上海交通大学本科毕业论文
互联网安全技术——IPSecVpn技术的研究与部
署
学 生:*** 学 号:***** 专 业:****** 导 师:***
学校代码:***
上海交通大学 二O一六年一月
I
毕业论文声明
本人郑重声明:
1、此毕业论文是本人在指导教师指导下独立进行研究取得的成果。除了特
别加以标注和致谢的地方外,本文不包含其他人或其它机构已经发表或撰写过的研究成果。对本文研究做出重要贡献的个人与集体均已在文中作了明确标明。本人完全意识到本声明的法律结果由本人承担。
2、本人完全了解学校、学院有关保留、使用学位论文的规定,同意学校与学院保留并向国家有关部门或机构送交此论文的复印件和电子版,允许此文被查阅和借阅。本人授权上海交通大学网络教育学院可以将此文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本文。
3、若在上海交通大学毕业论文审查小组复审中,发现本文有抄袭,一切后果均由本人承担(包括接受毕业论文成绩不及格、缴纳毕业论文重新学习费、不能按时获得毕业证书等),与毕业论文指导老师无关。
作者签名: 日期:
II
摘 要
VPN的英文全称就是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,那么虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比像是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比是去电信局申请专线,但是不用给铺设线路的费用,也不用去购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)定义成经过一个公用网络(一般是因特网)建立一个临时、安全的连接,这是个穿过混乱的公用网络的安全的、稳定的隧道。我要研究的就是在IPv6下通过IPSec协议如何去实现VPN。
关键词: VPN,IPv6,IPSec
ABSTRACT
VPN is the English name \"Virtual Private Network\private network.\" As the name suggests, a virtual private network we can understand it as a virtual enterprise from the green. It can be through special communication protocol encryption at connecting on the Internet at different places at two or more companies set up between the internal network of a proprietary line of communication is like a line to set up the same, but it does not really necessary to the laying of fiber optic cable lines, such as physics. This is like an application to telephone lines, but do not need to give the cost of laying lines, but also do not buy routers and other hardware equipment. VPN router technology was one of the important technologies, the current switch, firewall software and other equipment or WINDOWS2000 also support VPN functions, word, VPN at the core of public networks, virtual private network set up.
Virtual Private Network (VPN) is defined as through a public network (usually the Internet) to establish a temporary and safe connection, is a public network through the chaos of the security, stability of the tunnel. I would like to study in the IPv6 protocol through IPSec how to achieve VPN
Key Words: VPN,IPv6,IPSec
I
目 录
摘 要 ....................................................................................................................................................................... I ABSTRACT ............................................................................................................................................................ I 第一章 引 言 ...................................................................................................................................................... 1
1.1 研究背景 .................................................................... 2 1.2 研究内容及意义 .............................................................. 2 1.3 论文结构 .................................................................... 2
第二章 VPN原理及实现环境介绍 ........................................................................................................................ 3
2.1.开发工具 .................................................................... 3 2.1.1.关于VPN及VPN软件 ........................................................ 3 2.2.运行的网络环境 .............................................................. 3 2.2.1.运行的网络环境-IPV6 ....................................................... 3 2.2.2. IPSEC协议 ................................................................ 6 2.2.3. 实验室硬件网络环境 ....................................................... 7 第三章 具体的实际设计原理 ............................................................................................................................. 8
3.1 IPSEC的具体配置 ............................................................. 8 3.1.1配置的总体步骤与思路 ....................................................... 8 3.1.2设计配置的具体步骤 ......................................................... 9 3.2 IPV6的具体设计 ............................................................. 15 3.3.VPN的具体设置 .............................................................. 16
第四章 实际设计操作....................................................................................................................................... 18
4.1 搭建IPV6环境的网络 ........................................................ 18 4.1.1配置路由器 ................................................................ 18 4.2 配置IPV6手动隧道 .......................................................... 19
第五章 研究结论............................................................................................................................................... 23
5.1 研究内容的总结 ............................................................. 23 5.2 存在的不足和以后的前景展望 ................................................. 23
参考文献 .............................................................................................................................................................. 24
1
第一章 引 言
1.1 研究背景
步入二十一世纪,因为信息技术大量的使用,以及商业全球化的影响下,各大跨国公司和组织都在世界各地设立了自己的分支机构,同样在全球也遍及了他们的商业伙伴或是合作上有联系的组织或是机构。但是在当前的Internet公网里进行本组织内部的机密信息交流是不安全的,同样也面临着如何在公网去接入该公司或组织内部网络的问题,如果专门铺设线路,很显然,因为全世界的影响,我们不可能在全世界的范围内去为本公司组织来铺设专门的线路供其他地区的分部使用,这无论是在经济上还是其他方面都将是非常难以实现的,在这样的大背景下,虚拟专网技术从而诞生,这就成了我们所说的技术VPN。下面我们关于VPN方面的文章为大家介绍下,更多着方面的信息我们将在以后来进行补充。
1.2 研究内容及意义
本课题研究的就是如何在IPv6下通过IPSec协议去实现VPN技术,此研究项目的重点个人认为是在路由器的配置上,在路由器上的配置应占实际操作的大部分;其次就是理论上的研究,毫无疑问,首先必须要熟悉IPv6这个环境,因为它还没有普及开来,在熟练掌握IPv6的基础上,我们现在来做VPN技术,所以重点是IPSec的协议研究上面;IPSec 规定了怎样选择安全算法,安全协议,密钥交换,数据源认证,以及数据加密等的网络安全服务,所以说我们实际操作的重点应放到路由器的配置上,而理论的研究上应该放到IPSec协议的了解与掌握上,这就是我个人觉得所要研究的内容重点。
1.3 论文结构
本论文共分为五章,各章节的主要内容如下:第一章就是绪论,主要介绍了课题的研究背景、内容及意义;第二章介绍了配置该VPN所需要的运行环境以及要涉及的知识点;第三章是详细的介绍设计过程,关键是原理性的东西;第四章是主要介绍实际操作上的详细操作;第五章是研究结论与未来研究,综合的阐述下此课题项目的收获所得,并做详细的总结,并对此技术的未来简单的展望一下。
2
第二章 VPN原理及实现环境介绍
2.1.开发工具
2.1.1.关于VPN及VPN软件
总体来说VPN具有以下的几大特点: (1)安全保障。
(2)服务质量保证(QoS)。 (3)可扩充性灵活性。 (4)可管理性。
我的试验设计所采用的是安联公司的VPN产品,“安联防火墙/VPN”软件采用丹麦F/X公司性能卓越的IPSec VPN处理引擎,并引入多种网络适应性技术,能够在各种复杂的网络环境中迅速建立易于管理、扩展灵活、安全可靠、能满足各种应用需求的VPN网络,包括:远程接入VPN、远程局域网互联VPN、多层网状VPN。软件同时具备先进的主动入侵防御防火墙功能,可有效保护VPN系统宿主机和企业内部网络的安全。
此VPN软件采用IPsec安全协议和主动入侵防御技术,系统和通讯可以得到安全双重保证。
独立于操作系统的底层数据包截获模块和IPSec引擎,保证先于操作系统处理全部通讯。 严格遵守IPSec安全通讯标准,支持64位到256位加密算法件和多种用户认证方式。 集成的主动防御防火墙技术,无论边界安全威胁还是来自VPN内部的安全挑战,都能积极防范。
关于VPN的具体应用操作起来也并不是很困难,同一工作组可以互相通讯,既加强了联络,又确保了数据安全。而各个工作组之间不能互相通讯,保证公司内部数据安全。
2.2.运行的网络环境 2.2.1.运行的网络环境-IPv6
IPv6(Internet Protocol version 6)即网际协议第六版。我们当前正在使用的是第四版,我一般不说IPv4,只有与IPv6相提并论时才指出它是第四版。
一、开发IPv6的原因
3
TCP/IP的开发者,当时并没有预料到互联网在今天会这么火。互联网的迅猛发展使用TCP/IP协议已经不能满足人们的需要了,阻碍了互联网的发展,主要表现在:1、IP地址已经枯竭,不够用了。互联网技术来自于美国,当然互联网的发展、管理由美国人掌控了,据说美国一所大学拥有的IP地址数量比我们中国还要多!IP地址不够用而且分配不合理。于是出现了划分子网、无分类编址、NAT技术来应对,但终究解决不了实质问题。IPv6的地址使用128bit表示,据估计,使用IPv6,夸张的讲,可以让地球上的每一粒沙子分得一个IP地址。2、由于IPv4地址分配不合理及互联网的迅猛发展,互联网核心路由器的路由表日益膨胀,使得核心路由器负荷很重,在路由选择计算速度也明显下降。严重影响并制约了互联网的发展。IPv6在这方面做了改进,可以更好支持选路。IPv4数据包报头过于臃肿也会降低数据传输的速度,IPv6数据包采用主报头与扩展报头的方式,来减少不必的数据传输。3、IPv4对QoS(Quality of Service)支持不够好。网联会议、网络电话、网络电视迅速普及与使用,这就要求有更好的QoS来保障这些音频、视频实时转发。IPv6则提供更好的QoS服务。4、安全性问题。TCP/IP协议在诞生的那一天,根本没有考虑到安全性问题,这就致使今天我们的互联网安全性很差,可以利用协议本身进行攻击。为弥补TCP/IP协议的不安全因素,虽然开发了与之相关的安全补丁协议(IPSec,将其称之为补丁协议,是指它们后来才开发的,用来弥补),但不能从根本上解决安全问题。IPv6在安全性方面会大大增强。
二、IPv6的地址分配
配置IPv6时觉得地址很长,这是配置IPv6地址的最大感受。
IPv6地址有128bit,分为八节,每节十六bit,用冒号分十六进制法表示,形如:ABCD:EF01:2345:6789:ABCD:EF01:2345:6789, IPv6支持零压缩表示。比如: 1,它是被压缩后的表示方法,它的完整的记法是0:0:0:0:0:0:0:1。IPv6地址已经没有掩码一说,使用的是前缀。
多播(Multicast)地址比较容易识别,即所有以FF开头的IPv6地址都是多播地址。 IPv6的Unicast(单播)地址
IPv6的单播地址有多种类型:Global Unicast(全局单播地址)、Site-Local Unicast(场点本地单播地址)、Link-Local unicast(链路本地单播地址),在全局单播地址中,还有其它一些子类型的,有特殊用途的、保留的地址等。还有IPv6/IPv4嵌入式地址等。个人无论学习哪一门知识,我们都应该从易到难,逐步进行,学习IPv6也是一样,逐步学习。 三、IPv6数据报格式
4
报头格式
下面IPV4的数据报头,IPv4报头结构,阴影部分代表IPv6中删除的域
图1 Figure1
下面为IPv6报头结构,阴影部分代表新增的域
图2
Figure2
从上图中我们可以年到IPv6报头与IPv4相比较减少许少,这是因为IPv6报头采用主报头与扩展报头的结构。
5
2.2.2. IPSec协议
IPSEC穿越NAT特性可以帮助用户穿过NAT网关在公网地址和私网地址间建立VPN隧道,极大拓展了IPSes VPN的应用范围,正因为此特性,所以协议用于VPN上,使得VPN在实现使用时不但安全而且可靠。
IPSec不是单独协议,它给出了使用在IP层上数据安全的体系结构,包括认证头协议Authentication Header、密钥管理协议Internet Key Exchange和一些用在网络认证及加密算法等。
IPSec 用下面两种协议来安全服务得:
AH(Authentication Header)是认证头协议。认证算法有 MD5(Message Digest)、SHA-1(Secure Hash Algorithm)等。
ESP(Encapsulating Security Payload)是报文安全封装协议。 一、安全特性
IPSec的安全特性有:
·不可否认性 它能证明信息发送者是唯一发送者,发送方不可以否定发送过的消息。\"不可否认性\"是使用公钥技术的特征,当采用公钥技术的时候,发送方用私钥产生数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。因为只有发送者才拥有私钥,也只有发送者才可以给该数字签名,所以如果数字签名可以经过验证,发送方就不可以否定以前发送过这条消息。不过\"不可否认性\"不是基于认证的共享密钥技术的特征,因为基于认证的共享密钥技术中,发送者和接收者有着一样的密钥。
·反重播性 它保证了IP包的唯一性,确保了信息一般被截拷贝后,不可以再被重新利用、传输回目的地址。
·数据完整性 防止传输的时候数据被改,如果包被改以至于检查和不相符,数据包就将被扔掉。
二、基于电子证书的公钥认 三、预置共享密钥认证 四、公钥加密
五、Hash函数和数据完整性
六、加密和数据可靠性
IPSec用的数据加密是DES--Data Encryption Standard(数据加密标准)。
6
七、密钥管理 ·动态密钥更新 ·密钥长度
·Diffie-Hellman算法
Diffie-Hellman算法是用于密钥交换的最早并且安全的算法之一。DH算法的原理是:通信双方公开或者是半公开交换用来进行密钥的\"材料数据\",在相互交换过密钥生成\"材料\"后,两端能够独自生成出同样的共享密钥。无论什么时候,双方都一定不可以交换真正的密钥。
通信双方交换的密钥生成\"材料\", \"材料\"长度越长,那么生成的密钥强度也随着变得更高,密钥破译也会变得更加困难。 除了密钥交换外,IPSec还能够进行DH算法生成所有其他的加密密钥
2.2.3. 公司硬件网络环境
本人的毕业设计是在我们公司进行配置的,实验室的硬件网络环境如下图所示:
图3 Figure3
7
计算机推荐配置:
表2.2.3 Table 2.2.3 PC微机 测试硬件环境 推荐硬件环境 CPU2 Inter 1.6G 主频2.0G以上 内存 1G 最少256M,推荐512M以上 硬盘 80G 40G以上
该实验室所采用的均是华为系列的路由器及交换机,所以在进行网络配置的时候应当对该品牌的产品有一定程度的了解。
第三章 具体的实际设计原理
3.1 IPSec的具体配置 3.1.1配置的总体步骤与思路
表3.1.1 Table 3.1.1
配置任务 说明
配置访问控制列表 必选 配置安全提议 必选 配置安全策略 必选 在接口上应用安全组策略 必选 在加密卡接口上绑定安全组策略或者安全策略 可选 使能加密引擎 可选 使能主题软件备份 可选 配置绘画空闲超时时间 可选 使能解封装后IPSec保温的ACL检查开关 可选 配置IPSec抗重放功能 可选 配置共享源接口安全策略组 可选
8
实现方式基于如下思路:
1,通过 IPSec,对等体之间可以对不一样的数据流进行不一样的安全保护,数据流的区别能用配置ACL来行使;
2,安全保护用到的安全协议、认证算法还有加密算法等经过配置安全提议来行使; 3,数据流与安全提议的关联(就是对哪一种数据流进行哪方面保护)、SA的协商方式、对等体IP地址的设置(就是保护路径的起点和终点)、它要的密钥和SA生存周期等经过配置安全策略来实施;
4,最终在接口上进行安全策略就可以完成IPSec的配置。如果使用软件来进行,那么在接口上用安全策略就可以了。
3.1.2设计配置的具体步骤
一,配置访问控制列表
IPSec 访问控制列表能保护入口数据流和出口数据流。 数据流的保护方式有以下2种:
标准方式:一条隧道保护一条数据流。ACL里面的任意一个规则相对应的数据流都会把一条单独创建的隧道用来保护;
聚合方式:一条隧道保护ACL里面所定义的全面数据流。ACL里面的全部规则对应的数据流只会由一条创建的隧道用来保护。这种方法只是在IKE协商安全策略的情形下面才能够配。
二,配置安全提议
安全提议保存IPSec就要来用的指定安全协议、加密/认证算法和封装的模式,这是为IPSec协商SA提供全面的安全。
配置安全提议 表3.1.2.1 Table 3.1.2.1
操作 命令 说明 进入系统视图 system-view 必选 创建安全提议 ipsec proposal name 必选 并进入安全提议视图
配置安全提议采用 transform{ah|ah-esp|esp} 可选
9
的采用的安全协议
配置安全算法 默认 可选 配置安全协议对ip报文的 encapsolution-mode 可选 封装形式
说明:
可以向安全提议提供修改,不过对已经协商好的SA,新的安全提议没有什么用处,就算SA还是用本来的安全提议(除了使用 reset ipsec sa 命令重置),职能用新协商的SA将使用新的安全提议。当选择了相应的安全协议后,这个安全协议它用的安全算法才可配置。就像使用transform 得命令用了esp,只有 ESP 必须的安全算法才能够配置,但AH的安全算法就不可以配置。ESP协议同意对报文一起加密并且认证,或者仅仅只能加密,或仅只能只认证。
三,配置安全策略
安全策略分别有两种策略, 即IKE协商安全策略和手工安全策略,假如用手工方式建立一条安全策略,就不可以再修改它为IKE协商建立,还必须删掉这个安全策略接下来再建立;反之亦然。
配置手动安全策略:
表3.1.2.2 Table 3.1.2.2
操作 进入系统视图 用手工方式创建一条安全策略,并进入安全策略
视图
配置安全策略引用的访
问控制列表 配置安全策略所引用的
安全提议
10
命令
System-view
Ipsec policyname seq-number manual
说明 --- 必选
Security acl acl-number 必选
ipsec proposal name 必选 缺省情况下,没有安全提议
配置隧道的起点与终点 配置安全联盟的安全参
数索引参数 配置协议的认证密钥 配置ESP协议的加密密
钥
Tunnel local ip-address Sa spi spi-number
必选
必选
Sa authentication-hex Sa string-key esp
必选 必选
直接配置 IKE 协商安全策略:
表3.1.2.3 Table 3.1.2.3
操作 进入系统视图 创立一条安全策略,并进
入安全策略视图 配置安全策略引用的访
问控制列表 安置安全策略所引用的
安全提议
在安全策略中引用IKE对Ike-peer peer-name
等体 返回系统视图
安全策略模板可配置的参数与 IKE 方式的 IPSec 安全策略相同,不过大量参数是能够选择的。
11
命令
System-view Ipsec policy isakmp
说明 --- 必选
Security acl ad-number 必选
Proposal proposal-name 必选 缺省情况下,没有任何提议
必选
quit
一定要配置的参数有IPSec安全提议和 IKE 对等体,保护的数据流,直接方式下的可选参数 PFS 特性、生存周期一样能够不用配置。
引用安全策略模板配置 IKE 协商安全策略:
表3.1.2.4 Table 3.1.2.4
操作 进入系统视图 建立一个安全策略末班,并进入安全策略模版视
图
配置安全策略所引用的
安全提议
在安全策略中引用IKE对
等体 退回系统视图 引用安全策略模版,创建
一条安全策略
四,在接口上应用安全策略组
命令
System-view
Ipsec policy policy-template
说明 --- 必选
Proposal proposal-name 必选
Ike-peer peer-name 必选
quit Ipsec suq-name
policy
policy-name
必选
安全策略组是所有具有相同名字、不同顺序号的安全策略的集合。一个安全策略组里面,越小顺序号的安全策略,优先级别就越高。为了使SA能够生效,需要每一个要加密的数据流和要解密的数据流它们所在接口(逻辑的或者物理的)上使用个安全策略组,这用来对数据提供保护。就在取消安全策略组在接口上的应用之后,这个接口就没有了对IPSec的安全保护作业。从一个接口发送数据的时候,就会按照从小到大的顺序号来找安全策略组里面每条安全策略。假如数据找到一条安全策略引用的访问控制的列表,那么用这条安全策略对数据提供处理;假如数据没能够匹配到安全策略引用的访问控制列表,就继续查找下一条安全策略;假如数据和全部的安全策略引用的访问控制
12
列表都不能匹配,那么直接给发送(IPSec 不对数据加以保护)。IPSec安全策略不但能够适用到串口和以太网口这些实际物理接口上之外,而且还可以适用到 Tunnel、Virtual Template这些虚接口上。这样能够根据实际组网要求,在像GRE、L2TP这些隧道上应用。
五,在加密卡接口上绑定安全策略组或者安全策略
表3.1.2.5 Table 3.1.2.5
操作 进入系统视图 进入加密卡接口视图 绑定安全策略组或者安
全策略
六,使能加密引擎功能
命令
System-view
Interface encrypt interface-number Ipsec binding policy policy-name
说明 --- --- 必选
加密引擎那是设备的个处理器,为了IPSec处理提供个加密和解密算法接口。假如加密卡绑定了,只要加密工作状态没问题,就可以让状态正常的加密卡来执行。假如加密卡发生异常的时候,报文就会被丢弃。
假如没有绑定加密卡,那将会有两种情况:假如加密引擎功能在使能状态,那么加密引擎就会进行 IPSec 处理;假如加密引擎功能在禁止状态或者加密引擎不正常,而且主体软件备份功能在使能状态,那么就让主体软件 IPSec 模块进行 IPSec 处理;假如主体软件备份功能在禁止状态,那么报文就会被丢弃。
七,使能主体软件备份功能
表3.1.2.6 Table 3.1.2.6
操作 进入系统视图
命令
System-view
说明 ---
13
使能主体软件备份功能
八,配置会话空闲超时时间
Ipsec cpu-backup enable 必选
数据包第一次匹配 IPSec 策略之后建立 IPSec 会话,并且按照匹配的结果建立 IPSec 会话表项,会话表项里面记载报文的五元组(源 IP 地址、目的 IP 地址、协议号、源端口、目的端口)以及匹配的 IPSec 隧道。IPSec 会话的删除按照 IPSec 会话的空闲超时时间来决定。IPSec会话在超过它的空闲超时时间之后,会给自动删除。这个会话后面的数据流按照报文的五元组,来查找会话表项。假如找到匹配的会话表项,那么按照会话表项中的隧道信息来处理;假如没有找到匹配的会话表项,那么就根据本来的处理流程进行处理,就是从接口下查找策略组、策略,最终查找匹配的隧道进行处理。IPSec流程里面增加的会话处理机制,大大节省了里面匹配过程,加强了 IPSec转发的效率。
九,使能解封装后 IPSec 报文的 ACL 检查功能
对于解封装以后的入方向 IPSec 报文,有几率出现报文的内部 IP 头不在当前安全策略配置的 ACL 保护范围里面的状态,有需要重新检查报文内部 IP 头是不是在 ACL 保护的范围里面。使能这个功能后能够保证 ACL 检查不通过的报文会被丢弃,进一步提加强网络安全性。
十,配置 IPSec 抗重放功能
一般来讲重放报文是形容已经处理好的报文。IPSec用滑动窗口(抗重放窗口)方法检测重放报文。AH 和 ESP 协议报文里面带有序列号,假如序列号和已经解封装过的报文序列号完全一样,或者报文的序列号出现得比较早,那么就是已经超过了抗重放窗口的范围,这就定义这个报文是重放报文。因为对重放报文的解封装没用实际功能,而且解封装的这个过程有提及密码学方面的运算,这会消耗设备很多很多的资源,以至于使业务的可用性降低,其实就是拒绝服务攻击。通过使能IPSec抗重放检测功能,把重放报文在解封装处理的前面丢掉,这能够下降设备资源的消耗。除此之外在特别的环境下面,业务数据报文的序列号顺序也许和正常的顺序有很大不一样,尽管这不是有意的重放攻击,不过可能给抗重放检测认定这个是重放报文,从而使得业务数据报文给丢掉,导致业务的难以正常进行。所以来说在这情况下就要通过关掉IPSec抗重放检测功能,以便业务数据报文的不被错误丢弃,也能够用相应增大抗重放窗口的宽度,来适合业务正常运行的需要。
14
十一,配置共享源接口安全策略组
为了加强网络的可靠性,核心设备有2条出口链路,这2条出口链路互相作为备份或者负载分担。 在不一样的业务接口应用安全策略组的时候,每一个接口都会各自协商产生 IPSec SA,在主备链路更换的时候,接口将会产生up/down情况的变化,这个就要重新开始IKE 协商,从而使数据流短暂中断。经过配置安全策略组作为共享源接口安全策略组,这样能够实现在主备链路更换时候业务不会中断。多个物理接口一起使用一个共享源接口动态协商的 IPSecSA,在这些物理接口相应的链路切换的时候,假如源接口的状态还是没有变化,那么将不删除 IPSec SA,而且也不用重新触发 IKE 协商,立马使用一样的 IPSec SA 继续保护业务流量。当前共享源接口只可以为Loopback 接口。
表3.1.2.7 Table 3.1.2.7
操作 进入系统视图 配置安全策略组为共享源接口安全策略组
命令
System-view
Ipsec policy policy-name local-address
loopback number
说明 --- 必选
3.2 IPv6的具体设计
配置 IPv6 手动隧道:
表3.2 Table3.2
操作 进入系统视图 使能ipv6保温转发功能 创建Tunnel接口并进入
tunnel接口视图
命令
System-view
Ipv6
Interface tunnel number
说明 --- 必选 必选
设置tunnel的ipv6地址 Ipv6 address 配置为ipv6手动隧道模
Tunnel-protocol ipv6-ipv4
必选 必选
15
式
设置tunnel端口的源地
址与目的地地址
说明:隧道接口发送 IPv6 报文的 MTU 值的相关配置可参考\"IP 业务分册/IPv6 基础配置命令\"中ipv6mtu。
必选
3.3.VPN的具体设置
1. 首先需要在ERP服务器上启动安联VPN软件,通过“VPN配置向导”配置一条VPN服务器策略,并为每个远程VPN终端建立一个VPN用户帐号。
步骤一:配置VPN服务器端隧道策略
启动安联VPN软件后,从“开始 --〉程序”菜单中找到“安联防火墙VPN”程序组,执行“控制台”命令,打开程序控制台
用鼠标右键单击控制台左侧边栏,打开系统菜单,在菜单中选择执行“VPN --〉配置向导”命令,打开VPN配置向导窗口
16
在VPN配置向导窗口中选择“VPN服务器配置”,点击下一步
在此窗口中,您可以修改共享密钥,也可以使用缺省的配置。
但请注意,如果在此处修改了共享密钥,那么当您配置VPN客户端时,也需要输入同样的密钥。
点击下一步
在此窗口中,您不需要做任何修改,使用缺省配置即可。点击下一步
17
第四章 实际设计操作
4.1 搭建IPv6环境的网络
我们需要两台路由器,两台电脑,就像下图所展示的,把HOST A和路由器A连起来,模拟其是在外网的一台需要通过VPN技术访问内网的计算机,而我用HOST B模拟出一个需要HOST A去访问的内网。
这是需要在实验室搭建出来的网络布局
4.1.1配置路由器
配置步骤:
(1) 配置 Router A
# 可以让路由器的 IPv6 具有转发作用。 #手工指定接口 Ethernet0/0 的全球单播地址。 [RouterA]interface serial 2/0 [RouterA-serial2/0] ipv6 address 3001::1/64 [RouterA-serial2/0] ip address 192.168.100.1 255.255.255.0 Ripng 1 enable [RouterA] interface ethernet 0/0 [RouterA-Ethernet0/0] ipv6 address 2001::1/64 18 [RouterA-Ethernet0/0] ip address 192.168.20.1 255.255.255.0 [RouterA-Ethernet0/0] undo ipv6 nd ra halt Ripng 1 enable Ripng 1 (2)配置 Router B # 可以让路由器的 IPv6 具有转发作用。 # 手工指定接口 Ethernet0/0 的全球单播地址。 [RouterB] interface Ethernet 0/0 [RouterB-ethernet 0/0]ipv6 address 4001::1/64 [RouterB-ethernet 0/0] ip address 192.168.30.1 255.255.255.0 Ripng 1 enable [RouterB-ethernet 0/0]quit [RouterB] interface serial 1/0 [RouterB-serial1/0] ipv6 address 4001::1/64 [RouterB-serial1/0] undo ipv6 nd ra halt Ripng 1 enable Ripng 1 #配置 Host A Host 上安装 IPv6,按照 IPv6 邻居找到自动配置地址。 4.2 配置IPv6手动隧道 设备上的接口已经配好 IP 地址,确保能够可以正常通信。那些接口可以当作 Tunnel的源接口,能够确保隧道目的地址路由可以到达。 配置的步骤 (1) 配置 Router A 19 # sysname RouterA # radius scheme system # domain system # ike proposal 1 # ike peer a pre-shared-key huawei-3com remote-address 3001::2/64 # ipsec proposal a # ipsec policy a 1 isakmp security acl 3000 ike-peer a proposal a # acl number 3000 rule 0 permit ip source 2001::1/64 destination 4001::1/64 interface Ethernet0/0 ipv6 address 2001::1/64 # interface Serial2/0 link-protocol ppp [RouterA-serial2/0] ipv6 address 3001::1/64 ipsec policy a # interface NULL0 # user-interface con 0 user-interface vty 0 4 # return (2) 配置 Router B # sysname RouterB # radius scheme system # domain system # ike proposal 1 # 20 ike peer b pre-shared-key huawei-3com remote-address 3001::2/64 # ipsec proposal b # ipsec policy b 1 isakmp security acl 3000 ike-peer b proposal b # acl number 3000 rule 0 permit ip source 4001::1/64 destination 2001::1/64 # interface Ethernet0/0 ipv6 address 4001::1/64 # interface Serial2/0/0 link-protocol ppp ipv6 address 3001::1/64 ipsec policy b # interface NULL0 # user-interface con 0 user-interface vty 0 4 # return 验证配置结果 确认RouterA上建立ike sa [RouterA]dis ike sa Total phase-1 Sas:1 connection-id peer flag phase doi ---------------------------------------------------------- 2 202.0.0.2 RD|ST 1 IPSEC 3 202.0.0.2 RD|ST 2 IPSEC flag meaning RD--READY ST--STAYALIVE RL--REPLACED TO--TIMEOUT 21 FD--FADING 或在完成后,分别查看 Router A 和 Router B 的 Tunnel 接口状态如下: [RouterA] display ipv6 interface tunnel 0 verbose Tunnel0 current state :UP Line protocol current state :UP IPv6 is enabled, link-local address is FE80::C0A8:6401 Global unicast address(es): 3000::1, subnet is 3000::/64 Joined group address(es): FF02::1:FFA8:6401 FF02::1:FF00:1 FF02::1:FF00:0 FF02::2 FF02::1 MTU is 1480 bytes ND reachable time is 30000 milliseconds ND retransmit interval is 1000 milliseconds Hosts use stateless autoconfig for addresses IPv6 Packet statistics: InReceives: 55 (略) [RouterB] display ipv6 interface tunnel 0 verbose Tunnel0 current state :UP Line protocol current state :UP IPv6 is enabled, link-local address is FE80::C0A8:3201 Global unicast address(es): 3000::1, subnet is 3000::/64 Joined group address(es): FF02::1:FFA8:3201 FF02::1:FF00:1 FF02::1:FF00:0 22 FF02::2 FF02::1 MTU is 1480 bytes ND reachable time is 30000 milliseconds ND retransmit interval is 1000 milliseconds Hosts use stateless autoconfig for addresses IPv6 Packet statistics: InReceives: 55 (略) 得到类似上述结果,则配置成功;然后用3.3中的VPN具体设置利用实现准备好的软件验证一下VPN联通就成功了。 第五章 研究结论 5.1 研究内容的总结 经过三个月的设计与实际操作,本人的毕业设计已经完全完成,自己能够在IPv6下熟练地通过IPSec协议去实现VPN,并且在不断练习实验的过程中,本人对这些技术的理论性东西有了更深层次的了解及掌握,在头脑里有了比较清晰的知识轮廓。 个人觉得我的这个毕业设计题目最大的有点就在于动手性、可操作性非常强,不仅可以充实自己的理论认识,更能很好的锻炼自己的动手能力,二者相互结合。 5.2 存在的不足和以后的前景展望 个人觉得在做这个毕业设计的过程中有的时候过于因为小细节而去斤斤计较,其实当时如果把视线转移下,往下面看看,想想的话,问题很容易就会迎刃而解的,在以后的学习过程中一定要学会如何巧学,一定要活学活用,不能死板的去学习知识;关于这个设计本身的不足,我认为我做的毕业设计完全是在华为的硬件条件下进行的,日后如果换到其他品牌的硬件上去实现该功能也许可能会遇到一些麻烦,所以其他硬件厂商提供的硬件设备也应该有机会的话去了解一下,最好能过亲自动手去做做,那就再好不过了。 对于这个领域的前景个人通过网络上的一些信息现在认为,这些年来,VPN的业务和市场发展很快。因为VPN有很好的性价和它自己标准的不断改良,这让大家用VPN更加的经济适用。国外有些 23 机构预测,在二十一世纪初将会有55%的公司想要创建VPN。除此之外因为全球经济的一体化,大量的国际业务和地区间业务快速的发展,做相关商务活动的企业也在迅速增多起来,而且VPN在扩大业务的时候还下降了长途的通信费率,这种种情况都加快了VPN市场的发展。按照有关调研报告,VPN业务的发展会给公司提供节约长途专线租用成本的20%~47%,节约远程拨号费用的60%~80%。 就从中国来讲,现在中国的公用网,不管是电话网或数据网全部都拥有了十分强大的规模和水平。X.25、DDN及帧中继等网络已经投入运营,中国各地的163/169并网工程也都在陆续完成,这就为VPN业务提供了很好的承载网络。不过因为我国的很多的公司网都没有很成熟,而且多数公司也不明白VPN技术可以给他们带来的多少经济效益,因此VPN业务的发展还需要中国电信和ISP们全力在中国各地进行宣传。 从VPN在全球的拓展上说,它对Internet服务提供商以及一些需要VPN的企业和公司讲,这都是个十分好的选择。我国各各公司在建立自己公司专用网络的时候,能够按照各自的需求选用VPN以及哪一种方式的VPN,这可以更加经济高效快速地满足公司对话音、数据、视象等大量业务的需求。 参考文献 [1] 高海英 等.《VPN技术》.机械工业出版社,2004,01(4). [2] 王相林. 《IPv6技术新一代网络技术》.机械工业出版社.2008. [3] 华为3Com技术有限公司.《IPv6技术》——华为3Com网络学院系列教材.清华大学出版社.2004. [4] (美)博兰普拉格德(美)肯哈利德(美)韦恩纳. 《IPSec VPN设计》.人民邮电出版社,2006,01(5). [5] 华为3Com技术有限公司.《MSR20-20操作手册》.华为3Com技术有限公司,2008. [6] :(美国)(Richard Tibbs)迪波斯 (美国)(Edward Oakes)奥克斯 .《防火墙与VPN原理与实践》.清华大学出版社,2008. [7] Mark Levis,美.《VPN故障诊断与排除》。人民邮电出版社.2006. [8] 周贤伟. 《IPSec解析/现代通信高技术丛书》.国防工业出版社.2006. [9] 周逊,IPv6一下一代互联网的核心,北京:电子工业出版社,2003. [10] 戴宗坤.VPN与网络安全.北京:电子工业出版社,2002年. 24 [11] 刘宏毅.基于IPSec的VPN技术原理与实现.沈阳航空工业学院学报: 21(2):55-57. [12] 杨冬虎,张维勇等.MPLS VPN与IPSec VPN技术分析研究.合肥工业大学学报 (自然科学版):26 (6): 1174-1177. 致 谢 25 因篇幅问题不能全部显示,请点此查看更多更全内容