2017畢業(yè)論文-基于ipsec安全體系的vpn網(wǎng)絡(luò)設(shè)計與實現(xiàn)

1、<p>　　蘇州高博軟件職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計（論文）</p><p>　　基于IPSec安全體系的VPN網(wǎng)絡(luò)設(shè)計與實現(xiàn)</p><p>　　Based on IPSec </p><p>　　學(xué) 院（系）： 網(wǎng)絡(luò)工程系 </p><p>　　專 業(yè)： 網(wǎng)絡(luò)管理

2、 </p><p>　　學(xué) 生 姓 名： </p><p>　　學(xué) 號： </p><p>　　指 導(dǎo) 教 師（職稱）： </p><p>　　評 閱 教 師：

3、 </p><p>　　完 成 日 期： 2011年5月 </p><p>　　蘇州高博軟件職業(yè)技術(shù)學(xué)院</p><p>　　Global Institute of Software Technology,Suzhou.</p><p>　　基于IPSec安全體系的VPN網(wǎng)絡(luò)設(shè)計與實現(xiàn)&l

4、t;/p><p><b>　　網(wǎng)絡(luò)管理專業(yè)　</b></p><p>　?。壅∫軮PSec協(xié)議是網(wǎng)絡(luò)層協(xié)議, 是為保障IP通信而提供的一系列協(xié)議族。 IPSec針對數(shù)據(jù)在通過公共網(wǎng)絡(luò)時的數(shù)據(jù)完整性、安全性和合法性等問題設(shè)計了一整套隧道、加密和認(rèn)證方案。IPSec能為IPv4/IPv6網(wǎng)絡(luò)提供能共同操作/使用的、高品質(zhì)的、基于加密的安全機(jī)制。提供包括

5、存取控制、無連接數(shù)據(jù)的完整性、數(shù)據(jù)源認(rèn)證、防止重發(fā)攻擊、基于加密的數(shù)據(jù)機(jī)密性和受限數(shù)據(jù)流的機(jī)密性服務(wù)。</p><p>　?。坳P(guān)鍵詞］思科；網(wǎng)絡(luò)安全；隧道技術(shù)</p><p>　　The Design and Implementation of IPSec VPN </p><p>　　based on Cisco devices</p><p&

6、gt;　　Network Management Professional　Dingfan</p><p>　　[Abstract]: IPSec protocol is a network layer protocol, is provided for the protection of a range of IP communication protocol suite. IPSec for data in t

7、he data through public network integrity, security and legality of such issues as designing a set of tunnels, encryption and authentication scheme .IPSec for IPv4/IPv6 networks to co-operation/use, high-quality, encrypti

8、on-based security mechanism. Provided, including access control, connectionless data integrity, data origin authentication, to </p><p>　　[Key words]: Cisco; Network Security ; Tunnel Technology </p>&

9、lt;p><b>　　目　　錄</b></p><p><b>　　1 引言1</b></p><p>　　1.1 產(chǎn)品背景1</p><p>　　1.2 預(yù)期目標(biāo)和經(jīng)濟(jì)效益2</p><p>　　1.2.1 預(yù)期目標(biāo)2</p><p>　　1.2.2 經(jīng)濟(jì)效益

10、2</p><p>　　2 VPN接入技術(shù)的選用與IPSec VPN概述2</p><p>　　2.1 VPN技術(shù)的選用2</p><p>　　2.1.1 IPSec VPN2</p><p>　　2.1.2 SSL VPN3</p><p>　　2.2 IPSec VPN概述4</p>&l

11、t;p>　　2.2.1 IPSec協(xié)議簡介4</p><p>　　2.2.2 IPSec基本工作原理4</p><p>　　2.2.3 IPSec中的三個主要協(xié)議6</p><p>　　2.3 IPSec VPN網(wǎng)絡(luò)設(shè)計原則17</p><p><b>　　3 需求分析18</b></p>

12、<p>　　3.1 運行環(huán)境18</p><p>　　3.2 需求分析設(shè)計18</p><p>　　3.2.1 基礎(chǔ)網(wǎng)絡(luò)的構(gòu)建；18</p><p>　　3.2.2 在已構(gòu)建的網(wǎng)絡(luò)上配置VPN；19</p><p>　　3.2.3 用網(wǎng)絡(luò)測試工具對VPN通信進(jìn)行測試19</p><p>　　4 IP

13、Sec VPN網(wǎng)絡(luò)具體規(guī)劃與設(shè)計20</p><p>　　4.1 基礎(chǔ)網(wǎng)絡(luò)構(gòu)建和服務(wù)器配置20</p><p>　　4.2 VPN配置過程及測試步驟22</p><p>　　4.2.1 site-to site 站點到站點，多用于總部與分支辦公室連接22</p><p>　　4.2.2 移動用戶與總部進(jìn)行連接29</p>

14、<p>　　4.3 在VMware Workstation虛擬機(jī)上安裝windows server 2003 相應(yīng)服務(wù)器29</p><p>　　5 測試：VPN應(yīng)用測試30</p><p>　　5.1 路由器上測試30</p><p>　　5.2 使用本地主機(jī)訪問各服務(wù)器31</p><p>　　結(jié)論及尚存在的問題3

15、2</p><p><b>　　參考文獻(xiàn)33</b></p><p><b>　　致謝34</b></p><p><b>　　1 引言</b></p><p>　　隨著Internet的快速發(fā)展，人們逐漸把技術(shù)的焦點從網(wǎng)絡(luò)的可用性、信息的獲取性轉(zhuǎn)移到網(wǎng)絡(luò)的安全性、應(yīng)用的簡

16、易性上來 。建立在IP技術(shù)基礎(chǔ)上的虛擬專用網(wǎng)（Virtual Private Network，VPN）正快速成為新一代網(wǎng)絡(luò)服務(wù)的基礎(chǔ)，許多服務(wù)供應(yīng)商推出了基于VPN的各種業(yè)務(wù)。與此相應(yīng)，Internet的安全問題也日益受到重視。Internet 是一個建立在TCP/IP協(xié)議基礎(chǔ)上的開放的分組交換網(wǎng)，由于其在最初設(shè)計時缺乏安全考慮，導(dǎo)致目前Internet的安全性能嚴(yán)重不足。網(wǎng)絡(luò)上的IP數(shù)據(jù)包幾乎都是用明文傳

17、輸?shù)?，非常容易遭到竊聽、篡改等攻擊。在各種網(wǎng)絡(luò)安全的解決方案中，IETF于1998年推出的IPSec協(xié)議有著獨特的優(yōu)勢，占據(jù)著重要的基礎(chǔ)地位。IPSec協(xié)議是現(xiàn)在VPN開發(fā)中使用的最廣泛的一種協(xié)議，它有可能在將來成為IPVPN的標(biāo)準(zhǔn)。但是IPSec協(xié)議是一個比較新的安全協(xié)議，而且非常復(fù)雜，作為一個還沒有完全成熟的協(xié)議，IPSec 在理論上和實踐上都有一些問題有待改進(jìn)。鑒于它的重要作用，很有必要對IPSec協(xié)議及其VPN做相關(guān)的

18、探討及研究。實現(xiàn)VPN技術(shù)的方式很多，常用的三種VP</p><p>　　IPSec的主要特征在于它可以對所有IP級的通信進(jìn)行加密和認(rèn)證，正是這一點才使IPSec可以確保包括遠(yuǎn)程登錄、客戶/服務(wù)器、電子郵件、文件傳輸及Web訪問在內(nèi)多種應(yīng)用程序的安全。IPSec在傳輸層之下，對于應(yīng)用程序來說是透明的。當(dāng)在路由器或防火墻上安裝IPSec時，無需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。即使在終端系統(tǒng)中執(zhí)行IPSec，應(yīng)用程

19、序一類的上層軟件也不會被影響。IPSec對終端用戶來說是透明的，因此不必對用戶進(jìn)行安全機(jī)制的培訓(xùn)。如果需要的話，IPSec可以為個體用戶提供安全保障，這樣做就可以保護(hù)企業(yè)內(nèi)部的敏感信息。IPSec正向Internet靠攏。已經(jīng)有一些機(jī)構(gòu)部分或全部執(zhí)行了IPSec。</p><p><b>　　1.1 產(chǎn)品背景</b></p><p>　　在信息是時代，隨著企業(yè)網(wǎng)應(yīng)用的

20、日益廣泛，企業(yè)網(wǎng)的范圍也在不斷擴(kuò)大，從本地網(wǎng)絡(luò)發(fā)展到跨地區(qū)、跨城市，甚至是跨國家的網(wǎng)絡(luò)。網(wǎng)絡(luò)范圍的擴(kuò)大，導(dǎo)致在實際應(yīng)用上對網(wǎng)絡(luò)的要求也越來越高。例如，分布在不同城市或者不同國家的所屬部門都想要實現(xiàn)建立在安全之上的信息交流和信息共享；出差的人員要求隨時隨地地訪問企業(yè)內(nèi)部網(wǎng)等等。傳統(tǒng)的企業(yè)網(wǎng) 專用網(wǎng)的解決方案大多通過向運營商租用各種類型的長途線路來連接各種分支機(jī)構(gòu)局域網(wǎng)，或采取數(shù)字加密機(jī)加專線的方式進(jìn)行點到點的數(shù)據(jù)傳輸，但是這種方式的網(wǎng)絡(luò)費

21、用高，大多數(shù)企業(yè)難以承受，且可擴(kuò)展性極差。國內(nèi)公共信息網(wǎng)在近些年來得到了高速發(fā)展，已經(jīng)遍布全國各地。在物理上，各地的公共信息網(wǎng)都是連通</p><p>　　的，但是由于公共信息網(wǎng)是對社會開放的，如果企業(yè)的信息要通過公共信息網(wǎng)進(jìn)行傳輸，在安全性上存在著很多問題。因此如何利用現(xiàn)有的公共信息網(wǎng)來安全的建立企業(yè)的專用網(wǎng)絡(luò)，就成了現(xiàn)今網(wǎng)絡(luò)應(yīng)用上最迫切需求解決的一個重要課題。 </p><p>　　

22、虛擬專用網(wǎng)（VPN）技術(shù)是近年來興起的一個新興技術(shù)，它既可以使企業(yè)擺脫繁重的網(wǎng)絡(luò)升級維護(hù)工作，又可以使公共網(wǎng)絡(luò)得到有效的利用。VPN技術(shù)，也就是虛擬專用網(wǎng)技術(shù)，是指在公共網(wǎng)絡(luò)中建立私有專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳遞信息。同時，企業(yè)還可以利用公共信息網(wǎng)的撥號接入設(shè)備，讓自己的用戶撥號到公共信息網(wǎng)上，就可以安全地連接進(jìn)入企業(yè)網(wǎng)中。VPN具有節(jié)省成本、提供遠(yuǎn)程訪問、擴(kuò)展性強(qiáng)、便于管理和實現(xiàn)全面控制等優(yōu)點，是目前和今后企業(yè)

23、網(wǎng)絡(luò)發(fā)展的趨勢。</p><p>　　1.2 預(yù)期目標(biāo)和經(jīng)濟(jì)效益</p><p>　　1.2.1 預(yù)期目標(biāo)</p><p>　　該網(wǎng)絡(luò)設(shè)計是總部公司與其他三個子公司相互之間整體網(wǎng)絡(luò)的一個簡化，各公司都接入到公網(wǎng)中，有完整的內(nèi)網(wǎng)，在已有的網(wǎng)絡(luò)結(jié)構(gòu)基礎(chǔ)上，通過點到點的方式建立IPSec VPN，使各子公司都能通過VPN安全的與總公司進(jìn)行通信和數(shù)據(jù)的傳輸。</p&g

24、t;<p>　　1.2.2 經(jīng)濟(jì)效益</p><p>　　由于使用Internet進(jìn)行傳輸相對于租用專線來說，費用極為低廉，所以VPN的出現(xiàn)使企業(yè)通過Internet既安全又經(jīng)濟(jì)地傳輸私有的機(jī)密信息成為可能，只需在現(xiàn)有設(shè)備上進(jìn)行相關(guān)配置即可實現(xiàn)。</p><p>　　2 VPN接入技術(shù)的選用與IPSec VPN概述</p><p>　　2.1 VPN技

25、術(shù)的選用</p><p>　　用于企業(yè)內(nèi)部建設(shè)VPN虛擬專網(wǎng)的主要有兩種技術(shù)——IP Sec VPN和SSL VPN。而通常采用的方式又主要分兩種方式：</p><p>　　1、site-to site 站點到站點，多用于總部與分支辦公室連接</p><p>　　2、access-vpn 遠(yuǎn)程訪問VPN，多用于移動用戶與總部進(jìn)行連接。</p><

26、p>　　2.1.1 IPSec VPN</p><p>　　IPSec VPN是通過IPSec技術(shù)建立安全數(shù)據(jù)隧道的VPN解決模型。安全數(shù)據(jù)隧道本質(zhì)上是提供獨立封閉的數(shù)據(jù)包安全傳輸。IPSec工作于網(wǎng)絡(luò)層，對終端站點間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，而不管是哪類網(wǎng)絡(luò)應(yīng)用。它在事實上將遠(yuǎn)程客戶端“置于”企業(yè)內(nèi)部網(wǎng)，使遠(yuǎn)程客戶端擁有內(nèi)部網(wǎng)用戶一樣的權(quán)限和操作功能。</p><p>　　IPSec的

27、優(yōu)勢有：</p><p>　　1. 強(qiáng)大的安全性 </p><p>　　IPSec協(xié)議固有的強(qiáng)大的安全特性能夠使用戶進(jìn)行認(rèn)證，保證數(shù)據(jù)的機(jī)密性和完整性。用戶可以用數(shù)字證書或者預(yù)共享密鑰進(jìn)行認(rèn)證，與安全策略不一致的包被丟棄。</p><p>　　2. 支持遠(yuǎn)程辦公和移動辦公</p><p>　　3. IPSec VPN數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備能夠為數(shù)萬地址

28、上分散的用戶提供服務(wù)。</p><p><b>　　4. 易于配置搭建</b></p><p>　　VPN 并不需要服務(wù)提供商的介入，盡管許多企業(yè)為了降低花費、加快服務(wù)入門和減輕風(fēng)險，選擇利用服務(wù)提供商對區(qū)域性或者全局性多個站點配置的管理服務(wù)經(jīng)驗。</p><p>　　5. 減輕在集線器站點的擁擠</p><p>　　當(dāng)

29、對分散隧道配置時，遠(yuǎn)端VPN客戶端能直接轉(zhuǎn)發(fā)預(yù)定的Internet流量，替代通過IPSec隧道，并僅對相關(guān)的正在被轉(zhuǎn)發(fā)到集線器的流量建立隧道。這樣降低了在集線器點的擁擠。</p><p>　　6. 從公司現(xiàn)狀考慮，IPSEC能利用公司現(xiàn)有設(shè)備</p><p>　　IPSEC可以結(jié)合現(xiàn)有的防火墻設(shè)備實現(xiàn)，公司總部網(wǎng)絡(luò)無需增加新的設(shè)備。</p><p>　　7. IPS

30、ec方案適用于在“站點——站點”VPN方案</p><p>　　IPSec對VPN而言仍是主導(dǎo)性的隧道和加密技術(shù)，就通常的企業(yè)用戶和“站點到站點”連接所需要的直接訪問企業(yè)網(wǎng)絡(luò)功能而言，IPSec無可比擬。</p><p>　　2.1.2 SSL VPN</p><p>　　SSL的英文全稱是“Secure Sockets Layer”，中文名為“安全套接層協(xié)議層”。

31、它的“零客戶端”架構(gòu)特別適合于遠(yuǎn)程用戶連接。SSL嵌在瀏覽器中，遠(yuǎn)程用戶通過瀏覽器來訪問企業(yè)內(nèi)部的Web應(yīng)用。這些Web應(yīng)用目前主要是內(nèi)部網(wǎng)頁游覽、電子郵件及其它基于Web的查詢工作。SSL VPN的優(yōu)勢為：使用、設(shè)置簡單，不需要客戶軟件。有助于降低成本、減緩遠(yuǎn)程桌面維護(hù)方面的擔(dān)憂。</p><p>　　但是，SSL的局限性有如下幾方面：</p><p>　　1. 只能訪問通過網(wǎng)絡(luò)瀏覽器連

32、接的資產(chǎn)。在性能、應(yīng)用覆蓋和兼容性等方面也存在問題。</p><p>　　2. SSL VPN無法為遠(yuǎn)程訪問應(yīng)用提供全面的解決方案，因為它并不有助于訪問內(nèi)部開發(fā)的應(yīng)用，也無助于訪問要求多個渠道和動態(tài)端口以及使用多種協(xié)議這類復(fù)雜的應(yīng)用。而這些應(yīng)用對公司及遠(yuǎn)程用戶來說卻是一個關(guān)鍵需求。譬如說，SSL VPN沒有架構(gòu)來支持即時消息傳送、多播、數(shù)據(jù)饋送、視頻會議及VoIP。</p><p>　　3

33、. SSL VPN存在一定安全風(fēng)險，因為用戶可運用公眾Internet站點接入。</p><p>　　4. 盡管SSL能夠保護(hù)由HTTP創(chuàng)建的TCP通道的安全，但它并不適用于UDP通道。然而，如今企業(yè)信息管理要求支持各種類型的應(yīng)用：TCP和UDP、客戶機(jī)/服務(wù)器和Web、現(xiàn)成和內(nèi)部開發(fā)的程序。</p><p>　　綜上所述，在設(shè)計上，IPSec VPN是一種基礎(chǔ)設(shè)施性質(zhì)的安全技術(shù)，這類VP

34、N的真正價值在于，它們盡量提高IP環(huán)境的安全性。因此，有人堅定地認(rèn)為，IPSec是提供站點到站點連接的首要工具，是企業(yè)構(gòu)建VPN的最佳選擇；而SSL VPN缺少站點到站點連接的理想解決方案。</p><p>　　2.2 IPSec VPN概述</p><p>　　2.2.1 IPSec協(xié)議簡介</p><p>　　IPSec(1P Security)產(chǎn)生于IPv6的

35、制定之中，用于提供IP層的安全性。由于所有支持TCP／IP協(xié)議的主機(jī)進(jìn)行通信時，都要經(jīng)過IP層的處理，所以提供了IP層的安全性就相當(dāng)于為整個網(wǎng)絡(luò)提供了安全通信的基礎(chǔ)。鑒于IPv4的應(yīng)用仍然很廣泛，所以后來在IPSec的制定中也增添了對IPv4的支持。</p><p>　　最初的一組有關(guān)IPSec標(biāo)準(zhǔn)由IETF在1995年制定，但由于其中存在一些未解決的問題，從1997年開始IETF又開展了新一輪的IPSec的制定

36、工作，截止至1998年11月份主要協(xié)議已經(jīng)基本制定完成。不過這組新的協(xié)議仍然存在一些問題，預(yù)計在不久的將來IETF又會進(jìn)行下一輪IPSec的修訂工作。</p><p>　　2.2.2 IPSec基本工作原理</p><p>　　IPSec的工作原理(如圖l所示)類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴(kuò)展。當(dāng)接收到一個IP數(shù)據(jù)包時，包過濾防火墻使用其頭部在一個規(guī)則表中進(jìn)行匹配。當(dāng)

37、找到一個相匹配的規(guī)則時，包過濾防火墻就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進(jìn)行處理。 這里的處理工作只有兩種：丟棄或轉(zhuǎn)發(fā)</p><p>　　圖2-1 IPSec工作原理示意圖</p><p>　　IPSec通過查詢SPD(Security P01icy Database安全策略數(shù)據(jù)庫)決定對接收到的IP數(shù)據(jù)包的處理。但是IPSec不同于包過濾防火墻的是，對IP數(shù)據(jù)包的處理方法除了丟棄

38、，直接轉(zhuǎn)發(fā)(繞過IPSec)外，還有一種，即進(jìn)行IPSec處理。正是這新增添的處理方法提供了比包過濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性。進(jìn)行IPSec處理意味著對IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證。包過濾防火墻只能控制來自或去往某個站點的IP數(shù)據(jù)包的通過，可以拒絕來自某個外部站點的IP數(shù)據(jù)包訪問內(nèi)部某些站點，．也可以拒絕某個內(nèi)部站點方對某些外部網(wǎng)站的訪問。但是包過濾防火墻不能保證自內(nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取，也不能保證進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過篡改。只

39、有在對IP數(shù)據(jù)包實施了加密和認(rèn)證后，才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機(jī)密性，真實性，完整性，通過Internet進(jìn)新安全的通信才成為可能。</p><p>　　圖2-2 IPSec體系示意圖</p><p>　　IPSec既可以只對IP數(shù)據(jù)包進(jìn)行加密，或只進(jìn)行認(rèn)證，也可以同時實施二者。但無論是進(jìn)行加密還是進(jìn)行認(rèn)證，IPSec都有兩種工作模式，一種是與其前一節(jié)提到的協(xié)議工作方式類似的隧道模式

40、，另一種是傳輸模式。</p><p>　　傳輸模式，如圖2－3所示，只對IP數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證。此時，繼續(xù)使用以前的IP頭部，只對IP頭部的部分域進(jìn)行修改，而IPSec協(xié)議頭部插入到IP頭部和傳輸層頭部之間。</p><p>　　圖2-3 傳輸模式示意圖</p><p>　　隧道模式，如圖2-4所示，對整個IP數(shù)據(jù)色進(jìn)行加密或認(rèn)證。此時，需要新產(chǎn)生一個I

41、P頭部，IPSec頭部被放在新產(chǎn)生的IP頭部和以前的IP數(shù)據(jù)包之間，從而組成一個新的IP頭部。</p><p>　　圖2-4 隧道模式示意圖</p><p>　　2.2.3 IPSec中的三個主要協(xié)議</p><p>　　前面已經(jīng)提到IPSec主要功能為加密和認(rèn)證，為了進(jìn)行加密和認(rèn)證IPSec還需要有密鑰的管理和交換的功能，以便為加密和認(rèn)證提供所需要的密鑰并對密鑰的

42、使用進(jìn)行管理。以上三方面的工作分別由AH，ESP和IKE三個協(xié)議規(guī)定。為了介紹這三個協(xié)議，需要先引人一個非常重要的術(shù)語SA(Securlty Association安全關(guān)聯(lián))。所謂安全關(guān)聯(lián)是指安全服務(wù)與它服務(wù)的載體之間的一個“連接”。AH和ESP都需要使用SA，而IKE的主要功能就是SA的建立和維護(hù)。只要實現(xiàn)AH和ESP都必須提供對SA的支持。</p><p>　　通信雙方如果要用IPSec建立一條安全的傳輸通路

43、，需要事先協(xié)商好將要采用的安全策略，包括使用的加密算法、密鑰、密鑰的生存期等。當(dāng)雙方協(xié)商好使用的安全策略后，我們就說雙方建立了一個SA。SA就是能向其上的數(shù)據(jù)傳輸提供某種IPSec安全保障的一個簡單連接，可以由AH或ESP提供。當(dāng)給定了一個SA，就確定了IPSec要執(zhí)行的處理，如加密，認(rèn)證等。SA可以進(jìn)行兩種方式的組合，分別為傳輸臨近和嵌套隧道。</p><p>　　1)ESP(Encapsulating Sec

44、uity Fayload)</p><p>　　ESP協(xié)議主要用來處理對IP數(shù)據(jù)包的加密，此外對認(rèn)證也提供某種程度的支持。ESP是與具體的加密算法相獨立的，幾乎可以支持各種對稱密鑰加密算法，例如DES，TripleDES，RC5等。為了保證各種IPSec實現(xiàn)間的互操作性，目前ESP必須提供對56位DES算法的支持。</p><p>　　ESP協(xié)議數(shù)據(jù)單元格式三個部分組成，除了頭部、加密數(shù)據(jù)

45、部分外，在實施認(rèn)證時還包含一個可選尾部。頭部有兩個域：安全策略索引(SPl)和序列號(Sequencenumber)。使用ESP進(jìn)行安全通信之前，通信雙方需要先協(xié)商好一組將要采用的加密策略，包括使用的算法、密鑰以及密鑰的有效期等。“安全策略索引”使用來標(biāo)識發(fā)送方是使用哪組加密策略來處理IP數(shù)據(jù)包的，當(dāng)接收方看到了這個序號就知道了對收到的IP數(shù)據(jù)包應(yīng)該如何處理?！靶蛄刑枴庇脕韰^(qū)分使用同一組加密策略的不同數(shù)據(jù)包。加密數(shù)據(jù)部分除了包含原IP數(shù)

46、據(jù)包的有效負(fù)載，填充域(用來保證加密數(shù)據(jù)部分滿足塊加密的長度要求)包含其余部分在傳輸時都是加密過的。其中“下一個頭部(Next Header)”用來指出有效負(fù)載部分使用的協(xié)議，可能是傳輸層協(xié)議(TCP或UDP)，也可能還是IPSec協(xié)議(ESP或AH)。</p><p>　　通常，ESP可以作為IP的有效負(fù)載進(jìn)行傳輸，這JFIP的頭UKB指出下廣個協(xié)議是ESP，而非TCP和UDP。由于采用了這種封裝形式，所以ES

47、P可以使用舊有的網(wǎng)絡(luò)進(jìn)行傳輸。前面已經(jīng)提到用IPSec進(jìn)行加密是可以有兩種工作模式，意味著ESP協(xié)議有兩種工作模式：傳輸模式(Transport Mode)和隧道模(TunnelMode)。當(dāng)ESP工作在傳輸模式時，采用當(dāng)前的IP頭部。而在隧道模式時，侍整個IP數(shù)據(jù)包進(jìn)行加密作為ESP的有效負(fù)載，并在ESP頭部前增添以網(wǎng)關(guān)地址為源地址的新的IP頭部，此時可以起到NAT的作用。</p><p>　　圖2-5 ESP

48、封裝示意圖</p><p>　　2)AH(Authentication Header)</p><p>　　AH只涉及到認(rèn)證，不涉及到加密。AH雖然在功能上和ESP有些重復(fù)，但AH除了對可以對IP的有效負(fù)載進(jìn)行認(rèn)證外，還可以對IP頭部實施認(rèn)證。主要是處理數(shù)據(jù)對，可以對IP頭部進(jìn)行認(rèn)證，而ESP的認(rèn)證功能主要是面對IP的有效負(fù)載。為了提供最基本的功能并保證互操作性，AH必須包含對HMAC?/

49、FONT>SHA和HMAC?/FONT>MD5(HMAC是一種SHA和MD5都支持的對稱式認(rèn)證系統(tǒng))的支持。AH既可以單獨使用，也可在隧道模式下，或和ESP聯(lián)用。（如圖2-6）</p><p>　　圖2-6 AH頭示意圖</p><p>　　3)IKE(Internet Key Exchange)</p><p>　　IKE協(xié)議是負(fù)責(zé)在二個IPsec對等

50、體間協(xié)商一條IPsec隧道的協(xié)議,IKE在隧道建立過程中主要完成以下任務(wù):</p><p><b>　　--協(xié)商協(xié)議參數(shù)</b></p><p><b>　　--交換公共密鑰</b></p><p><b>　　--對雙方進(jìn)行認(rèn)證</b></p><p>　　--在交換后對密鑰

51、進(jìn)行管理</p><p>　　圖2-7 IKE示意圖</p><p>　　IKE也是由三個協(xié)議組成</p><p>　　--SKEME----提供為認(rèn)證目的使用公開密鑰加密的機(jī)制</p><p>　　--Oakley----提供在二個IPsec對等體間達(dá)成相同加密密鑰的基于模式的機(jī)制</p><p>　　--ISAKM

52、P----定義了消息交換的體系結(jié)構(gòu),包括二個IPsec對等體間分組形式和狀態(tài)轉(zhuǎn)換.</p><p>　　IKE協(xié)議分為二個階段.一條完整的IPsec隧道通過以下事件序列建立起來:</p><p>　　第一步: IPsec對等體收到感興趣流量(即我們想被加密的流量)后,將產(chǎn)生IKE會話.</p><p>　　第二步: 使用IKE的主模式(6條消息)或主動模式(3條消息

53、)協(xié)商來使二個IKE對等體的IKE安全聯(lián)盟被創(chuàng)建.</p><p>　　第三步: 使用IKE的快速模式協(xié)商,創(chuàng)建二個IPsec對等體間的二個安全聯(lián)盟.</p><p>　　第四步: 數(shù)據(jù)開始在加密的信道上傳輸,使用了ESP或是AH封裝技術(shù)(或都采用了).</p><p>　　從第二步和第三步可以看出IKE協(xié)議分為二個階段:</p><p>　

54、　第一階段使用主模式(6條消息)或主動模式(3條消息)來完成下面三個任務(wù):</p><p>　　--協(xié)商形成用來認(rèn)證二個對等體的一個參數(shù)集合并加密一部分主模式和所有的快速模式交換.如果協(xié)商中使用主動模式則沒有主動模式被加密.</p><p>　　--二個對等體間相互認(rèn)證.這里驗證有三種方法:預(yù)共享,數(shù)字簽名,加密臨時值.</p><p>　　--當(dāng)協(xié)商完成時產(chǎn)生密鑰

55、,該密鑰用于生成實際加密數(shù)據(jù)的密鑰資源.</p><p>　　第二階段為快速模式(3條消息):</p><p>　　主要目標(biāo)是允許二個對等協(xié)商一些用于產(chǎn)生IPsec安全聯(lián)盟的屬性,安全聯(lián)盟可以加密二個主機(jī)間的數(shù)據(jù)(ESP).</p><p>　　IKE如何用來形成一條IPsec隧道的呢?</p><p>　　這一系列過程都是IKE這個協(xié)議來實

56、現(xiàn),IKE這個協(xié)議也存在著一些不足,“IKE之子”或第二版IKE正在開發(fā)之中.</p><p>　　主模式(6條消息)或主動模式(3條消息)</p><p>　　第一階段三個任務(wù),分別用6個消息(主模式)來完成,每二個為一組.</p><p>　　第一個消息由隧道的發(fā)起者發(fā)起,攜帶了如這樣一些參數(shù),如加密機(jī)制-DES,散列機(jī)制-MD5-HMAC,Diffie-Hel

57、lman組-2,認(rèn)證機(jī)制-預(yù)共享.</p><p>　　第二個消息由響應(yīng)者回應(yīng),內(nèi)容基本一樣,主要與發(fā)起者比較,是否與發(fā)起者匹配,不匹配就進(jìn)行下一組的比較.如果最終都找不到匹配,隧道就停止建立.</p><p>　　第三個消息由發(fā)起者發(fā)出,但是在發(fā)出這個消息之前,有個過程必須先完成,就是Diffie-Hellman算法過程.該過程的目的是什么呢？剛剛第一二條消息中所協(xié)商的算法它們必須需要一

58、個KEY,這個KEY在二個對等體上必須一樣,但同時這個KEY不能在鏈路中傳遞,因為傳遞KEY是一個不安全的手段.所以,該過程的目的是分別在二個對等間獨立地生成一個DH公共值(該DH公共值不是我們上面所說的KEY),該公共值有什么用呢？因為二個對等體上都生成該DH公共值后,它們會在接下來的第三第四消息中傳送給對方,打個比方,就是A收到了B的DH公共值Xb,B收到了A的DH公共值Xa.當(dāng)A,B都收到了對方的該公共值后,問題就好解決了.因為有

59、一個公式在數(shù)學(xué)中被論證成立,借助該公式,就可以在二個對等上生成一個只有他們二個對等體知道的相同的KEY,該公式為</p><p>　　發(fā)起者密秘=(Xb)amod p=(Xa)bmod p=響應(yīng)者密秘Xb為對等體B的DH公共值,Xa為對等體A的DH公共值a為只有對等體A知道的秘密. b為只有對等體B知道的秘密.</p><p>　　注意,這里發(fā)起者秘密和響應(yīng)者密秘相等,但這個秘密不是最終

60、算法中使用的KEY,但對等體可通過該秘密材料來生</p><p>　　成另外三個密鑰,分別是:</p><p>　　SKEYID_d--此密鑰被用于計算后續(xù)IPsec密鑰資源. </p><p>　　SKEYID_a--此密鑰被用于提供后續(xù)IKE消息的數(shù)據(jù)完整性以及認(rèn)證. </p><p>　　SKEYID_e--此密鑰被用于對后續(xù)IK

61、E消息進(jìn)行加密.</p><p>　　所以由發(fā)起者發(fā)起的第三條消息主要是向?qū)Φ润w發(fā)送自己的DH公共值和一個臨時值.</p><p>　　臨時值被用作生成上述3個SKEYID的材料.</p><p>　　第四條消息由響應(yīng)者向發(fā)起者發(fā)送,主要是向發(fā)送者發(fā)送自己的DH公共值和臨時值.</p><p>　　由于第一二條消息協(xié)商算法,第三四條消息生成K

62、EY,所以在后續(xù)的第五六條消息就能被加密傳送.</p><p>　　第五條消息由發(fā)起者向響應(yīng)者發(fā)送,主要是為了驗證對端就是自己想要與之通信的對端.這可以通過預(yù)共享,數(shù)字簽名,加密臨時值來實現(xiàn).</p><p>　　第六條消息由響應(yīng)者向發(fā)起者發(fā)送,主要目的和第五條一樣.</p><p>　　在這六條消息過后,也就是驗證一旦通過,就進(jìn)入了第二階段:快速模式,快速模式使用

63、二條消息來實現(xiàn).快速模式發(fā)起者會在第一條消息中發(fā)送IPsec SA的轉(zhuǎn)換集屬性,如:封裝--ESP,完整性檢驗--SHA-HMAC,DH組--2,模式--隧道響應(yīng)者向發(fā)起者發(fā)送第二條消息,同意第一條消息中的屬性,同時也能起到確認(rèn)收到對端消息的作用.這一步一旦完成,隧道就建立起來了,用戶的數(shù)據(jù)就能被放入隧道中傳送.</p><p>　　圖2-8 快速模式交換示意圖</p><p>　　2)

64、IPSEC VPN的安全基礎(chǔ)</p><p><b>　　1.機(jī)密性保護(hù)</b></p><p><b>　　2.完整性保護(hù)</b></p><p><b>　　3.身份認(rèn)證</b></p><p>　　【機(jī)密性保護(hù)】 </p><p>　　機(jī)密

65、性保護(hù)的作用：防止信息泄漏給未經(jīng)授權(quán)的個人。</p><p>　　A和B要進(jìn)行安全通信，假設(shè)A要發(fā)送給B：“hello“這個信息，肯定不可能直接明文發(fā)送，所以要對發(fā)出去的信息進(jìn)行加密處理，然后B收到后再進(jìn)行解密處理，這樣的過程就是保護(hù)數(shù)據(jù)機(jī)密性的過程。</p><p><b>　　幾個概念：</b></p><p>　　算法：在加密和解密過程中

66、采用的一組規(guī)則。</p><p>　　密鑰：可以看作是密碼算法的參數(shù)，用來控制加密，解密操作。分為加密密鑰Ke和解密密鑰Kd。就上面的例子，比如A的消息“hello”就是明文，假設(shè)算法是這樣的一組規(guī)則：加密的時候?qū)⒆帜竿笠苮個字母，解密的時候往前移位三個字母。密鑰是x，這里假設(shè)密鑰為3。根據(jù)這個算法，加密后的密文就成了：“khoor”，這樣別人看到這串字母就不知道什么意思了。解密密鑰也是x（這里也是3），接受方

67、根據(jù)解密算法就可以將密文向前移位三個字母，就可以得到明文。</p><p>　　因此我們可以這樣理解，加密是要由算法和密鑰共同組成的。</p><p>　　目前，很多加密算法都是公開的，也就是大家可以知道這些算法是怎么算的，都是有標(biāo)準(zhǔn)的。但是密鑰是要保護(hù)的，這樣即時知道了算法，也不能解密。就上面的例子來說，你知道算法是加密后移k位，解密前移k位，但是你不知道密鑰k是多少，所以也就不能解密了

68、。算法是公開的，密鑰是私有的，如何管理和分配私鑰成為重要問題。</p><p>　　現(xiàn)在來看下圖中的Ke和Kd，Ke是加密時候用的密鑰，Kd是解密時候用的密鑰。</p><p>　　如果在算法中Ke和Kd是相同的，我們說這是個對稱密鑰算法。</p><p>　　如果在算法中Ke和Kd是不一樣的，我們就說這是個非對稱密鑰算法。</p><p>

69、　　在這里不對比這兩種算法的優(yōu)缺點，這里只需知道不管是對稱還是非對稱，都是加密算法，都可以用來作加密，只是密鑰不同。</p><p>　　對稱加密算法有：DES，3DES，AES，IDEA，RC4，A5，SNOW2.0</p><p>　?。ㄓ涀〕Ｓ玫娜齻€即可）</p><p>　　非對稱加密算法有：RSA，Diffie-Hellman，Rabin，ELGmal&l

70、t;/p><p><b>　　機(jī)密性總結(jié)：</b></p><p>　　1.在傳輸過程中對數(shù)據(jù)加密解密就是數(shù)據(jù)機(jī)密性的保護(hù)。</p><p>　　2.目前情況，算法是可以公開的，需要保護(hù)的是密鑰。</p><p>　　3.常用的對稱加密算法：DES，3DES，AES；常用的非對稱加密算法：RSA，Diffie-Hellman

71、（簡稱DH）</p><p>　　【完整性保護(hù)】 </p><p>　　通過對主機(jī)A的原始數(shù)據(jù)加密形成密文再傳送保護(hù)了數(shù)據(jù)的機(jī)密性，但是在傳輸過程中，如果密文因為某些原因丟失了一部分，或者被別人篡改了，那么在主機(jī)B中就不能收到完整的A所發(fā)送的的信息了。因此我們需要一種方法來解決這個問題，即驗證數(shù)據(jù)的完整性。完整性，可以這樣理解，我們要通過某種方法，來判斷B收到的信息和A給的信息

72、是一樣的，是完整的。</p><p>　　我們通過hash算法實現(xiàn)這一功能。（這里需要注意的是完整性可以通過hash函數(shù)來實現(xiàn)，但是這些hash函數(shù)不僅僅只能用來做完整性保護(hù)，具體情況要看被hash的數(shù)據(jù)是什么而定，后續(xù)會提到。）</p><p>　　HASH算法是通過HASH函數(shù)來實現(xiàn)的。hash函數(shù)有：MD5，SHA-1</p><p>　　hash函數(shù)的特點，

73、必須記住的：</p><p>　　1.輸入是變長的數(shù)據(jù)，輸出是固定長度的值的值（MD5是128位），叫hash值。</p><p>　　2.hash函數(shù)是單向的，即正向計算容易，求逆極其困難，我們這里認(rèn)為是不可能的。</p><p><b>　　【身份認(rèn)證】</b></p><p>　　身份認(rèn)證：一種用來驗證發(fā)送者的身份

74、的真實性，通過身份認(rèn)證可以發(fā)現(xiàn)那些假冒的頂替的入侵者。</p><p>　　從例子上看，A發(fā)給B消息，B要驗證消息確實是A發(fā)出的，而不是別人發(fā)出的。</p><p>　　身份認(rèn)證可用公鑰密碼體制來驗證。</p><p>　　首先了解一下公鑰的密鑰體制的一些重要概念:</p><p>　　1.有一對密鑰，分為公鑰和私鑰。</p>

75、<p>　　2.私鑰加密，只有對應(yīng)的公鑰才能解密。</p><p>　　-----用于身份認(rèn)證</p><p>　　3.公鑰加密，只有對應(yīng)的私鑰才能解密。</p><p>　　-----用于數(shù)據(jù)加密</p><p>　　公鑰密碼體制不僅可以用在保護(hù)數(shù)據(jù)的機(jī)密性，而且可以用在身份認(rèn)證中。將公鑰公開，就是任何人都可以得到公鑰，發(fā)送者用相

76、應(yīng)的私鑰加密，由于只有發(fā)送者才有私鑰，所以只要接受者能用公鑰解開，就能證明一定是擁有私鑰的人發(fā)送的。這樣就驗證了對方的身份。</p><p>　　總結(jié)一句話：私鑰加密，公鑰解密，實現(xiàn)身份認(rèn)證。</p><p>　　IPSEC VPN加密通信中的四個概念：</p><p>　　1.MAC消息認(rèn)證碼</p><p><b>　　2.數(shù)字

77、簽名</b></p><p><b>　　3.數(shù)字證書</b></p><p><b>　　4.DH算法</b></p><p>　　【MAC消息認(rèn)證碼】</p><p>　　消息認(rèn)證碼（MAC）就是帶密鑰的hash函數(shù)，用來做驗證用。</p><p>　　MAC

78、消息認(rèn)證碼是將共享密鑰和數(shù)據(jù)一起做hash，</p><p><b>　　驗證過程：</b></p><p>　　1.A和B通信之前已經(jīng)協(xié)商好一個共享密鑰，只有A和B知道。</p><p>　　2.A將發(fā)出的消息和密鑰一起做hash運算，得到mac值，附在消息后面。</p><p>　　3.B收到消息和mac值，將消息和

79、他共享密鑰做同樣的hash運算。</p><p>　　4.對比兩個hash值，因為只有消息和密鑰都一樣，hash值才可能一樣，所以如果hash值一樣，則說明消息是正確的，而且說明消息是由A（擁有共享密鑰的人）發(fā)送的。達(dá)到認(rèn)證和完整性的目的。</p><p>　　注意：IPSEC VPN里用的就是HMAC。</p><p>　　完整性和數(shù)據(jù)源認(rèn)證的區(qū)別</p&g

80、t;<p>　　本質(zhì)區(qū)別：完整性檢驗只對消息做hash值，而數(shù)據(jù)源認(rèn)證對數(shù)據(jù)和密鑰做hash。</p><p>　　第一，數(shù)據(jù)源認(rèn)證必須要求通信，而數(shù)據(jù)完整性認(rèn)證不一定需要通信，例如存儲數(shù)據(jù)的完整性認(rèn)證。</p><p>　　第二，數(shù)據(jù)源認(rèn)證必然要求識別數(shù)據(jù)源，而數(shù)據(jù)完整性校驗不一定需要，例如無源數(shù)據(jù)識別中的數(shù)據(jù)完整性校驗。</p><p><b

81、>　　消息認(rèn)證碼總結(jié)：</b></p><p>　　1.MAC主要功能是用來做消息認(rèn)證的。</p><p>　　2.利用hash算法來實現(xiàn)的。</p><p>　　3.Hash算法可以用來做完整性檢驗，也可以用來做消息認(rèn)證，取決于所hash的內(nèi)容有沒有包含密鑰。</p><p><b>　　【數(shù)字簽名】</b

82、></p><p>　　數(shù)字簽名，目的是認(rèn)證，防止欺騙或抵賴。數(shù)字簽名涉及的技術(shù)：公鑰密碼體制和完整性檢驗。</p><p>　　回顧公鑰密碼體制的最重要特性：密鑰是成對的，而且公鑰加密只有私鑰能解，同樣私鑰加密只有公鑰能解。</p><p>　　p：L bits長的素數(shù)。L是64的倍數(shù)，范圍是512到1024； </p><p>　　

83、q：是p - 1的160bits的素因子； 　　g：g = h^((p-1)/q) mod p，h滿足h < p - 1, h^((p-1)/q) mod p > 1； 　　x：秘密密鑰，正整數(shù)，x < q； 　　y：y = g^x mod p ，( p, q, g, y )為公鑰； 　　k為隨機(jī)數(shù)，0〈k〈q； 　　H( x )：One-Way Hash函數(shù)。 　　DSS中選用SHA( Secure Ha

84、sh Algorithm )。 p, q, g可由一組用戶共享，但在實際應(yīng)用中，使公共模數(shù)可能會帶來一定的威脅。 簽名過程如下： </p><p>　　圖2-11 數(shù)字簽名示意圖</p><p>　　數(shù)字簽名方案有兩個部分：簽名算法和驗證算法。</p><p>　　圖2-11和圖2-12表示簽名算法和

85、驗證算法。</p><p>　　圖2-12 簽名算法</p><p>　　圖示說明：數(shù)據(jù)用hash函數(shù)哈希得到定長的輸出，然后用私鑰簽名hash值。</p><p>　　數(shù)字簽名的核心在于用私鑰加密。</p><p>　　這里hash函數(shù)的作用有兩個：</p><p>　　1）得到的定長輸出，位數(shù)短，私鑰簽名的時候速度

86、快。</p><p>　　2）保證數(shù)據(jù)的完整性。</p><p><b>　　驗證算法：</b></p><p>　　圖2-13 驗證算法</p><p><b>　　數(shù)字簽名總結(jié)：</b></p><p>　　1.數(shù)字簽名的技術(shù)支持：完整性算法和公鑰密碼體制。</p&

87、gt;<p>　　2.數(shù)字簽名的標(biāo)準(zhǔn)：DSS</p><p>　　3.數(shù)字簽名是一種身份認(rèn)證方式。</p><p><b>　　【數(shù)字證書】</b></p><p>　　數(shù)字證書，數(shù)字證書將身份標(biāo)識與公鑰綁定在一起，并由可信任的第三方權(quán)威機(jī)構(gòu)用其私鑰簽名。</p><p>　　數(shù)字證書可以防止“中間人攻擊”

88、。</p><p>　　圖2-14 中間人攻擊</p><p><b>　　圖示解說：</b></p><p>　　1.帶有引號的公鑰，（即“公鑰”）指的是hacker的公鑰，并不是真正的公鑰，但是Alice認(rèn)為是BOb的公鑰。</p><p>　　2.通過數(shù)字順序說明中間人攻擊的過程。</p><p

89、>　　從中間人攻擊過程可以看出，不安全的因素在于不能識別公鑰的來源。數(shù)字證書就是為解決這個問題而來的。</p><p>　　數(shù)字證書的解決辦法：</p><p>　　1.身份標(biāo)識與公鑰綁定在一起，形成證書，這樣公鑰就和身份相對應(yīng)。</p><p>　　2.由可信任的第三方權(quán)威機(jī)構(gòu)用其私鑰簽名來確保證書的有效性和安全性。</p><p>

90、　　注意： 數(shù)字證書安全的前提是第三方是可信任的，如果第三方被偽造，數(shù)字證書就沒有安全性可言。</p><p><b>　　數(shù)字證書總結(jié)：</b></p><p>　　1. 驗證過程：A從第三方下載證書，內(nèi)有B的公鑰和B的身份標(biāo)識，由第三方證明公鑰是由B所持有。</p><p>　　2. 數(shù)字證書用來防止中間人攻擊。</p>&l

91、t;p><b>　　【DH算法】</b></p><p>　　DH算法，全稱： Diffie —Hellman算法，是一種非對稱密鑰算法。</p><p>　　目的： 在一個非安全的通道上安全地建立一個共享密鑰，用來建立安全的信道。</p><p>　　數(shù)學(xué)基礎(chǔ)：基于求離散對數(shù)難。</p><p><b>

92、;　　詳細(xì)過程：</b></p><p>　　1、有兩個全局公開的參數(shù)，一個素數(shù)q和一個整數(shù)a，a是q的一個原根。</p><p>　　2、假設(shè)用戶A和B希望交換一個密鑰，用戶A選擇一個作為私有密鑰的隨機(jī)數(shù)XA<q，并計算公開密鑰YA=aXA mod q。A對XA的值保密存放而使YA能被B公開獲得。類似地，用戶B選擇一個私有的隨機(jī)數(shù)XB<q，并計算公開密鑰</

93、p><p>　　YB=aXB mod q。B對XB的值保密存放而使YB能被A公開獲得。</p><p>　　3、用戶A產(chǎn)生共享秘密密鑰的計算方式是K = (YB)XA mod q。同樣，用戶B產(chǎn)生共享秘密密鑰的計算是K = (YA)</p><p>　　XB mod q。這兩個計算產(chǎn)生相同的結(jié)果：</p><p>　　K = (YB)XA mod

94、 q</p><p>　　= (aXB mod q)XA mod q</p><p>　　= (aXB)XA mod q</p><p>　?。ǜ鶕?jù)取模運算規(guī)則得到）</p><p>　　= aXBXA mod q</p><p>　　= (aXA)XB mod q</p><p>　　= (a

95、XA mod q)XB mod q</p><p>　　= (YA)XB mod q</p><p>　　因此相當(dāng)于雙方已經(jīng)交換了一個相同的秘密密鑰。</p><p>　　4、因為XA和XB是保密的，一個敵對方可以利用的參數(shù)只有q、a、YA和YB。因而敵對方被迫取離散對數(shù)來確定密鑰。例如，要獲取用戶B的秘密密鑰，敵對方必須先計算XB = inda ,q(YB)然后再

96、使用用戶B采用的同樣方法計算其秘密密鑰K。Diffie-Hellman密鑰交換算法的安全性依賴于這樣一個事實：雖然計算以一個素數(shù)為模的指數(shù)相對容易，但計算離散對數(shù)卻很困難。對于大的素數(shù)，計算出離散對數(shù)幾乎是不可能的。</p><p>　　2.3 IPSec VPN網(wǎng)絡(luò)設(shè)計原則</p><p><b>　　1）實用性原則。</b></p><p>

97、;　　計算機(jī)設(shè)備、服務(wù)器設(shè)備和網(wǎng)絡(luò)設(shè)備在技術(shù)性能逐步提升的同時，其價格卻在逐年下降。因此，不可能也沒有必要實現(xiàn)所謂“一步到位”。所以，網(wǎng)絡(luò)方案設(shè)計中應(yīng)把握“夠用”和“實用”原則。網(wǎng)絡(luò)系統(tǒng)應(yīng)采用成熟可靠的技術(shù)和設(shè)備，達(dá)到實用、經(jīng)濟(jì)和有效的目的。</p><p><b>　　2）前瞻性原則。</b></p><p>　　在實用的基礎(chǔ)上還可以具有一定的前瞻性，在網(wǎng)絡(luò)結(jié)構(gòu)上要

98、做到能適應(yīng)較長時期企業(yè)和網(wǎng)絡(luò)技術(shù)的發(fā)展，不要在網(wǎng)絡(luò)剛組建不久就發(fā)現(xiàn)很難實現(xiàn)某些較新的應(yīng)用，或者根本不能應(yīng)用目前的一些主流軟件，這樣勢必造成企業(yè)網(wǎng)絡(luò)資源的浪費。</p><p>　　3）開放性原則。網(wǎng)絡(luò)系統(tǒng)應(yīng)采用開放的標(biāo)準(zhǔn)和技術(shù)，如TCP/IP協(xié)議、IEEE802系列標(biāo)準(zhǔn)等。其目標(biāo)首先是要有利于未來網(wǎng)絡(luò)系統(tǒng)的擴(kuò)充，其次還要有利于在需要時與外部網(wǎng)絡(luò)互通。</p><p><b>　　

99、4）可靠性原則。</b></p><p>　　作為一個具有一定規(guī)模的中型企業(yè)。企業(yè)的網(wǎng)絡(luò)不允許有異常情況發(fā)生，因為一旦網(wǎng)絡(luò)發(fā)生異常情況，就會帶來很大的損失。在這樣的網(wǎng)絡(luò)中，就要盡量使用冗余備份，當(dāng)某個網(wǎng)絡(luò)設(shè)備故障時，網(wǎng)絡(luò)還可以零間斷地繼續(xù)工作，這樣就很好的保障了企業(yè)網(wǎng)絡(luò)的可靠性。</p><p><b>　　5）安全性原則。</b></p>

100、<p>　　在企業(yè)網(wǎng)的設(shè)計中，安全性的設(shè)計是很重要的。每家企業(yè)都有自己的商業(yè)機(jī)密，如果這些機(jī)密被竊取，后果是不堪設(shè)想的。企業(yè)必須保護(hù)其網(wǎng)絡(luò)系統(tǒng)，以避免受外來惡意性入侵，但也必須保留足夠空間，使其主要經(jīng)營之業(yè)務(wù)能順利運作。倘若安全性系統(tǒng)保護(hù)企業(yè)免受病毒及駭客攻擊，但卻阻撓其服務(wù)客戶及邁向電子商務(wù)腳步，那么此系統(tǒng)就已超越其權(quán)限了。網(wǎng)絡(luò)安全應(yīng)是永遠(yuǎn)以能符合企業(yè)經(jīng)營目標(biāo)的最大利益為優(yōu)先考量。</p><p>&

101、lt;b>　　6）可管理性原則。</b></p><p>　　網(wǎng)絡(luò)管理員能夠在不改變系統(tǒng)運行的情況下對網(wǎng)絡(luò)進(jìn)行調(diào)整，不管網(wǎng)絡(luò)設(shè)備的物理位置在何處，網(wǎng)絡(luò)都應(yīng)該是可以控制的。</p><p><b>　　7）可擴(kuò)展性原則。</b></p><p>　　網(wǎng)絡(luò)總體設(shè)計不僅要考慮到近期目標(biāo)，也要為企業(yè)以及網(wǎng)絡(luò)的進(jìn)一步發(fā)展留有余地。因此，

102、需要統(tǒng)一規(guī)劃和設(shè)計。網(wǎng)絡(luò)系統(tǒng)應(yīng)在規(guī)模和性能兩方面具有良好的可擴(kuò)展性。由于目前網(wǎng)絡(luò)產(chǎn)品標(biāo)準(zhǔn)化程度較高，因此可擴(kuò)展性要求基本不成問題。</p><p><b>　　3 需求分析</b></p><p><b>　　3.1 運行環(huán)境</b></p><p>　　在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計完成之后，用模擬軟件對該網(wǎng)絡(luò)結(jié)構(gòu)予以實現(xiàn)，在這里我選用

103、DynamipsGUI模擬器。</p><p><b>　　設(shè)備詳單：</b></p><p>　　路由器 5臺 7200 IOS</p><p>　　交換機(jī) 2臺 3640 IOS （目前DynamipsGUI模擬器不支持cisco switch IOS，采用 router 3640 模擬）</p><p>　　服務(wù)器

104、 3臺 windows server 2003 系統(tǒng)</p><p>　　本地主機(jī) windows XP 系統(tǒng)</p><p>　　3.2 需求分析設(shè)計</p><p>　　按功能初步分為以下三個模塊：</p><p>　　3.2.1 基礎(chǔ)網(wǎng)絡(luò)的構(gòu)建；</p><p>　　基礎(chǔ)網(wǎng)絡(luò)的構(gòu)建，是后面搭建VPN的前提，要

105、想各分支機(jī)構(gòu)無論是要通過公網(wǎng)通信還是要通過VPN到其他機(jī)構(gòu)的通信，都是以通暢的基礎(chǔ)網(wǎng)絡(luò)作為前提和基礎(chǔ)。</p><p>　　在本設(shè)計中，以北京站的總部為核心，上海、廣州和武漢三個地區(qū)的點位分支，各點都通過運營商提供的網(wǎng)絡(luò)來實現(xiàn)到互聯(lián)網(wǎng)的訪問外網(wǎng)，內(nèi)部根據(jù)不同情況采取了不同的保護(hù)方式，有的分支機(jī)構(gòu)規(guī)模小，只有一臺路由器作為網(wǎng)關(guān)，沒有外網(wǎng)服務(wù)器，只有分支機(jī)構(gòu)內(nèi)部使用的windows 2003 server服務(wù)器，作為

106、公司內(nèi)部信息的發(fā)布和資源的共享。內(nèi)網(wǎng)通過NAT轉(zhuǎn)換訪問外網(wǎng)，比如武漢分支機(jī)構(gòu)；而有的機(jī)構(gòu)相對較大，有對外的服務(wù)器，內(nèi)部網(wǎng)絡(luò)也較為完善，比如廣州端。廣州端的內(nèi)部各部門都在各自不同的網(wǎng)段。例如業(yè)務(wù)部屬于vlan10，技術(shù)部屬于vlan20。</p><p>　　在本設(shè)計實現(xiàn)過程中，中間廣域網(wǎng)部分用一個路由器代替，用以路由。由于本設(shè)計主要做隧道通信，所以對防火墻的應(yīng)用沒有過多的加入，防火墻主要用以實現(xiàn)訪問控制，其功能在

107、本設(shè)計中全部嵌入到所在端的路由器中去實現(xiàn)?；A(chǔ)網(wǎng)絡(luò)構(gòu)建如下所示：</p><p><b>　　圖3-1 設(shè)計圖</b></p><p>　　3.2.2 在已構(gòu)建的網(wǎng)絡(luò)上配置VPN；</p><p>　　有通暢的基礎(chǔ)網(wǎng)絡(luò)基礎(chǔ)是構(gòu)建VPN網(wǎng)絡(luò)通信的重要前提。在構(gòu)建完基礎(chǔ)網(wǎng)絡(luò)后，將進(jìn)行VPN的配置。</p><p>　　為了能

108、夠使各分支部門安全的與總部進(jìn)行通信和數(shù)據(jù)交換，通過專線是多安全的，但是專線的費用之昂貴是一般公司難以承受的。VPN是很好的選擇。</p><p>　　在本設(shè)計中，重要是點到點VPN，采用IPSec VPN，各分支機(jī)構(gòu)都有一條到總公司的VPN線路，根據(jù)業(yè)務(wù)需要，也可以在分機(jī)構(gòu)間建立VPN。</p><p>　　VPN本身就是為了數(shù)據(jù)的安全傳輸設(shè)置的，因此不是所有用戶都能夠通過VPN隧道進(jìn)行通

109、信，因此，配置時對感興趣流量進(jìn)行有效控制。</p><p>　　3.2.3 用網(wǎng)絡(luò)測試工具對VPN通信進(jìn)行測試</p><p>　　VPN隧道建立后，對網(wǎng)絡(luò)通信方式進(jìn)行驗證時必不可少的。VPN通信進(jìn)行測試方式有很多：路由器中間可以進(jìn)行測試，查看測試信息，通常以ping命令、debug命令和traceroot命令，例如在路由器上ping 172.16.1.1，數(shù)據(jù)包是從路由器端口s2/0發(fā)出

110、的，這是默認(rèn)是s2/0作為源地址，通過公網(wǎng)進(jìn)行數(shù)據(jù)傳輸，但是當(dāng)以命令ping 172.16.1.1 source 192.168.1.1，此時源地址為 192.168.1.1目的地址為172.16.1.1，如果這時可以通信，那就是通過VPN進(jìn)行通信的；在主機(jī)上可以通過訪問WEB網(wǎng)站的方式和ping命令以及tracert的方式進(jìn)行通信測試。例如在主機(jī)上tracert 172.16.1.2命令，可以清晰看到訪問的具體經(jīng)過的路徑。</p

111、><p>　　4 IPSec VPN網(wǎng)絡(luò)具體規(guī)劃與設(shè)計</p><p>　　4.1 基礎(chǔ)網(wǎng)絡(luò)構(gòu)建和服務(wù)器配置</p><p>　　在總體上規(guī)劃好企業(yè)網(wǎng)絡(luò)之后，就要進(jìn)入具體設(shè)計的階段，這也是網(wǎng)絡(luò)設(shè)計的最重要的環(huán)節(jié)。在這個階段，要對拓?fù)渲械木W(wǎng)絡(luò)的連通、穩(wěn)定傳輸和安全等方面進(jìn)行詳細(xì)的規(guī)劃與設(shè)計。</p><p>　　圖4-1 模擬實現(xiàn)圖</p&g

112、t;<p><b>　　設(shè)備選用如下：</b></p><p>　　圖4-2設(shè)備需求配置圖</p><p>　　網(wǎng)絡(luò)構(gòu)建過程中的IP地址分配如B表一： </p><p>　　表4-1 IP地址分配</p><p><b>　　即：</b></p><p>　　圖

113、4-3 網(wǎng)絡(luò)詳細(xì)配置圖</p><p>　　模擬器上設(shè)備連接如圖：</p><p>　　圖4-4 設(shè)備線路連接圖</p><p>　　4.2 VPN配置過程及測試步驟</p><p>　　4.2.1 site-to site 站點到站點，多用于總部與分支辦公室連接</p><p>　　1. 配置路由器的基本參數(shù)，并測試

114、網(wǎng)絡(luò)的連通性　 （1） 進(jìn)入路由器配置模式</p><p>　　將計算機(jī)串口與路由器console口連接，并按照路由器說明書配置“終端仿真”程序。執(zhí)行下述命令進(jìn)入配置模式。</p><p><b>　　Router>en</b></p><p>　　Router#config terminal</p><p>