基于IPSec安全体系的VPN网络设计与实现

基于IPSec安全体系的VPN网络设计与实现BasedonIPSec［摘要］VPN技术在近几年的发展可谓是相当的快速。因为vpn的出现，使私有网络几乎达到任何想要到达的地方，VPN技术目前最具活力的研究领域之一，因为它的特性适合于大多数的中小型企业，VPN和一般的网络不同，它可以为逻辑上不存在连接的两个站点建立一条虚拟的通道，让连个局域网在在虚拟的情况下进行连接，VPN网络有很多种类型，而在这之中IPSEC就是一种非常棒的VPN，这是一个加密认证技术，也就是这次的讨论对象。本次讨论的目标就是要设计一个基于ipsec的VPN实验，这个方案可以使站点的所有网络进行跨越，并且通过VPN进行连接，而关于IPSEC协议的主要功能是体现在加密技术上面。本文将以IPSEC为基础，对虚拟专用网络这个目前使用很广泛的信息安全技术进行较深入的研究，设计一个基于IPSEC协议的高效率，安全，稳定的vpn网关，并且通过模拟器对其进行研究。[关键词]：VPN，隧道技术，IPSEC，方案实现[abstract]thedevelopmentofVPNtechnologyinrecentyearsisquitefast.TheemergenceoftheVPN,makeprivatenetworkreachedalmostanyplaceyouwanttogettotheVPN,oneofthemostactiveresearchfieldsbecauseofitsfeaturesissuitableforthemajorityofsmallandmediumenterprises,VPNandgeneralnetwork,itcanbelogicallythereisnoconnectionoftwositestobuildavirtualchannel,toconnectalocalareanetwork(LAN)inundertheconditionofthevirtualconnection,therearemanykindsoftypesofVPNnetwork,andintheIPSECVPNisakindofverygood,thisisanencryptedauthenticationtechnology,whichistheobjectofdiscussion.ThegoalofthisdiscussionistodesignanexperimentbasedonipsecVPN,thisschemecanmakethesiteallacrossthenetwork,andthroughtheVPNconnection,andthemainfunctionistoreflectonipsecprotocolonencryptiontechnology.

ThisarticleisbasedonIPSEC,thevirtualprivatenetworkthatcurrentlyuseawiderangeofinformationsecuritytechnology,afurtherstudytodesignahighefficiencybasedonIPSECprotocol,securityandstabilityoftheVPNgateway,andthroughthesimulatortostudy.

[keywords]:theVPNtunneltechnology,IPSEC,planimplementation

目录TOC\o"1-3"\h\u7067绪论 4119591.课题研究的背景及意义 4150861.2国内对于ipsec的研究现状 4320901.2.1研究现状 466101.2.2国外的研究现状 536861.3主要研究内容 5130892.相关技术分析 5236102.1VPN概述 5325182.2IPSecVPN概述 5206202.2.1IPSec协议简介 5127142.2.2IPSecVPN 5171312.3IPsec框架 641682.4散列函数 620522.5加密算法 760862.5.1对称密钥算法 7752.5.2非对称密钥算法 8187672.6封装协议 8186191)ESP(EncapsulatingSecuityFayload) 8216302)AH(AuthenticationHeader) 917382.7IPsec的数据封装模式 10215301.传输模式 10206742.隧道模式 10147052.8密钥有效期 11322862.9本章小结 1191753.网络需求分析 12183373.1网络硬件需求 1232843.2网络功能需求 1274803.3网络安全需求 12140843.4本章小结 1220294网络规划与设计 12319274.1网络架构设计 12246944.2网络功能设计 12176204.3网络安全设计 12100135.网络环境部署 13224105.1万能拓扑图 13286985.2效果拓扑图 13229965.2.1边界路由器配置 13121855.2.2校区站点配置 16117435.3网络功能测试 17191955.3.1mplsvpn测试 18101905.3.2测试R2于R3loo1的连通性 18166605.3.3IPSEC的一些问题 19167546总结与展望 1924266.1全文总结 1933096.2研究展望 202844致谢 2025958参考文档 2019640参考文献 20绪论随着现代网络的发展，很多人慢慢的把技术的瞩目点从网络的可用性、信息的获取性转移到网络的安全性、应用的简易性上来。新兴发展起来的一种技术虚拟专用网（Virtual

Private

Network，VPN）正在被现在网络广泛的使用，许多的ISP都非常的推崇这一项技术，因为他真的很方便。与此相应，网络中的安全问题也渐渐的受到重视。由于在刚开始建立网络的时候没有相对详细的考虑安全问题，导致现在的网络状况很不理想，安全性变得非常的差，为什么？因为网络中的IP数据包一般都是通过明文来传输的，毫无安全性可言。在网络安全的发展中，各种技术相应的出现，而在1988年IETF推出了ipsec这一项具有优势的网络安全技术。IPSec协议现在已经变成世界上使用最为广泛的技术，它在将来很有可能会变成ip网络中VPN的标志性技术。但是IPSec协议是一个新兴的安全协议，其中技术命令复杂，IPSec在各个方面，例如理论和实践方面都是需要改进的。基于它对于网络安全真的非常重要。1.课题研究的背景及意义在信息时代，随着企业及各种学院的广泛使用，企业网的范围也在持续不断增大，从本地网络发展到跨地区、跨城市，甚至是跨国家的网络。internet范围的增大，使得在生活中对网络的应用的要求变得很高。比如说，分布在不一样的国家的不一样的部门都想有一个安全的平台来共享信息；在旅游时或者出差时，员工想要访问公司的内部网络。企业会时常遇见这些问题，都是想ISP租用长型的线路和数字加密技术来保证该企业在网络方面的需求，但是这种网络消费方式不是每个企业都能承受的，而且在网络的扩展性方面这方法也是非常差的。国内的信息公用网在这几年来已经得到的告诉的发展。在网络的物理连接上，公众的共享信息平台是公开的，所以当有些企业要传递信息时需要经过公众网络，所以在这里就有很大安全性问题，就是因为出现了安全性问题，IPSEC则破壳而出成为了如今被使用最为广泛的安全传输协议。虚拟专用网（VPN）技术是最近几年新兴出现的技术，它既可以拜托企业中繁重的维护等工作，就可以加强企业网的安全性能。VPN技术，又称为虚拟专用网技术，就是在有公共网络的基础上在建立私有网络，传递的信息在IPSEC的加密下传入公共网络中。虚拟专用网技术可以节省成本、提供远程互联、延展性好、方便管理和可以进行多方面控制等优点，这是目前每个企业在网络方面发展的趋势。1.2国内对于ipsec的研究现状1.2.1研究现状在国内对于IPSECVPN的研究相对国外来说是比较滞后的，但是这并不代表我们不会使用该技术，总所皆知，IPSEC技术是一个对所有的加密技术的一个集合体或者说是一个总成，IPSEC总是使用当前最安全靠谱的机密技术来作为核心，对网络进行安全的防护。在国内IPSEC被广泛应用于VPN技术中，与VPN技术结合，保护了信息的安全。1.2.2国外的研究现状相对于国外来说，IPSEC被应用的更为广泛，它在任何方面都有被使用，就是因为IPSEC技术是与时代共同进步的技术，ipsec应用范围大，尤其在国外的应用更广泛。1.3主要研究内容本次论文将对IPSECVPN进行相对深入的讲解，从多方面让大家了解IPSEC技术的只是，主要会从IPSEC的基本原理，以及IPSEC框架，不同的IPSEC应用场合等方面来介绍IPSEC着项技术。相关技术分析2.1VPN概述随着时代的发展以及企业规模的发展壮大，网络负担也不断的加强，这时，有些企业考虑到成本问题，相对的就产生了vpn技术。VPN（virtualprivatenetwork）即虚拟专用网络，他可以实现以私网连接到公网的要求，因为成本比较低，所以被很多中小型企业采用。一般企业使用的vpn有两种，sslvpn和ipsecvpn。这两种方法同时又有两种的连接方式：1、access-vpn访问远程的用户2、site-tosite点到点之间的通信2.2IPSecVPN概述2.2.1IPSec协议简介IPSec协议，是用来维护三层的安全问题。因为大部分的网络信息都要经过IP这一层，相当于说，网络中的几乎所有的信息都是通过TCP/IP来传输的。关于ipsec的提出是在1992年。那时ipsec技术不太成熟，经过一段时间的不断研磨，在1998年的时候对ipsec进行了初步使用。预计在将来，ipsec技术会不断的发展，乃至最后的成熟。2.2.2IPSecVPN在以往的网络架构中，一般都是使用GRE隧道模式对数据进行传输，其实这样的传输方式是不安全也是不可靠的，ipsec技术的出现弥补了GRE的这一缺点，它可以实现数据的端到端的数据加密型传输，保证了数据的安全性。IPSEC有两种封装协议分别是AH和ESP。IPSec的优势有：（1）数据机密性：当公司的数据在互联网上传输的时，都希望自己公司的数据是以密文的方式传输出去的，但是，在互联网上的时候数据有时是密文有时是明文，像这种不同的情况就应该用不同的方案来解决。（2）数据完整性：数据完整性确保数据在源主机和目的主机之间传送时不被篡改。VPN一般使用hash算法进行加密。哈希算法类似于校验和，但是更可靠，它可以确保没有人能更改数据的内容，验证算法包括MD5，SHA-1。（3）身份验证：身份验证确保信息来源的真实性，并传送到真实的目的地。（4）防重放保护：IPSEC接受方可检测并拒绝接收过时或重复的数据包。IPSEC协议不是一个单独的协议，包括安全协议，AH、ESP、IKE和用于验证，等加密算法。2.3IPsec框架一些传统的安全技术以及无线安全技术，旺往往会采用某种固定的加密和散列函数，这种做法带有明显的赌博性质，因为如果某天这个加密算法曝出严重漏洞，那么使用这个加密算法或者散列函数的安全技术也就难免要遭到淘汰，为了避免这种在一棵树上吊死的悲惨事件发生，IPsec并没有定义具体的加密和散列函数，IPSEC是以框架模式进行工作的，ipsec每次应用的加密都是要通过协商才能进行使用，比如说，我们觉得3DES这个加密技术很好，那么就不放暂且使用这个额协议来加密数据，但是只要有一天3DES出现了严重漏洞，或者出现了一个更好的加密技术，那么我们也可以马上更换加密协议，使IPSECVPN总是使用最新最好的协议来进行加密，图3-2所示为ipsec框架示意图，这张图旨在说明，不仅仅是散列函数，加密算法，还包括封装协议和模式，密钥有效期等内容都可以通过协商决定，在两个IPSEC对等体之间协商的协议较做IKE。我们现在就一IPSEC框架设计的技术为主线，详细介绍这些技术的特点和工作原理。2.4散列函数散列函数就是HASH函数，hash算法有两种：MD5与SHA-1。Hash算法的作用就是用来保证数据的完整性，通过hash算法计算过得数据就叫做hash值，这个散列值也常常被称为数据的指纹，为什么散列函数会被称为数据的指纹呢？这是因为散列函数的工作原理和日常我们对指纹采集和使用的原理几乎一样，在这之前，我们不妨先来回想以下日常生活中我们是如何对指纹进行采集和使用的。步骤1：公安机关预先记录：用户“X”的指纹“指纹一”。步骤2：在犯罪现场中，公安机关获取到“指纹二”步骤3：通过查询指纹数据库发现“指纹一”等于“指纹二”步骤4：由于指纹是独一无二的，所以就能确定嫌疑犯了。这就是散列函数的工作机制，接下来看看他是如何验证数据完整性的。步骤1：对“重要文件”执行散列函数计算，得到散列值“散列值一”步骤2：现在我们收到另外一个文件“文件？”。对它进行散列值计算得到“散列值二”。步骤3：将“散列值一”和“散列值二”进行对比，两个散列值相等。步骤4：因为散列值也是独一无二的，所以两个散列值是相同的。1.固定大小散列值有一个特性，就是它可以接受任意大小的数据，但是产生的散列值大小总是一样的。比说通过MD5计算的到的散列值总是128bite。2.蝴蝶效应蝴蝶效应的意思就是原本的数据只要稍微改变一点，其计算的到的散列值都会发生巨大的改变。单向意思就是说数据只能单向的进行散列值计算，无法在还原到原来的数据。4.冲突避免这点体现了散列值的唯一性，不会有一个散列值是相同的，避免了散列值冲突现在我们来看一下散列算法如何验证数据的完整性。步骤1：用hash函数对“文件”和得到的“散列值一”进行计算。步骤2：将“散列值一”和“文件”一起发送给对端步骤3：对端同样对“文件”进行计算得到“散列值二”步骤4：接收方将收到文件中“散列值一”和计算得到的“散列值二”进行对比，如果两个散列值相同，那么根据散列函数蝴蝶效应和冲突避免的特点，就可以检查“文件”在传输的过程中有没有被人更改了。2.5加密算法对称密钥算法非对称密钥算法2.5.1对称密钥算法对称密钥算法有一个很明显的特点，发送方和接收方都使用相同的密钥进行加解密，这样的加解密算法就叫做对称算法，对称密钥算法有如下特点：优先：速度快：安全：紧凑。缺点：明文传输共享密钥，容易出现中途接触窃听的问题；密钥与参加者之间的函数关系（n*（n-1）/2）；因为密钥数量过多，对密钥的管理和存储时一个很大的问题；对称密钥算法的几种协议：DES3DESAES作一个比较直观的比较，想必大多数读者都有使用压缩软件的经历，而对称密钥算法加密的速度应该比压缩的速度稍快，另外，现在无线网络的使用也很普及，无线都是使用WPA2进行加密的，而WPA2是使用DES进行加密的，用户在使用无线网络的时候，似乎并没有因为加密而使网络发生太大的延迟，而且只要他们的路由器或者交换机配上硬件加速模块，那就基本上能够实现线速加密，因此速度是对称密钥算法的一大优势。2.5.2非对称密钥算法在使用非对称加密技术之前，所有参与者没不管是用户还是路由器等网络设备，都是需要预先使用非对称密钥算法产生一对密钥，其中包括一个公钥和一个私钥，公钥可以共享给所以属于密钥系统的用户，私钥需要进行严格的保护，只有持有这个私钥的人才能使用。非对称密钥算法两大安全特性：完整性校验源认证工作特点：1.密钥不能使用相同的密钥进行解密2.仅用于密钥交换和数字签名优点：1.安全2.密钥具有一对一的特性；3.交换公钥不需要提前建立信任关系；非对称密钥算法协议：1.RSA；2.DH；3.ECC；2.6封装协议1)ESP(EncapsulatingSecuityFayload)ESP的IP协议号为50,能够抵御重放攻击。对于IP数据包不会进行任何的保护。ESP协议用于对ip数据包进行加密，ESP除了对数据部分可以进行加密工作，还有一些认证的功能。ESP的加密是独立的，它可以不依赖算法，大多数的数据都是可以使用ESP进行加密的，例如DES，RC5等。因为ESP才用了特殊的封装方式，所以就算是在旧有的网络中也是一样可以运行的。IPSEC的任何协议都是有两种工作方式，所以对于ESP来说也有两种工作方式：同样是隧道模式和传输模式。当ESP工做模式为传输模式的时候。在隧道模式的时候，对IP数据包整个有效字节进行加密工作，并加入新的IP头部，这与NAT有异曲同工之妙。图2-5ESP封装示意图2)AH(AuthenticationHeader)AH只和认证有关系，它不涉及加密。AH虽然在某些方面在功能上和ESP有些重复，但是AH有它自身的优势，比如说他可以专门为IP头部进行加密。对于AH，它可以是单独使用，也可以在模式下使用例如隧道模式，或者是和ESP一起使用。（如图2-6）图2-6AH头示意图3)IKE(InternetKeyExchange)IKE是负责在两台节点之间进行一种连接的作用，它可以创建一条隧道来供网络信息使用，IKE在运行要完成的工作有:--对运行中需要的协议进行协商--公共密钥的相互交换--两个节点之间的相互认证--交换成功后对密钥进行管理图2-7IKE示意图IKE也是由三个协议组成--SKEME--Oakley--ISAKMPIKE协议分为二个阶段.IPSEC隧道要建立起来就要经过下面的一系列过程:第一步:将ike进行连接第二步:安全系统的建立第三步:使用加速连接模式，建立第二个安全系统第四步:数据包进行加密动作。2.7IPsec的数据封装模式IPSEC可以对数据进行加密也可以对数据进行认证。只是不管是进行加密或者是进行认证功能，对于这两种功能IPSEC都有两种工作方式，一种是隧道模式，还有另一种就是传输模式1.传输模式传输模式，如图2－3所示，传输模式其实很简单，不管使用的是AH协议还是ESP协议，都在在IP头部和有效数据之间加入一个协议头部，另外值得一提的是，ESP协议在数据的后面再加上自己的尾部和一个ESP人认证，并且对IP负载和ESP尾部进行加密和验证处理，但原始IP头部被完整地保留下来。图2-3传输模式示意图2.隧道模式隧道模式，如图所示，这个模式的工作原理是将原本的整个IP数据包封装到一个全新的IP数据包中，而在要插入一个EDP部分在原始数据包头部和新数据包头部之间，以此对整个原始IP数据包进行了加密和验证处理。那么，什么样的网络拖布适合使用隧道模式来封装IP数据包呢？其实我们可以这样理解：当通信点和加密点相同的时候就使用传输模式，当通信点和加密点不同时就使用隧道模式。图2-4隧道模式示意图2.8密钥有效期长期使用相同密钥来加密数据是不明智的，所以在使用密钥处理信息时，应该要注意的一点就是要周期性的更新密钥，至少要做到一到两个小时进行一次更新。我们也可以根据自身的情况对密钥有效期进行调整，但是这种调整应该遵循一个简单的原则，那就是密钥加密的数据越多，密钥的有效期就应该越短，同样的道理，加密的数据越少，密钥周期就越长，思科的IPSECVPN虽然默认每小时更换一次密钥，但下一个小时使用的密钥，是由当前这个小时使用的密钥，通过系列的算法衍生得出的，也就是说这些密钥之间存在推演关系，这样的密钥更新就不能叫做完美的向前保密PFS，PFS要求每一次密钥更新，更新的密钥要求都是新的，跟之前的密钥没有一点关系，也没有任何的衍生密钥，思科的IPSECVPN一旦启用了PFS技术，就会在每一个小时结束的时候，展开一次全新的DH交换，产生全新的密钥用于下一个小时加密。2.9本章小结本章的主要任务就基于具体的感兴趣流来协商相应的IPSECSA，IKE快速模式交换的三个数据包都得到了安全保护（加密，完整性校验和源认证）。还有两个要注意的地方就是SPI和PFS。SPI是用来表示唯一的SPISA的，SPI的值是有出厂商的设备决定的，在CISCO中，是没有启用PFS的，设备管理员可以通过配置来启用这项技术，让每一次密钥更新之前都进行一次全新的DH交换，产生全新的密钥。到此为止，对于IPSECVPN理论的介绍就要告一段落了，从下一章起，我们将会开始对CiscoIPSECVPN的配置方法进行介绍，在介绍的同时会应用到WEBIOU这项模拟实验工具，WEBIOU是一种基于cisco框架的实验模拟器，它很好的兼容了思科设备，并且可自由搭建拓扑。相关的工具：VMware虚拟机、UDIOUv21、secureCRT、搜狐浏览器、亿图。网络需求分析3.1网络硬件需求在网络结构的设计中，我选用了WEBIOU来作为模拟器实现所设计。所用到的设备：1）路由器5台7200IOS2）交换机3台3640IOS3）服务器3台3.2网络功能需求改网络拓扑将以两个校区为站点，中间网络由运营商提供，并且使用mplsvpn进行连接，要求，现在两个校区之间要相互通信。中间网络运行eigrp和ospf协议，这两个协议作为底层，运行bgp协议。校区与PE之间运行EBGP。3.3网络安全需求将它们之间发送的流量使用IPSECESP进行数据包的封装加密。让公网中无法看见包的源目。3.4本章小结本章将接下来要进行的实验粗略的介绍了一下，大体上阐述了实验所要实现的需求。并且实验将以闽南科技学院的两个校区作为范本来搭建实验拓扑图。具体情况请参看实验。4网络规划与设计4.1网络架构设计这次的网络拓扑的是基于闽南科技学院的两个校区进行规划的，站点分为两个点，分别是康美校区和美林校区，以这两个校区为基点中间运行运营商提供的网络，4.2网络功能设计两个校区之间的网络分别运行ospfeigrp还有mbgp协议以，期中以ospf和eigrp协议为底层配置mbgp同时使用一台交换机来模拟两个校区，中间运行mplsvpn，在此基础上配置ipsec加密技术。4.3网络安全设计构建VPN网络通信的重要前提是要拥有通畅的基础网络。基础网络构建完善后，紧接着进行VPN的配置工作。VPN作为一种很好的选择，缩减了公司所需要支付的成本费用。虽然专线能够使各分支部门安全的与总部进行通信和数据交换，在安全方面也具有绝对的保障。但专线的费用昂贵，一般的公司难以承受。在本设计中，重要是点到点VPN，基于ipsec的mplsvpn，不同校区都有一条连接到公网的VPN线路。VPN本身就是为了数据的安全传输设置的，因此不是所有用户都能够通过VPN隧道进行通信，因此，配置时对感兴趣流量进行有效控制。5.网络环境部署5.1万能拓扑图5.2效果拓扑图5.2.1边界路由器配置R3:首先给接口配置ip地址：interfaceLoopback0interfaceLoopback0ipaddress55!interfaceLoopback1ipaddress!interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipvrfforwardingsite1ipaddressinterfaceSerial1/0ipaddressinterfaceSerial1/2ipaddressinterfaceSerial1/2ipaddress配置ospf协议：routerospf31routerospf31router-idnetworkarea1networkarea1networkarea1networkarea1mplslabelprotocolldpmplsldpexplicit-nullmplslabelprotocolldpmplsldpexplicit-nullmplsldprouter-idLoopback0force配置vrf：ipvrfsite1ipvrfsite1rd1:1route-targetexport1:1route-targetimport1:1配置bgp协议：routerbgp7routerbgp7bgprouter-idbgplog-neighbor-changesneighborremote-as7neighborupdate-sourceLoopback0neighborremote-as7neighborupdate-sourceLoopback0建立vpnv4：neighboractivateneighboractivateneighborsend-communityextendedneighbornext-hop-self配置与SW2的EBGPVRF邻居：address-familyipv4vrfsite1address-familyipv4vrfsite1neighborremote-as777neighboractivateneighboras-overrideexit-address-familyR2：首先给接口配置ip地址：interfaceLoopback0interfaceLoopback0ipaddress55interfaceLoopback1ipaddressinterfaceEthernet0/0ipaddressinterfaceEthernet0/1ipvrfforwardingsite2ipaddressinterfaceSerial1/0ipaddressinterfaceSerial1/3ipaddress配置eigrp协议：routereigrp31routereigrp31networknetworknetworknetwork配置相应的标签转发协议和转发源：mplslabelprotocolldpmplslabelprotocolldpmplsldpexplicit-nullmplsldprouter-idLoopback0force配置vrf：ipvrfsite2ipvrfsite2rd2:2route-targetexport1:1route-targetimport1:1配置bgp协议：routerbgp7routerbgp7bgprouter-idbgplog-neighbor-changesneighborremote-as7neighborupdate-sourceLoopback0neighborremote-as7neighborupdate-sourceLoopback0建立vpnv4：address-familyvpnv4address-familyvpnv4neighboractivateneighborsend-communityextendedneighbornext-hop-selfexit-address-familyaddress-familyipv4vrfsite2neighborremote-as777address-familyipv4vrfsite2neighborremote-as777neighboractivateneighboras-overrideexit-address-family5.2.2校区站点配置SW2配置：routerbgp777bgplog-neighbor-changesnobgpdefaultipv4-unicastrouterbgp777bgplog-neighbor-changesnobgpdefaultipv4-unicastaddress-familyipv4vrfsite1bgprouter-idnetworkmasknetworkmask55neighborremote-as7neighboractivateexit-address-family!address-familyipv4vrfsite2bgprouter-idnetworkmasknetworkmask55neighborremote-as7neighboractivateexit-address-familyR3：cryptoisakmppolicy10hashmd5cryptoisakmppolicy10hashmd5authenticationpre-sharegroup2cryptoisakmpkeyciscoaddresscryptoipsectransform-setIKE2esp-desesp-md5-hmaccryptomapgxl10ipsec-isakmpsetpeersettransform-setIKE2matchaddress101access-list101permitip5555在接口下调用：interfaceSerial1/0interfaceSerial1/0cryptomapgxlR2：cryptoisakmppolicy10hashmd5cryptoisakmppolicy10hashmd5authenticationpre-sharegroup2cryptoisakmpkeyciscoaddresscryptoipsectransform-setIKE2esp-desesp-md5-hmaccryptomapgxl10ipsec-isakmpsetpeersettransform-setIKE2matchaddress101access-list101permitip5555interfaceSerial1/0cryptomapgxlinterfaceSerial1/0cryptomapgxl5.3网络功能测试SW2#traceroutevrfsite1Protocol[ip]:TargetIPaddress:Sourceaddress:SW2#traceroutevrfsite1Protocol[ip]:TargetIPaddress:Sourceaddress:Numericdisplay[n]:ResolveASnumberin(G)lobaltable,(V)RFor(N)one[G]:Timeoutinseconds[3]:Probecount[3]:MinimumTimetoLive[1]:MaximumTimetoLive[30]:PortNumber[33434]:Loose,Strict,Record,Timestamp,Verbose[none]:Typeescapesequencetoabort.TracingtheroutetoVRFinfo:(vrfinname/id,vrfoutname/id)10msec0msec0msec2[MPLS:Labels21/33Exp0]36msec36msec36msec3[MPLS:Labels22/33Exp0]36msec40msec40msec4[MPLS:Labels20/33Exp0]36msec32msec36msec5[MPLS:Labels0/33Exp0]36msec52msec36msec632msec*36msec5.3.2测试R2于R3loo1的连通性R2#pingTypeescapesequencetoabort.R2#pingTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:U.U.USuccessrateis0percent(0/5)带源：R2#pingsourceR2#pingsourceTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:Packetsentwithasourceaddressof.!!!!Successrateis80percent(4/5),round-tripmin/avg/max=33/33/34ms这里我们就能看出实验的结论了，带源p