is subnetted, 1 subnetsO 110/128 via , 00:00:21, Serial2/0O /24 110/129 via , 00:00:21, Serial2/0 /24 is subnetted, 1 subnetsC is directly connected, FastEthernet0/0 /24 is subnetted, 1 subnetsO 110/128 via , 00:00:21, Serial2/0 /24

60、is subnetted, 1 subnetsO 110/128 via , 00:00:21, Serial2/0 .0/16 is subnetted, 1 subnetsS .0 is directly connected, Serial2/0 /24 is subnetted, 1 subnetsC is directly connected, Serial2/0R3#show ip route /24 is subnetted, 1 subnetsO 110/128 via , 00:00:35, Serial2/0C /24 is directly connected, FastE