基于Ipsec-VPN的企业信息安全架构设计与实现-毕业论文

摘要当今，随着现代计算机科技以及互联网科技的历程不断飞速的推进，开始有越来越多的企事业单位等机构的日常办公越来越依赖数字化的信息网络平台，并且也开始有意识地去构建统一的办公系统平台。自动化办公系统互联网络化、应用集中系统化的升级带来了数字化信息进行集中配置、业务流程化、办公规范化的巨大优势。目前，TCP/IP几乎是所有网络通信的基础，而IP本身是没有提供“安全”的，在传输过程中，IP包可以被伪造、篡改或者窥视。针对这些问题，IPSec可有效地保护IP数据报的安全，它提供了一种标准的、健壮的以及包容广泛的机制，可用它为IP及上层协议(如UDP和TCP)提供安全保证。

目前许多电信运营商采用IPSec隧道加密技术，在宽带业务的基础上推出主要针对商用客户的VPN新业务，为商用客户既提供了高带宽低资费的企业网络联网服务，又提供了在公用网络上拥有私有VPN网络的数据传输安全保障服务，赢得了广大商用客户的青睐。本文将研究IPSec体系结构、技术原理和VPN基本技术，并且基于一个真实企业的实际网络架构，分析了IPSecVPN的具体实现方式并进行了测试。关键词：IPSec

vpn

，加密，

隧道，

安全ABSTRACTToday,withthemoderncomputertechnologyandthecontinuousprogressofInternettechnology,begantomoreandmoreenterprisesandinstitutionssuchasthedailyofficemoreandmoredependentonthedigitalinformationnetworkplatform,andalsobegantoconsciouslytobuildaunifiedOftheofficesystemplatform.AutomatedofficesystemInternet,theapplicationofcentralizedandsystematicupgradehasbroughtdigitalinformationforcentralizedconfiguration,businessprocesses,officestandardizationofthegreatadvantages.Atpresent,TCP/IPisalmostthebasisofallnetworkcommunications,andIPitselfisnotprovided"safe",inthetransmissionprocess,IPpacketscanbeforged,tamperedwithorpeep.Inresponsetotheseissues,IPSeccaneffectivelyprotectthesecurityofIPdatagrams,whichprovidesastandard,robustandinclusivemechanismthatcanbeusedtoprovidesecurityforIPandupper-layerprotocolssuchasUDPandTCP.Atpresent,manytelecomoperatorsuseIPSectunnelencryptiontechnology,basedonthebroadbandbusinesslaunchedmainlyforcommercialcustomersVPNnewbusinessforcommercialcustomersnotonlyprovidehigh-bandwidthlow-costenterprisenetworknetworkingservices,butalsoprovidesapublicnetworkHasaprivateVPNnetworkdatatransmissionsecurityservices,wonthemajorityofcommercialcustomersofallages.ThispaperwillstudytheIPSecarchitecture,technicalprinciplesandVPNbasictechnology,andbasedonarealenterprise'sactualnetworkarchitecture,analysisoftheIPSecVPNspecificimplementationandtesting.Keywords:IPSecvpn,encryption,tunnel,security目录第一章引言 第一章引言1.1背景介绍及意义当今，随着现代计算机科技以及互联网科技的历程不断飞速的推进，开始有越来越多的企事业单位等机构的日常办公越来越依赖数字化的信息网络平台，并且也开始有意识地去构建统一的办公系统平台。自动化办公系统互联网络化、应用集中系统化的升级带来了数字化信息进行集中配置、业务流程化、办公规范化的巨大优势。据有关调查，截止到2016年底，约有90％以上的的企业员工拥有并把自己的比如iPhone智能手机、iPad平板电脑或安、安卓智能手机或安卓平板电脑等智能终端设备带入各自办公的场所，办理工作有关的事务。信息技术的消费带来了BYOD（即英文全称：BringYourOwnDevice）新风尚，完成了Anydevice的真正的自由化办公。现在，BYOD已经是一个越来越流的趋势的新概念，它正以不可阻挡之势对人们的生活、工作等方式的变革产生巨大的作用，成为生活、办公手段的一个必要补充。我们能够使用越来越多的工作间隙去接收或发送电子邮件、去追踪可能的商业机会，把组织机构内部的数字化的管控推向最前端，使面向用户的界面变得更扁平化，从而进一步提高决策以及响应的速度。然而，BYOD带来了方便的同时，也存在着非常大的风险，因为方便是基于开放性的，开放性最大的缺点就是非常容易引入各种各样的网络安全的风险。因此，这就是一个不得不考虑的问题。在本文中，基于某一组织机构内部已经构建了较为完善的信息化应用系统，比如OA系统（自动化办公系统）、财务管理系统、邮件服务系统等，且有一个及以上的分支机构需要与集团公司本部互联或出差人员常用内部信息资源比较多。在这种情况，由外部网络接入到系统内部网络就需要构建一套完整的安全管理方式。目前一种公认普遍有效的解决办法是在公共通信基础设施上构建虚拟专用网或私有网，进而在公用信道上传递私有“秘密”数据。此方法就是目前非常流行的VPN技术[1]。VPN技术的实现方式有很多种形式，而基于IPSec协议的实现方式在身份鉴别及完整性、抗抵赖性、保密性方面凭其独特的优势备受青睐。本课题不仅在理论上具有较重要的意义，在实践中，由于应用VPN技术可以提高通信系统的效/费比，从而降低通信成本、保障通信质量，因此在社会上得到广泛的应用。在IPSecVPN中硬件密码卡的广泛使用也使得系统的性能得到现实意义的提高。最典型的实践应用场景是公安政务网和警用移动设备的通信等[2]。1.2研究现状分析IPSec技术的出现和运用能够明显地提高局域网、各种类型的广域网以及Internet互联环境中的各种类型信息在网络传输过程中的安全性水平[3]。IPSec技术被用于IP层，以数据包为处理对象，实现了高强度的安全性保障，具体表现为对数据源进行全面验证、对处于无连接状态下数据进行完整性检验、对数据开展机密性和抗重播性的检查以及对有限业务流所具有的机密性实施检验等各种安全性作用。而运行在系统中的各种类型的应用型程序都可以得到IP层的建立的密钥以及其他安全保障作用，而不需要独立设计和执行各自的安全保护机制，这就使得系统中的密钥协商所需要花费的系统资源大大减少，也因为统一的安全保证，能够明显降低出现安全漏洞的概率[4]。目前，国内外对IPSecVPN的实现都朝着硬件实现的方向发展，这也是该技术发展的主要方向，正是在这种环境下研发出一种专用硬件设备——数据密码卡[5]。目前对该卡的研究，主要集中在卡的性能方面的提升，如采用高速的DSP、安全性较高的算法、优质的密码算法芯片等。IPSecVPN在国内也有数年的研究发展历史了，初期主要是通过研究、分析国外的技术产品。随着技术积累沉淀，国内研究在机密算法、认证方式等适应国内网络发展现状的技术领域中取得了长足进步。1.3本文结构本文总共分成6章，各部分的主要完成的工作如下：第一章是引言，基于IPSec的VPN系统产生背景及分类、应用领域进行了阐述，并介绍了国内外研究现状和本文的主要研究内容，说明了研究此系统的必要性。第二章IPSec的技术介绍，主要对IPSec技术协议的体系结构、协议工作原理以及VPN的技术实现方式进行了详细的分析和介绍。第三章需求分析，该部分主要基于某一企业的真实业务为基础，分别对其业务现状、安全性、访问速度、易用性、稳定性以及管理便利性进行全方面的需求分析。第四章IPSecVPN的实现，在本部分首先以一个真实企业的网络工程实例为背景，介绍了网络拓扑结构，并根据实际情况构建了一个模拟的网络实验平台，并在该平台下进行了详细的配置步骤说明，同时对该模拟实验网络进行了测试，测试结果表明，完全达到了预期。第五章总结，主是要对本次论文工作进行了整体的总结。第二章IPSec的技术介绍2.1IPSec协议体系结构IPSec成功的利用多种安全系统的优势通过技术处理结合成为一种较为成熟的安全体系，主要包括协议部分和密匙两部分，协议中，主要是利用八个文档来对该协议加以定义，具体结构和结构关系如下图2-1所示。图2-1IPSec协议体系结构图（1）IPSec安全体系：对于安全需求和整体概念的阐述，同时对于技术机制加以详细阐述；（2）安全封装载荷ESP：对于加密和格式中的常见问题提供了详细处理方案；（3）验证头部AH：对于格式和AH认证的多种约定的阐述；（4）加密算法：在多种程序中使用加密算法的详细情况的描述；（5）鉴别算法：在AH/ESP中利用身份验证算法的详细方案；（6）解释域DOI：对于数据转换过程中的详细安全参数给予重新定义，其中包括验证算法和加密算法在内的多种算法专用要求给予详细的论述；（7）密钥管理：通过了用IKE做为基础密匙交换协议；（8）策略：对于两个不同实体之间的会话能否成功给予界定，包括SA、SAD、SPD在内的三大核心内容在现阶段还没有形成一个标准的组件。2.2IPSec协议工作原理这项技术的基本运行原理和包过滤的这种防火墙的运行原理差不多，或者也可以将这一技术就直接认为是包过滤防火墙这种技术经过一定的扩展后形成的。这项技术一旦获取了一个IP数据包，就会利用包过滤防火墙所具有的头部实施匹配处理，从而将这个数据包放置到一个规则表里。而如果再次找到另一个规则也能够和这一数据包之间实现了匹配，则根据制定规则的基本原则，包过滤防火墙所获取的这一数据包只会面临两种不同的操作，一种是丢弃，而另一种是转发。而对于IPSec技术来说，则主要采取查询SD(SecurityPolicyDatabase就是安全策略数据库)里的相关信息，并以查询结果为依据选择对这一数据包的处理方式。和包过滤防火墙处理手段有所差异的是，IPSec这种技术对于接收到的上述数据包进行处理时，不止是丢弃和直接转发(这种转发是绕过IPSec技术的操作)两种方式，这种技术还有第三种处理，即实施IPSec操作。针对IP4/IP/IP6特点设定的为了保证数据传输的质量来确立的SEP模式，主要是通过封转安全设定，保证数据传输安全性。上述内容主要为网络服务提供相应的协议提供数据源认证，无连接的完整性服务ESP中，主要是为了提供数据流和相依程度的数据安全服务，数据认证的安全作用得以实现。无论进行加密还是认证，IPSec同样提供了两种不同的模式已备用户根据不同的要求选择合适的模式：隧道模式、传输模式IP的要求提供加密或认证服务，主要是利用新产生的IP头部在传输层中的改变来时现实传送的保密性。而在隧道模式中，是通过对IP整体的加密和认证来完成上述内容的，同样利用一个新产生的IP头部来实现新IP的处理，其中新的IP头部。（1）安全关联(SA)作为目前使用的IPSec的基础，安全关联是两个通讯主体之间经过具体协商形成的协定，主要是为了保证数据安全，其中，产生的安全协议和密匙会作为一组唯一认证标识存在于三元组中。每一个数据包的发送，总是伴随着一次SPI发送，从而可以为SA提供唯一标识。单向SA中，如果出现多个会话方，需要主机提供多个不同的SA来处理对方的数据包。而SA就是利用密匙管理来保证双方之间的安全协议的，当某一个SA安全协商成功之后，会形成相应的参数，以备下次使用。（2）安全关联数据库(SADB)安全关联数据库(SADB)并非一种数据库，而是一种SA存储数据列表。安全关联数据库中包含现行的SA条目，不同的SA具有不同的三元组，该三元组主要用于标识SA，每一个元组用来处理一方面的数据要求，除此之外，还应该包括所需要的AH认证密码算法和密钥、所需要的ESP认证密码算法和密钥、ESP加密算法等方面的要求，其中对于数据的处理，输入和输出都需要有相对独立的SAD存在。上述内容对于网络安全起到了至关重要的作用，本文的研究目前还没有能力涉及到更为深层次的内容，但是在不远的将来，这必将成为网络发展中一种常规内容，是未来网络发展的重要方向。（3）安全策略(SP)作为本文论述的重要内容，安全策略对于两个主体之间的会话的标识决定了不同是安全保护要求，包括源IP地址、目的IP地址、进入数据还是外出数据等来标识安全管理等级。IPSec同时还对用户采用的安全策略加以判定，保证通过“选择符”保证粒度的大小，一方面通过IP地址的控制来保证安全性，同时还可以利用端口控制来完成整体策略。（4）安全策略数据库(SPD)同上文描述相同，SPD同样不是一种数据库，而是一种SP为内容的主要数据结构列表。常见的IPSec协议中，对于数据包和数据流的处理都要经过相应的SPD查询，对于数据的输入和输出都要进行相应的SPD记录。这种模式中涵盖了多种有序列表。通过其中的子目录来判定条目的选择，而在当前可供选择的IPSec内容有：IP目的地址、IP源地址、传输层协议、用户ID和系统名。一个或者多个选择符和一个标志都被包含在SPD中的每一个条目中，从而对于接收到的数据包采用相应的处理IPSec处理时，要求条目中包含一个SA内容，通过该内容的包含的密码算法和操作模式的界定来进行下一步的处理。2.3VPN的技术实现方式VPN作为一种虚拟专用的网络安全通讯的方式，主要内容就是通过公网来完成私有网络的数据传送，目前来说，很多技术能够保证这种功能的实现，在这里主文中主要采用的方式是基于用户端设备的虚拟专用网络实现方式。这种网络的设立主要是通过公网上建立私人网络来达到通讯的目的，同时利用现有的安全技术对于所需的信息给予加密处理，进而实现网络的安全传送服务。利用互联网提供的网络进行数据的透明性传送，这种方式下，主要问题就是由于VPN方式在这种情况下，需要客户投入较大的人力物力去进行系统维护，与此同时，安全算法和系统整体会对网络的使用情况造成较大的影响。IPSec，即Internet安全协议，作为现阶段使用最为普遍的BPN技术，通过对于用户身份的认证来达到加密的作用，可以说这组协议的主要内容集中于保护信息的保密性，可靠性上，这套协议实际上等同于一个整体的协议包，而不应该看做是那种单一形式的简单协议，明确这一点对于本文探讨这种安全协议具有非常重要的现实意义。第三章需求分析随着信息化的建设的深入，逐步建设了规范化的网络管理，但是第三方接入也面临众多不可控风险：如身份认证单一、接入终端安全性无法控制、数据易被窃取、越权访问、恶意访问无法追踪、访问速度慢。在本章中，主要从以下这些方面来对构建VPN网络的必要性进行具体的分细。3.1企业业务现状分析随着业务的不断发展，IT运用与业务结合的不断深入，我们发现目前的网络状况已经不能很好的满足业务发展的需要，有如下问题需要解决：网上业务的发展使得信息交互越来越频繁，重要的数据和信息在网络中的传输也越来越多，安全性要求也越来越重要。为了实现人们的远程办公，需要保证人员外出时可以安全访问组织内部网络进行日常操作，并同时确保数据的安全。因此必须在选择方法时，充分考虑多种接入方式以及各个接入方式的安全性。同时，目前大型分支已经采用专线与总部进行互联，但部分中小分支由于较为分散，仍采用公网线路直接与总部互联访问服务器。这种将服务器直接挂在公网上并对外开放端口的方式，造成整体服务器区安全防护水平降低，若是遭到网络攻击服务器风险大。而如财务系统等重要系统所跑的数据都采用明文的方式在公网上传输，易遭到信息窃取、篡改等威胁。并且，随着业务规模的扩大，业务系统也在不断延伸，除了建设内部自己使用的业务系统外，还建立了大量供第三人员使用的业务系统，比如上游供应商的接入系统、下游代理商的接入系统、第三方维护人员的接入系统等，这些业务系统对整合和规范业务运作流程提供重大的帮助，进一步提高了业务运作效率。具体的业务框架入下图3-1所示。图3-1企业业务框架图3.2安全性需求分析结合公司的网络状况，我们看到有以下几个方面的问题亟需解决。1、身份认证安全现有的某些系统采用的是较为单一的用户名密码认证方式，安全强度不高，极易遭到窃取、暴力破解造成重要应用系统的越权访问、强行攻破，导致核心数据的泄漏问题。尤其是领导中享有较高级权限的帐号若是遭到盗窃所造成的损失将更为严重。2.终端访问安全一旦远程终端通过VPN接入到了总部的网络，总部的安全域延伸到了远程终端。虽然在总部网络中有防火墙、IPS、防毒墙等一系列安全防御设备，但需要接入到总部的远程用户所使用的终端主机普遍安全防御水平都较低，而总部的防护设备又往往不能抵御VPN隧道中的威胁。为了保证整体安全防御水平，就需要对接入的终端主机的安全水平采取一定的控制措施。例如金融交易系统等包含重要数据的业务系统，当用户通过远程接入的方式访问到这些系统时，由于系统交互、缓存等原因往往会在终端主机上保存部分应用数据，容易导致重要数据人为或是无意的泄漏，存在重大的信息安全隐患。如何让用户能方便快捷的远程办公的同时保障重要应用系统、核心数据的不外泄，是IT管理人员需要考虑的一个非常重要的方面。3.权限划分安全总部内网中有众多的应用系统，若是没有采用合理的访问权限控制机制，将重要服务器暴露在所有内网甚至外网用户面前，容易因密码爆破、越权访问等行为导致系统内重要数据的泄漏，同时，开放的权限环境也将给重要的服务器开放了攻击通道，一旦遭到攻击后果将难以估量。所以，对于不同的应用系统需要对访问人员做好细致的访问权限控制，4.应用访问审计安全为了避免重要的信息系统的访问安全风险，做到有据可查，同时也为了了解应用系统的使用情况，需要对应用的访问采取必要的审计措施，了解何时何地何人访问了哪些应用系统。5.业务数据迁移智能终端访问安全性随着将业务系统迁移到BYOD终端，业务数据呈现于移动智能终端设备上，如何避免重要的业务数据随着智能终端丢失而造成泄密的风险，如何保障业务数据通过BYOD访问安全性，需要对业务系统迁移至智能终端访问做必要的安全措施。3.3访问速度需求分析影响用户远程办公的最主要因素就的访问速度问题，拖滞的访问速度将大大影响用户的访问体验及办公效率，网络状况、传输数据量及应用的交互方式等等都将影响着速度质量。1.跨运营商访问问题国内固网运营商为南电信北网通的格局，跨运营商访问时往往存在较为严重的丢包现象，一旦遇到丢包导致的频繁的重传将大大拖慢了访问速度。尤其是对于遍布各地远程接入用户而言，线路的运营商环境也多种多样，需要寻求一种方式解决跨运营商高丢包导致的速度问题。2.高丢包、高延时访问问题无线、偏远地区等高丢包、高延时的恶劣网络环境下的接入速度异常的慢，严重影响了远程办公的效率。如何在高丢包、高延时的网络环境下同样保证较高的访问质量提高工作效率？3.手持移动终端访问问题许多领导、员工已经采用PDA、智能手机等手持移动终端进行移动办公，但手持移动终端的受3G信号的制约，其访问速度往往不如有线网络。对于手持移动终端使用的最多的是B/S架构的应用，但现在B/S架构往往是针对电脑进行设计的，一旦使用PDA、智能手机访问，往往出现页面变形、图像过大等现象，影响用户体验的同时，过大的页面冗余数据量也拖慢了用户的访问速度。4.大量重复冗余数据量应用系统的使用往往存在大量的冗余数据，如同样的页面、文件中的相同的元素、系统每次交互的相同数据，这些冗余数据量的传输占用了大量的带宽资源，拖慢应用响应速度，影响了工作效率。5.微软RDP协议本身缺陷随着BYOD的流行，越来越多的企业为了将业务迁移至智能终，采用远程应用发布的形式，其核心是基于微软RDP远程桌面协议，而RDP桌面协议本身固有的协议，以及对带宽大小的要求，导致智能终端通过3G进行移动办公时访问速度没有保障，如何避免采用远程应用发布时的RDP协议访问速度问题成为企业3A办公的瓶颈，也成为企业需要重点考虑的问题。3.4易用性需求分析在考虑到安全接入方式的时候，尤其需要考虑到终端易用性问题。需要接入到总部应用系统访问的人员普遍的IT水平都不高，复杂的软件端安装、参数调配都是非常不合适的。同时，接入应用系统的核心为办公，就需要提供一种最便利、最简单的接入方式，最大的方便接入人员的办公。在一体化办公平台有往往需要使用到多个应用系统进行办公，远程用户在面对众多的应用系统时就需要记忆众多的用户名密码并依次登录才能办公，效率低下的同时，还容易混淆。企业业务系统迁移至智能终端时，企业为智能终端系统Android、iOS开发业务系统APP，能否将VPNSDK包直接嵌入业务系统中，避免拨号连接VPN，再次启动APP，提高用户办公效率。3.5稳定性需求分析远程发布的业务系统将直接关系到组织的业务能否正常运营、工作能否正常开展的问题，需要保证高可靠、高可用的稳定性。而VPN作为发布业务系统的基础平台，同样需要保证高稳定的运行以支撑整个业务的持续稳定。3.6管理便利性需求分析需要接入到总部的部分远程分支没有配备专门的IT管理人员，在构建VPN网络时需要考虑到客户端维护成本问题，若是在分支端采用设备架设的方式则必须派专员去对设备进行维护，造成管理成本的上升。组织的规模较为庞大，处于地域、组织架构等管理需要，面对不同的用户组需要由不同的管理员进行管理，保障信息安全的同时亦可提高管理效率。第四章IPsecVPN的实现本章将介绍具体以某企业网的网络工程架构为背景，具体对其网络拓扑体系结构进行分析，然后结合第三章节的需求分析的实际情况，具体对基于IPSecVPN的实现进行详细的阐述。4.1网络拓扑从业务功能及网络结构层次上，整个结构明显主要分为两大部分，一部分是集团公司总部以及各子公司同属在同一栋大楼内均在武汉，因此可以做在一个内部域网内，直接用光纤连接即可；另一部分就是各外地的分公司（包括上海分公司和北京分公司两个），因地域分散，各分公司均通过基于IPSecVPN接入集团公司武汉总部。其中依据行政管理来看，各分子公司内部均有自己完善且相对比较独立的局域网络，然后各分子公司通过VPN联向中心节点是集团公司武汉总部，网络总体上形成了一个树型或星形的拓扑结构。具体如下图4-1所示。4-1企业网络拓扑图但为了对于公司信息的保密，同时也为了便于更好地对现项目进行分析和模拟实验，在本次IPSecVPN的实现过程中对上述真实环境的网络拓扑进行了简化，具体实验网络拓扑图如下图4-2所示。图4-2实验网络拓扑图同时，并对模拟实验的环境具体的IP地址规划如下表4-1所示。表4-1实验IP地址规划设备设备端口号IP地址、子网掩码备注R1f0/054/24\S0/0/30\S0/0/30\R2S0/0/30\f0/054/24\R3S0//30\f0/054/24\PC(分公司A)Sw1接口2/24Sw1PC(分公司B)Sw2接口2/24Sw2PC(总公司)Sw3接口2/24Sw34.2路由器的基本配置（1）、R1路由器的基本配置ConftHostname总部EnablepasswordstarInts0/1Ipadd0NoshutExitInts0/0Ipadd52NoshutExitIntfa0/0Ipadd5452NoshutExitIprouteprouteLinevty04PasswordstarLoginEnd（2）、R2路由器的基本配置ConftHostnameR2EnablepasswordstarIntfa0/0Ipadd5452NoshutExitInts0/0Ipadd52NoshutExitIprouteLinevty04PasswordstarLoginEnd（3）、R3路由器的基本配置ConftHostnameR3EnablepasswordstarIntfa0/0Ipadd54NoshutExitInts0/1IpaddExitIproute0Linevty04PasswordstarLoginEnd4.3VPN基本配置（1）、配置总部R1IKEPhaseIPolicyCryptoisakmppolicy10//设定路由图策略，确保两端的IKE配置一致Authentiantionpre-share//设置为共享认证模式Hashmd5//hash散列算法设定为MD5Group2//设定Diffie-Hellman组标识ExitCryptoisakmpkeystaraddress//指定对端VPN设备的预共享密钥和IP地址，确保两边的预共享密钥一致//配置总部R1IKEPhaseIIPolicyCryptoipsectransform-setstar-netesp-desesp-md5-hmac//启用ESP加密安全IPSec转换规则Access-list101permitip5555//通过路由器的VPN感兴趣流控制列表Access-list102permitip5555//通过路由器的VPN感兴趣流控制列表Cryptomapstar-net10ipsec-isakmp//指定加密图名称启用IPSecSetpeer//建立VPN对等体Settransform-setstar-net//设定加密图匹配IPSec转换规则Matchaddress101//设定加密图匹配VPN感兴趣流列表ExitCryptomapstar-net20ipsec-isakm//定义加密图策略Setpeer//建立VPN对等体Settransform-setstar-net//设定加密图匹配IPSec转换规则Matchaddress102//设定加密图匹配VPN列表Exit（2）、配置R2IKEPhaseIPolicyCryptoisakmppolicy//路由图策略，两端的IKE配置一致Authentiantionpre-share//设置为共享认证模式Hashmd5//hash散列算法设定为MD5Group2//设定Diffie-Hellman组标识ExitCryptoisakmpkeystaraddress//指定对端VPN设备的预共享密钥和IP地址，确保两边的预共享密钥一致//配置R2IKEPhaseIIPolicyCryptoipsectransform-setstar-netesp-desesp-md5-hmac//启用ESP加密安全IPSec转换规则Cryptomapstar-net10ipsec-isakmp//指定加密图名称启用IPSecSetpeer//建立VPN对等体Settransform-setstar-net//设定加密图匹配IPSec转换规则Matchaddress101//设定加密图匹配VPN感兴趣流列表ExitAccess-listpermitip5555（3）、配置R3IKEPhaseIPolicyCryptoisakmppolicy10//设定路由图策略，确保两端的IKE配置一致Authentiantionpre-share//设置为共享认证模式Hashmd5//hash散列算法设定为MD5Group2//设定Diffie-Hellman组标识ExitCryptoisakmpkeystaraddress0//指定对端VPN设备的预共享密钥和IP地址，确保两边的预共享密钥一致（4）、配置R3IKEPhaseIIPolicyCryptoipsectransform-setstar-netesp-desesp-md5-hmac//启用ESP加密安全IPSec转换规则Cryptomapstar-net10ipsec-isakmp//指定加密图名称启用IPSecSetpeer0//建立VPN对等体Settransform-setstar-net//设定加密图匹配IPSec转换规则Matchaddress101//设定加密图匹配VPN感兴趣流列表ExitAccess-listpermitip55554.4网络接口启用VPN配置总部R1网络接口s0/0，s0/1启用VPNInts0/1Ipadd052NoshutCryptomapstar-netExitInts0/0Ipadd52Cryptomapstar-netExit配置R2网络接口s0/0启用VPNInts0/0Ipadd52Cryptomapstar-netExit配置R3网络接口s0/0启用VPN功能Ints0/1Ipadd52Cryptomapstar-netExit4.5VPN测试（1）、通过测试PC之间的通信，测试VPM功能。此次测试我们从R2624-B内部主机/24使用ping命令ping3642-A内部主机，ping使用参数“-t”。（2）、在路由器上打开Debugcryptoisakmp和DebugcryptoIPSec两条Debug命令，可以看到相关调试信息。VPN连接成功的Debug信息R2624-B#Getacquire:/55->/55,prot0,prot0/0发出第一个协商消息mainI1Acquirenegociatewith(33)beginningMainModeexchanege(33)sendingpacketto(I)MM_SI1_WR1，MM_SA_SETUPSendoutmainI1，andwaitR1(33)receivedpacketfrom->，(I)MM_SI1_WR1，MM_SA_SETUP处理对方响应消息MR1Exchangetype:Ox2Payloadformat:<Hdr>，<sa>Mainrlprocess(33)CheckingISAKMPtransform1againstpriority10policy检查响应对方回来的IKE协商策略encryptionDES-CBCHashMD5Authpre-sharegroup2lifetypeinsecondslifeduration86400orginal:86400表示IKE协商策略接受attsareacceptable检查IKE协商策略通过，发送MI2(33)sendingpacketto(I)MM_SI2_WR2，MM_KEY_EXCH(33)receivedpacketfrom->，(I)MM_SI2_WR2，MM_KEY_EXCH收到了响应方的MR2Exchangetype:Ox2payloadformat:<Hdr>，<key>，<nonce>respondhandlemaini2processingNONCEpayloadprocessingKEpayload，messageID=0SKEYTDstategeneratedsendingpacketto(I)MM_SI3_WR3，MM_VERIFY(33)receivedpacketfrom->，(I)MM_SI3_WR3，MM_VERIFY验证MR2通过发送MI3收到响应方的MR3Exchangetype:Ox2payloadformat:<Hdr>，<id>，<hash>sendingpacketto(I)QM_IDLEPhase_1negotiatecomplete!检查MR3通过，完成第一阶段的协商发出阶段二协商的第一消息QI1BeginningQuickModeexchange，M_IDof66sendingpacketto(I)QM_SI1_WR1收到对方的响应消息QR1receivedpacketfrom->，(I)QM_SI1_WR1Exchangetype:Ox2验证OR1，通过，发起方完成阶段二的协商Payloadformat:<Hdr>，<hash>，<sa>，<nonce>，<id>，<notify>Receivernotify:ipsecresponderlifetimeprocessingSApayload.messageID=66CreatingIPSECSAsInboundSAhasspi8866Protocolesp，DES_CBCAuthMD5OutboundSAhasspi923Protocolesp，DES_CBCAuthMD5Lifetimeof3600seconds,soft3570secondsLifetimeof4608000kilobytes,soft256kilobytes完成阶段二的协商，并发送最后一个协商消息QI2sendingpacketto(I)QM_IDLE(33)phase_2negotiatecomplete!第五章总结论文通过介绍研究背景，概述了IPSec和VPN,进而论述了IPSec的三种认证协议服务和VPN网络结构，讨论了三种认证协议的体系结构原理、核心思想，服务模型实现的机制，着重论述IPSec服务的网络认证协议

Authentication

Header（AH）、封装安全载荷协议Encapsulating

Security

Payload（ESP）、密钥管理协议Internet

Key

Exchange

（IKE）和用于网络认证及加密的一些算法等在VPN网络中的实现、应用于IPSec中的密钥管理交换技术,

通过分析现有TCP/IP网络协议体系结构存在的安全隐患,提出了基于IPSec

VPN的解决方案。

IPSec即“Internet

协议安全性”是一个庞大的系统工程，IPSec体系结构不仅能够保持在VPN网络中良好的可扩展性，具有更加灵活和高效的资源管理和控制等优点，它不仅涉及计算机网络通信的几乎所有技术领域，而且涉及到当今科学的几乎所有科学领域。但IPSecVPN也存在着缺点，IPSec在客户机/服务器模式下实现有一些问题，在实际应用中，需要公钥来完成。IPSec需要已知范围的IP地址或固定范围的IP地址，因此在动态分配IP地址时不太适合于IPSec。除了TCP/IP协议外，IPSec不支持其他协议。除了包过滤之外，它没有指定其他访问控制方法。可能它的最大缺点是微软公司对IPSec的支持不够。

IPSec在部署安全网关时要考虑拓扑排序，一旦添加新设备就要改变网络结构。此论文还存在许多不足的地方，如在IPSec应用方面没有进行更加深入的研究探讨，我将会通过今后不断的学习、研究，不断的完善此方面的知识。基于C8051F单片机直流电动机反馈控制系统的设计与研究基于单片机的嵌入式Web服务器的研究MOTOROLA单片机MC68HC（8）05PV8/A内嵌EEPROM的工艺和制程方法及对良率的影响研究基于模糊控制的电阻钎焊单片机温度控制系统的研制基于MCS-51系列单片机的通用控制模块的研究基于单片机实现的供暖系统最佳启停自校正（STR）调节器单片机控制的二级倒立摆系统的研究基于增强型51系列单片机的TCP/IP协议栈的实现基于单片机的蓄电池自动监测系统基于32位嵌入式单片机系统的图像采集与处理技术的研究基于单片机的作物营养诊断专家系统的研究基于单片机的交流伺服电机运动控制系统研究与开发基于单片机的泵管内壁硬度测试仪的研制基于单片机的自动找平控制系统研究基于C8051F040单片机的嵌入式系统开发基于单片机的液压动力系统状态监测仪开发模糊Smith智能控制方法的研究及其单片机实现一种基于单片机的轴快流CO〈,2〉激光器的手持控制面板的研制基于双单片机冲床数控系统的研究基于CYGNAL单片机的在线间歇式浊度仪的研制基于单片机的喷油泵试验台控制器的研制基于单片机的软起动器的研究和设计基于单片机控制的高速快走丝电火花线切割机床短循环走丝方式研究基于单片机的机电产品控制系统开发基于PIC单片机的智能手机充电器基于单片机的实时内核设计及其应用研究基于单片机的远程抄表系统的设计与研究基于单片机的烟气二氧化硫浓度检测仪的研制基于微型光谱仪的单片机系统单片机系统软件构件开发的技术研究基于单片机的液体点滴速度自动检测仪的研制基于单片机系统的多功能温度测量仪的研制基于PIC单片机的电能采集终端的设计和应用基于单片机的光纤光栅解调仪的研制气压式线性摩擦焊机单片机控制系统的研制基于单片机的数字磁通门传感器基于单片机的旋转变压器-数字转换器的研究基于单片机的光纤Bragg光栅解调系统的研究单片机控制的便携式多功能乳腺治疗仪的研制基于C8051F020单片机的多生理信号检测仪基于单片机的电机运动控制系统设计Pico专用单片机核的可测性设计研究基于MCS-51单片机的热量计基于双单片机的智能遥测微型气象站MCS-51单片机构建机器人的实践研究基于单片机的轮轨力检测基于单片机的GPS定位仪的研究与实现基于单片机的电液伺服控制系统用于单片机系统的MMC卡文件系统研制基于单片机的时控和计数系统性能优化的研究基于单片机和CPLD的粗光栅位移测量系统研究单片机控制的后备式方波UPS提升高职学生单片机应用能力的探究基于单片机控制的自动低频减载装置研究基于单片机控制的水下焊接电源的研究基于单片机的多通道数据采集系统基于uPSD3234单片机的氚表面污染测量仪的研制基于单片机的红外测油仪的研究96系列单片机仿真器研究与设计基于单片机的单晶金刚石刀具刃磨设备的数控改造基于单片机的温度智能控制系统的设计与实现基于MSP430单片机的电梯门机控制器的研制基于单片机的气体测漏仪的研究基于三菱M16C/6N系列单片机的CAN/USB协议转换器基于单片机和DSP的变压器油色谱在线监测技术研究基于单片机的膛壁温度报警系统设计基于AVR单片机的低压无功补偿控制器的设计基于单片机船舶电力推进电机监测系统基于单片机网络的振动信号的采集系统基于单片机的大容量数据存储技术的应用研究基于单片机的叠图机研究与教学方法实践基于单片机嵌入式Web服务器技术的研究及实现基于AT89S52单片机的通用数据采集系统基于单片机的多道脉冲幅度分析仪研究机器人旋转电弧传感角焊缝跟踪单片机控制系统基于单片机的控制系统在PLC虚拟教学实验中的应用研究基于单片机系统的网络通信研究与应用基于PIC16F877单片机的莫尔斯码自动译码系统设计与研究基于单片机的模糊控制器在工业电阻炉上的应用研究基于双单片机冲床数控系统的研究与开发基于Cygnal单片机的μC/OS-Ⅱ的研究基于单片机的一体化智能差示扫描量热仪系统研究