基于IPSec安全體系的VPN網(wǎng)絡設計與實現(xiàn)

基于IPSec安全體系的VPN網(wǎng)絡設計與實現(xiàn)BasedonIPSec［摘要］VPN技術在近幾年的發(fā)展可謂是相當?shù)目焖?。因為vpn的出現(xiàn)，使私有網(wǎng)絡幾乎達到任何想要到達的地方，VPN技術目前最具活力的研究領域之一，因為它的特性適合于大多數(shù)的中小型企業(yè)，VPN和一般的網(wǎng)絡不同，它可以為邏輯上不存在連接的兩個站點建立一條虛擬的通道，讓連個局域網(wǎng)在在虛擬的情況下進行連接，VPN網(wǎng)絡有很多種類型，而在這之中IPSEC就是一種非常棒的VPN，這是一個加密認證技術，也就是這次的討論對象。本次討論的目標就是要設計一個基于ipsec的VPN實驗，這個方案可以使站點的所有網(wǎng)絡進行跨越，并且通過VPN進行連接，而關于IPSEC協(xié)議的主要功能是體現(xiàn)在加密技術上面。本文將以IPSEC為基礎，對虛擬專用網(wǎng)絡這個目前使用很廣泛的信息安全技術進行較深入的研究，設計一個基于IPSEC協(xié)議的高效率，安全，穩(wěn)定的vpn網(wǎng)關，并且通過模擬器對其進行研究。[關鍵詞]：VPN，隧道技術，IPSEC，方案實現(xiàn)[abstract]thedevelopmentofVPNtechnologyinrecentyearsisquitefast.TheemergenceoftheVPN,makeprivatenetworkreachedalmostanyplaceyouwanttogettotheVPN,oneofthemostactiveresearchfieldsbecauseofitsfeaturesissuitableforthemajorityofsmallandmediumenterprises,VPNandgeneralnetwork,itcanbelogicallythereisnoconnectionoftwositestobuildavirtualchannel,toconnectalocalareanetwork(LAN)inundertheconditionofthevirtualconnection,therearemanykindsoftypesofVPNnetwork,andintheIPSECVPNisakindofverygood,thisisanencryptedauthenticationtechnology,whichistheobjectofdiscussion.ThegoalofthisdiscussionistodesignanexperimentbasedonipsecVPN,thisschemecanmakethesiteallacrossthenetwork,andthroughtheVPNconnection,andthemainfunctionistoreflectonipsecprotocolonencryptiontechnology.

ThisarticleisbasedonIPSEC,thevirtualprivatenetworkthatcurrentlyuseawiderangeofinformationsecuritytechnology,afurtherstudytodesignahighefficiencybasedonIPSECprotocol,securityandstabilityoftheVPNgateway,andthroughthesimulatortostudy.

[keywords]:theVPNtunneltechnology,IPSEC,planimplementation

目錄TOC\o"1-3"\h\u7067緒論 4119591.課題研究的背景及意義 4150861.2國內對于ipsec的研究現(xiàn)狀 4320901.2.1研究現(xiàn)狀 466101.2.2國外的研究現(xiàn)狀 536861.3主要研究內容 5130892.相關技術分析 5236102.1VPN概述 5325182.2IPSecVPN概述 5206202.2.1IPSec協(xié)議簡介 5127142.2.2IPSecVPN 5171312.3IPsec框架 641682.4散列函數(shù) 620522.5加密算法 760862.5.1對稱密鑰算法 7752.5.2非對稱密鑰算法 8187672.6封裝協(xié)議 8186191)ESP(EncapsulatingSecuityFayload) 8216302)AH(AuthenticationHeader) 917382.7IPsec的數(shù)據(jù)封裝模式 10215301.傳輸模式 10206742.隧道模式 10147052.8密鑰有效期 11322862.9本章小結 1191753.網(wǎng)絡需求分析 12183373.1網(wǎng)絡硬件需求 1232843.2網(wǎng)絡功能需求 1274803.3網(wǎng)絡安全需求 12140843.4本章小結 1220294網(wǎng)絡規(guī)劃與設計 12319274.1網(wǎng)絡架構設計 12246944.2網(wǎng)絡功能設計 12176204.3網(wǎng)絡安全設計 12100135.網(wǎng)絡環(huán)境部署 13224105.1萬能拓撲圖 13286985.2效果拓撲圖 13229965.2.1邊界路由器配置 13121855.2.2校區(qū)站點配置 16117435.3網(wǎng)絡功能測試 17191955.3.1mplsvpn測試 18101905.3.2測試R2于R3loo1的連通性 18166605.3.3IPSEC的一些問題 19167546總結與展望 1924266.1全文總結 1933096.2研究展望 202844致謝 2025958參考文檔 2019640參考文獻 20緒論隨著現(xiàn)代網(wǎng)絡的發(fā)展，很多人慢慢的把技術的矚目點從網(wǎng)絡的可用性、信息的獲取性轉移到網(wǎng)絡的安全性、應用的簡易性上來。新興發(fā)展起來的一種技術虛擬專用網(wǎng)（Virtual

Private

Network，VPN）正在被現(xiàn)在網(wǎng)絡廣泛的使用，許多的ISP都非常的推崇這一項技術，因為他真的很方便。與此相應，網(wǎng)絡中的安全問題也漸漸的受到重視。由于在剛開始建立網(wǎng)絡的時候沒有相對詳細的考慮安全問題，導致現(xiàn)在的網(wǎng)絡狀況很不理想，安全性變得非常的差，為什么？因為網(wǎng)絡中的IP數(shù)據(jù)包一般都是通過明文來傳輸?shù)模翢o安全性可言。在網(wǎng)絡安全的發(fā)展中，各種技術相應的出現(xiàn)，而在1988年IETF推出了ipsec這一項具有優(yōu)勢的網(wǎng)絡安全技術。IPSec協(xié)議現(xiàn)在已經(jīng)變成世界上使用最為廣泛的技術，它在將來很有可能會變成ip網(wǎng)絡中VPN的標志性技術。但是IPSec協(xié)議是一個新興的安全協(xié)議，其中技術命令復雜，IPSec在各個方面，例如理論和實踐方面都是需要改進的?；谒鼘τ诰W(wǎng)絡安全真的非常重要。1.課題研究的背景及意義在信息時代，隨著企業(yè)及各種學院的廣泛使用，企業(yè)網(wǎng)的范圍也在持續(xù)不斷增大，從本地網(wǎng)絡發(fā)展到跨地區(qū)、跨城市，甚至是跨國家的網(wǎng)絡。internet范圍的增大，使得在生活中對網(wǎng)絡的應用的要求變得很高。比如說，分布在不一樣的國家的不一樣的部門都想有一個安全的平臺來共享信息；在旅游時或者出差時，員工想要訪問公司的內部網(wǎng)絡。企業(yè)會時常遇見這些問題，都是想ISP租用長型的線路和數(shù)字加密技術來保證該企業(yè)在網(wǎng)絡方面的需求，但是這種網(wǎng)絡消費方式不是每個企業(yè)都能承受的，而且在網(wǎng)絡的擴展性方面這方法也是非常差的。國內的信息公用網(wǎng)在這幾年來已經(jīng)得到的告訴的發(fā)展。在網(wǎng)絡的物理連接上，公眾的共享信息平臺是公開的，所以當有些企業(yè)要傳遞信息時需要經(jīng)過公眾網(wǎng)絡，所以在這里就有很大安全性問題，就是因為出現(xiàn)了安全性問題，IPSEC則破殼而出成為了如今被使用最為廣泛的安全傳輸協(xié)議。虛擬專用網(wǎng)（VPN）技術是最近幾年新興出現(xiàn)的技術，它既可以拜托企業(yè)中繁重的維護等工作，就可以加強企業(yè)網(wǎng)的安全性能。VPN技術，又稱為虛擬專用網(wǎng)技術，就是在有公共網(wǎng)絡的基礎上在建立私有網(wǎng)絡，傳遞的信息在IPSEC的加密下傳入公共網(wǎng)絡中。虛擬專用網(wǎng)技術可以節(jié)省成本、提供遠程互聯(lián)、延展性好、方便管理和可以進行多方面控制等優(yōu)點，這是目前每個企業(yè)在網(wǎng)絡方面發(fā)展的趨勢。1.2國內對于ipsec的研究現(xiàn)狀1.2.1研究現(xiàn)狀在國內對于IPSECVPN的研究相對國外來說是比較滯后的，但是這并不代表我們不會使用該技術，總所皆知，IPSEC技術是一個對所有的加密技術的一個集合體或者說是一個總成，IPSEC總是使用當前最安全靠譜的機密技術來作為核心，對網(wǎng)絡進行安全的防護。在國內IPSEC被廣泛應用于VPN技術中，與VPN技術結合，保護了信息的安全。1.2.2國外的研究現(xiàn)狀相對于國外來說，IPSEC被應用的更為廣泛，它在任何方面都有被使用，就是因為IPSEC技術是與時代共同進步的技術，ipsec應用范圍大，尤其在國外的應用更廣泛。1.3主要研究內容本次論文將對IPSECVPN進行相對深入的講解，從多方面讓大家了解IPSEC技術的只是，主要會從IPSEC的基本原理，以及IPSEC框架，不同的IPSEC應用場合等方面來介紹IPSEC著項技術。相關技術分析2.1VPN概述隨著時代的發(fā)展以及企業(yè)規(guī)模的發(fā)展壯大，網(wǎng)絡負擔也不斷的加強，這時，有些企業(yè)考慮到成本問題，相對的就產(chǎn)生了vpn技術。VPN（virtualprivatenetwork）即虛擬專用網(wǎng)絡，他可以實現(xiàn)以私網(wǎng)連接到公網(wǎng)的要求，因為成本比較低，所以被很多中小型企業(yè)采用。一般企業(yè)使用的vpn有兩種，sslvpn和ipsecvpn。這兩種方法同時又有兩種的連接方式：1、access-vpn訪問遠程的用戶2、site-tosite點到點之間的通信2.2IPSecVPN概述2.2.1IPSec協(xié)議簡介IPSec協(xié)議，是用來維護三層的安全問題。因為大部分的網(wǎng)絡信息都要經(jīng)過IP這一層，相當于說，網(wǎng)絡中的幾乎所有的信息都是通過TCP/IP來傳輸?shù)?。關于ipsec的提出是在1992年。那時ipsec技術不太成熟，經(jīng)過一段時間的不斷研磨，在1998年的時候對ipsec進行了初步使用。預計在將來，ipsec技術會不斷的發(fā)展，乃至最后的成熟。2.2.2IPSecVPN在以往的網(wǎng)絡架構中，一般都是使用GRE隧道模式對數(shù)據(jù)進行傳輸，其實這樣的傳輸方式是不安全也是不可靠的，ipsec技術的出現(xiàn)彌補了GRE的這一缺點，它可以實現(xiàn)數(shù)據(jù)的端到端的數(shù)據(jù)加密型傳輸，保證了數(shù)據(jù)的安全性。IPSEC有兩種封裝協(xié)議分別是AH和ESP。IPSec的優(yōu)勢有：（1）數(shù)據(jù)機密性：當公司的數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸?shù)臅r，都希望自己公司的數(shù)據(jù)是以密文的方式傳輸出去的，但是，在互聯(lián)網(wǎng)上的時候數(shù)據(jù)有時是密文有時是明文，像這種不同的情況就應該用不同的方案來解決。（2）數(shù)據(jù)完整性：數(shù)據(jù)完整性確保數(shù)據(jù)在源主機和目的主機之間傳送時不被篡改。VPN一般使用hash算法進行加密。哈希算法類似于校驗和，但是更可靠，它可以確保沒有人能更改數(shù)據(jù)的內容，驗證算法包括MD5，SHA-1。（3）身份驗證：身份驗證確保信息來源的真實性，并傳送到真實的目的地。（4）防重放保護：IPSEC接受方可檢測并拒絕接收過時或重復的數(shù)據(jù)包。IPSEC協(xié)議不是一個單獨的協(xié)議，包括安全協(xié)議，AH、ESP、IKE和用于驗證，等加密算法。2.3IPsec框架一些傳統(tǒng)的安全技術以及無線安全技術，旺往往會采用某種固定的加密和散列函數(shù)，這種做法帶有明顯的賭博性質，因為如果某天這個加密算法曝出嚴重漏洞，那么使用這個加密算法或者散列函數(shù)的安全技術也就難免要遭到淘汰，為了避免這種在一棵樹上吊死的悲慘事件發(fā)生，IPsec并沒有定義具體的加密和散列函數(shù)，IPSEC是以框架模式進行工作的，ipsec每次應用的加密都是要通過協(xié)商才能進行使用，比如說，我們覺得3DES這個加密技術很好，那么就不放暫且使用這個額協(xié)議來加密數(shù)據(jù)，但是只要有一天3DES出現(xiàn)了嚴重漏洞，或者出現(xiàn)了一個更好的加密技術，那么我們也可以馬上更換加密協(xié)議，使IPSECVPN總是使用最新最好的協(xié)議來進行加密，圖3-2所示為ipsec框架示意圖，這張圖旨在說明，不僅僅是散列函數(shù)，加密算法，還包括封裝協(xié)議和模式，密鑰有效期等內容都可以通過協(xié)商決定，在兩個IPSEC對等體之間協(xié)商的協(xié)議較做IKE。我們現(xiàn)在就一IPSEC框架設計的技術為主線，詳細介紹這些技術的特點和工作原理。2.4散列函數(shù)散列函數(shù)就是HASH函數(shù)，hash算法有兩種：MD5與SHA-1。Hash算法的作用就是用來保證數(shù)據(jù)的完整性，通過hash算法計算過得數(shù)據(jù)就叫做hash值，這個散列值也常常被稱為數(shù)據(jù)的指紋，為什么散列函數(shù)會被稱為數(shù)據(jù)的指紋呢？這是因為散列函數(shù)的工作原理和日常我們對指紋采集和使用的原理幾乎一樣，在這之前，我們不妨先來回想以下日常生活中我們是如何對指紋進行采集和使用的。步驟1：公安機關預先記錄：用戶“X”的指紋“指紋一”。步驟2：在犯罪現(xiàn)場中，公安機關獲取到“指紋二”步驟3：通過查詢指紋數(shù)據(jù)庫發(fā)現(xiàn)“指紋一”等于“指紋二”步驟4：由于指紋是獨一無二的，所以就能確定嫌疑犯了。這就是散列函數(shù)的工作機制，接下來看看他是如何驗證數(shù)據(jù)完整性的。步驟1：對“重要文件”執(zhí)行散列函數(shù)計算，得到散列值“散列值一”步驟2：現(xiàn)在我們收到另外一個文件“文件？”。對它進行散列值計算得到“散列值二”。步驟3：將“散列值一”和“散列值二”進行對比，兩個散列值相等。步驟4：因為散列值也是獨一無二的，所以兩個散列值是相同的。1.固定大小散列值有一個特性，就是它可以接受任意大小的數(shù)據(jù)，但是產(chǎn)生的散列值大小總是一樣的。比說通過MD5計算的到的散列值總是128bite。2.蝴蝶效應蝴蝶效應的意思就是原本的數(shù)據(jù)只要稍微改變一點，其計算的到的散列值都會發(fā)生巨大的改變。單向意思就是說數(shù)據(jù)只能單向的進行散列值計算，無法在還原到原來的數(shù)據(jù)。4.沖突避免這點體現(xiàn)了散列值的唯一性，不會有一個散列值是相同的，避免了散列值沖突現(xiàn)在我們來看一下散列算法如何驗證數(shù)據(jù)的完整性。步驟1：用hash函數(shù)對“文件”和得到的“散列值一”進行計算。步驟2：將“散列值一”和“文件”一起發(fā)送給對端步驟3：對端同樣對“文件”進行計算得到“散列值二”步驟4：接收方將收到文件中“散列值一”和計算得到的“散列值二”進行對比，如果兩個散列值相同，那么根據(jù)散列函數(shù)蝴蝶效應和沖突避免的特點，就可以檢查“文件”在傳輸?shù)倪^程中有沒有被人更改了。2.5加密算法對稱密鑰算法非對稱密鑰算法2.5.1對稱密鑰算法對稱密鑰算法有一個很明顯的特點，發(fā)送方和接收方都使用相同的密鑰進行加解密，這樣的加解密算法就叫做對稱算法，對稱密鑰算法有如下特點：優(yōu)先：速度快：安全：緊湊。缺點：明文傳輸共享密鑰，容易出現(xiàn)中途接觸竊聽的問題；密鑰與參加者之間的函數(shù)關系（n*（n-1）/2）；因為密鑰數(shù)量過多，對密鑰的管理和存儲時一個很大的問題；對稱密鑰算法的幾種協(xié)議：DES3DESAES作一個比較直觀的比較，想必大多數(shù)讀者都有使用壓縮軟件的經(jīng)歷，而對稱密鑰算法加密的速度應該比壓縮的速度稍快，另外，現(xiàn)在無線網(wǎng)絡的使用也很普及，無線都是使用WPA2進行加密的，而WPA2是使用DES進行加密的，用戶在使用無線網(wǎng)絡的時候，似乎并沒有因為加密而使網(wǎng)絡發(fā)生太大的延遲，而且只要他們的路由器或者交換機配上硬件加速模塊，那就基本上能夠實現(xiàn)線速加密，因此速度是對稱密鑰算法的一大優(yōu)勢。2.5.2非對稱密鑰算法在使用非對稱加密技術之前，所有參與者沒不管是用戶還是路由器等網(wǎng)絡設備，都是需要預先使用非對稱密鑰算法產(chǎn)生一對密鑰，其中包括一個公鑰和一個私鑰，公鑰可以共享給所以屬于密鑰系統(tǒng)的用戶，私鑰需要進行嚴格的保護，只有持有這個私鑰的人才能使用。非對稱密鑰算法兩大安全特性：完整性校驗源認證工作特點：1.密鑰不能使用相同的密鑰進行解密2.僅用于密鑰交換和數(shù)字簽名優(yōu)點：1.安全2.密鑰具有一對一的特性；3.交換公鑰不需要提前建立信任關系；非對稱密鑰算法協(xié)議：1.RSA；2.DH；3.ECC；2.6封裝協(xié)議1)ESP(EncapsulatingSecuityFayload)ESP的IP協(xié)議號為50,能夠抵御重放攻擊。對于IP數(shù)據(jù)包不會進行任何的保護。ESP協(xié)議用于對ip數(shù)據(jù)包進行加密，ESP除了對數(shù)據(jù)部分可以進行加密工作，還有一些認證的功能。ESP的加密是獨立的，它可以不依賴算法，大多數(shù)的數(shù)據(jù)都是可以使用ESP進行加密的，例如DES，RC5等。因為ESP才用了特殊的封裝方式，所以就算是在舊有的網(wǎng)絡中也是一樣可以運行的。IPSEC的任何協(xié)議都是有兩種工作方式，所以對于ESP來說也有兩種工作方式：同樣是隧道模式和傳輸模式。當ESP工做模式為傳輸模式的時候。在隧道模式的時候，對IP數(shù)據(jù)包整個有效字節(jié)進行加密工作，并加入新的IP頭部，這與NAT有異曲同工之妙。圖2-5ESP封裝示意圖2)AH(AuthenticationHeader)AH只和認證有關系，它不涉及加密。AH雖然在某些方面在功能上和ESP有些重復，但是AH有它自身的優(yōu)勢，比如說他可以專門為IP頭部進行加密。對于AH，它可以是單獨使用，也可以在模式下使用例如隧道模式，或者是和ESP一起使用。（如圖2-6）圖2-6AH頭示意圖3)IKE(InternetKeyExchange)IKE是負責在兩臺節(jié)點之間進行一種連接的作用，它可以創(chuàng)建一條隧道來供網(wǎng)絡信息使用，IKE在運行要完成的工作有:--對運行中需要的協(xié)議進行協(xié)商--公共密鑰的相互交換--兩個節(jié)點之間的相互認證--交換成功后對密鑰進行管理圖2-7IKE示意圖IKE也是由三個協(xié)議組成--SKEME--Oakley--ISAKMPIKE協(xié)議分為二個階段.IPSEC隧道要建立起來就要經(jīng)過下面的一系列過程:第一步:將ike進行連接第二步:安全系統(tǒng)的建立第三步:使用加速連接模式，建立第二個安全系統(tǒng)第四步:數(shù)據(jù)包進行加密動作。2.7IPsec的數(shù)據(jù)封裝模式IPSEC可以對數(shù)據(jù)進行加密也可以對數(shù)據(jù)進行認證。只是不管是進行加密或者是進行認證功能，對于這兩種功能IPSEC都有兩種工作方式，一種是隧道模式，還有另一種就是傳輸模式1.傳輸模式傳輸模式，如圖2－3所示，傳輸模式其實很簡單，不管使用的是AH協(xié)議還是ESP協(xié)議，都在在IP頭部和有效數(shù)據(jù)之間加入一個協(xié)議頭部，另外值得一提的是，ESP協(xié)議在數(shù)據(jù)的后面再加上自己的尾部和一個ESP人認證，并且對IP負載和ESP尾部進行加密和驗證處理，但原始IP頭部被完整地保留下來。圖2-3傳輸模式示意圖2.隧道模式隧道模式，如圖所示，這個模式的工作原理是將原本的整個IP數(shù)據(jù)包封裝到一個全新的IP數(shù)據(jù)包中，而在要插入一個EDP部分在原始數(shù)據(jù)包頭部和新數(shù)據(jù)包頭部之間，以此對整個原始IP數(shù)據(jù)包進行了加密和驗證處理。那么，什么樣的網(wǎng)絡拖布適合使用隧道模式來封裝IP數(shù)據(jù)包呢？其實我們可以這樣理解：當通信點和加密點相同的時候就使用傳輸模式，當通信點和加密點不同時就使用隧道模式。圖2-4隧道模式示意圖2.8密鑰有效期長期使用相同密鑰來加密數(shù)據(jù)是不明智的，所以在使用密鑰處理信息時，應該要注意的一點就是要周期性的更新密鑰，至少要做到一到兩個小時進行一次更新。我們也可以根據(jù)自身的情況對密鑰有效期進行調整，但是這種調整應該遵循一個簡單的原則，那就是密鑰加密的數(shù)據(jù)越多，密鑰的有效期就應該越短，同樣的道理，加密的數(shù)據(jù)越少，密鑰周期就越長，思科的IPSECVPN雖然默認每小時更換一次密鑰，但下一個小時使用的密鑰，是由當前這個小時使用的密鑰，通過系列的算法衍生得出的，也就是說這些密鑰之間存在推演關系，這樣的密鑰更新就不能叫做完美的向前保密PFS，PFS要求每一次密鑰更新，更新的密鑰要求都是新的，跟之前的密鑰沒有一點關系，也沒有任何的衍生密鑰，思科的IPSECVPN一旦啟用了PFS技術，就會在每一個小時結束的時候，展開一次全新的DH交換，產(chǎn)生全新的密鑰用于下一個小時加密。2.9本章小結本章的主要任務就基于具體的感興趣流來協(xié)商相應的IPSECSA，IKE快速模式交換的三個數(shù)據(jù)包都得到了安全保護（加密，完整性校驗和源認證）。還有兩個要注意的地方就是SPI和PFS。SPI是用來表示唯一的SPISA的，SPI的值是有出廠商的設備決定的，在CISCO中，是沒有啟用PFS的，設備管理員可以通過配置來啟用這項技術，讓每一次密鑰更新之前都進行一次全新的DH交換，產(chǎn)生全新的密鑰。到此為止，對于IPSECVPN理論的介紹就要告一段落了，從下一章起，我們將會開始對CiscoIPSECVPN的配置方法進行介紹，在介紹的同時會應用到WEBIOU這項模擬實驗工具，WEBIOU是一種基于cisco框架的實驗模擬器，它很好的兼容了思科設備，并且可自由搭建拓撲。相關的工具：VMware虛擬機、UDIOUv21、secureCRT、搜狐瀏覽器、億圖。網(wǎng)絡需求分析3.1網(wǎng)絡硬件需求在網(wǎng)絡結構的設計中，我選用了WEBIOU來作為模擬器實現(xiàn)所設計。所用到的設備：1）路由器5臺7200IOS2）交換機3臺3640IOS3）服務器3臺3.2網(wǎng)絡功能需求改網(wǎng)絡拓撲將以兩個校區(qū)為站點，中間網(wǎng)絡由運營商提供，并且使用mplsvpn進行連接，要求，現(xiàn)在兩個校區(qū)之間要相互通信。中間網(wǎng)絡運行eigrp和ospf協(xié)議，這兩個協(xié)議作為底層，運行bgp協(xié)議。校區(qū)與PE之間運行EBGP。3.3網(wǎng)絡安全需求將它們之間發(fā)送的流量使用IPSECESP進行數(shù)據(jù)包的封裝加密。讓公網(wǎng)中無法看見包的源目。3.4本章小結本章將接下來要進行的實驗粗略的介紹了一下，大體上闡述了實驗所要實現(xiàn)的需求。并且實驗將以閩南科技學院的兩個校區(qū)作為范本來搭建實驗拓撲圖。具體情況請參看實驗。4網(wǎng)絡規(guī)劃與設計4.1網(wǎng)絡架構設計這次的網(wǎng)絡拓撲的是基于閩南科技學院的兩個校區(qū)進行規(guī)劃的，站點分為兩個點，分別是康美校區(qū)和美林校區(qū)，以這兩個校區(qū)為基點中間運行運營商提供的網(wǎng)絡，4.2網(wǎng)絡功能設計兩個校區(qū)之間的網(wǎng)絡分別運行ospfeigrp還有mbgp協(xié)議以，期中以ospf和eigrp協(xié)議為底層配置mbgp同時使用一臺交換機來模擬兩個校區(qū)，中間運行mplsvpn，在此基礎上配置ipsec加密技術。4.3網(wǎng)絡安全設計構建VPN網(wǎng)絡通信的重要前提是要擁有通暢的基礎網(wǎng)絡。基礎網(wǎng)絡構建完善后，緊接著進行VPN的配置工作。VPN作為一種很好的選擇，縮減了公司所需要支付的成本費用。雖然專線能夠使各分支部門安全的與總部進行通信和數(shù)據(jù)交換，在安全方面也具有絕對的保障。但專線的費用昂貴，一般的公司難以承受。在本設計中，重要是點到點VPN，基于ipsec的mplsvpn，不同校區(qū)都有一條連接到公網(wǎng)的VPN線路。VPN本身就是為了數(shù)據(jù)的安全傳輸設置的，因此不是所有用戶都能夠通過VPN隧道進行通信，因此，配置時對感興趣流量進行有效控制。5.網(wǎng)絡環(huán)境部署5.1萬能拓撲圖5.2效果拓撲圖5.2.1邊界路由器配置R3:首先給接口配置ip地址：interfaceLoopback0interfaceLoopback0ipaddress55!interfaceLoopback1ipaddress!interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipvrfforwardingsite1ipaddressinterfaceSerial1/0ipaddressinterfaceSerial1/2ipaddressinterfaceSerial1/2ipaddress配置ospf協(xié)議：routerospf31routerospf31router-idnetworkarea1networkarea1networkarea1networkarea1mplslabelprotocolldpmplsldpexplicit-nullmplslabelprotocolldpmplsldpexplicit-nullmplsldprouter-idLoopback0force配置vrf：ipvrfsite1ipvrfsite1rd1:1route-targetexport1:1route-targetimport1:1配置bgp協(xié)議：routerbgp7routerbgp7bgprouter-idbgplog-neighbor-changesneighborremote-as7neighborupdate-sourceLoopback0neighborremote-as7neighborupdate-sourceLoopback0建立vpnv4：neighboractivateneighboractivateneighborsend-communityextendedneighbornext-hop-self配置與SW2的EBGPVRF鄰居：address-familyipv4vrfsite1address-familyipv4vrfsite1neighborremote-as777neighboractivateneighboras-overrideexit-address-familyR2：首先給接口配置ip地址：interfaceLoopback0interfaceLoopback0ipaddress55interfaceLoopback1ipaddressinterfaceEthernet0/0ipaddressinterfaceEthernet0/1ipvrfforwardingsite2ipaddressinterfaceSerial1/0ipaddressinterfaceSerial1/3ipaddress配置eigrp協(xié)議：routereigrp31routereigrp31networknetworknetworknetwork配置相應的標簽轉發(fā)協(xié)議和轉發(fā)源：mplslabelprotocolldpmplslabelprotocolldpmplsldpexplicit-nullmplsldprouter-idLoopback0force配置vrf：ipvrfsite2ipvrfsite2rd2:2route-targetexport1:1route-targetimport1:1配置bgp協(xié)議：routerbgp7routerbgp7bgprouter-idbgplog-neighbor-changesneighborremote-as7neighborupdate-sourceLoopback0neighborremote-as7neighborupdate-sourceLoopback0建立vpnv4：address-familyvpnv4address-familyvpnv4neighboractivateneighborsend-communityextendedneighbornext-hop-selfexit-address-familyaddress-familyipv4vrfsite2neighborremote-as777address-familyipv4vrfsite2neighborremote-as777neighboractivateneighboras-overrideexit-address-family5.2.2校區(qū)站點配置SW2配置：routerbgp777bgplog-neighbor-changesnobgpdefaultipv4-unicastrouterbgp777bgplog-neighbor-changesnobgpdefaultipv4-unicastaddress-familyipv4vrfsite1bgprouter-idnetworkmasknetworkmask55neighborremote-as7neighboractivateexit-address-family!address-familyipv4vrfsite2bgprouter-idnetworkmasknetworkmask55neighborremote-as7neighboractivateexit-address-familyR3：cryptoisakmppolicy10hashmd5cryptoisakmppolicy10hashmd5authenticationpre-sharegroup2cryptoisakmpkeyciscoaddresscryptoipsectransform-setIKE2esp-desesp-md5-hmaccryptomapgxl10ipsec-isakmpsetpeersettransform-setIKE2matchaddress101access-list101permitip5555在接口下調用：interfaceSerial1/0interfaceSerial1/0cryptomapgxlR2：cryptoisakmppolicy10hashmd5cryptoisakmppolicy10hashmd5authenticationpre-sharegroup2cryptoisakmpkeyciscoaddresscryptoipsectransform-setIKE2esp-desesp-md5-hmaccryptomapgxl10ipsec-isakmpsetpeersettransform-setIKE2matchaddress101access-list101permitip5555interfaceSerial1/0cryptomapgxlinterfaceSerial1/0cryptomapgxl5.3網(wǎng)絡功能測試SW2#traceroutevrfsite1Protocol[ip]:TargetIPaddress:Sourceaddress:SW2#traceroutevrfsite1Protocol[ip]:TargetIPaddress:Sourceaddress:Numericdisplay[n]:ResolveASnumberin(G)lobaltable,(V)RFor(N)one[G]:Timeoutinseconds[3]:Probecount[3]:MinimumTimetoLive[1]:MaximumTimetoLive[30]:PortNumber[33434]:Loose,Strict,Record,Timestamp,Verbose[none]:Typeescapesequencetoabort.TracingtheroutetoVRFinfo:(vrfinname/id,vrfoutname/id)10msec0msec0msec2[MPLS:Labels21/33Exp0]36msec36msec36msec3[MPLS:Labels22/33Exp0]36msec40msec40msec4[MPLS:Labels20/33Exp0]36msec32msec36msec5[MPLS:Labels0/33Exp0]36msec52msec36msec632msec*36msec5.3.2測試R2于R3loo1的連通性R2#pingTypeescapesequencetoabort.R2#pingTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:U.U.USuccessrateis0percent(0/5)帶源：R2#pingsourceR2#pingsourceTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:Packetsentwithasourceaddressof.!!!!Successrateis80percent(4/5),round-tripmin/avg/max=33/33/34ms這里我們就能看出實驗的結論了，帶源p