论文-大型企业网络VPN的应用方案规划、设计与实现.doc

1、摘 要以Internet为代表的全球信息化浪潮日益高涨。目前,TCP/IP几乎是所有网络通信的基础,而IP本身是没有提供“安全”的,在传输过程中,IP包可以被伪造、篡改或者窥视。针对这些问题,IPSec可有效地保护IP数据报的安全,它提供了一种标准的、健壮的以及包容广泛的机制,可用它为IP及上层协议(如UDP和TCP)提供安全保证。 目前许多电信运营商采用IPSec隧道加密技术,在宽带业务的基础上推出主要针对商用客户的VPN新业务,为商用客户既提供了高带宽低资费的企业网络联网服务,又提供了在公用网络上拥有私有VPN网络的数据传输安全保障服务,赢得了广大商用客户的青睐。本文将研究IPSec体系结

2、构、技术原理和VPN基本技术,分析了IPSec VPN的主要实现方式,将上述研究得出的成果应用于实际中,结合某国内企业业务发展的需求,设计并创建了一个实用的IPSec VPN网络,并对该网络进行了实际测试。 关键词 IPSec VPN 加密 隧道 安全AbstractInternet as the representative of the rising tide of global information, information network technology is increasingly popular, application level is in-depth, applic

3、ations from the traditional, small to large business systems gradually, expanding business-critical systems, along with the popularization of the network security impact of network performance is increasingly becoming important issues. Currently, TCP / IP network communications are almost all based

4、on the IP itself does not provide security in the transmission process, IP packets can be forged, altered or peep. To solve these problems, IPSec can effectively protect the security of IP datagram, which provides a standard, robust and inclusive mechanisms, can it IP and upper layer protocols (such

5、 as UDP and TCP) to provide security guarantees. Many carriers now use IPSec tunnel encryption technology, based on the introduction of broadband services for business customers VPN major new business, both for commercial customers to provide high-bandwidth network with low rates of enterprise netwo

6、rk services, also provided on public network own private VPN network, data security services, won the majority of commercial customers. This article will examine the IPSec system structure, the basic technical principles and VPN technology, analysis of the major IPSec VPN implementations, the result

7、s of the above studies applied to practical, combining the development of a certain state enterprise business needs, designed and created a practical The IPSec VPN network and the actual testing of the network.KeywordsIPSec vpn Encryption Tunnel Security目 录摘 要IAbstractII目 录III第1章 绪论11.1 课题背景11.2 研究内

8、容21.3 论文的主要内容和结构安排2第2章 IPSEC技术基础32.1 IPSEC技术简介32.2 IPSec体系结构42.2.1 ESP(封装安全载荷)42.2.2 AH(验证头)42.2.3 SA(安全联盟)52.2.4IKE(Internet密钥交换)62.3 IPSEC的两种模式62.3.1 传送模式62.3.2 通道模式7第3章 VPN技术基础93.1 VPN的概念与安全性93.2 VPN的类型103.2.1 RemoteAccessVPN(远程访问虚拟专用网)103.2.2 IntranetVPN(企业内部虚拟专用网)103.2.3 ExtranetVPN(外连虚拟专用网)11第

9、4章 基于IPSEC的VPN设计与实现124.1各组件的设计要求124.1.1 IPSec基本协议与目标124.2 IPSEC VPN的实现124.2.1 A某企业网络背景分析124.2.2 A企业对网络的新需求134.2.3实施步骤13第5章 IPSEC VPN的测试235.1 IKE方式建立IPSEC隧道235.2 IPSec VPN配置的查看24第6章 MPLS方案的设计与实现266.1 组网背景266.2 关键配置代码266.3 IPSec VPN与MPLS VPN的对比分析31结 论35致 谢36参考文献3737第1章 绪论1.1 课题背景在经济全球化的今天，随着网络，尤其是网络经济

10、的发展，客户分布日益广泛，合作伙伴增多，移动办公人员也随之剧增。传统企业网基于固定地点的专线连接方式，已难以适应现代企业的需求。在这样的背景下，远程办公室、公司各分支机构、公司与合作伙伴、供应商、公司与客户之间都可能要建立连接通道以进行信息传送。而在传统的企业组网方案中，要进行远程LAN 到 LAN互联，除了租用DDN专线或帧中继之外，并没有更好的解决方法。对于移动用户与远端用户而言，只能通过拨号线路进入企业各自独立的局域网。这样的方案必然导致高昂的长途线路租用费及长途电话费。于是，虚拟专用网VPN （Virtual Private Network）的概念与市场随之出现。利用VPN网络能够获得

11、语音、视频方面的服务，如IP电话业务、电视会议、远程教学，甚至证券行业的网上路演、网上交易等等。IPSec协议是由因特网工程任务组(IETF)提出的IP安全标准，是VPN系统实现的主要技术之一。近年来IPSec VPN技术以其独具特色的优势赢得人们越来越多的青睐，并成为网络安全领域的热点。IPSEC即“Internet 协议安全性”是一种开放标准的框架协议，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络（internet就是全球最大的IP网络）上进行保密而安全的通讯。IPSec 协议本不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协

12、议 Authentication Header（AH）、封装安全载荷协议Encapsulating Security Payload（ESP）、密钥管理协议Internet Key Exchange （IKE）和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。怎样理解IPSEC框架协议呢？IETF开发IPSEC协议时，这时候已经有许多其他优秀的安全协议或算法诞生并得到很好的应用，IPSEC并没有再开发一种全新的算法，而是定义了一个框架，吸纳其他优秀的协议或算法加入，完成最终的加密和认

13、证功能。IPSEC就如同武林盟主，许多绿林好汉都加入进来，盟主定义盟规用来约束各个帮派及势力，各帮派必须遵守盟约才可以。1.2 研究内容本文主要研究怎么对大型企业网络中使用的VPN的应用方案进行规划、设计与实现。本文也分析研究了VPN技术原理，深入地探讨了MPLS VPN技术的原理和它的优点。首先我们先来了解一下IPSEC。IPSEC体系结构:包括ESP(封装安全载荷)、AH(验证头)、 SA(安全联盟)、IKE(Internet密钥交换)。IPSEC的两种模式:包括传送模式和通道模式。IPSEC包的处理过程:包括外出处理和进入处理。VPN的类型:包括RemoteAccessVPN(远程访问虚

14、拟专用)、IntranetVPN(企业内部虚拟专用网)、ExtranetVPN(外连虚拟专用网)。IPSEC的组件的设计:包括IPSec基本协议、SPD和SADB、IKE。VPN使用的安全协议:包括SOCKSv5协议、IPSec协议、PPTP/L2TP协议。基于IPSEC的VPN设计与实现:包括企业原网络分析、企业对网络的新需求、企业新网络设计原则、企业新网络实现方案。IPSEC VPN的测试:包括IKE方式建立IPSEC隧道、预共享方式建立隧道、数字证书方式建立隧道、IKE自动协商、VPN备份隧道功能、VPN客户端测试。1.3 论文的主要内容和结构安排本论文主要基于下面四大部分的研究，由浅入

15、深细致地剖析了IPsec vpn的原理及应用，并给出实例讲解了现实中应用的IPsec vpn，使这一技术层次分明,既IPSEC技术基础、VPN技术基础、基于IPSEC的VPN设计与实现、IPSEC VPN的测试。第2章 IPSEC技术基础2.1 IPSEC技术简介“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。Microsoft® Windows® 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 是基于“Int

16、ernet 工程任务组 (IETF)”IPSec 工作组开发的标准。 IPSec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows XP 和 Windows Server 2003 家族中，IPSec 提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、Extranet 以及漫游客户端之间的通信。IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录、客户/服

17、务器、电子邮件、文件传输及Web访问在内多种应用程序的安全。IPSec在传输层之下，对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时，无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec，应用程序一类的上层软件也不会被影响。IPSec对终端用户来说是透明的，因此不必对用户进行安全机制的培训。如果需要的话，IPSec可以为个体用户提供安全保障，这样做就可以保护企业内部的敏感信息。IPSec正向Internet靠拢。已经有一些机构部分或全部执行了IPSec。IAB的前任总裁Christian Huitema认为，关于如何保证Internet安全的讨论是他所见过的最激烈

18、的讨论之一。讨论的话题之一就是安全是否在恰当的协议层上被使用。想要提供IP级的安全，IPSec必须成为配置在所有相关平台（包括Windows NT，Unix和Macintosh系统）的网络代码中的一部分。实际上，现在发行的许多Internet应用软件中已包含了安全特征。例如，Netscape Navigator和Microsoft Internet EXPlorer支持保护互联网通信的安全套层协议（SSL），还有一部分产品支持保护Internet上信用卡交易的安全电子交易协议（SET）。然而，VPN需要的是网络级的功能，这也正是IPSec所提供的。 2.2 IPSec体系结构2.2.1 ESP

19、(封装安全载荷)IPsec 封装安全负载（IPsec ESP）是 IPsec 体系结构中的一种主要协议，其主要设计来在 IPv4 和 IPv6 中提供安全服务的混合应用。IPsec ESP 通过加密需要保护的数据以及在 IPsec ESP 的数据部分放置这些加密的数据来提供机密性和完整性。根据用户安全要求，这个机制既可以用于加密一个传输层的段（如：TCP、UDP、ICMP、IGMP），也可以用于加密一整个的 IP 数据报。封装受保护数据是非常必要的，这样就可以为整个原始数据报提供机密性。ESP 头可以放置在 IP 头之后、上层协议头之前 （传送层），或者在被封装的 IP 头之前 （隧道模式）。

20、IANA 分配给 ESP 一个协议数值 50，在 ESP 头前的协议头总是在“next head”字段（IPv6）或“协议”（IPv4）字段里包含该值 50。ESP 包含一个非加密协议头，后面是加密数据。该加密数据既包括了受保护的 ESP 头字段也包括了受保护的用户数据，这个用户数据可以是整个 IP 数据报，也可以是 IP 的上层协议帧（如：TCP 或 UDP）。ESP 提供机密性、数据源认证、无连接的完整性、抗重播服务（一种部分序列完整性的形式） 和有限信息流机密性。所提供服务集由安全连接（SA）建立时选择的选项和实施的布置来决定，机密性的选择与所有其他服务相独立。但是，使用机密性服务而不带

21、有完整性/认证服务（在 ESP 或者单独在 AH 中）可能使传输受到某种形式的攻击以破坏机密性服务。数据源验证和无连接的完整性是相互关联的服务，它们作为一个选项与机密性 （可选择的）结合提供给用户。只有选择数据源认证时才可以选择抗重播服务，由接收方单独决定抗重播服务的选择。2.2.2 AH(验证头)验证头（AH）协议用于为IP数据包提供数据完整性、数据包源地址验证和一些有限的抗重播服务，AH不提供对通信数据的加密服务，与ESP协议相比，AH不提供对通信数据的加密服务，但能比ESP提供更加广的数据验证服务。AH是另一个IP协议，它分配到的数是51。在IPv6的情况下，下一个头字段的值由扩展头的存

22、在来决定。如果没有扩展头，IPv6头中的下一个头字段将是51。如果AH头之前有扩展头，紧靠在AH头前面的扩展头中的下一个头字段就会被设成51。将AH头插入IPv6的规则与ESP插入规则类似。AH和ESP保护的数据相同时，AH头会一直插在ESP头之后。AH头比ESP头简单得多，因为它没有提供机密性。由于不需要填充和一个填充长度指示器，因此也不存在尾。另外，也不需要一个初始化向量。2.2.3 SA(安全联盟)SA是一种安全关联，SA 对两台计算机之间的策略协议进行编码，指定它们将使用哪些算法和什么样的密钥长度，以及实际的密钥本身。安全关联SA（Security Association）是单向的，在

23、两个使用 IPSec的实体（主机或路由器）间建立的逻辑连接，定义了实体间如何使用安全服务（如加密）进行通信。它由下列元素组成：（1）安全参数索引SPI；（2）IP目的地址；（3）安全协议。 SA是一个单向的逻辑连接，也就是说，在一次通信中，IPSec 需要建立两个SA，一个用于入站通信，另一个用于出站通信。若某台主机，如文件服务器或远程访问服务器，需要同时与多台客户机通信，则该服务器需要与每台客户机分别建立不同的SA。每个SA用唯一的SPI索引标识，当处理接收数据包时，服务器根据SPI值来决定该使用哪种SA。 二、第一阶段SA（主模式SA，为建立信道而进行的安全关联） IKE建立SA分两个阶段

24、。第一阶段，协商创建一个通信信道（IKE SA），并对该信道进行认证，为双方进一步的IKE通信提供机密性、数据完整性以及数据源认证服务；第二阶段，使用已建立的IKE SA建立IPsec SA。分两个阶段来完成这些服务有助于提高密钥交换的速度。 第一阶段协商（主模式协商）步骤： 1.策略协商，在这一步中，就四个强制性参数值进行协商：（1）加密算法：选择DES或3DES（2）hash算法：选择MD5或SHA（3）认证方法：选择证书认证、预置共享密钥认证或Kerberos v5认证（4）Diffie-Hellman组的选择 2.DH交换 虽然名为密钥交换，但事实上在任何时候，两台通信主机之间都不会交

25、换真正的密钥，它们之间交换的只是一些DH算法生成共享密钥所需要的基本材料信息。DH交换，可以是公开的，也可以受保护。在彼此交换过密钥生成材料后，两端主机可以各自生成出完全一样的共享主密钥，保护紧接其后的认证过程。 3.认证 DH交换需要得到进一步认证，如果认证不成功，通信将无法继续下去。主密钥结合在第一步中确定的协商算法，对通信实体和通信信道进行认证。在这一步中，整个待认证的实体载荷，包括实体类型、端口号和协议，均由前一步生成的主密钥提供机密性和完整性保证。 三、第二阶段SA（快速模式SA，为数据传输而建立的安全关联） 这一阶段协商建立IPsec SA，为数据交换提供IPSec服务。第二阶段协

26、商消息受第一阶段SA保护，任何没有第一阶段SA保护的消息将被拒收。 第二阶段协商（快速模式协商）步骤： 1策略协商，双方交换保护需求： 使用哪种IPSec协议：AH或ESP 使用哪种hash算法：MD5或SHA 是否要求加密，若是，选择加密算法：3DES或DES 在上述三方面达成一致后，将建立起两个SA，分别用于入站和出站通信。 2会话密钥材料刷新或交换 在这一步中，将生成加密IP数据包的会话密钥。生成会话密钥所使用的材料可以和生成第一阶段SA中主密钥的相同，也可以不同。如果不做特殊要求，只需要刷新材料后，生成新密钥即可。若要求使用不同的材料，则在密钥生成之前，首先进行第二轮的DH交换。 3S

27、A和密钥连同SPI，递交给IPSec驱动程序。 第二阶段协商过程与第一阶段协商过程类似，不同之处在于：在第二阶段中，如果响应超时，则自动尝试重新进行第一阶段SA协商。 第一阶段SA建立起安全通信信道后保存在高速缓存中，在此基础上可以建立多个第二阶段SA协商，从而提高整个建立SA过程的速度。只要第一阶段SA不超时，就不必重复第一阶段的协商和认证。允许建立的第二阶段SA的个数由IPSec策略属性决定。2.2.4IKE(Internet密钥交换)Internet密钥交换协议(IKE)是用于交换和管理在vpn中使用的加密密钥的，IKE属于一种混合型协议，由Internet安全关联和密钥管理协议（ISA

28、KMP）和两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上，沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术，还定义了它自己的两种密钥交换方式：主要模式和积极模式。2.3 IPSEC的两种模式2.3.1 传送模式传送模式加密的部份较少，没有额外的IP报头，工作效率相对更好，但安全性相对于隧道模式会有所降低。 传送模式下，源主机和目的地主机必须直接执行所有密码操作。加密数据是通过使用L2TP（第二层隧道协议）而生成的单一隧道来发送的。数据（密码文件）则是由源主机生成并由目的地主机检索的。传送模式可表示为：| IP头 | IPsec头 | TC

29、P头 | 数据 |,如图2-1所示。图2-1 传送模式图2.3.2 通道模式通道模式可以在两个Security Gateway间建立一个安全隧道，经由这两个Gateway Proxy的传送均在这个通道中进行。通道模式下的IPSec报文要进行分段和重组操作，并且可能要再经过多个安全网关才能到达安全网关后面的目的主机。通道模式下，除了源主机和目的地主机之外，特殊的网关也将执行密码操作。在这种模式里，许多隧道在网关之间是以系列的形式生成的，从而可以实现网关对网关安全。通道模式可表示为：| 新IP头 | IPsec头 | IP头 | TCP头 | 数据 |，如图2-2所示。图2-2 通道模式图 第3章

30、 VPN技术基础3.1 VPN的概念与安全性VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或WINDOWS2000等软件里也都支持VPN功能，

31、一句话，VPN的核心就是在利用公共网络建立虚拟私有网。 针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应。VPN网关是实现局域网（LAN）到局域网连接的设备。从字面上我们就能够知道它可以实现两大功能：VPN和网关。广义上讲，支持VPN（虚拟专用网）的路由器和防火墙等设备都可以算作VPN网关。目前常见的VPN网关产品可以包括单纯的VP

32、N网关、VPN路由器、VPN防火墙、VPN服务器等产品。 典型的VPN网关产品应该具有以下性能： 它应集成包过滤防火墙和应用代理防火墙的功能。 企业级VPN产品是从防火墙产品发展而来，防火墙的功能特性己经成为它的基本功能集中的一部分。如果是一个独立的产品，VPN与防火墙的协同工作会遇到很多难以解决的问题，有可能不同厂家的防火墙和VPN不能协同工作，防火墙的安全策略无法制定（这是由于VPN把IP数据包加密封装的缘故）或者带来性能的损失，如防火墙无法使用NAT功能等等。而如果采用功能整合的产品，则上述问题不存在或很容易解决，VPN应有一个开放的架构。 VPN部署在企业接入因特网的路由器之后，或者它

33、本身就具有路由器的功能，因此，它己经成为保护企业内部资产安全最重要的门户。阻止黑客入侵、检查病毒、身份认证与权限检查等很多安全功能需要VPN完成或在同VPN与相关产品协同完成。因此，VPN必须按照一个开放的标准，提供与第三方安全产品协同工作的能力， 有完善的认证管理。 一个VPN系统应支持标准的认证方式，如RADIUS(Remote Authentication Dial In User Service，远程认证拨号用户服务)认证、基于PKI（Public Key Infrastructure，公钥基础设施）的证书认证以及逐渐兴起的生物识别技术等等。对于一个大规模的VPN系统，PKIKMI的密

34、钥管理中心，提供实体（人员、设备、应用）信息的LDAP目录服务及采用标准的强认证技术（令牌、IC卡）是一个VPN系统成功实施和正常运行必不可少的条件，VPN应提供第三方产品的接口。当用户部署了客户到LAN的VPN方案时，VPN产品应提供标准的特性或公开的API（应用程序编程接口），可以从公司数据库中直接输入用户信息。否则，对于一个有数千甚至上万的SOHO人员和移动办公人员的企业来说，单独地创建和管理用户的权限是不可想像的。 VPN网关应拥有IP过滤语言，并可以根据数据包的性质进行包过滤。 数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出栈和入栈网络接

35、口等VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。3.2 VPN的类型3.2.1 RemoteAccessVPN(远程访问虚拟专用网)Access VPN是通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问，使用户随时、随地以其所需的方式访问企业资源。它包括模拟、拨号、ISDN、数字用户线路(XDSL)、移动IP和电缆技术，可以安全地连接移动用户、远程工作者或分支机构。它适合于内部有人员移动或远程办公需要的企业。3.2.2 IntranetVPN(企业内部虚拟专用网)如果要进行企业内部各分支机构的互联，使用IntranetVPN是很好

36、的方式。越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。IntranetVPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。3.2.3 Extrane

37、tVPN(外连虚拟专用网)如果是提供B2B之间的安全访问服务，则可以考虑ExtranetVPN。随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础，而如何利用Internet进行有效的信息管理，是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。ExtranetVPN通过一个使用专用连接的共享基础设施，将客户、供应

38、商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。第4章 基于IPSEC的VPN设计与实现4.1各组件的设计要求4.1.1 IPSec基本协议与目标IPSec 基于端对端的安全模式，在源 IP 和目标 IP 地址之间建立信任和安全性。考虑认为 IP 地址本身没有必要具有标识，但 IP 地址后面的系统必须有一个通过身份验证程序验证过的标识。只有发送和接收的计算机需要知道通讯是安全的。每台计算机都假定进行通讯的媒体不安全，因此在各自的终端上实施安全设置。除非两台计算机之间正在进行防火墙类型的数据包筛选或网络地址转换，否则仅从源向目

39、标路由数据的计算机不要求支持 IPSec。该模式允许为下列企业方案成功部署 IPSec：局域网 (LAN)：客户端/服务器和对等网络； 广域网 (WAN)：路由器到路由器和网关到网关 ；远程访问：拨号客户机和从专用网络访问 Internet。通常，两端都需要 IPSec 配置（称为 IPSec 策略）来设置选项与安全设置，以允许两个系统对如何保护它们之间的通讯达成协议。Microsoft® Windows® 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发

40、的业界标准。IPSec 相关服务部分是由 Microsoft 与 Cisco Systems, Inc. 共同开发的。IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议 Authentication Header（AH）、封装安全载荷协议Encapsulating Security Payload（ESP）、密钥管理协议Internet Key Exchange （IKE）和用于网络认证及加密的一些算法等。4.2 IPSEC VPN的实现4.2.1 A某企业网络背景分析首先为大家介绍企业的背景，某一外资企业在中国有三个分公司，分别坐落于上海

41、、北京和深圳。但是由于企业信息的安全需求，我们要求与分公司之间建立不同的安全通道。其中，总部与深圳分部之间的互相通信只需要互相验证并保持数据的完整性就可以了；而与北京分部之间的互相通信要求能够数据加密而且具有一般的验证功能，并且能提供数据的完整性验证；由于上海分部在中国充当了总代理的角色，传输的数据都是机密的性文件，所以要求总公司和上海分部之间能够建立严格的验证功能，并能对数据进行加密和完整性验证。（注意：每多一项功能，安全性就会升一级。但是，链路的开销必然会增大。如何将各个功能 配置使用，需要根据企业需求和网络带宽而定）以下为拓扑图，如图4-1所示。图4-1 VPN拓扑图4.2.2 A企业对

42、网络的新需求通过IPSec VPN技术实现公司总部和各个分部之间不同的安全通信，要求和上海分部之间建立严格的验证功能，并能对数据进行加密和完整性验证 .总部与分部之间通过两 台路由互联并运行OSPF多区域路由协议, Internet，总部和分部并不知道Internet的具体连 接情况，需要配置默认路由连接到公网之上.4.2.3实施步骤1置模拟公网的具体网络参数（R2和R3之间的级联）(1) 首先，在R2上配置各个端口的IP地址，并启用OSPF协议，进程号为200，将直连的网络宣 告到对应的区域里（注意：是两个区域，R2和R3之间的区域为骨干区域area 0，端口Ethernet0/1所对应的区

43、域为area 1，具体可参考网络拓扑图）如图4-2所示。图4-2 配置模拟公网的具体网络参数(2) 其次，在R3上配置各个端口的IP地址，并启用OSPF协议，进程号为300，将直连的网络宣告到对应的区域里（注意：是四个区域，R2与R3之间的区域为骨干区域，其它区域为area 2 ，area 3和area 4。具体可参考网络拓扑图）如图4-3所示。图4-3 配置模拟公网的具体网络参数(3) 公网模拟好之后，使用show ip route命令在R2或者R3上查看是否学习到不同区域之间的路由条目，不同区域之间的路由条目表示为“O IA *” 如图4-4所示。图4-4 show ip route命令2

44、配置总部和分部的具体网络参数（R1、R4、R5和R6的配置）(1) 配置公司总部各个端口的具体网络参数，并启用一条默认路由，下一跳地址由于不知道，配置为连接模拟公网的端口Ethernet 0/0，如图4-5所示。图4-5 配置总部和分部的具体网络参数(2) 配置深圳分部各个端口的具体网络参数，并启用一条默认路由，下一跳地址由于不知道，配置为连接模拟公网的端口Ethernet 0/1。（同上）(3) 配置北京分部各个端口的具体网络参数，并启用一条默认路由，下一跳地址由于不知道，配置为连接模拟公网的端口Ethernet 0/1。（同上）(4)配置上海分部各个端口的具体网络参数，并启用一条默认路由，

45、下一跳地址由于不知道，配置为连接模拟公网的端口Ethernet 0/1。（同上）3配置总部的三条IPSec VPN，分别指向不同的分部。R1的配置如下：(1) 启用 IKE （IKE-Internet Key Exchange 是基 于 Internet 安全 联 盟和密钥管理协议（ISAKAMP）定义的框架。IPSec传送认证或加密的数据之前，必须就协议、加密算 法和使用的密钥进行协商。而IKE提供了这个功能，ISAKAMP定义了两个通信对等体如 何能够通过一系列的过程来保护他们之间的通信信道。然而，它并没有规定传送的内容，只是充当了交通工具的角色。）默认条件下，IKE在Cisco ISO软

46、件中是激活的。如果被人工关闭，则需要再次激活它, 如图4-6所示,。图4-6激活(2) 建立IKE协商策略并配置IKE协商参数（在启用IKE后可以构造IKE策略，根据每个VPN连接的安全系数不同，构造多个策略。不同的IKE策略实现不同的安全连接方式）定义公司总部与分部之间的IKE的编号为policy (取值范围为110000，策略编号越低，其优先级 越高),以policy 2为例进行讲解：Encryption 3des命令被用来设置加密所需要的算法，（DESData Encryption Standard数据加密标准，是使用最广泛的共享密钥加密算法。它使用对称式加密算法，加密和解密使用相同的密

47、 钥值，共56位，而3DES是DES的扩展，共168位。由于算法的复杂性，因此需要的网络宽带和 内存）autherticationpre-share命令告诉路由器要使用预先共享的密钥（对等体认证方法除了预共享密钥还有RSA加密的nonces，RSA签名，默认为RSA签名）hash sha命令被用来设置密钥认证所用的算法，有MD5和SHA-1两种，默认为SHA-1。（Hash散 列算法是一种基于密钥（对称密钥或公钥）的加密不同的数据转换类型。其中MD5是使用最广 泛的报文摘要算法，可产生128位散列值的散列算法。SHA-1是安全散列算法，可产生一个160 位的散列值。SHA-1算法的缺点是速度被

48、MD5慢，但是SHA的报文摘要更长，具有更高的安全性）group2 为密钥交换方式，一般有三种模式，分部为group 1，group 2，group 5，其中，group 1 的密钥交换最简单，而group 5的密钥交换方式最复杂。（注意：同等实体两端策略的密钥交换方 式必须一样，就本实验而言，总部和深圳分部使用group 1，总部和北京分部使用group 2，总部 和上海分部使用group 5）Lifetime86400 声明了SA的生存时间，默认为86400。在超过生存时间后，SA将被重新协商。（SASecuity Associations安全联盟，定义了各种类型的安全措施，这些措施的内容包含了IP包加密解密和认证的相关信息）如图4-7所示。图4-7 IP包加密解密和认证的相关信息(3) 设置IPSec对等体的验证方法（由于SA是单向的，因此，需要设置预先共享的密码和对端的IP地址或主机名。也就是说有两种验证方法，一种是通过对端主机名进行验证；另 一种是通过对端IP地址进行验证。语法为Router（config）#c