基于IPSec-VPN-网络的规划与设计.doc

安徽中澳科技职业学院安徽中澳科技职业学院毕业设计（论文）基于IPSec VPN网络的规划与设计 学生姓名： 系 部： 信息技术与艺术传媒系 专 业： 12级计算机网络技术 指导教师： 日 期： 2014年6月摘要 目前，TCP/IP几乎是所有网络通信的基础，而IP本身是没有提供“安全”的，在传输过程中，IP包可以被伪造、篡改或者窥视。针对这些问题，IPSec可有效地保护IP数据报的安全，它提供了一种标准的、健壮的以及包容广泛的机制，可用它为IP及上层协议(如UDP和TCP)提供安全保证。目前许多电信运营商采用IPSec隧道加密技术，在宽带业务的基础上推出主要针对商用客户的VPN新业务，为商用客户既提供了高带宽低资费的企业网络联网服务，又提供了在公用网络上拥有私有VPN网络的数据传输安全保障服务，赢得了广大商用客户的青睐。本文将研究IPSec体系结构、技术原理和VPN基本技术，分析了IPSecVPN的主要实现方式。关键词：IPSecvpn，加密，隧道，安全。 AbstractCurrently,TCP/IPnetworktrafficisalmostallofthefoundation,andIPitselfdoesnotprovidesecurity,inthetransmissionprocess,IPpacketscanbeforged,altered,orpryingeyes.Tosolvetheseproblems,IPSeccaneffectivelyprotectthesecurityofIPdatagrams,whichprovidesastandard,robustandinclusivemechanisms,canuseitfortheIPandupperlayerprotocol(suchasUDPandTCP)toprovidesecurityguarantees.ManytelecomoperatorsusingIPSectunnelencryptiontechnology,onthebasisoftheintroductionofbroadbandservicesforbusinesscustomersVPNmajornewbusiness,bothforcommercialcustomerstoprovideahigh-bandwidthnetworkwithlowratesofenterprisenetworkservices,alsoprovidedinthepublicnetworkhasaprivateVPNnetworkdatasecurityservices,wonthemajorityofcommercialcustomers.ThispaperwillstudythearchitectureofIPSec,VPNtechnologyprinciplesandbasictechnology,analyzesthemainwaytoachieveIPSecVPNKeyword： IPSecvpn ，Encryption，Tunnel，Security。目录引言1第1章VPN的概述11.1VPN的基本概念11.2VPN的类型21.2.1 RemoteAccessVPN(远程访问虚拟专用网)21.2.2IntranetVPN(企业内部虚拟专用网)21.2.3ExtranetVPN(外连虚拟专用网)21.3 VPN的相关技术21.3.1典型的隧道技术协议31.3.2隧道协议的比较分析31.4 VPN技术的优点41.4.1 安全保障41.4.2 服务质量保证(QoS)5第2章IPSec技术基础52.1IPSec简介52.2IPSec体系结构62.2.1IPSecAH(认证头协议)62.2.2IPSecESP：封装安全负载62.2.3 IPSecIKE(密钥交换协议)72.2.4 IPSec ISAKMP(安全连接和密钥管理协议)72.3IPSec的运行模式82.3.1隧道模式82.3.2传送模式92.4IPSecVPN的优点9第3章 基于IPSec VPN的设计方案93.1 设计背景93.2 需求分析103.3 仿真实验设备选型103.4 网络拓扑设计103.5 IP地址规划10第4章基于IPSec VPN的配置方案114.1路由器的基本配置114.2 VPN基本配置124.3网络接口启用VPN13第5章 VPN测试14结束语15致 谢16参考文献17 引言随着计算机网络的迅猛发展，网络在为人们提供便利和带来效益的同时，也使人们面临着信息安全的巨大挑战。网络安全问题已成为计算机网络研究的热点问题之一，现在网络发展的趋势是所有的网络，无论是ATM、卫星网、无线网等的构建都向基于TCP/IP协议的网络发展，TCP/IP协议几乎成为Internet的统一实现标准，因此网络协议层次的安全性分析集中在TCP/IP协议簇上，由于TCP/IP的安全和控制机制是依赖于IP地址的认证，然而一个数据包的源IP地址是很容易被伪造和篡改的。更糟的是网络控制特别是路由协议根本就没有认证机制。另一个主要缺点是TCP/IP协议没有能力保护网上数据的隐私性，协议数据是明文传输的，乏保密机制。这样，TCP/IP就不能保证网上传输信息的机密性、完整性、与真实性。VPN技术是近年来用于解决网络安全问题的新技术之一。它将专用网建立在公用网基础上，通过相关的安全技术实现移动用户与企业网，各分支机构与总部及企业与合作伙伴之间的安全通信VPN就是针对通信安全尤其是企业分散子网间通信安全问题的一种解决办法。它通过采用在公用网上建立加密的隧道的方式，虚拟不同的专线来连接分布在各地的企业子网，甚至移动用户。隧道是一种虚拟的点到点的连接，这个连接可以为隧道的两个端点提供了认证、加密和访问控制。可以在不同的协议层上来实现隧道技术。在每个协议层上的实现具有不同的实现难度，也提供了不同强度的安全保护。IPSec即“Internet协议安全性”是一种开放标准的框架协议，通过使用加密的安全服务以确保在Internet协议(IP)网络（Internet就是全球最大的IP网络）上进行保密而安全的通讯。IPSec协议本不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议AuthenticationHeader(AH)、封装安全载荷协议EncapsulatingSecurityPayload（ESP）、密钥管理协议InternetKeyExchange（IKE）和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。第1章VPN的概述1.1VPN的基本概念VPN（VirtualPrivateNetwork）：虚拟专用网络，是一门网络新技术，为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成：客户机、传输介质和服务器。VPN同样也由这三部分组成，不同的是VPN连接使用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，如：Internet或Intranet。要实现VPN连接，企业内部网络中必须配置有一台基于WindowsNT或Windows2000Server的VPN服务器，VPN服务器一方面连接企业内部专用网络，另一方面要连接到Internet，也就是说VPN服务器必须拥有一个公用的IP地址。当客户机通过VPN连接与专用网络中的计算机进行通信时，先由ISP（Internet服务提供商）将所有的数据传送到VPN服务器，然后再由VPN服务器负责将所有的数据传送到目标计算机。VPN使用三个方面的技术保证了通信的安全性：隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求，VPN服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到VPN服务器，VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问权限，如果该用户拥有远程访问的权限，VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。VPN连接的示意图如1-1所示。图1-1 VPN连接示意图1.2VPN的类型1.2.1 RemoteAccessVPN(远程访问虚拟专用网)AccessVPN是通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问，使用户随时、随地以其所需的方式访问企业资源。它包括模拟、拨号、ISDN、数字用户线路(XDSL)、移动IP和电缆技术，可以安全地连接移动用户、远程工作者或分支机构。它适合于内部有人员移动或远程办公需要的企业。1.2.2IntranetVPN(企业内部虚拟专用网)如果要进行企业内部各分支机构的互联，使用IntranetVPN是很好的方式。越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。IntranetVPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。1.2.3ExtranetVPN(外连虚拟专用网)如果是提供B2B之间的安全访问服务，则可以考虑ExtranetVPN。随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础，而如何利用Internet进行有效的信息管理，是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。ExtranetVPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。1.3 VPN的相关技术 当前，有四项技术来保证VPN的安全，分别是隧道技术（Tunneling）、加解密技术（Encryption&Decryption）、密钥管理技术（KeyManagement）、使用者与设备身份认证技术（Authentication）。 (1) 隧道技术。隧道技术简单的说就是：原始报文在A地进行封装，到达B地后把封装去掉还原成原始报文，这样就形成了一条由A到B的通信隧道。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将这些其他协议的帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由传送。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。隧道技术是指包括数据封装、传输和解包在内的全过程。 (2) 加解密技术。对通过公共互联网络传递的数据必须经过加密，确保其他未授权的用户无法读取该信息。加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。 (3) 密钥管理技术。密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。 (4) 使用者与设备身份认证技术。VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外，方案还必须能够提供审查和计费功能，显示何人在何时访问了何种信息。使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。1.3.1典型的隧道技术协议VPN区别于一般网络互联的关键于隧道的建立，然后数据包经过加密后，按隧道协议进行封装、传送以保安全性。一般，在数据链路层实现数据封装的协议叫第二层隧道协议，常用的有PPTP；在网络层实现数据封装的协议叫第三层隧道协议，如IPSec；还有第4层隧道协议，如SSLVPN。下面主要介绍几种典型的VPN隧道协议。VPN在隧道的建立上不同于普通的网络互联，隧道协议有很多种，一般情况下，需要按照具体协议来封装数据包，从而能够安全的传送数据。 (1) PPTPPointtoPointTunnelProtocol(点对点隧道协议)PPTP是在数据链路层对数据进行封装，属于第二层隧道协议。公司可以在公共网络上建立自己的“隧道”，PPTP可以在数据传送之前对数据进行加密封装，客户机和服务器之间可以通过此“隧道”进行通信，安全度得到提高，同时，公司的网络可以得到扩张。 (2) IPSecInternetProtocolSecurity(网际协议安全)IPSec在网络层对数据进行封装，应用范围广泛，通信安全透明，属于第三层隧道协议。该协议最大的特点是应用了密码技术，可以通过认证来分辨主机与端点的身份，可以通过检查数据包的完整性保证通信质量，可以对IP地址和数据加密从而保证通信安全。除此之外，IPSec也可以同其他层的协议进行连接，可以保障最大限度的安全传输信息。 (3) SSLSecureSocketLayer(安全套接层协议层)SSL为Netscape所研发，在传输层对网络连接进行加密，用以保障在数据在Internet上传输的安全性，利用数据加密（Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。SSL协议可以认证用户和服务器，保证数据发送到正确的位置；可对数据进行加密以防止传输过程中数据被第三者窃取；可以维护数据的在传输过程中不被篡改，保障数据完整性。需要说明的是，只有3.0版本以上的IE浏览器或Netscape浏览器可支持SSL。同时，SSL有利于在消费者方面对商家的信息进行保密，因此随着更多的小型公司参与到电子上午当中，协议对商家的袒护便暴露出来，造成其并不能有效的协调交易各方之间的信任关系，因此，Netscape公司提供了一种新功能，它可以对消费者购买商品的表单上进行数字签名，从而保证交易信息的确凿。1.3.2隧道协议的比较分析本节主要就几种常用的隧道协议进行比较分析，便于企业选择VPN产品时参考。每种隧道协议都有其独特的优缺点及适用范围。PPTP最适合用于远程访问虚拟专用网，其对使用微软操作系统的用户来说很方便，因为微软已把它作为路由软件的一部分。PPTP支持其他网络协议和流量控制，它通过减少丢弃包来改善网络性能，这样可减少重传。然而PPTP并未对两节点间的信息传输进行监视或控制。并且其对最多连接用户数有限制，必须低于255。同时，用户需要自己建立加密信道，步骤繁琐。IPSec适用于可信的LAN到LAN之间的虚拟专用网。IPSec支持多种加密算法，可保障防火墙和服务器之间的安全性。但IPSec仍然存在一些问题，其需要固定的IP地址，因此并不适用于动态IP。同时，IPSec可支持协议单一，并且智能使用包过滤的访问控制方法。SSL最适合于用户在只有Web的情况下应用VPN。用户并不需要安装客户端软件，就可通过浏览器和VPN进行连接。而且SSL对配置要求低，只要浏览器支持SSL，便可在保证高安全性的情况下使用。然而其功能也就只限于此，对于非SSL的业务支持则较显乏力。下面，如图1-2所示，对SSLVPN与IPSecVPN的主要性能进行比较。图1-2 SSL VPN与IPSecVPN的比较1.4 VPN技术的优点1.4.1 安全保障虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其在VPN上传送的数据，不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到了合作伙伴和客户，但同时也对安全性提出了更高的要求。1.4.2 服务质量保证(QoS)VPN网应当为企业数据，提供不同等级的服务质量保证。不同的用户和业务对服务质量保证要求的差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用，则要求网络能提供良好的稳定性；对于其他应用(如视频等)则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用，均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时容易引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又容易造成大量网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。第2章IPSec技术基础2.1IPSec简介IPSec(1P Security)产生于IPv6的制定之中，用于提供IP层的安全性。由于所有支持TCP/IP协议的主机进行通信时，都要经过IP层的处理，所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛，所以后来在IPSec的制定中也增添了对IPv4的支持。最初的一组有关IPSec标准由IETF在1995年制定，但由于其中存在一些未解决的问题，从1997年开始IETF又开展了新一轮的IPSec的制定工作，截止至1998年11月份主要协议已经基本制定完成。不过这组新的协议仍然存在一些问题，预计在不久的将来IETF又会进行下一轮IPSec的修订工作。IPSec的工作原理(如图2-1所示)类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。这里的处理工作只有两种：丢弃或转发图2-1 IPSec工作原理示意图IPSec是一种用来保护内部网、专用网络以及外部网（Internet、Extranet）免遭攻击的重要防御方法，主要特征在于它可对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内的多种应用程序的安全。由于企业及政府用户非常注重于部署安全的IP，所以这一服务显得很重要。2.2IPSec体系结构如图2-2 IPSec体系结构图图2-2 IPSec体系结构图2.2.1IPSecAH(认证头协议)IPSecAH（IPSecAH：IPSecAuthenticationHeader）认证头协议是IPSec体系结构中的一种主要协议。（如图2-3所示）它为IP数据报提供无连接完整性与数据源认证，并提供保护以避免重播情况。一旦建立安全连接，接收方就可能会选择后一种服务。AH尽可能为IP头和上层协议数据提供足够多的认证。但是，在传输过程中某些IP头字段会发生变化，且发送方无法预测当数据包到达接受端时此字段的值。AH并不能保护这种字段值。因此，AH提供给IP头的保护有些是零碎的。AH可被独立使用，或与IP封装安全负载（ESP）相结合使用，或通过使用隧道模式的嵌套方式。在通信主机与通信主机之间、通信安全网关与通信安全网关之间或安全网关与主机之间可以提供安全服务。ESP提供了相同的安全服务并提供了一种保密性（加密）服务，而ESP与AH各自提供的认证其根本区别在于它们的覆盖范围。特别地，不是由ESP封装的IP头字段则不受ESP保护。通常，当用与IPv6时，AH出现在IPv6逐跳路由头之后IPv6目的选项之前。而用于IPv4时，AH跟随主IPv4头。图2-3 认证头协议示意图2.2.2IPSecESP：封装安全负载IPSecESP（IPSecEncapsulatingSecurityPayload）封装安全负载是IPSec体系结构中的一种主要协议，其主要设计来在IPv4和IPv6中提供安全服务的混合应用。IPSec ESP通过加密需要保护的数据以及在IPSecESP的数据部分放置这些加密的数据来提供机密性和完整性。根据用户安全要求，这个机制既可以用于加密一个传输层的段（如：TCP、UDP、ICMP、IGMP），也可以用于加密一整个的IP数据报。封装受保护数据是非常必要的，这样就可以为整个原始数据报提供机密性ESP头可以放置在IP头之后、上层协议头之前（传送层），或者在被封装的IP头之前（隧道模式）。IANA分配给ESP一个协议数值50，在ESP头前的协议头总是在“nexthead”字段（IPv6）或“协议”（IPv4）字段里包含该值50。ESP包含一个非加密协议头，后面是加密数据。该加密数据既包括了受保护的ESP头字段也包括了受保护的用户数据，这个用户数据可以是整个IP数据报，也可以是IP的上层协议帧（如：TCP或UDP）。ESP提供机密性、数据源认证、无连接的完整性、抗重播服务（一种部分序列完整性的形式）和有限信息流机密性。所提供服务集由安全连接（SA）建立时选择的选项和实施的布置来决定，机密性的选择与所有其他服务相独立。但是，使用机密性服务而不带有完整性/认证服务（在ESP或者单独在AH中）可能使传输受到某种形式的攻击以破坏机密性服务。数据源验证和无连接的完整性是相互关联的服务，它们作为一个选项与机密性（可选择的）结合提供给用户。只有选择数据源认证时才可以选择抗重播服务，由接收方单独决定抗重播服务的选择。2.2.3 IPSecIKE(密钥交换协议)InternetIPSecIKE密钥交换（IPSecIKE:InternetKeyExchangeProtocol）是IPSec体系结构中的一种主要协议（如图2-4所示）。它是一种混合协议，使用部分Oakley和部分SKEME，并协同ISAKMP提供密钥生成材料和其它安全连系，比如用于IPSecDOI的AH和ESP。图2-4 密钥交换机制IKE是一系列密钥交换中的一种，称为“模式”。IKE可用于协商虚拟专用网（VPN），也可用于远程用户（其IP地址不需要事先知道）访问安全主机或网络，支持客户端协商。客户端模，式即为协商方不是安全连接发起的终端点。当使用客户模式时，端点处身份是隐藏的。IKE的实施必须支持以下的属性值： (1) DES用在CBC模式，使用弱、半弱、密钥检查。 (2) MD5MD5和SHASHA。 (3) 通过预共享密钥进行认证。 (4) 缺省的组1上的MODP。另外，IKE的实现也支持3DES加密；用TigerTIGER作为hash；数字签名标准，RSARSA，使用RSA公共密钥加密的签名和认证；以及使用组2进行MODP。IKE实现可以支持其它的加密算法，并且可以支持ECP和EC2N组。2.2.4 IPSec ISAKMP(安全连接和密钥管理协议)Interne安全连接和密钥管理协议（ISAKMP）是IPSec体系结构中的一种主要协议。该协议结合认证、密钥管理和安全连接等概念来建立政府、商家和因特网上的私有通信所需要的安全。因特网安全联盟和密钥管理协议（ISAKMP）定义了程序和信息包格式来建立，协商，修改和删除安全连接（SA）。SA包括了各种网络安全服务执行所需的所有信息，这些安全服务包括IP层服务（如头认证和负载封装）、传输或应用层服务，以及协商流量的自我保护服务等。ISAKMP定义包括交换密钥生成和认证数据的有效载荷。这些格式为传输密钥和认证数据提供了统一框架，而它们与密钥产生技术，加密算法和认证机制相独立。ISAKMP区别于密钥交换协议是为了把安全连接管理的细节从密钥交换的细节中彻底的分离出来。不同的密钥交换协议中的安全属性也是不同的。然而，需要一个通用的框架用于支持SA属性格式，谈判、修改与删除SA，ISAKMP即可作为这种框架。把功能分离为三部分增加了一个完全的ISAKMP实施安全分析的复杂性。然而在有不同安全要求且需协同工作的系统之间这种分离是必需的，而且还应该对ISAKMP服务器更深层次发展的分析简单化。ISAKMP支持在所有网络层的安全协议（如：IPSEC、TLS、TLSP、OSPF等等）的SA协商。ISAKMP通过集中管理SA减少了在每个安全协议中重复功能的数量。ISAKMP还能通过一次对整个栈协议的协商来减少建立连接的时间。ISAKMP中，解释域（DOI）用来组合相关协议，通过使用ISAKMP协商安全连接。共享DOI的安全协议从公共的命名空间选择安全协议和加密转换方式，并共享密钥交换协议标识。同时它们还共享一个特定DOI的有效载荷数据目录解释，包括安全连接和有效载荷认证。总之，ISAKMP关于DOI定义如下方面：(1) 特定DOI协议标识的命名模式；(2) 位置字段解释；(3) 可应用安全策略集；(4) 特定DOISA属性语法；(5) 特定DOI有效负载目录语法；(6) 必要情况下，附加密钥交换类型；(7) 必要情况下，附加通知信息类型。 如图2-5所示协议结构图：图2-5 密钥交换协议结构InitiatorCookieInitiatorCookie：启动SA建立、SA通知或SA删除的实体Cookie。ResponderCookieResponderCookie：响应SA建立、SA通知或SA删除的实体Cookie。NextPayload信息中的NextPayload字段类型。MajorVersion使用的ISAKMP协议的主要版本。MinorVersion使用的ISAKMP协议的次要版本。ExchangeType正在使用的交换类型。Flags为ISAKMP交换设置的各种选项。MessageID唯一的信息标识符，用来识别第2阶段的协议状态。Length全部信息（头有效载荷）长（八位）。2.3IPSec的运行模式2.3.1隧道模式隧道模式(TunnelingMode)(如图2-6所示)可以在两个SecurityGateway间建立一个安全隧道，经由这两个GatewayProxy的传送均在这个通道中进行。通道模式下的IPSec报文要进行分段和重组操作，并且可能要再经过多个安全网关才能到达安全网关后面的目的主机。通道模式下，除了源主机和目的地主机之外，特殊的网关也将执行密码操作。在这种模式里，许多隧道在网关之间是以系列的形式生成的，从而可以实现网关对网关安全。通道模式可表示为：|新IP头|IPSec头|IP头|TCP头|数据|图2-6 隧道模式示意图2.3.2传送模式传送模式(TransportMode)(如图2-7所示)加密的部份较少，没有额外的IP报头，工作效率相对更好，但安全性相对于隧道模式会有所降低。传送模式下，源主机和目的地主机必须直接执行所有密码操作。加密数据是通过使用L2TP（第二层隧道协议）而生成的单一隧道来发送的。数据（密码文件）则是由源主机生成并由目的地主机检索的。传送模式可表示为：|IP头|IPSec头|TCP头|数据|2-7 传输模式示意图2.4IPSecVPN的优点(1) IKE使IPSecVPN配置简单：简单的讲IKE是一种安全机制，它提供端与端之间的动态认证。IKE为IPSec提供了自动协商交换密钥、建立SA的服务，这能够简化IPSec的使用和管理，大大简化IPSec的配置和维护工作。IKE不是在网络上直接传输密钥，而是通过一系列数据的交换，最终计算出双方共享的密钥，有了IKE，IPSec很多参数（如：密钥）都可以自动建立，降低了手工配置的复杂度。(2) IPSecVPN对应用程序的高可扩展性：所有使用IP协议进行数据传输的应用系统和服务都可以使用IPSec，由于IPSec工作在OSI的第3层，低于应用程序直接涉及的层级，所以对于应用程序来讲，利用IPSecVPN所建立起来的隧道是完全透明的，无需修改既有的应用程序，并且，现有应用程序的安全解决方法也不会受到任何影响。且当有新的加密算法产生时可以直接移植进IPSec协议栈。(3) IPSec VPN加密灵活：对数据的加密是以数据包为单位的，而不是以整个数据流为单位，这不仅灵活而且有助于进一步提高IP数据包的安全性，可以有效防范网络攻击。(4) IPSec VPN将网络扩展：IPSec vpn完成使二个专用的网络组合成一个虚拟网络的无缝连接。将虚拟网络扩展成允许远程访问用户(也被称为roadwarriors)成为可信任网络的一部分。第3章 基于IPSec VPN的设计方案3.1 设计背景某金融机构早2000年就已经实现了业务的电子化和办公自动化，并基本完成了全省范围内各级公司的2MB数字线路连接，保障各地区分公司之间业务顺利运行。随着金融网点之间竞争的加剧，为保障各地金融网点间信息传输的安全性，希望通过Internet上传输的数据具有很大的安全保密性，决定规划实施广域网VPN（IPSec）网络建设规划。3.2 需求分析需求1：实施开放的VPN安全协议IPSec分析1:路由器支持业界最安全的加密协议IPSec，保障数据在传输过程中的安全。需求2：静态路由。分析2：专线连接，静态路由由精确指引网络数据流量。3.3 仿真实验设备选型核心设备：C3745路由器1台（R1）接入设备：C3745路由器1台C（R2），3745路由器1台（R3），交换机3台（SW1、SW2、SW3）。实验PC：3台（总公司、分公司A、分公司B）该实验采用三台路由器分别命名为R1、R2、R3，其中R1用作VPN server,R2、R3用作 VPN Client；串口线2条，直连线6条；在每台路由器内部分别部署一台测试PC，IP地址为路由器内部网络。3.4 网络拓扑设计如图3-1所示为某金融机构企业内部大型网络拓扑如图3-1 网络拓扑图3.5 IP地址规划表3-1 IP 地址规划设备设备端口号IP地址、子网掩码备注R1f0/0192.168.2.254/24S0/010.0.0.6/30S0/110.0.0.10/30R2S0/010.0.0.5/30f0/0192.168.0.254/24R3S0/110.0.0.9/30f0/0192.168.1.254/24PC(分公司A)Sw1接口2192.168.0.1/24Sw1PC(分公司B)Sw2接口2192.168.1.1/24Sw2PC(总公司)Sw3接口2192.168.2.1/24Sw3第4章基于IPSec VPN的配置方案4.1路由器的基本配置（1） R1路由器的基本配置Conf tHostname 总部Enable password starInt s0/1Ip add 10.0.0.10 255.255.255.0No shutExitInt s0/0Ip add 10.0.0.6 255.255.255.252No shutExitInt fa0/0Ip add 192.168.2.254 255.255.255.252No shutExitIp route 192.168.0.0 255.255.255.0 10.0.0.5p route 192.168.1.0 255.255.255.0 10.0.0.9Line vty 0 4Password starLoginEnd（2） R2路由器的基本配置Conf tHostname R2Enable password starInt fa0/0Ip add 192.168.0.254 255.255.255.252No shutExitInt s0/0Ip add 10.0.0.5 255.255.255.252No shutExitIp route 0.0.0.0 10.0.0.6Line vty 0 4Password starLoginEnd（3） R3路由器的基本配置Conf tHostname R3Enable password starInt fa0/0Ip add 192.168.1.254 255.255.255.0No shutExitInt s0/1Ip add 10.0.0.9 255.255.255.0ExitIp route 0.0.0.0 10.0.0.10Line vty 0 4Password starLoginEnd4.2 VPN基本配置（1）配置总部 R1 IKE Phase I PolicyCrypto isakmp policy 10 /设定路由图策略，确保两端的IKE配置一致Authentiantion pre-share /设置为共享认证模式Hash md5 /hash 散列算法设定为MD5Group 2 / 设定Diffie-Hellman 组标识ExitCrypto isakmp key star address 10.0.0.5 /指定对端VPN设备的预共享密钥和IP地址，确保两边的预共享密钥一致（2） 配置总部R1 IKE Phase II PolicyCrypto ipsec transform-set star-net esp-des esp-md5-hmac / 启用ESP加密安全IPSec转换规则Access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 / 通过路由器的VPN感兴趣流控制列表Access-list 102 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 / 通过路由器的VPN感兴趣流控制列表Crypto map star-net 10 ipsec-isakmp / 指定加密图名称启用IPSecSet peer 10.0.0.5 / 建立VPN对等体 Set transform-set star-net / 设定加密图匹配IPSec转换规则Match address 101 / 设定加密图匹配VPN感兴趣流列表ExitCrypto map star-net 20 ipsec-isakmp / 定义加密图策略Set peer 10.0.0.9 / 建立VPN对等体 Set transform-set star-net / 设定加密图匹配IPSec转换规则Match address 102 / 设定加密图匹配VPN感兴趣流列表Exit(3) 配置R2 IKE Phase I PolicyCrypto isakmp policy 10 / 设定路由图策略，确保两端的IKE配置一致Authentiantion pre-share / 设置为共享认证模式Hash md5 / hash 散列算法设定为MD5Group 2 / 设定Diffie-Hellman 组标识ExitCrypto isakmp key star address 10.0.0.6 / 指定对端VPN设备的预共享密钥和IP地址，确保两边的预共享密钥一致(4) 配置R2 IKE Phase II PolicyCrypto ipsec transform-set star-net esp-des esp-md5-hmac / 启用ESP加密安全IPSec转换规则Crypto map star-net 10 ipsec-isakmp / 指定加密图名称启用IPSecSet peer 10.0.0.6 / 建立VPN对等体 Set transform-set star-net / 设定加密图匹配IPSec转换规则Match address 101 / 设定加密图匹配VPN感兴趣流列表ExitAccess-list permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255(5) 配置R3 IKE Phase I PolicyCrypto isakmp policy 10 / 设定路由图策略，确保两端的IKE配置一致Authentiantion pre-share / 设置为共享认证模式Hash md5 / hash 散列算法设定为MD5Group 2 / 设定Diffie-Hellman 组标识ExitCrypto isakmp key star address 10.0.0.10 / 指定对端VPN设备的预共享密钥和IP地址，确保两边的预共享密钥一致(6) 配置R3 IKE Phase II PolicyCrypto ipsec transform-set star-net esp-des esp-md5-hmac / 启用ESP加密安全IPSec转换规则Crypto map star-net 10 ipsec-isakmp / 指定加密图名称启用IPSecSet peer 10.0.0.10 / 建立VPN对等体 Set transform-set star-net / 设定加密图匹配IPSec转换规则Match address 101 / 设定加密图匹配VPN感兴趣流列表ExitAccess-list permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.2554.3网络接口启用VPN（1) 配置总部R1网络