畢業(yè)設(shè)計（論文）-基于IPSEC安全體系的VPN網(wǎng)絡(luò)設(shè)計與實(shí)現(xiàn)

1、蘇州高博軟件職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計論文基于IPSec平安體系的VPN網(wǎng)絡(luò)設(shè)計與實(shí)現(xiàn)Based on IPSec 學(xué) 院系： 網(wǎng)絡(luò)工程系 專 業(yè)： 網(wǎng)絡(luò)管理 學(xué) 生 姓 名： 學(xué) 號： 指 導(dǎo) 教 師職稱： 評 閱 教 師： 完 成 日 期： 2021年5月 蘇州高博軟件職業(yè)技術(shù)學(xué)院Global Institute of Software Technology,Suzhou.基于IPSec平安體系的VPN網(wǎng)絡(luò)設(shè)計與實(shí)現(xiàn)網(wǎng)絡(luò)管理專業(yè)摘要IPSec協(xié)議是網(wǎng)絡(luò)層協(xié)議,是為保障IP通信而提供的一系列協(xié)議族。IPSec針對數(shù)據(jù)在通過公共網(wǎng)絡(luò)時的數(shù)據(jù)完整性、平安性和合法性等問題設(shè)計了一整套隧道、加密和認(rèn)證方案

2、。IPSec能為IPv4/IPv6網(wǎng)絡(luò)提供能共同操作/使用的、高品質(zhì)的、基于加密的平安機(jī)制。提供包括存取控制、無連接數(shù)據(jù)的完整性、數(shù)據(jù)源認(rèn)證、防止重發(fā)攻擊、基于加密的數(shù)據(jù)機(jī)密性和受限數(shù)據(jù)流的機(jī)密性效勞。關(guān)鍵詞思科；網(wǎng)絡(luò)平安；隧道技術(shù)The Design and Implementation of IPSec VPN based on Cisco devicesNetwork Management ProfessionalDingfanAbstract: IPSec protocol is a network layer protocol, is provided for the protect

3、ion of a range of IP communication protocol suite. IPSec for data in the data through public network integrity, security and legality of such issues as designing a set of tunnels, encryption and authentication scheme .IPSec for IPv4/IPv6 networks to co-operation/use, high-quality, encryption-based s

4、ecurity mechanism. Provided, including access control, connectionless data integrity, data origin authentication, to prevent resend attack, the encrypted data based on confidentiality and the confidentiality of restricted data flow services.Key words: Cisco; Network Security ; Tunnel Technology 目錄 T

5、OC o 1-3 h z u HYPERLINK l _Toc261941582 1 引言 PAGEREF _Toc261941582 h 1 HYPERLINK l _Toc261941583 1.1 產(chǎn)品背景 PAGEREF _Toc261941583 h 1 HYPERLINK l _Toc261941584 1.2 預(yù)期目標(biāo)和經(jīng)濟(jì)效益 PAGEREF _Toc261941584 h 2 HYPERLINK l _Toc261941585 1.2.1 預(yù)期目標(biāo) PAGEREF _Toc261941585 h 2 HYPERLINK l _Toc261941586 1.2.2 經(jīng)濟(jì)效益 P

6、AGEREF _Toc261941586 h 2 HYPERLINK l _Toc261941587 2 VPN接入技術(shù)的選用與IPSec VPN概述 PAGEREF _Toc261941587 h 2 HYPERLINK l _Toc261941588 2.1 VPN技術(shù)的選用 PAGEREF _Toc261941588 h 2 HYPERLINK l _Toc261941589 2.1.1 IPSec VPN PAGEREF _Toc261941589 h 2 HYPERLINK l _Toc261941590 2.1.2 SSL VPN PAGEREF _Toc261941590 h 3

7、 HYPERLINK l _Toc261941591 2.2 IPSec VPN概述 PAGEREF _Toc261941591 h 4 HYPERLINK l _Toc261941592 2.2.1 IPSec協(xié)議簡介 PAGEREF _Toc261941592 h 4 HYPERLINK l _Toc261941593 2.2.2 IPSec根本工作原理 PAGEREF _Toc261941593 h 4 HYPERLINK l _Toc261941594 2.2.3 IPSec中的三個主要協(xié)議 PAGEREF _Toc261941594 h 6 HYPERLINK l _Toc26194

8、1595 2.3 IPSec VPN網(wǎng)絡(luò)設(shè)計原那么 PAGEREF _Toc261941595 h 17 HYPERLINK l _Toc261941596 3 需求分析 PAGEREF _Toc261941596 h 18 HYPERLINK l _Toc261941597 3.1 運(yùn)行環(huán)境 PAGEREF _Toc261941597 h 18 HYPERLINK l _Toc261941598 3.2 需求分析設(shè)計 PAGEREF _Toc261941598 h 18 HYPERLINK l _Toc261941599 3.2.1 根底網(wǎng)絡(luò)的構(gòu)建； PAGEREF _Toc26194159

9、9 h 18 HYPERLINK l _Toc261941600 3.2.2 在已構(gòu)建的網(wǎng)絡(luò)上配置VPN； PAGEREF _Toc261941600 h 19 HYPERLINK l _Toc261941601 3.2.3 用網(wǎng)絡(luò)測試工具對VPN通信進(jìn)行測試 PAGEREF _Toc261941601 h 19 HYPERLINK l _Toc261941602 4 IPSec VPN網(wǎng)絡(luò)具體規(guī)劃與設(shè)計 PAGEREF _Toc261941602 h 20 HYPERLINK l _Toc261941603 4.1 根底網(wǎng)絡(luò)構(gòu)建和效勞器配置 PAGEREF _Toc261941603 h 2

10、0 HYPERLINK l _Toc261941604 4.2 VPN配置過程及測試步驟 PAGEREF _Toc261941604 h 22 HYPERLINK l _Toc261941605 4.2.1 site-to site 站點(diǎn)到站點(diǎn)，多用于總部與分支辦公室連接 PAGEREF _Toc261941605 h 22 HYPERLINK l _Toc261941606 4.2.2 移動用戶與總部進(jìn)行連接 PAGEREF _Toc261941606 h 29 HYPERLINK l _Toc261941607 4.3 在VMware Workstation虛擬機(jī)上安裝windows se

11、rver 2003 相應(yīng)效勞器 PAGEREF _Toc261941607 h 29 HYPERLINK l _Toc261941608 5 測試：VPN應(yīng)用測試 PAGEREF _Toc261941608 h 30 HYPERLINK l _Toc261941609 5.1 路由器上測試 PAGEREF _Toc261941609 h 30 HYPERLINK l _Toc261941610 5.2 使用本地主機(jī)訪問各效勞器 PAGEREF _Toc261941610 h 31 HYPERLINK l _Toc261941611 結(jié)論及尚存在的問題 PAGEREF _Toc261941611

12、 h 32 HYPERLINK l _Toc261941612 參考文獻(xiàn) PAGEREF _Toc261941612 h 33 HYPERLINK l _Toc261941613 致謝 PAGEREF _Toc261941613 h 341 引言隨著Internet的快速開展，人們逐漸把技術(shù)的焦點(diǎn)從網(wǎng)絡(luò)的可用性、信息的獲取性轉(zhuǎn)移到網(wǎng)絡(luò)的平安性、應(yīng)用的簡易性上來 。建立在IP技術(shù)根底上的虛擬專用網(wǎng)VirtualPrivateNetwork，VPN正快速成為新一代網(wǎng)絡(luò)效勞的根底，許多效勞供給商推出了基于VPN的各種業(yè)務(wù)。與此相應(yīng)，Internet的平安問題也日益受到重視。Internet是一個建立

13、在TCP/IP協(xié)議根底上的開放的分組交換網(wǎng)，由于其在最初設(shè)計時缺乏平安考慮，導(dǎo)致目前Internet的平安性能嚴(yán)重缺乏。網(wǎng)絡(luò)上的IP數(shù)據(jù)包幾乎都是用明文傳輸?shù)模浅Ｈ菀自獾礁`聽、篡改等攻擊。在各種網(wǎng)絡(luò)平安的解決方案中，IETF于1998年推出的IPSec協(xié)議有著獨(dú)特的優(yōu)勢，占據(jù)著重要的根底地位。IPSec協(xié)議是現(xiàn)在VPN開發(fā)中使用的最廣泛的一種協(xié)議，它有可能在將來成為IPVPN的標(biāo)準(zhǔn)。但是IPSec協(xié)議是一個比較新的平安協(xié)議，而且非常復(fù)雜，作為一個還沒有完全成熟的協(xié)議，IPSec在理論上和實(shí)踐上都有一些問題有待改良。鑒于它的重要作用，很有必要對IPSec協(xié)議及其VPN做相關(guān)的探討及研究。實(shí)現(xiàn)V

14、PN技術(shù)的方式很多，常用的三種VPN：PPTP VPN ，SSL VPN 和IPSEC VPN，這三種VPN技術(shù)各有特色、各有所長。目前國外主要廠商對SSLVPN技術(shù)、MPLSVPN技術(shù)開展相比照較重視開展較快，但是目前應(yīng)用最為廣泛，技術(shù)最為成熟的仍然是IPSecVPN技術(shù)。IPSec的主要特征在于它可以對所有IP級的通信進(jìn)行加密和認(rèn)證，正是這一點(diǎn)才使IPSec可以確保包括遠(yuǎn)程登錄、客戶/效勞器、電子郵件、文件傳輸及Web訪問在內(nèi)多種應(yīng)用程序的平安。IPSec在傳輸層之下，對于應(yīng)用程序來說是透明的。當(dāng)在路由器或防火墻上安裝IPSec時，無需更改用戶或效勞器系統(tǒng)中的軟件設(shè)置。即使在終端系統(tǒng)中執(zhí)行

15、IPSec，應(yīng)用程序一類的上層軟件也不會被影響。IPSec對終端用戶來說是透明的，因此不必對用戶進(jìn)行平安機(jī)制的培訓(xùn)。如果需要的話，IPSec可以為個體用戶提供平安保障，這樣做就可以保護(hù)企業(yè)內(nèi)部的敏感信息。IPSec正向Internet靠攏。已經(jīng)有一些機(jī)構(gòu)局部或全部執(zhí)行了IPSec。1.1 產(chǎn)品背景 在信息是時代，隨著企業(yè)網(wǎng)應(yīng)用的日益廣泛，企業(yè)網(wǎng)的范圍也在不斷擴(kuò)大，從本地網(wǎng)絡(luò)開展到跨地區(qū)、跨城市，甚至是跨國家的網(wǎng)絡(luò)。網(wǎng)絡(luò)范圍的擴(kuò)大，導(dǎo)致在實(shí)際應(yīng)用上對網(wǎng)絡(luò)的要求也越來越高。例如，分布在不同城市或者不同國家的所屬部門都想要實(shí)現(xiàn)建立在平安之上的信息交流和信息共享；出差的人員要求隨時隨地地訪問企業(yè)內(nèi)部網(wǎng)

16、等等。傳統(tǒng)的企業(yè)網(wǎng) 專用網(wǎng)的解決方案大多通過向運(yùn)營商租用各種類型的長途線路來連接各種分支機(jī)構(gòu)局域網(wǎng)，或采取數(shù)字加密機(jī)加專線的方式進(jìn)行點(diǎn)到點(diǎn)的數(shù)據(jù)傳輸，但是這種方式的網(wǎng)絡(luò)費(fèi)用高，大多數(shù)企業(yè)難以承受，且可擴(kuò)展性極差。國內(nèi)公共信息網(wǎng)在近些年來得到了高速開展，已經(jīng)遍布全國各地。在物理上，各地的公共信息網(wǎng)都是連通的，但是由于公共信息網(wǎng)是對社會開放的，如果企業(yè)的信息要通過公共信息網(wǎng)進(jìn)行傳輸，在平安性上存在著很多問題。因此如何利用現(xiàn)有的公共信息網(wǎng)來平安的建立企業(yè)的專用網(wǎng)絡(luò)，就成了現(xiàn)今網(wǎng)絡(luò)應(yīng)用上最迫切需求解決的一個重要課題。 虛擬專用網(wǎng)VPN技術(shù)是近年來興起的一個新興技術(shù)，它既可以使企業(yè)擺脫繁重的網(wǎng)絡(luò)升級維護(hù)

17、工作，又可以使公共網(wǎng)絡(luò)得到有效的利用。VPN技術(shù)，也就是虛擬專用網(wǎng)技術(shù)，是指在公共網(wǎng)絡(luò)中建立私有專用網(wǎng)絡(luò)，數(shù)據(jù)通過平安的“加密管道在公共網(wǎng)絡(luò)中傳遞信息。同時，企業(yè)還可以利用公共信息網(wǎng)的撥號接入設(shè)備，讓自己的用戶撥號到公共信息網(wǎng)上，就可以平安地連接進(jìn)入企業(yè)網(wǎng)中。VPN具有節(jié)省本錢、提供遠(yuǎn)程訪問、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等優(yōu)點(diǎn)，是目前和今后企業(yè)網(wǎng)絡(luò)開展的趨勢。 預(yù)期目標(biāo)和經(jīng)濟(jì)效益1. 預(yù)期目標(biāo)該網(wǎng)絡(luò)設(shè)計是總部公司與其他三個子公司相互之間整體網(wǎng)絡(luò)的一個簡化，各公司都接入到公網(wǎng)中，有完整的內(nèi)網(wǎng)，在已有的網(wǎng)絡(luò)結(jié)構(gòu)根底上，通過點(diǎn)到點(diǎn)的方式建立IPSec VPN，使各子公司都能通過VPN平安的與總公

18、司進(jìn)行通信和數(shù)據(jù)的傳輸。1.2.2 經(jīng)濟(jì)效益由于使用Internet進(jìn)行傳輸相對于租用專線來說，費(fèi)用極為低廉，所以VPN的出現(xiàn)使企業(yè)通過Internet既平安又經(jīng)濟(jì)地傳輸私有的機(jī)密信息成為可能，只需在現(xiàn)有設(shè)備上進(jìn)行相關(guān)配置即可實(shí)現(xiàn)。2 VPN接入技術(shù)的選用與IPSec VPN概述2.1 VPN技術(shù)的選用用于企業(yè)內(nèi)部建設(shè)VPN虛擬專網(wǎng)的主要有兩種技術(shù)IP Sec VPN和SSL VPN。而通常采用的方式又主要分兩種方式：1、site-to site 站點(diǎn)到站點(diǎn)，多用于總部與分支辦公室連接2、access-vpn 遠(yuǎn)程訪問VPN，多用于移動用戶與總部進(jìn)行連接。 IPSec VPNIPSec VPN

19、是通過IPSec技術(shù)建立平安數(shù)據(jù)隧道的VPN解決模型。平安數(shù)據(jù)隧道本質(zhì)上是提供獨(dú)立封閉的數(shù)據(jù)包平安傳輸。IPSec工作于網(wǎng)絡(luò)層，對終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，而不管是哪類網(wǎng)絡(luò)應(yīng)用。它在事實(shí)上將遠(yuǎn)程客戶端“置于企業(yè)內(nèi)部網(wǎng)，使遠(yuǎn)程客戶端擁有內(nèi)部網(wǎng)用戶一樣的權(quán)限和操作功能。IPSec的優(yōu)勢有：1. 強(qiáng)大的平安性 IPSec協(xié)議固有的強(qiáng)大的平安特性能夠使用戶進(jìn)行認(rèn)證，保證數(shù)據(jù)的機(jī)密性和完整性。用戶可以用數(shù)字證書或者預(yù)共享密鑰進(jìn)行認(rèn)證，與平安策略不一致的包被丟棄。2. 支持遠(yuǎn)程辦公和移動辦公3. IPSec VPN數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備能夠?yàn)閿?shù)萬地址上分散的用戶提供效勞。4. 易于配置搭建VPN 并不需要效勞

20、提供商的介入，盡管許多企業(yè)為了降低花費(fèi)、加快效勞入門和減輕風(fēng)險，選擇利用效勞提供商對區(qū)域性或者全局性多個站點(diǎn)配置的管理效勞經(jīng)驗(yàn)。5. 減輕在集線器站點(diǎn)的擁擠當(dāng)對分散隧道配置時，遠(yuǎn)端VPN客戶端能直接轉(zhuǎn)發(fā)預(yù)定的Internet流量，替代通過IPSec隧道，并僅對相關(guān)的正在被轉(zhuǎn)發(fā)到集線器的流量建立隧道。這樣降低了在集線器點(diǎn)的擁擠。6. 從公司現(xiàn)狀考慮，IPSEC能利用公司現(xiàn)有設(shè)備IPSEC可以結(jié)合現(xiàn)有的防火墻設(shè)備實(shí)現(xiàn)，公司總部網(wǎng)絡(luò)無需增加新的設(shè)備。7. IPSec方案適用于在“站點(diǎn)站點(diǎn)VPN方案IPSec對VPN而言仍是主導(dǎo)性的隧道和加密技術(shù)，就通常的企業(yè)用戶和“站點(diǎn)到站點(diǎn)連接所需要的直接訪問企業(yè)

21、網(wǎng)絡(luò)功能而言，IPSec無可比較。 SSL VPNSSL的英文全稱是“Secure Sockets Layer，中文名為“平安套接層協(xié)議層。它的“零客戶端架構(gòu)特別適合于遠(yuǎn)程用戶連接。SSL嵌在瀏覽器中，遠(yuǎn)程用戶通過瀏覽器來訪問企業(yè)內(nèi)部的Web應(yīng)用。這些Web應(yīng)用目前主要是內(nèi)部網(wǎng)頁游覽、電子郵件及其它基于Web的查詢工作。SSL VPN的優(yōu)勢為：使用、設(shè)置簡單，不需要客戶軟件。有助于降低本錢、減緩遠(yuǎn)程桌面維護(hù)方面的擔(dān)憂。但是，SSL的局限性有如下幾方面：1. 只能訪問通過網(wǎng)絡(luò)瀏覽器連接的資產(chǎn)。在性能、應(yīng)用覆蓋和兼容性等方面也存在問題。2. SSL VPN無法為遠(yuǎn)程訪問應(yīng)用提供全面的解決方案，因?yàn)?/p>

22、它并不有助于訪問內(nèi)部開發(fā)的應(yīng)用，也無助于訪問要求多個渠道和動態(tài)端口以及使用多種協(xié)議這類復(fù)雜的應(yīng)用。而這些應(yīng)用對公司及遠(yuǎn)程用戶來說卻是一個關(guān)鍵需求。譬如說，SSL VPN沒有架構(gòu)來支持即時消息傳送、多播、數(shù)據(jù)饋送、視頻會議及VoIP。3. SSL VPN存在一定平安風(fēng)險，因?yàn)橛脩艨蛇\(yùn)用公眾Internet站點(diǎn)接入。4. 盡管SSL能夠保護(hù)由 創(chuàng)立的TCP通道的平安，但它并不適用于UDP通道。然而，如今企業(yè)信息管理要求支持各種類型的應(yīng)用：TCP和UDP、客戶機(jī)/效勞器和Web、現(xiàn)成和內(nèi)部開發(fā)的程序。綜上所述，在設(shè)計上，IPSec VPN是一種根底設(shè)施性質(zhì)的平安技術(shù)，這類VPN的真正價值在于，它們盡

23、量提高IP環(huán)境的平安性。因此，有人堅決地認(rèn)為，IPSec是提供站點(diǎn)到站點(diǎn)連接的首要工具，是企業(yè)構(gòu)建VPN的最正確選擇；而SSL VPN缺少站點(diǎn)到站點(diǎn)連接的理想解決方案。2.2 IPSec VPN概述 IPSec協(xié)議簡介IPSec(1P Security)產(chǎn)生于IPv6的制定之中，用于提供IP層的平安性。由于所有支持TCPIP協(xié)議的主機(jī)進(jìn)行通信時，都要經(jīng)過IP層的處理，所以提供了IP層的平安性就相當(dāng)于為整個網(wǎng)絡(luò)提供了平安通信的根底。鑒于IPv4的應(yīng)用仍然很廣泛，所以后來在IPSec的制定中也增添了對IPv4的支持。最初的一組有關(guān)IPSec標(biāo)準(zhǔn)由IETF在1995年制定，但由于其中存在一些未解決的

24、問題，從1997年開始IETF又開展了新一輪的IPSec的制定工作，截止至1998年11月份主要協(xié)議已經(jīng)根本制定完成。不過這組新的協(xié)議仍然存在一些問題，預(yù)計在不久的將來IETF又會進(jìn)行下一輪IPSec的修訂工作。 IPSec根本工作原理IPSec的工作原理(如圖l所示)類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴(kuò)展。當(dāng)接收到一個IP數(shù)據(jù)包時，包過濾防火墻使用其頭部在一個規(guī)那么表中進(jìn)行匹配。當(dāng)找到一個相匹配的規(guī)那么時，包過濾防火墻就按照該規(guī)那么制定的方法對接收到的IP數(shù)據(jù)包進(jìn)行處理。 這里的處理工作只有兩種：丟棄或轉(zhuǎn)發(fā)圖2-1 IPSec工作原理示意圖IPSec通過查詢SPD(Secur

25、ity P01icy Database平安策略數(shù)據(jù)庫)決定對接收到的IP數(shù)據(jù)包的處理。但是IPSec不同于包過濾防火墻的是，對IP數(shù)據(jù)包的處理方法除了丟棄，直接轉(zhuǎn)發(fā)(繞過IPSec)外，還有一種，即進(jìn)行IPSec處理。正是這新增添的處理方法提供了比包過濾防火墻更進(jìn)一步的網(wǎng)絡(luò)平安性。進(jìn)行IPSec處理意味著對IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證。包過濾防火墻只能控制來自或去往某個站點(diǎn)的IP數(shù)據(jù)包的通過，可以拒絕來自某個外部站點(diǎn)的IP數(shù)據(jù)包訪問內(nèi)部某些站點(diǎn)，也可以拒絕某個內(nèi)部站點(diǎn)方對某些外部網(wǎng)站的訪問。但是包過濾防火墻不能保證自內(nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取，也不能保證進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過篡改。只有在對I

26、P數(shù)據(jù)包實(shí)施了加密和認(rèn)證后，才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機(jī)密性，真實(shí)性，完整性，通過Internet進(jìn)新平安的通信才成為可能。圖2-2 IPSec體系示意圖IPSec既可以只對IP數(shù)據(jù)包進(jìn)行加密，或只進(jìn)行認(rèn)證，也可以同時實(shí)施二者。但無論是進(jìn)行加密還是進(jìn)行認(rèn)證，IPSec都有兩種工作模式，一種是與其前一節(jié)提到的協(xié)議工作方式類似的隧道模式，另一種是傳輸模式。傳輸模式，如圖23所示，只對IP數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證。此時，繼續(xù)使用以前的IP頭部，只對IP頭部的局部域進(jìn)行修改，而IPSec協(xié)議頭部插入到IP頭部和傳輸層頭部之間。圖2-3 傳輸模式示意圖隧道模式，如圖2-4所示，對整個IP數(shù)據(jù)

27、色進(jìn)行加密或認(rèn)證。此時，需要新產(chǎn)生一個IP頭部，IPSec頭部被放在新產(chǎn)生的IP頭部和以前的IP數(shù)據(jù)包之間，從而組成一個新的IP頭部。圖2-4 隧道模式示意圖 IPSec中的三個主要協(xié)議前面已經(jīng)提到IPSec主要功能為加密和認(rèn)證，為了進(jìn)行加密和認(rèn)證IPSec還需要有密鑰的管理和交換的功能，以便為加密和認(rèn)證提供所需要的密鑰并對密鑰的使用進(jìn)行管理。以上三方面的工作分別由AH，ESP和IKE三個協(xié)議規(guī)定。為了介紹這三個協(xié)議，需要先引人一個非常重要的術(shù)語SA(Securlty Association平安關(guān)聯(lián))。所謂平安關(guān)聯(lián)是指平安效勞與它效勞的載體之間的一個“連接。AH和ESP都需要使用SA，而IKE

28、的主要功能就是SA的建立和維護(hù)。只要實(shí)現(xiàn)AH和ESP都必須提供對SA的支持。通信雙方如果要用IPSec建立一條平安的傳輸通路，需要事先協(xié)商好將要采用的平安策略，包括使用的加密算法、密鑰、密鑰的生存期等。當(dāng)雙方協(xié)商好使用的平安策略后，我們就說雙方建立了一個SA。SA就是能向其上的數(shù)據(jù)傳輸提供某種IPSec平安保障的一個簡單連接，可以由AH或ESP提供。當(dāng)給定了一個SA，就確定了IPSec要執(zhí)行的處理，如加密，認(rèn)證等。SA可以進(jìn)行兩種方式的組合，分別為傳輸臨近和嵌套隧道。1)ESP(Encapsulating Secuity Fayload)ESP協(xié)議主要用來處理對IP數(shù)據(jù)包的加密，此外對認(rèn)證也提

29、供某種程度的支持。ESP是與具體的加密算法相獨(dú)立的，幾乎可以支持各種對稱密鑰加密算法，例如DES，TripleDES，RC5等。為了保證各種IPSec實(shí)現(xiàn)間的互操作性，目前ESP必須提供對56位DES算法的支持。ESP協(xié)議數(shù)據(jù)單元格式三個局部組成，除了頭部、加密數(shù)據(jù)局部外，在實(shí)施認(rèn)證時還包含一個可選尾部。頭部有兩個域：平安策略索引(SPl)和序列號(Sequencenumber)。使用ESP進(jìn)行平安通信之前，通信雙方需要先協(xié)商好一組將要采用的加密策略，包括使用的算法、密鑰以及密鑰的有效期等?！捌桨膊呗运饕褂脕順?biāo)識發(fā)送方是使用哪組加密策略來處理IP數(shù)據(jù)包的，當(dāng)接收方看到了這個序號就知道了對收到

30、的IP數(shù)據(jù)包應(yīng)該如何處理。“序列號用來區(qū)分使用同一組加密策略的不同數(shù)據(jù)包。加密數(shù)據(jù)局部除了包含原IP數(shù)據(jù)包的有效負(fù)載，填充域(用來保證加密數(shù)據(jù)局部滿足塊加密的長度要求)包含其余局部在傳輸時都是加密過的。其中“下一個頭部(Next Header)用來指出有效負(fù)載局部使用的協(xié)議，可能是傳輸層協(xié)議(TCP或UDP)，也可能還是IPSec協(xié)議(ESP或AH)。通常，ESP可以作為IP的有效負(fù)載進(jìn)行傳輸，這JFIP的頭UKB指出下廣個協(xié)議是ESP，而非TCP和UDP。由于采用了這種封裝形式，所以ESP可以使用舊有的網(wǎng)絡(luò)進(jìn)行傳輸。前面已經(jīng)提到用IPSec進(jìn)行加密是可以有兩種工作模式，意味著ESP協(xié)議有兩種

31、工作模式：傳輸模式(Transport Mode)和隧道模(TunnelMode)。當(dāng)ESP工作在傳輸模式時，采用當(dāng)前的IP頭部。而在隧道模式時，侍整個IP數(shù)據(jù)包進(jìn)行加密作為ESP的有效負(fù)載，并在ESP頭部前增添以網(wǎng)關(guān)地址為源地址的新的IP頭部，此時可以起到NAT的作用。圖2-5 ESP封裝示意圖2)AH(Authentication Header)AH只涉及到認(rèn)證，不涉及到加密。AH雖然在功能上和ESP有些重復(fù)，但AH除了對可以對IP的有效負(fù)載進(jìn)行認(rèn)證外，還可以對IP頭部實(shí)施認(rèn)證。主要是處理數(shù)據(jù)對，可以對IP頭部進(jìn)行認(rèn)證，而ESP的認(rèn)證功能主要是面對IP的有效負(fù)載。為了提供最根本的功能并保證

32、互操作性，AH必須包含對HMAC?/FONTSHA和HMAC?/FONTMD5(HMAC是一種SHA和MD5都支持的對稱式認(rèn)證系統(tǒng))的支持。AH既可以單獨(dú)使用，也可在隧道模式下，或和ESP聯(lián)用。如圖2-6圖2-6 AH頭示意圖3)IKE(Internet Key Exchange)IKE協(xié)議是負(fù)責(zé)在二個IPsec對等體間協(xié)商一條IPsec隧道的協(xié)議,IKE在隧道建立過程中主要完成以下任務(wù):-協(xié)商協(xié)議參數(shù)-交換公共密鑰-對雙方進(jìn)行認(rèn)證-在交換后對密鑰進(jìn)行管理圖2-7 IKE示意圖IKE也是由三個協(xié)議組成-SKEME提供為認(rèn)證目的使用公開密鑰加密的機(jī)制-Oakley提供在二個IPsec對等體間達(dá)成

33、相同加密密鑰的基于模式的機(jī)制-ISAKMP定義了消息交換的體系結(jié)構(gòu),包括二個IPsec對等體間分組形式和狀態(tài)轉(zhuǎn)換.IKE協(xié)議分為二個階段.一條完整的IPsec隧道通過以下事件序列建立起來:第一步: IPsec對等體收到感興趣流量(即我們想被加密的流量)后,將產(chǎn)生IKE會話.第二步: 使用IKE的主模式(6條消息)或主動模式(3條消息)協(xié)商來使二個IKE對等體的IKE平安聯(lián)盟被創(chuàng)立.第三步: 使用IKE的快速模式協(xié)商,創(chuàng)立二個IPsec對等體間的二個平安聯(lián)盟.第四步: 數(shù)據(jù)開始在加密的信道上傳輸,使用了ESP或是AH封裝技術(shù)(或都采用了).從第二步和第三步可以看出IKE協(xié)議分為二個階段:第一階段

34、使用主模式(6條消息)或主動模式(3條消息)來完成下面三個任務(wù):-協(xié)商形成用來認(rèn)證二個對等體的一個參數(shù)集合并加密一局部主模式和所有的快速模式交換.如果協(xié)商中使用主動模式那么沒有主動模式被加密.-二個對等體間相互認(rèn)證.這里驗(yàn)證有三種方法:預(yù)共享,數(shù)字簽名,加密臨時值.-當(dāng)協(xié)商完成時產(chǎn)生密鑰,該密鑰用于生成實(shí)際加密數(shù)據(jù)的密鑰資源.第二階段為快速模式(3條消息):主要目標(biāo)是允許二個對等協(xié)商一些用于產(chǎn)生IPsec平安聯(lián)盟的屬性,平安聯(lián)盟可以加密二個主機(jī)間的數(shù)據(jù)(ESP).IKE如何用來形成一條IPsec隧道的呢?這一系列過程都是IKE這個協(xié)議來實(shí)現(xiàn),IKE這個協(xié)議也存在著一些缺乏,“IKE之子或第二版

35、IKE正在開發(fā)之中.主模式(6條消息)或主動模式(3條消息)第一階段三個任務(wù),分別用6個消息(主模式)來完成,每二個為一組.第一個消息由隧道的發(fā)起者發(fā)起,攜帶了如這樣一些參數(shù),如加密機(jī)制-DES,散列機(jī)制-MD5-HMAC,Diffie-Hellman組-2,認(rèn)證機(jī)制-預(yù)共享.第二個消息由響應(yīng)者回應(yīng),內(nèi)容根本一樣,主要與發(fā)起者比較,是否與發(fā)起者匹配,不匹配就進(jìn)行下一組的比較.如果最終都找不到匹配,隧道就停止建立.第三個消息由發(fā)起者發(fā)出,但是在發(fā)出這個消息之前,有個過程必須先完成,就是Diffie-Hellman算法過程.該過程的目的是什么呢？剛剛第一二條消息中所協(xié)商的算法它們必須需要一個KEY

36、,這個KEY在二個對等體上必須一樣,但同時這個KEY不能在鏈路中傳遞,因?yàn)閭鬟fKEY是一個不平安的手段.所以,該過程的目的是分別在二個對等間獨(dú)立地生成一個DH公共值(該DH公共值不是我們上面所說的KEY),該公共值有什么用呢？因?yàn)槎€對等體上都生成該DH公共值后,它們會在接下來的第三第四消息中傳送給對方,打個比方,就是A收到了B的DH公共值Xb,B收到了A的DH公共值Xa.當(dāng)A,B都收到了對方的該公共值后,問題就好解決了.因?yàn)橛幸粋€公式在數(shù)學(xué)中被論證成立,借助該公式,就可以在二個對等上生成一個只有他們二個對等體知道的相同的KEY,該公式為發(fā)起者密秘=(Xb)amod p=(Xa)bmod p=

37、響應(yīng)者密秘Xb為對等體B的DH公共值,Xa為對等體A的DH公共值a為只有對等體A知道的秘密. b為只有對等體B知道的秘密.注意,這里發(fā)起者秘密和響應(yīng)者密秘相等,但這個秘密不是最終算法中使用的KEY,但對等體可通過該秘密材料來生成另外三個密鑰,分別是:SKEYID_d-此密鑰被用于計算后續(xù)IPsec密鑰資源. SKEYID_a-此密鑰被用于提供后續(xù)IKE消息的數(shù)據(jù)完整性以及認(rèn)證. SKEYID_e-此密鑰被用于對后續(xù)IKE消息進(jìn)行加密.所以由發(fā)起者發(fā)起的第三條消息主要是向?qū)Φ润w發(fā)送自己的DH公共值和一個臨時值.臨時值被用作生成上述3個SKEYID的材料.第四條消息由響應(yīng)者向發(fā)起者發(fā)送,主要是向發(fā)

38、送者發(fā)送自己的DH公共值和臨時值.由于第一二條消息協(xié)商算法,第三四條消息生成KEY,所以在后續(xù)的第五六條消息就能被加密傳送.第五條消息由發(fā)起者向響應(yīng)者發(fā)送,主要是為了驗(yàn)證對端就是自己想要與之通信的對端.這可以通過預(yù)共享,數(shù)字簽名,加密臨時值來實(shí)現(xiàn).第六條消息由響應(yīng)者向發(fā)起者發(fā)送,主要目的和第五條一樣.在這六條消息過后,也就是驗(yàn)證一旦通過,就進(jìn)入了第二階段:快速模式,快速模式使用二條消息來實(shí)現(xiàn).快速模式發(fā)起者會在第一條消息中發(fā)送IPsec SA的轉(zhuǎn)換集屬性,如:封裝-ESP,完整性檢驗(yàn)-SHA-HMAC,DH組-2,模式-隧道響應(yīng)者向發(fā)起者發(fā)送第二條消息,同意第一條消息中的屬性,同時也能起到確認(rèn)

39、收到對端消息的作用.這一步一旦完成,隧道就建立起來了,用戶的數(shù)據(jù)就能被放入隧道中傳送.圖2-8 快速模式交換示意圖2) IPSEC VPN的平安根底【機(jī)密性保護(hù)】 機(jī)密性保護(hù)的作用：防止信息泄漏給未經(jīng)授權(quán)的個人。A和B要進(jìn)行平安通信，假設(shè)A要發(fā)送給B：“hello“這個信息，肯定不可能直接明文發(fā)送，所以要對發(fā)出去的信息進(jìn)行加密處理，然后B收到后再進(jìn)行解密處理，這樣的過程就是保護(hù)數(shù)據(jù)機(jī)密性的過程。幾個概念：算法：在加密和解密過程中采用的一組規(guī)那么。密鑰：可以看作是密碼算法的參數(shù)，用來控制加密，解密操作。分為加密密鑰Ke和解密密鑰Kd。就上面的例子，比方A的消息“hello就是明文，假設(shè)算法是這樣

40、的一組規(guī)那么：加密的時候?qū)⒆帜竿笠苮個字母，解密的時候往前移位三個字母。密鑰是x，這里假設(shè)密鑰為3。根據(jù)這個算法，加密后的密文就成了：“khoor，這樣別人看到這串字母就不知道什么意思了。解密密鑰也是x這里也是3，接受方根據(jù)解密算法就可以將密文向前移位三個字母，就可以得到明文。因此我們可以這樣理解，加密是要由算法和密鑰共同組成的。目前，很多加密算法都是公開的，也就是大家可以知道這些算法是怎么算的，都是有標(biāo)準(zhǔn)的。但是密鑰是要保護(hù)的，這樣即時知道了算法，也不能解密。就上面的例子來說，你知道算法是加密后移k位，解密前移k位，但是你不知道密鑰k是多少，所以也就不能解密了。算法是公開的，密鑰是私有的，

41、如何管理和分配私鑰成為重要問題?，F(xiàn)在來看下列圖中的Ke和Kd，Ke是加密時候用的密鑰，Kd是解密時候用的密鑰。如果在算法中Ke和Kd是相同的，我們說這是個對稱密鑰算法。如果在算法中Ke和Kd是不一樣的，我們就說這是個非對稱密鑰算法。在這里不比照這兩種算法的優(yōu)缺點(diǎn)，這里只需知道不管是對稱還是非對稱，都是加密算法，都可以用來作加密，只是密鑰不同。記住常用的三個即可非對稱加密算法有：RSA，Diffie-Hellman，Rabin，ELGmal機(jī)密性總結(jié)：1.在傳輸過程中對數(shù)據(jù)加密解密就是數(shù)據(jù)機(jī)密性的保護(hù)。2.目前情況，算法是可以公開的，需要保護(hù)的是密鑰。3.常用的對稱加密算法：DES，3DES，A

42、ES；常用的非對稱加密算法：RSA，Diffie-Hellman簡稱DH【完整性保護(hù)】 通過對主機(jī)A的原始數(shù)據(jù)加密形成密文再傳送保護(hù)了數(shù)據(jù)的機(jī)密性，但是在傳輸過程中，如果密文因?yàn)槟承┰騿适Я艘痪植?，或者被別人篡改了，那么在主機(jī)B中就不能收到完整的A所發(fā)送的的信息了。因此我們需要一種方法來解決這個問題，即驗(yàn)證數(shù)據(jù)的完整性。完整性，可以這樣理解，我們要通過某種方法，來判斷B收到的信息和A給的信息是一樣的，是完整的。我們通過hash算法實(shí)現(xiàn)這一功能。這里需要注意的是完整性可以通過hash函數(shù)來實(shí)現(xiàn)，但是這些hash函數(shù)不僅僅只能用來做完整性保護(hù)，具體情況要看被hash的數(shù)據(jù)是什么而定，后續(xù)會提到。

43、HASH算法是通過HASH函數(shù)來實(shí)現(xiàn)的。hash函數(shù)有：MD5，SHA-1hash函數(shù)的特點(diǎn)，必須記住的：1.輸入是變長的數(shù)據(jù)，輸出是固定長度的值的值MD5是128位，叫hash值。2.hash函數(shù)是單向的，即正向計算容易，求逆極其困難，我們這里認(rèn)為是不可能的?！旧矸菡J(rèn)證】身份認(rèn)證：一種用來驗(yàn)證發(fā)送者的身份的真實(shí)性，通過身份認(rèn)證可以發(fā)現(xiàn)那些假冒的頂替的入侵者。從例子上看，A發(fā)給B消息，B要驗(yàn)證消息確實(shí)是A發(fā)出的，而不是別人發(fā)出的。身份認(rèn)證可用公鑰密碼體制來驗(yàn)證。首先了解一下公鑰的密鑰體制的一些重要概念:1.有一對密鑰，分為公鑰和私鑰。2.私鑰加密，只有對應(yīng)的公鑰才能解密。用于身份認(rèn)證3.公鑰加

44、密，只有對應(yīng)的私鑰才能解密。用于數(shù)據(jù)加密公鑰密碼體制不僅可以用在保護(hù)數(shù)據(jù)的機(jī)密性，而且可以用在身份認(rèn)證中。將公鑰公開，就是任何人都可以得到公鑰，發(fā)送者用相應(yīng)的私鑰加密，由于只有發(fā)送者才有私鑰，所以只要接受者能用公鑰解開，就能證明一定是擁有私鑰的人發(fā)送的。這樣就驗(yàn)證了對方的身份?？偨Y(jié)一句話：私鑰加密，公鑰解密，實(shí)現(xiàn)身份認(rèn)證。IPSEC VPN加密通信中的四個概念：【MAC消息認(rèn)證碼】消息認(rèn)證碼MAC就是帶密鑰的hash函數(shù)，用來做驗(yàn)證用。MAC消息認(rèn)證碼是將共享密鑰和數(shù)據(jù)一起做hash，驗(yàn)證過程：1.A和B通信之前已經(jīng)協(xié)商好一個共享密鑰，只有A和B知道。2.A將發(fā)出的消息和密鑰一起做hash運(yùn)算

45、，得到mac值，附在消息后面。3.B收到消息和mac值，將消息和他共享密鑰做同樣的hash運(yùn)算。4.比照兩個hash值，因?yàn)橹挥邢⒑兔荑€都一樣，hash值才可能一樣，所以如果hash值一樣，那么說明消息是正確的，而且說明消息是由A擁有共享密鑰的人發(fā)送的。到達(dá)認(rèn)證和完整性的目的。注意：IPSEC VPN里用的就是HMAC。完整性和數(shù)據(jù)源認(rèn)證的區(qū)別本質(zhì)區(qū)別：完整性檢驗(yàn)只對消息做hash值，而數(shù)據(jù)源認(rèn)證對數(shù)據(jù)和密鑰做hash。第一，數(shù)據(jù)源認(rèn)證必須要求通信，而數(shù)據(jù)完整性認(rèn)證不一定需要通信，例如存儲數(shù)據(jù)的完整性認(rèn)證。第二，數(shù)據(jù)源認(rèn)證必然要求識別數(shù)據(jù)源，而數(shù)據(jù)完整性校驗(yàn)不一定需要，例如無源數(shù)據(jù)識別中的數(shù)

46、據(jù)完整性校驗(yàn)。消息認(rèn)證碼總結(jié)：1.MAC主要功能是用來做消息認(rèn)證的。2.利用hash算法來實(shí)現(xiàn)的。3.Hash算法可以用來做完整性檢驗(yàn)，也可以用來做消息認(rèn)證，取決于所hash的內(nèi)容有沒有包含密鑰?！緮?shù)字簽名】數(shù)字簽名，目的是認(rèn)證，防止欺騙或抵賴。數(shù)字簽名涉及的技術(shù)：公鑰密碼體制和完整性檢驗(yàn)?；貞浌€密碼體制的最重要特性：密鑰是成對的，而且公鑰加密只有私鑰能解，同樣私鑰加密只有公鑰能解。p：L bits長的素數(shù)。L是64的倍數(shù)，范圍是512到1024； q：是p - 1的160bits的素因子； g：g = h(p-1)/q) mod p，h滿足h 1； x：秘密密鑰，正整數(shù)，x q； y：y

47、= gx mod p ，( p, q, g, y )為公鑰； k為隨機(jī)數(shù)，0kq； H( x )：One-Way Hash函數(shù)。 DSS中選用SHA( Secure Hash Algorithm )。 p, q, g可由一組用戶共享，但在實(shí)際應(yīng)用中，使公共模數(shù)可能會帶來一定的威脅。 簽名過程如下： 圖2-11 數(shù)字簽名示意圖數(shù)字簽名方案有兩個局部：簽名算法和驗(yàn)證算法。圖2-11和圖2-12表示簽名算法和驗(yàn)證算法。圖2-12 簽名算法圖示說明：數(shù)據(jù)用hash函數(shù)哈希得到定長的輸出，然后用私鑰簽名hash值。數(shù)字簽名的核心在于用私鑰加密。這里hash函數(shù)的作用有兩個：1得到的定長輸出，位數(shù)短，私鑰

48、簽名的時候速度快。2保證數(shù)據(jù)的完整性。驗(yàn)證算法：圖2-13 驗(yàn)證算法數(shù)字簽名總結(jié)：1.數(shù)字簽名的技術(shù)支持：完整性算法和公鑰密碼體制。2.數(shù)字簽名的標(biāo)準(zhǔn)：DSS3.數(shù)字簽名是一種身份認(rèn)證方式?！緮?shù)字證書】數(shù)字證書，數(shù)字證書將身份標(biāo)識與公鑰綁定在一起，并由可信任的第三方權(quán)威機(jī)構(gòu)用其私鑰簽名。數(shù)字證書可以防止“中間人攻擊。 圖2-14 中間人攻擊圖示解說：1.帶有引號的公鑰，即“公鑰指的是hacker的公鑰，并不是真正的公鑰，但是Alice認(rèn)為是BOb的公鑰。2.通過數(shù)字順序說明中間人攻擊的過程。從中間人攻擊過程可以看出，不平安的因素在于不能識別公鑰的來源。數(shù)字證書就是為解決這個問題而來的。數(shù)字證書

49、的解決方法：1.身份標(biāo)識與公鑰綁定在一起，形成證書，這樣公鑰就和身份相對應(yīng)。2.由可信任的第三方權(quán)威機(jī)構(gòu)用其私鑰簽名來確保證書的有效性和平安性。注意： 數(shù)字證書平安的前提是第三方是可信任的，如果第三方被偽造，數(shù)字證書就沒有平安性可言。數(shù)字證書總結(jié)：1. 驗(yàn)證過程：A從第三方下載證書，內(nèi)有B的公鑰和B的身份標(biāo)識，由第三方證明公鑰是由B所持有。2. 數(shù)字證書用來防止中間人攻擊?！綝H算法】DH算法，全稱： Diffie Hellman算法，是一種非對稱密鑰算法。目的： 在一個非平安的通道上平安地建立一個共享密鑰，用來建立平安的信道。數(shù)學(xué)根底：基于求離散對數(shù)難。詳細(xì)過程：1、有兩個全局公開的參數(shù)，一

50、個素數(shù)q和一個整數(shù)a，a是q的一個原根。2、假設(shè)用戶A和B希望交換一個密鑰，用戶A選擇一個作為私有密鑰的隨機(jī)數(shù)XAq，并計算公開密鑰YA=aXA mod q。A對XA的值保密存放而使YA能被B公開獲得。類似地，用戶B選擇一個私有的隨機(jī)數(shù)XBenRouter#config terminalRouter(config)#2 配置路由器的根本平安參數(shù) 主要是設(shè)置特權(quán)口令、遠(yuǎn)程訪問口令和路由器名稱，方便遠(yuǎn)程調(diào)試。 Router(config)#enable secret linyongqiang Router(config)#line vty 0 4 Router(config-line)#passw

51、ord nyist Router(config-line)#exit Router(config)#hostname R1 R1(config)#3 配置路由器的以太網(wǎng)接口，并測試與本地計算機(jī)的連通性 注意: 配置前，請將線纜與相關(guān)設(shè)備連接好。其中f0/0端口接內(nèi)部網(wǎng)絡(luò)，s2/0端口接外部網(wǎng)絡(luò)。外部網(wǎng)絡(luò)接口地址由ISP分配，至少一個地址，多者不限。以下假定為一個，使用PAT(端口地址轉(zhuǎn)換)模式，地址為，上級路由器為。 關(guān)鍵是配置IP地址和啟用以太網(wǎng)接口。測試時，使用根本的測試命令ping。 R1(config)#inter f0/0 R1(config-if)#ip address 192 R

52、1(config-if)#no shutdown 以下是測試命令： R1#ping ! R1#ping ! 在IP地址為的計算機(jī)上: c:ping Pinging with 32 bytes of data: Reply from 192.168.: bytes=32 time=5ms TTL=255 結(jié)果證明連接及配置正確。4 配置路由器的串口，并測試與上級路由器的連通性 R1(config)#inter serial2/0 R1(config-if)#ip address R1(config-if)#bandwidth 256 R1(config-if)#encapsulation ppp

53、 R1(config-if)#no cdp enable R1(config-if)#no shutdown 以下是測試命令： R1#ping ! R1#ping ! 結(jié)果證明連接及配置正確。2. 配置路由器NAT網(wǎng)絡(luò) 1 配置外出路由并測試 主要是配置缺省路由。 R1(config)#ip route .0 R1#ping ! 結(jié)果證明本路由器可以通過ISP訪問Internet。 2 配置PAT，使內(nèi)部網(wǎng)絡(luò)計算機(jī)可以訪問外部網(wǎng)絡(luò)，但不能訪問其他電視臺 R1(config)#inter eth0/0 R1(config-if)#ip nat inside R1(config-if)#inter

54、 serial0/0 R1(config-if)#ip nat outside R1(config-if)#exit 以上命令的作用是指定內(nèi)外端口。 R1(config)#route-map cisco permit 10 R1(config-route-map)#match ip address 101 R1(config-route-map)#exit 以上命令的作用是指定對外訪問的規(guī)那么名。 R1(config)#access-list 101 deny 1968.1.0 .255 55 R1(config)#access-list 101deny 1968.1.0 .255 55 R1

55、(config)#access-list 101 deny 1968 .255 20.1.1 R1(config)#access-list 101 permit ip 1968 .255 any 以上命令的作用是指定對外訪問的規(guī)那么內(nèi)容。 R1(config)#ip nat inside source route-map cisco interface serial2/0 overload 上述命令的作用是聲明使用串口的注冊IP地址，在數(shù)據(jù)包遵守對外訪問的規(guī)那么的情況下，使用PAT技術(shù)。 以下是測試命令，通過該命令，可以判斷配置是否有根本的錯誤。 R1#show ip nat stat Tot

56、al active translations: 0 (0 static, 0 dynamic; 0 extended) Outside interfaces: Serial2/0 Inside interfaces: f0/0 在IP地址為1的計算機(jī)上，執(zhí)行必要的測試工作，以驗(yàn)證內(nèi)部計算機(jī)可以通過PAT訪問Internet。 c:ping Reply from : bytes=32 time=1ms TTL=255 c:ping HYPERLINK :/ Reply from: bytes=32 time=769ms TTL=248 此時，在路由器上，可以通過命令觀察PAT的實(shí)際運(yùn)行情況，再次

57、驗(yàn)證PAT配置正確。 R1#show ip nat tran Pro Inside global Inside local Outside local Outside global icmp :1975 :1975 :1975 :1975 以上測試過程說明，NAT配置正確。內(nèi)部計算機(jī)可以通過平安的途徑訪問Internet。當(dāng)然，如果業(yè)務(wù)要求，不允許所有的內(nèi)部員工/計算機(jī)，或只允許局部內(nèi)部計算機(jī)訪問Internet，那么，只需要適當(dāng)修改上述配置命令，即可實(shí)現(xiàn)。R1#show ip route /24 is subnetted, 1 subnetsO 110/128 via , 00:00:23,

58、 Serial2/0O /24 110/129 via , 00:00:23, Serial2/0 /24 is subnetted, 1 subnetsC is directly connected, Serial2/0 /24 is subnetted, 1 subnetsO 110/128 via , 00:00:23, Serial2/0 .0/16 is subnetted, 1 subnetsS .0 is directly connected, Serial2/0C /24 is directly connected, FastEthernet0/0 /24 is subnett

59、ed, 1 subnetsO 110/128 via , 00:00:23, Serial2/0R2#sh ip route /24 is subnetted, 1 subnetsO 110/128 via , 00:00:21, Serial2/0O /24 110/129 via , 00:00:21, Serial2/0 /24 is subnetted, 1 subnetsC is directly connected, FastEthernet0/0 /24 is subnetted, 1 subnetsO 110/128 via , 00:00:21, Serial2/0 /24

60、is subnetted, 1 subnetsO 110/128 via , 00:00:21, Serial2/0 .0/16 is subnetted, 1 subnetsS .0 is directly connected, Serial2/0 /24 is subnetted, 1 subnetsC is directly connected, Serial2/0R3#show ip route /24 is subnetted, 1 subnetsO 110/128 via , 00:00:35, Serial2/0C /24 is directly connected, FastE