我謹(jǐn)在此承諾：本人所寫的畢業(yè)論文《中小企業(yè)基于IPSec的波及其他作者的觀點(diǎn)和材料，均作了注釋，若有不實(shí)，后果由本人承承諾人(簽名):摘要本文陳說了虛擬專用網(wǎng)VPN技術(shù)，并在數(shù)據(jù)安全和IPSec協(xié)議體系架構(gòu)的概信技術(shù)有限企業(yè)分企業(yè)與主企業(yè)之間，使他們能進(jìn)行安全互聯(lián)和資源共享。詳細(xì)簡介了基于IPSec的VPN,通過Internet虛擬專線安全互聯(lián)處理在中小企業(yè)企關(guān)鍵詞：IPSec(Internet協(xié)議安全性);VPN(虛擬專用網(wǎng));IKE(Internet密鑰互換);AH(認(rèn)證頭);ESP(封裝安全載荷)Thisarticleintroducesbasedontheconceptofdaarchitecture.IPsecprotocol'sworkingprinciple,characteristicsandapplicatvirtualprivatenetworkVPNtechnology.ItanalyzedbasingontheIPsecVPNchannelimplementationprocess.ItraisedthesolutionsbasedontheIPsectosolvetheimportantroleplayeKeywords:IPSec(InternetProtocolSecurity);VPN(VirtualPrivateNetw(InternetKeyExchange);AH(AuthenticationHeader);ESP(EncapsulatingSecu目錄2.'VPN概述和比較…………………錯誤!未定義書簽。2.2老式的處理方案……錯誤!未定義書簽。3.4非對稱加密算法……錯誤!未定義書簽。4.1IPSec產(chǎn)生4.2IPSec概述4.5IPSec工作模式……5.1IKE簡介……………5.3IKE與IPSec的關(guān)系…………………錯誤!未定義書簽。5.4IKE互換協(xié)商階段……錯誤!未定義書簽。IKE安全關(guān)聯(lián)……錯誤!未定義書簽。IKE協(xié)商階段一…………………錯誤!未定義書簽。IKE協(xié)商階段二…………………錯誤!未定義書簽。6.IPSec與老式VPN技術(shù)結(jié)合………錯誤!未定義書簽。6.1GREoverIPSec………概述………………錯誤!未定義書簽。GREoverIPSec封裝格式………錯誤!未定義書概述………………錯誤!未定義書簽。7.中小企業(yè)基于IPSecVPN方案設(shè)計………………錯誤!未定義書簽。7.2現(xiàn)實(shí)狀況拓?fù)洹e誤!未定義書簽。7.3既有設(shè)備狀況……杭州總企業(yè)既有設(shè)備……………錯誤!未定義書簽。金華分企業(yè)既有設(shè)備……………錯誤!未定義書簽。紹興分企業(yè)既有設(shè)備……………錯誤!未定義書簽。寧波辦事處………錯誤!未定義書簽。溫州辦事處………錯誤!未定義書簽。7.4現(xiàn)實(shí)狀況IP地址……錯誤!未定義書簽。金華分企業(yè)現(xiàn)實(shí)狀況IP地址…錯誤!未定義書簽。紹興分企業(yè)現(xiàn)實(shí)狀況IP地址…錯誤!未定義書簽。寧波辦事處現(xiàn)實(shí)狀況IP地址…錯誤!未定義書簽。溫州辦事處現(xiàn)實(shí)狀況IP地址…錯誤!未定義書簽。7.5方案設(shè)計原則…………錯誤!未定義書簽。遵照國際原則……錯誤!未定義書簽。迅速性……………錯誤!未定義書簽。安全性……………錯誤!未定義書簽。易用性……………錯誤!未定義書簽。7.6設(shè)計目的………………錯誤!未定義書簽。異地網(wǎng)絡(luò)互連互通………………錯誤!未定義書簽。對多種應(yīng)用系統(tǒng)透明……………錯誤!未定義書簽。高安全性…………錯誤!未定義書簽。高可靠性…………錯誤!未定義書簽。高性能……………錯誤!未定義書簽。高性價比…………錯誤!未定義書簽。易于擴(kuò)展…………錯誤!未定義書簽。7.7設(shè)計后拓?fù)洹e誤!未定義書簽。7.8方案設(shè)計描述…………錯誤!未定義書簽。7.9功能分析………………錯誤!未定義書簽。7.10設(shè)備選型………………錯誤!未定義書簽。7.11設(shè)備清單………………錯誤!未定義書簽。8.1到貨實(shí)行………………錯誤!未定義書簽。8.2管理和協(xié)調(diào)措施……錯誤!未定義書簽。8.3系統(tǒng)應(yīng)急預(yù)案………錯誤!未定義書簽。8.4總體規(guī)劃………………錯誤!未定義書簽。系統(tǒng)實(shí)行計劃……錯誤!未定義書簽。設(shè)備訂貨…………錯誤!未定義書簽。設(shè)備交付及到貨驗(yàn)收……………錯誤!未定義書簽。安裝調(diào)試技術(shù)支持………………錯誤!未定義書簽。系統(tǒng)聯(lián)調(diào)和測試…………………錯誤!未定義書簽。技術(shù)人員培訓(xùn)……錯誤!未定義書簽。終驗(yàn)………………錯誤!未定義書簽。8.5設(shè)備型號及序列號…………………錯誤!未定義書簽。8.6實(shí)行IP地址規(guī)劃……錯誤!未定義書簽。8.7設(shè)備安裝配置…………錯誤!未定義書簽。登錄設(shè)備…………錯誤!未定義書簽。總企業(yè)IPSecVPN設(shè)備堆疊功能……………錯誤!未定義書簽。紹興分企業(yè)IPSecVPN設(shè)備配置……………錯誤!未定義書簽。寧波辦事處IPSecVPN設(shè)備配置……………錯誤!未定義書簽。金華分企業(yè)IPSecVPN設(shè)備配置……………錯誤!未定義書簽。溫州辦事處IPSecVPN設(shè)備配置……………錯誤!未定義書簽。參照文獻(xiàn)錯誤!未定義書簽。昂，而Internet的速率現(xiàn)已可以媲美專線，因此專線已經(jīng)難以適將會給企業(yè)帶來很大的損失。由于互聯(lián)網(wǎng)是一種建立在TCP/IP協(xié)議上的開放互IETFIPSec工作組于1998年，制定了一系列基于密碼學(xué)的開放的網(wǎng)絡(luò)安全協(xié)議，總稱IPSec(InternetProtocolSecurity,Internet協(xié)議安全),這個體系構(gòu)泛的一種協(xié)議。它可認(rèn)為IPv4和IPv6提供較強(qiáng)的安全保護(hù)。IPSec在RFC2401中定義的，它為IP數(shù)據(jù)流提供安全服務(wù)。安全服務(wù)的IPSec組件IPSec提供了兩種，都能為IPSec對等體之間傳播的IP數(shù)據(jù)流提供安全服務(wù)，它們分別是驗(yàn)證頭報頭AH和封裝安全有效負(fù)載ESP。驗(yàn)證頭報頭AH是一種安全有效負(fù)載ESP是通過度組報頭和報尾來提供消息的完整性，數(shù)據(jù)的來源驗(yàn)來實(shí)現(xiàn)IPSec完整性，保密性，來源認(rèn)證和重放防備，是IIPSec體系架構(gòu)位于網(wǎng)絡(luò)層，負(fù)責(zé)IP數(shù)據(jù)包的保護(hù)和認(rèn)證。這些IP包在有關(guān)的IPSec設(shè)備(對等)之間傳播，IPSec并不限定于某類尤其的密鑰技術(shù)，以及伴隨網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，尤其是電子商務(wù)業(yè)急切需要一種技術(shù)來實(shí)現(xiàn)基于公共的Internet來讓企業(yè)總部與分支機(jī)構(gòu)互聯(lián)和在外出差人員通過公共Internet連入企業(yè)內(nèi)網(wǎng)，虛擬專用網(wǎng)VPN(Virtual虛擬專用網(wǎng)VPN(VirtualPrivateNetwork),是在公共的Internet上建立一VPN的實(shí)現(xiàn)基本原理就是運(yùn)用了隧道技術(shù)。隧道技術(shù)就是將數(shù)據(jù)包封裝在目前目前公共的Internet上使用的基本都是IP協(xié)議，使用隧道技術(shù)，就可以完美處理這個問題，使兩個使用IPX協(xié)議的總部和分支機(jī)構(gòu)，可以通過公共的按照網(wǎng)絡(luò)層次辨別VPN是使用最多的辨別方式，按照網(wǎng)絡(luò)層次就是按照OSI網(wǎng)絡(luò)模型的層次來辨別VPN,可以分為鏈路層VPN和網(wǎng)絡(luò)層VPN。鏈路層VPN是先把網(wǎng)絡(luò)協(xié)議封裝到點(diǎn)到點(diǎn)協(xié)議中去，然后再把整個數(shù)據(jù)包網(wǎng)絡(luò)層VPN是先把網(wǎng)絡(luò)協(xié)議直接裝入VPN的隧道協(xié)議中，最終封裝完的PPTP是一種基于PPP協(xié)議的點(diǎn)對點(diǎn)VPN協(xié)議，常用于IP網(wǎng)絡(luò)，只能在兩L2TP和PPTP類似，也是一種基于PPP協(xié)議的點(diǎn)對點(diǎn)VPN協(xié)議，但其不僅可以應(yīng)用于IP網(wǎng)絡(luò)，還可以應(yīng)用于某些虛電路網(wǎng)絡(luò)ATM,幀中繼等。并且例如目前IPV6還沒有普及，有些企業(yè)使用IPV6,不過公共網(wǎng)絡(luò)Internet使用的是IPV4這樣會導(dǎo)致企業(yè)的數(shù)據(jù)無法路由，使用GRE協(xié)議，在企業(yè)出口路由器技術(shù)，基于ATM或者幀中繼的MPLS就是二層VPN技術(shù)，基于LDP協(xié)議或者BGP協(xié)議的MPLS就是三層VPN技術(shù)，三層MPLS技術(shù)相對于路由協(xié)議轉(zhuǎn)發(fā)IPSec是一種加密的VPN技術(shù)，它不僅可以對數(shù)據(jù)加密，對發(fā)送源進(jìn)3.數(shù)據(jù)安全基礎(chǔ)數(shù)據(jù)明文在公共的Inernet上傳播，存在被截取窺看的間，極大的加大了數(shù)據(jù)傳播延遲。常用的非對稱算法對于對稱加密算法計算會比較慢。在這種需的值使用發(fā)送方自己的私鑰進(jìn)行加密[9],再將數(shù)據(jù)和這個加密了的摘要值一起用接受方公鑰進(jìn)行加密，接受方怎樣安全的將自己的公鑰傳播給發(fā)送方呢?發(fā)送方收到后又怎樣來確定這個是不是真的是接受方的公鑰呢?現(xiàn)實(shí)生活中，我數(shù)字證書就是相稱于電子身份證，它將公鑰數(shù)字證書必須向權(quán)威機(jī)構(gòu)申請，申請成功后虛擬專用網(wǎng)VPN技術(shù)，僅僅處理了企業(yè)內(nèi)網(wǎng)的通信問題，當(dāng)敏感數(shù)據(jù)在不術(shù)橫行的今天，越來越多企業(yè)開始關(guān)懷數(shù)據(jù)的安全數(shù)據(jù)在Internet傳播，很輕易被更改，窺看。老式的VPN技術(shù)只能處理企造的提出，從主線上處理了VPN在公共Internet上傳播時的安全問題。IP協(xié)議設(shè)計的時候沒有考慮太多的安全性問題，而目前IP協(xié)議又成為了全們目前所說的IPSec(IPSecurity),來彌補(bǔ)IP協(xié)議在安全性方面的局限性。IPSec可認(rèn)為數(shù)據(jù)提供保密性，數(shù)據(jù)完全性，數(shù)據(jù)源驗(yàn)證，抗重播，訪問控制等一系列功能。由于IPSec在網(wǎng)絡(luò)層上實(shí)現(xiàn)，因此基于傳播層的TCP,UDP的可以在主機(jī)上實(shí)現(xiàn)，也可以在防火墻上實(shí)現(xiàn)，更可以使用專用的VPN硬件實(shí)目的IP的數(shù)據(jù)數(shù)據(jù)包獲取單向的相似的安全服務(wù)?？梢允腔贏H協(xié)議或者基于ESP協(xié)議的，創(chuàng)立單向的安全關(guān)聯(lián)，也就服務(wù)關(guān)聯(lián)源和目的地址。不過假如是同一數(shù)據(jù)流同步使用AH安全關(guān)聯(lián)數(shù)據(jù)庫(SecurityAsso報頭中的32bit的數(shù)值字段，其用途是在接受端識別數(shù)據(jù)流到安全關(guān)聯(lián)的綁定關(guān)安全方略數(shù)據(jù)庫(SecurityPol協(xié)議標(biāo)示符構(gòu)成的一種32比特的數(shù)值。關(guān)聯(lián)是顧客在需要配置IPSec的兩端手動配置某些參數(shù)，在匹配協(xié)商通建立安全關(guān)聯(lián)。IKE自動協(xié)商安全關(guān)聯(lián)，所有操作都由IKE協(xié)議成為維護(hù)，使4.4.1出站包處理流程需要圖4-1沒有找到?jīng)]有找到如錯誤!未找到引用源。所示，數(shù)據(jù)包出站要從某個配置了IPSec的路由器接口轉(zhuǎn)發(fā)之前，需要通過3個環(huán)節(jié)。系統(tǒng)再從安全關(guān)聯(lián)數(shù)據(jù)庫中去查找對應(yīng)的IPSec安全關(guān)聯(lián)。應(yīng)的IPSec安全關(guān)聯(lián)，就使用此安全關(guān)聯(lián)的參數(shù)對數(shù)據(jù)包提供安全服務(wù)后再進(jìn)行對應(yīng)的轉(zhuǎn)發(fā)。假如找不到響應(yīng)的IPSec安全關(guān)聯(lián)，此時就需要系統(tǒng)為其創(chuàng)立系統(tǒng)再繼續(xù)查找IKE安全關(guān)聯(lián)數(shù)據(jù)庫，來查找一種合用的IKE安全關(guān)聯(lián)來為IPSec安全關(guān)聯(lián)提供對應(yīng)的安全服務(wù)。假如可以查找到IKE安全關(guān)聯(lián)，則使用這個IKE安全關(guān)聯(lián)去協(xié)商IPSec安全關(guān)聯(lián)，假如沒有找到則系統(tǒng)需要為其創(chuàng)立一種IKE安全關(guān)聯(lián)進(jìn)行協(xié)商IPSec安全關(guān)聯(lián)。否轉(zhuǎn)發(fā)自的地址是否轉(zhuǎn)發(fā)否本地地址是否否理是是沒找到否沒找到否全關(guān)聯(lián)再根據(jù)安全關(guān)聯(lián)的協(xié)議標(biāo)示符，選擇合適的協(xié)議AH或者ESP協(xié)議對原數(shù)據(jù)包都會被用來計算AH或者ESP頭后再進(jìn)行數(shù)據(jù)加密，再將處理后的數(shù)據(jù)包加上AH或者ESP頭再封裝到新的IP數(shù)據(jù)包中。隧道模式中，加解密和安全協(xié)圖4-44.6IPSec安全協(xié)議IPSec安全協(xié)議有兩個重要協(xié)議，分別是AH(AuthenticationHeader)認(rèn)證頭協(xié)議和ESP(EncapsulateSecurityPa完整性和真實(shí)性保證的協(xié)議，不過AH認(rèn)證頭協(xié)就是無法提供機(jī)密性，只適合來認(rèn)證那些不是機(jī)密的數(shù)據(jù)在傳播過程中與否是AH(AuthenticationHeader)認(rèn)證頭協(xié)議報頭是在傳播層報頭和IP報頭之間的，AH協(xié)議使用協(xié)議號字段51號來標(biāo)識IP協(xié)議，假如在這個字段值是51,之前使用一種單向的散列函數(shù)將數(shù)據(jù)包整個字段生成一種數(shù)據(jù)摘要來實(shí)現(xiàn)對數(shù)據(jù)完整性的驗(yàn)證，再將其添加一種身份驗(yàn)證和剛剛計算出來的摘要報頭。接受到數(shù)據(jù)之后，先對身份認(rèn)證字段進(jìn)行認(rèn)證，再將收到的數(shù)據(jù)包使用同一種單向的散列函數(shù)將數(shù)據(jù)包整個字段生成一種數(shù)據(jù)摘要，再與發(fā)過來的數(shù)據(jù)摘要比列號字段，序列號唯一的標(biāo)識了數(shù)據(jù)包，假如接受端收到已經(jīng)收到過的序列號之后，并且一般使用協(xié)議號51來標(biāo)識AH頭格式。AH頭格式的各個字段含義1.NextHeader:長度為8位。重要功能是用來標(biāo)識AH頭之后的載荷協(xié)議類型。這個字段值屬于IANA鎖一定的IP協(xié)議號集合。2.PayloadLen:長度也是8位。其重要功能是來標(biāo)識AH的長度減2,單位是32位。這是由于AH不僅可以合用于IPV4,它還可以合用于IPV6,而IPV6擴(kuò)展頭需要把負(fù)載長度減去64位。3.Reserved:長度為16位的保留字段，未未來的擴(kuò)充應(yīng)用做準(zhǔn)備，目前是必須設(shè)置為0。4.SecurityParametersIndex(SPI):安全參數(shù)索引是一種長度為32位的任意數(shù)值。安全參數(shù)索引字段與目的IP地址和安全協(xié)議標(biāo)識AH或者ESP相結(jié)5.SequenceNumberField:32位無符號整型數(shù)值。在安全關(guān)聯(lián)剛剛建立時，此數(shù)值為0,每發(fā)送一種數(shù)據(jù)包，數(shù)值加一。6.AuthenticationData(variable):這個字段是可變長度，不過都必須是32的倍HMAC-SHA-1-96驗(yàn)證算法。在轉(zhuǎn)發(fā)之前，IP數(shù)據(jù)包的ToS,Flags,FragOffset,TTL,HeaderChecksum等都是可變的，因此在計算認(rèn)證字段之前，都必須將這些字段設(shè)置為0。完整性認(rèn)證數(shù)據(jù)字段也是要加入完全性認(rèn)證的，因此在計算時，還必須將完整性認(rèn)證字段也設(shè)置為0。AH處理后的包原原始IP頭TCP載荷數(shù)據(jù)原始IP頭AH頭TCP載荷數(shù)據(jù)載荷數(shù)據(jù)AH頭驗(yàn)證計算前，所有可變字預(yù)先置為0圖4-6在傳播模式中，AH封裝如錯誤!未找到引用源。所示，AH保護(hù)的是IP包的包的上層協(xié)議，TCP或者UDP[14]。需要使用IPSec保護(hù)的兩個節(jié)點(diǎn)之間，IPSec保護(hù)的就是兩個安全網(wǎng)關(guān)之間的數(shù)據(jù)流量，中間的路由器只做轉(zhuǎn)發(fā)處理。在AH頭建立好并填充完所有字段后，原始IP頭和原始載荷之間插入AH頭。單向函數(shù)新IP頭AH頭新IP頭密鑰AH頭圖4-7ESP封裝安全載荷(EncapsulateSecurityPayload)不僅可以提供類似于AH的數(shù)據(jù)完整性驗(yàn)證，身份認(rèn)證和一定的抗重播能力，還可認(rèn)為數(shù)據(jù)提供數(shù)據(jù)機(jī)密性。ESP隧道模式可以提供對于報文途徑信息的隱藏，并且還可以用于加密AuthenticationData(V1.SecurityParametersIndex(SPI):此字段與AH頭同樣，包括的是一種32位的任意值，與AH同樣，和目的IP地址，安全協(xié)議E3.PayloadData(variable):一種變長字段，其包括NextHeader字段描述的對應(yīng)4.Padding:此字段屬于ESP尾，根據(jù)某種加密算法的規(guī)定，也許會在字段中增長填充位，之因此會出現(xiàn)這種狀況是由于某些5.PadLength:填充字段長度是用來闡明前面的字段Padding字段填充了多少字節(jié)的個數(shù)。有效的數(shù)值范圍是0到255,假如是0表達(dá)沒有填充。此字段6.NextHeader:一種8比特字段，此字段標(biāo)識了載荷字段的數(shù)據(jù)類型。也是一種強(qiáng)制字段，屬于IANA定義的IP協(xié)議號集合。7.AuthenticationData:此字段為一種可變字段，包括完整性校驗(yàn)的值?？紤]到加密密文驗(yàn)證密鑰密文與AH相似，ESP傳播模式加密的也是IP數(shù)據(jù)包的上層協(xié)議TCP或者UDP。兩臺主機(jī)之間直接運(yùn)行IPSec協(xié)議，中間設(shè)備不做其他任何操作直接轉(zhuǎn)ESP尾之后的Auth字段，載荷和ESP尾將加密后完畢整個原始原始IP頭TCP載荷數(shù)據(jù)原始IP包原始原始IP頭TCP載荷數(shù)據(jù)ESP尾加密密鑰加密算法密文ESP頭密文驗(yàn)證密鑰驗(yàn)證算法新IP頭ESP頭密文ESPAuthIP頭和原始IP包直接，并在背面加入ESP尾巴。全算法。這樣做的好處，以便此后的擴(kuò)展更新。而驗(yàn)證算法和加密算法都需要在通信之前配置靜態(tài)的密鑰，因此不以便常常更新，導(dǎo)致安全性很低。此外一IKE協(xié)議是InternetKeyExchange因特網(wǎng)密鑰互換協(xié)議的縮寫，在AH或者聯(lián)。而IPSec安全關(guān)聯(lián)既可以是手工配置的，也可以IKE協(xié)議就是用來動態(tài)協(xié)商自動配置IPSec于IPSec安全關(guān)聯(lián)，諸多密鑰互換的場所中都可以使用。IKE協(xié)議還可認(rèn)為IPSec提供身份驗(yàn)證，密鑰定期自動更換，大大提高了IPSec的安全性。IKE協(xié)議為IPSec提供了密鑰的自動協(xié)商和創(chuàng)立安全關(guān)聯(lián)服務(wù)，為IPIKE使用了ISAKMP(InternetSecurityAssociationandKeyManagement)安全聯(lián)盟密鑰管理協(xié)議定義的密鑰互換的整體框架體系機(jī)構(gòu)，可以說IKE是ISWAKMP的實(shí)踐化產(chǎn)物協(xié)議。IKE還結(jié)合了兩個早起協(xié)議Oakley和SKEME。Oakley協(xié)議是一種自由協(xié)議，它定義了密鑰的互換次序，提供了諸多種密鑰互換的模式，為IKE協(xié)議提供了一種多樣式，多模式的應(yīng)用。SKEMEIKE協(xié)議還具有一套自我保護(hù)機(jī)制，可以在不安全的網(wǎng)絡(luò)上安全地分發(fā)密鑰、驗(yàn)證身份并建立IPSec安全關(guān)聯(lián)。IKE協(xié)議出于安全考慮并不在網(wǎng)絡(luò)上直接傳播密鑰信息，而是采用Diffie-Hellman算法計算雙方的共享的共享密鑰，采用這種算法方式，就算是被黑客截取了因此用于計算密鑰的數(shù)據(jù)，也不能計算出密鑰。IKE協(xié)議還可以定期的更新安全關(guān)聯(lián)和密鑰，并且每個安全關(guān)聯(lián)的密鑰之間都沒有什么關(guān)聯(lián)，這樣對于黑客來講破解密鑰時間過長就會更換密鑰，增長了破解的復(fù)雜度。IKE協(xié)議還可以對身份進(jìn)行驗(yàn)證從而確認(rèn)通信雙方的身份的真實(shí)性。IKE協(xié)議采用預(yù)共享密鑰的驗(yàn)證措施，密鑰使用輸入的驗(yàn)證字段計算產(chǎn)生，驗(yàn)證字段不一樣是不也許產(chǎn)生相似的密鑰的，這是驗(yàn)證雙方身份的關(guān)鍵要素，并且身份數(shù)據(jù)在密鑰產(chǎn)生之后加密傳送，實(shí)現(xiàn)了對身份數(shù)據(jù)的安全保護(hù)。圖5-1如錯誤!未找到引用源。所示，IPSec運(yùn)用安全方略數(shù)據(jù)庫鑒定一種數(shù)據(jù)包與否需要安全服務(wù)。假如其需要安全服務(wù)，系統(tǒng)就會在安全關(guān)聯(lián)數(shù)據(jù)庫中查找相對應(yīng)的IPSec安全關(guān)聯(lián)。IPSec安全關(guān)聯(lián)又分為手工配置和動態(tài)IKE自動協(xié)IPSec安全協(xié)議AH或者ESP是提供實(shí)際的安全協(xié)議的，而IKE只是為AH點(diǎn)之間密鑰和方略的集合。IKE安全關(guān)聯(lián)定義了兩個需要協(xié)商節(jié)點(diǎn)之間怎樣保IKE協(xié)議為IPSec提供密鑰協(xié)商和建立安全關(guān)聯(lián)分為兩個階段：第一階段重要是為兩個需要協(xié)商節(jié)點(diǎn)之間進(jìn)行身份認(rèn)證和為其提供一種安全通道來進(jìn)行密鑰互換。第二階段重要工作是在安全通道中協(xié)商IPSec需要使用的安全服IKE協(xié)商階段一又有兩種互換模式，分別為主模式(MainMode)鄰居一密鑰生成份DH交換圖5-2如錯誤!未找到引用源。所示，IKE協(xié)商階段環(huán)節(jié)，總共六條協(xié)議消息。第一步是雙方進(jìn)行方略協(xié)商，前兩條消息就是用來協(xié)商IKE安全關(guān)聯(lián)所使用的方略，重要包括加密算法的協(xié)商，散列完整性算法的協(xié)商，身份驗(yàn)證措施的協(xié)商，DH操作組信息的協(xié)商，IKE生成時間的協(xié)商。第二步是DH互換，第三和第四條消息就是用來互換DH共享密鑰和某些需要用到的輔助信息。第三步是身份ID互換和身份的驗(yàn)證，最終兩條消息用于互換身份ID和對DH互換的身份信息進(jìn)行驗(yàn)證。通過這三個環(huán)節(jié)和六條消息的互換，IKE需要協(xié)商節(jié)點(diǎn)之間就建立起了驗(yàn)證載荷驗(yàn)證驗(yàn)證載荷驗(yàn)證2)IKE協(xié)商階段一野蠻模式鄰居二鄰居一鄰居二查找匹配的策換，驗(yàn)證接受對端確認(rèn)的策略，密鑰生成，驗(yàn)證圖5-3主模式使用預(yù)共享密鑰的方式互換密鑰，通信雙方必須均有固定的IP地址。而目前諸多企業(yè)都是使用ADSL撥號上網(wǎng)的方式和某些遠(yuǎn)程顧客使用遠(yuǎn)程撥號的方式，沒有固定的IP地址，就不能使用主模式。為了處理這個問題，IKE提供了野蠻模式就容許一端沒有固定IP地址。如錯誤!未找到引用源。所示，IKE野蠻模式只使用3條消息互換來完畢整個IKE安全關(guān)聯(lián)的建立。前兩條消息用來協(xié)商方略包括加密算法，散列完整性驗(yàn)證算法，身份驗(yàn)證算法，DH操作組信息，DH預(yù)共享值，輔助信息和身份信息，第二條洗洗還用于驗(yàn)證響應(yīng)者確認(rèn)接受方方略。第三條消息用來驗(yàn)證發(fā)起5.4.3IKE協(xié)商階段二IKE協(xié)商階段二，在階段一建立了IKESA的基礎(chǔ)上已經(jīng)建立了管理連接，然后再去建立IPSecSA,真正是實(shí)現(xiàn)對數(shù)據(jù)流量的安全保護(hù)。階段二使用迅速模式來實(shí)現(xiàn)，迅速模式重要提供數(shù)據(jù)的完整性驗(yàn)證，對數(shù)據(jù)源的身份信息驗(yàn)證和對數(shù)據(jù)進(jìn)行加密。此外還定義了兩個其他互換模式，用于對后期安全關(guān)聯(lián)的者是企業(yè)通過公共Internet連接企業(yè)內(nèi)網(wǎng)的場所。IPSec相對比GRE,其設(shè)計就還不可以支持組播和RIP,OSPF這些常用的路由器協(xié)議，雖然GREoverIPSec,就是一種讓數(shù)據(jù)包被封6.1.2GREoverIPSec封裝格式圖6-1后，再把新的隧道包整個進(jìn)行IPSec封裝，然后在公共的Internet上傳播。L2TP常常顧客外出出差人員通過公共的Internet連接企業(yè)內(nèi)網(wǎng)的場所，不過提供不了數(shù)據(jù)安全性。L2TP隧道建立是建立在LAC和LNS直接的，可以使用IPSec保護(hù)LAC到LNS這段的數(shù)據(jù)流來保證L2TP的安全性。而LAC一般為企業(yè)外出出差顧客，一般沒有固定IP,因此可以結(jié)合IPSec的野蠻模式來處理這個問題。和GREoverIPSec同樣，L2TPoverIPSec也是先進(jìn)行L2TP隧道封裝，再進(jìn)行IPSec封裝，遠(yuǎn)程終端筆記本直接作為LAC連接企業(yè)出口的7.中小企業(yè)基于IPSecVPN方案設(shè)計杭州洪銘通信技術(shù)有限企業(yè)企業(yè)業(yè)務(wù)不停擴(kuò)張，分企業(yè)和辦事處也日益增多，企業(yè)的辦公業(yè)務(wù)大多數(shù)都需要通過數(shù)字化來進(jìn)行，而大多數(shù)系統(tǒng)都是企業(yè)使用專線的方式可以處理連接總企業(yè)與分企業(yè)的企業(yè)內(nèi)網(wǎng)互通，不過新建盛行的年代，對于企業(yè)內(nèi)部數(shù)據(jù)通過公共的Internet傳播的數(shù)據(jù)安全完全得不到保證，機(jī)密數(shù)據(jù)很輕易被競爭對手和不法分子竊取。企業(yè)急切但愿安全的互聯(lián)防火墻防火墻網(wǎng)通出口防火墻FTP服務(wù)器科8300江案寫超%服務(wù)器圖7-1杭州洪銘通信技術(shù)有限企業(yè)現(xiàn)實(shí)狀況網(wǎng)絡(luò)拓?fù)淙珏e誤!未找到引用源。所7.3.1杭州總企業(yè)既有設(shè)備表7-1序號設(shè)備名稱品牌型號操作系統(tǒng)重要用途1WEB服務(wù)器S企業(yè)對外網(wǎng)站服務(wù)器2FTP服務(wù)器S企業(yè)內(nèi)部文獻(xiàn)服務(wù)器3數(shù)據(jù)庫服務(wù)器網(wǎng)站后臺，財務(wù)，業(yè)務(wù)產(chǎn)品等數(shù)據(jù)庫4器S域控制器，exchange郵件服務(wù)器，設(shè)備請購系統(tǒng)等業(yè)務(wù)系統(tǒng)5光纖互換機(jī)1自帶系統(tǒng)6光纖互換機(jī)自帶系統(tǒng)7關(guān)鍵互換機(jī)2內(nèi)網(wǎng)數(shù)據(jù)流量匯聚流量8防火墻1負(fù)責(zé)對外網(wǎng)開放指定網(wǎng)段和端口，襲9防火墻2負(fù)責(zé)對外網(wǎng)開放指定網(wǎng)段和端口，襲關(guān)鍵路由器1重要用于所有出口的數(shù)據(jù)包路由和轉(zhuǎn)發(fā)，雙機(jī)熱備關(guān)鍵路由器2重要用于所有出口的數(shù)據(jù)包路由和轉(zhuǎn)發(fā)，雙機(jī)熱備陣列自帶系統(tǒng)重要用于服務(wù)器區(qū)域的數(shù)據(jù)的存儲機(jī)用于匯聚服務(wù)器區(qū)域流量一樓互換機(jī)用于將一樓各辦公室計算機(jī)接入網(wǎng)絡(luò)二樓互換機(jī)用于將二樓各辦公室計算機(jī)接入網(wǎng)絡(luò)機(jī)用于將三樓各辦公室計算機(jī)接入網(wǎng)絡(luò)四樓互換機(jī)用于將四樓各辦公室計算機(jī)接入網(wǎng)絡(luò)五樓互換機(jī)用于將五樓各辦公室計算機(jī)接入網(wǎng)絡(luò)杭州洪銘通信技術(shù)有限企業(yè)杭州總企業(yè)既有設(shè)備如表錯誤!未找到引用源。表7-2序號設(shè)備名稱品牌型號重要用途出口路由器重要用于所有出口的數(shù)2防火墻天融信NGFW4000負(fù)責(zé)對外網(wǎng)開放指定網(wǎng)段和端口，襲擊防護(hù)3辦公區(qū)域主機(jī)接入杭州洪銘通信技術(shù)有限企業(yè)金華分企業(yè)既有設(shè)備如錯誤表7-3序號設(shè)備名稱品牌型號重要用途1出口路由器重要用于所有出口的數(shù)2防火墻天融信NGFW4000負(fù)責(zé)對外網(wǎng)開放指定網(wǎng)段和端口，襲擊防護(hù)3辦公區(qū)域主機(jī)接入杭州洪銘通信技術(shù)有限企業(yè)紹興分企業(yè)既有設(shè)備如錯誤序號設(shè)備名稱品牌型號重要用途出口三層互換機(jī)重要用于所有出口的數(shù)據(jù)包路由，轉(zhuǎn)發(fā)和辦公區(qū)域接入杭州洪銘通信技術(shù)有限企業(yè)寧波辦事處既有設(shè)備如錯誤序號設(shè)備名稱品牌型號重要用途1出口三層互換機(jī)重要用于所有出口的數(shù)據(jù)包路由，轉(zhuǎn)發(fā)和辦公區(qū)域接入杭州洪銘通信技術(shù)有限企業(yè)金華分企業(yè)既有設(shè)備如錯誤7.4.1總企業(yè)現(xiàn)實(shí)狀況IP地址設(shè)備名稱管理IP上行接口1一樓互換機(jī)/24網(wǎng)段2二樓互換機(jī)/24網(wǎng)段3/24網(wǎng)段4四樓互換機(jī)/24網(wǎng)段5五樓互換機(jī)/24網(wǎng)段6關(guān)鍵互換機(jī)/16網(wǎng)段7防火墻/16網(wǎng)段8防火墻/16網(wǎng)段9關(guān)鍵路由器1/16網(wǎng)段關(guān)鍵路由器2/16網(wǎng)段網(wǎng)通出口杭州洪銘通信技術(shù)有限企業(yè)總企業(yè)現(xiàn)實(shí)狀況IP地址如錯誤!未找到引用表7-7序號設(shè)備名稱管理IP上行接口12防火墻3出口路由器網(wǎng)通出口杭州洪銘通信技術(shù)有限企業(yè)金華分企業(yè)現(xiàn)實(shí)狀況網(wǎng)絡(luò)拓?fù)淙珏e誤!未找到引表7-8序號設(shè)備名稱管理IP上行接口12防火墻GE?/2連接3出口路由器電信出口8表7-9序號設(shè)備名稱管理IP上行接口1杭州洪銘通信技術(shù)有限企業(yè)寧波辦事處現(xiàn)實(shí)狀況網(wǎng)絡(luò)拓?fù)淙珏e誤!未找到引用序號設(shè)備名稱管理IP上行接口1杭州洪銘通信技術(shù)有限企業(yè)溫州辦事處現(xiàn)實(shí)狀況網(wǎng)絡(luò)拓?fù)淙珏e誤!未找到引用根據(jù)杭州洪銘通信技術(shù)有限企業(yè)的規(guī)模和企業(yè)業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)資源流量綜本系統(tǒng)方案設(shè)計重要是用于處理總企業(yè)和分企業(yè)或者辦事處之間傳播企業(yè)內(nèi)網(wǎng)業(yè)務(wù)數(shù)據(jù)。因此，必須使用遵照國際有關(guān)網(wǎng)絡(luò)安全設(shè)備的原則，如IPSecVPN的原則，這樣可以更好的保證內(nèi)網(wǎng)的互聯(lián)互通即時兩端使用的是不一樣廠雖然目前寬帶的速度已經(jīng)比較快了，基本顧客都已經(jīng)可以到達(dá)4M以上，相對于此前的撥號上網(wǎng)來說不懂得快了多少倍，不過顧客對寬帶速率的需求是流量都比較大，習(xí)慣了內(nèi)部局域網(wǎng)百兆甚至是千兆到桌面速度的顧客，對速度的規(guī)定也相對會非常高，速率的規(guī)定會很大程度的影響企業(yè)業(yè)務(wù)的運(yùn)作效率，因此基于IPSecVPN的處理方案，就必須要先處理訪問速率的速度，由于商購置更高速率，選擇迅速的IPSecVVPN虛擬專用網(wǎng)的都是基于公共的Internet傳播數(shù)據(jù)，而這些數(shù)據(jù)都是企業(yè)的保密數(shù)據(jù)，是不但愿被無關(guān)人員和某些不法分子所獲取到的，并且必須?；贗PSecVPN的產(chǎn)品與其他一般的安全產(chǎn)品不相似，由于基于IPSecVPN的作用是處理總企業(yè)與分企業(yè)內(nèi)部網(wǎng)絡(luò)的安全互聯(lián)互通。對基于IPSecVPN可以提供有效的信息進(jìn)行對運(yùn)行狀態(tài)結(jié)合杭州洪銘通信技術(shù)有限企業(yè)的實(shí)際狀況，確定基于IPSecVPN聯(lián)網(wǎng)系統(tǒng)的總體建設(shè)目的是：建立安全可靠的VPN虛擬專用網(wǎng)絡(luò)互連總企業(yè)與分企術(shù)有限企業(yè)和其分企業(yè)或者辦事處可以實(shí)現(xiàn)基于企業(yè)內(nèi)網(wǎng)的多種業(yè)務(wù)系統(tǒng)，辦公系統(tǒng)可以通過公共的Internet作為網(wǎng)絡(luò)傳播平臺，并保證可以安全可靠高效的可以實(shí)現(xiàn)總企業(yè)與分企業(yè)或者辦事處、移動出差顧客值間，通過公共的Internet安全可靠的互連，分布在不一樣地方的分企業(yè)可以通過IPSecVPN順利可以根據(jù)顧客的實(shí)際需求對數(shù)據(jù)進(jìn)行有選擇的加密，而不是通過VPN設(shè)備的所有數(shù)據(jù)都會被進(jìn)行加密，像正常的上網(wǎng)流量與企業(yè)中某些特殊協(xié)議端口的數(shù)據(jù)可以不加密。此外還要保證目前正在使用的某些網(wǎng)絡(luò)應(yīng)用，在基于IPSec通過建設(shè)基于IPSecVPN的網(wǎng)絡(luò)后，可以有效的處理企業(yè)內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)數(shù)據(jù)傳播過程中的安全性：包括保密性、完整性和不可抵賴性。IPSecVPN設(shè)備必須嚴(yán)格遵國際原則加密算法進(jìn)行密鑰傳播和加密，可以保證企業(yè)的內(nèi)部只可以對服務(wù)器的部分開放資源進(jìn)行訪問和修改，不能對某些企業(yè)內(nèi)部重要數(shù)據(jù)進(jìn)行查看和修改，例如企業(yè)內(nèi)部的財務(wù)系統(tǒng)只有財務(wù)部的員工可以登錄查看IPSecVPN設(shè)備的系統(tǒng)性能必須穩(wěn)定可靠，平均無端障工作時間必須到達(dá)99.9999%,為企業(yè)內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)長期可靠運(yùn)行提供強(qiáng)有力的保證，并且通密速率較快，對數(shù)據(jù)流量的延遲低，不僅能滿足目前業(yè)務(wù)系統(tǒng)數(shù)據(jù)流量的需VPN系統(tǒng)價格廉價，并且基于一般寬帶線路，接入費(fèi)用低廉，因此本方案寧波辦事處紹興分公司溫州辦事處//家電測圖7-2杭州洪銘通信技術(shù)有限企業(yè)，經(jīng)此方案設(shè)計后拓?fù)淙珏e誤!未找到引用源。所示。如上圖所示，在本方案中擬在杭州洪銘通信技術(shù)有限企業(yè)杭州總企業(yè)原網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上，總企業(yè)在關(guān)鍵路由器上新增兩臺IPSecVPN設(shè)備進(jìn)行堆疊并且IPSecVPN設(shè)備使用透傳二層模式。考慮到安全性，可靠性，數(shù)據(jù)流量較大不影響目前數(shù)據(jù)加密后的傳播延遲的原則，決定在原有基礎(chǔ)上采購設(shè)備來完畢在杭州洪銘通信技術(shù)有限企業(yè)分企業(yè)與辦事處，考慮到設(shè)備都比較陳舊和共采購4臺IPSecVPN設(shè)備，同樣合用透傳二層模式布署在網(wǎng)絡(luò)出口處，使用1)實(shí)現(xiàn)各地分企業(yè)或者辦事處或者外出出差人員通過公共的Internet遠(yuǎn)程接入2)杭州總企業(yè)布署“雙機(jī)堆疊”,可以提高性能，還可以提供熱備自動接管3)在外出出差人員接入時，只需要使用通過管理員授權(quán)的賬戶名和密碼的方式，運(yùn)行Windows自帶的VPN客戶端軟件就可以與總企業(yè)的IPSecVPN設(shè)4)需要提高安全性，還可以使用雙網(wǎng)隔離功能，讓外出出差人員接入在與總5)IPSecVPN設(shè)備可以接入顧客分級，提成不一樣級別和組別。分組分級后的6)IPSecVPN設(shè)備應(yīng)當(dāng)具有優(yōu)良的Qos能力，可認(rèn)為杭州洪銘通信技術(shù)有限企業(yè)的關(guān)鍵應(yīng)用保留帶寬。在網(wǎng)絡(luò)擁擠時，也可以很好的保證關(guān)鍵業(yè)務(wù)的暢考慮到杭州洪銘通信技術(shù)有限企業(yè)的業(yè)務(wù)現(xiàn)實(shí)狀況和未來企業(yè)的發(fā)展，因此，對于IPSecVPN設(shè)備的性能規(guī)定相對較高。本次方案，提議采用H3CVPN硬件設(shè)備，具有高性能、高穩(wěn)定性等特點(diǎn)。四核四線程處理器，使設(shè)備的處理能力得到了極大的提高，并且其具有很好的可編程性，讓設(shè)備在此后新的國際原則公布后可以很快的進(jìn)行響應(yīng)和適應(yīng)，可以很好的滿足顧客此后的業(yè)務(wù)生成需求。此款設(shè)備在系統(tǒng)架構(gòu)的設(shè)計上把安全加密處理運(yùn)用硬件進(jìn)行加速處在加密速度上，此款設(shè)備可以到達(dá)每秒處理加密數(shù)據(jù)500Mbps,支持最大并發(fā)連接數(shù)也可以到達(dá)300萬，可以建立的最大VPN隧道數(shù)也可以到達(dá)5萬個。在網(wǎng)絡(luò)吞吐量方面，也毫不遜色可以到達(dá)15Gbps每秒。接口方面，此款設(shè)備配有8個千兆以太網(wǎng)RJ-45接口，8個多模單模光纖模塊接口，根據(jù)顧客需求配置模塊。設(shè)備也僅僅只占用2U的原則機(jī)架空間，設(shè)備采用冗余電源配置，原則220V電源，功率也只有1500W。序號品名規(guī)格型號單位數(shù)量1設(shè)備1.配置冗余電源2.配置千兆以太網(wǎng)電口8個，千兆以太網(wǎng)光口83.支持設(shè)備堆疊功能4.互換容量280Gbps,包轉(zhuǎn)發(fā)率144Mpps5.配置內(nèi)存4GB7.原廠三年售后服務(wù)6臺中國在設(shè)備購置到貨后30天內(nèi)進(jìn)行實(shí)行，60天內(nèi)完畢所有設(shè)備的安裝調(diào)試及系統(tǒng)集成。本次方案將為杭州洪銘通信技術(shù)有限企業(yè)提供設(shè)備安裝調(diào)試服務(wù)。安裝計劃將根據(jù)詳細(xì)的現(xiàn)場調(diào)查成果作出。該計劃包括：設(shè)備采購、安裝調(diào)試、系統(tǒng)集成、試運(yùn)行、測試、調(diào)優(yōu)、系統(tǒng)管理培訓(xùn)、系統(tǒng)運(yùn)行維護(hù)培訓(xùn)等內(nèi)容。設(shè)備到貨后，將抵達(dá)指定地點(diǎn)進(jìn)行安裝，并保證可以按照安裝計劃準(zhǔn)時按項(xiàng)目協(xié)調(diào)工作與否可以做好是關(guān)系本項(xiàng)目能否按期成功完畢的關(guān)鍵，我進(jìn)也許發(fā)生問題應(yīng)急預(yù)案重要設(shè)備硬件故障提供備品備件，故障設(shè)備送廠商保修，走換貨流程重要設(shè)備軟件故障重要線路故障啟用備份線路(如有),告知運(yùn)行商排障，直至恢復(fù)出現(xiàn)技術(shù)難題無法處理提請廠商技術(shù)專家支援預(yù)期無法準(zhǔn)時完畢任務(wù)提請廠商支援，加派人員運(yùn)送過程中設(shè)備丟失重新定貨，提供頂用設(shè)備根據(jù)招標(biāo)規(guī)定，為保證項(xiàng)目進(jìn)度，將項(xiàng)目實(shí)行進(jìn)度計劃按照如下工作程序和采購方進(jìn)行積極溝通，對本項(xiàng)目系統(tǒng)的系統(tǒng)建設(shè)計劃、目的任務(wù)書和測試驗(yàn)收方案進(jìn)行深入溝通，明確所有技術(shù)細(xì)節(jié)和實(shí)行環(huán)節(jié)，深入完善設(shè)計，并交付采購方確認(rèn)。之后確認(rèn)設(shè)備配置清單，為簽定協(xié)議和設(shè)備采購作準(zhǔn)備；最終確定更詳細(xì)的實(shí)行計劃，包括設(shè)備定貨、工程實(shí)行進(jìn)度、項(xiàng)目要點(diǎn)、項(xiàng)目質(zhì)量控制、項(xiàng)目例會和協(xié)調(diào)等內(nèi)容。明確項(xiàng)目各方的責(zé)任和義務(wù)，進(jìn)行任務(wù)分工，制定詳細(xì)的項(xiàng)目實(shí)行計劃，制定有關(guān)的紀(jì)律和制度，以保證項(xiàng)目的順利進(jìn)為保證工程進(jìn)度，在和設(shè)備廠商充足溝通的前提下，所有設(shè)備、產(chǎn)品將可以在協(xié)議簽訂后30天內(nèi)交到指定工程地點(diǎn)。在系統(tǒng)設(shè)備、產(chǎn)品到貨后，根據(jù)設(shè)備清單，進(jìn)行設(shè)備到貨驗(yàn)收，進(jìn)行開箱、加電檢測。對到貨設(shè)備逐一進(jìn)行清點(diǎn)及檢查，對設(shè)備安裝現(xiàn)場狀況進(jìn)行調(diào)查，如線路到位狀況、物理安裝位置、電源、接地、防雷、防塵等機(jī)房條件，為保證整個項(xiàng)目的實(shí)行工期和質(zhì)量，將嚴(yán)格按照實(shí)行方案進(jìn)行項(xiàng)目實(shí)行。聯(lián)合測試過程中，設(shè)備及網(wǎng)絡(luò)出現(xiàn)問題，將會同廠商負(fù)責(zé)進(jìn)行對問題進(jìn)行整改，并提交整改匯報，再進(jìn)入聯(lián)合測試過程，直到系統(tǒng)聯(lián)合測試完畢。系統(tǒng)系統(tǒng)實(shí)行后將對整個系統(tǒng)，包括各個方面進(jìn)行全面測試，驗(yàn)證系統(tǒng)與否到對有關(guān)人員進(jìn)行技術(shù)培訓(xùn)是工程成功的重要原因，是整個項(xiàng)目能否順利實(shí)行的重要保證。針對本次項(xiàng)目，對網(wǎng)絡(luò)系統(tǒng)的各個技術(shù)方面，為有關(guān)人員提供在通過初驗(yàn)，設(shè)備正常運(yùn)行后，由采購方組織系統(tǒng)終驗(yàn)。在驗(yàn)收工作中，由各方代表共同構(gòu)成項(xiàng)目驗(yàn)收組，按協(xié)議和設(shè)計目的對整個系統(tǒng)的運(yùn)行狀況進(jìn)序號設(shè)備名稱設(shè)備地點(diǎn)產(chǎn)品序列號編碼1V234紹興分企業(yè)5寧波辦事處6溫州辦事處8.6實(shí)行IP地址規(guī)劃設(shè)備名稱本端Tunnel對端Tunnel8.7設(shè)備安裝配置XX新建連接-超級終滿斷開自動檢測自動檢則SCROLL|CAPSNUM捕“確定”傳送(T)幫助(H)連接到連接時使用):取消圖8-2D?圖8-4口還原為默認(rèn)值)自動檢測自動檢測捕打印圖8-3回回1)總企業(yè)IPSecVPN設(shè)備1配置#將綁定設(shè)備的邏輯堆疊口1和物理堆疊口1,同步啟動堆疊功能#配置IRF組員編號為1#配置堆疊中本設(shè)備的優(yōu)先級為1002)總企業(yè)IPSecVPN設(shè)備2配置#將綁定設(shè)備的邏輯堆疊口1和物理堆疊口1,同步啟動堆疊功能#配置IRF組員編號為2#配置堆疊中本設(shè)備的優(yōu)先級為50[hz-IPSec2]displayirfconfig8.7.3總企業(yè)IPSecVPN設(shè)備GREoverIPSec1)總企業(yè)設(shè)備1連接紹興分企業(yè)配置#進(jìn)入隧道0接口[hz-IPSec1-Tunnel0]ipaddres#配置隧道0接口#配置隧道0接口#配置隧道0接口[hz-IPSec1-IPSec-proposal-tr[hz-IPSec1-IPSec-proposal-tran1]transf#創(chuàng)立一種IKE對等體sx,并進(jìn)入IKE對等體sx視圖#配置IKE第一階段模式為主模式#啟動Nat穿越功能[hz-IPSec1-IPSec-policy-isa#選擇名為hztoall的安全提議#選擇名為hztoall的安全提議2)總企業(yè)設(shè)備1連接寧波辦事處配置#進(jìn)入隧道1接口#配置隧道1#配置隧道1#配置隧道1#創(chuàng)立一種IKE對等體nb,并進(jìn)入IKE對等體nb視圖[hz-IPSecl-ike-peer-nb]ex#啟動Nat穿越功能[hz-IPSec1-IPSec-policy-isa#選擇名為hztoall的安全提議#選擇名為hztoall的安全提議[hz-IPSec1-IPSec-policy-i#選擇名為nb的IKE鄰居3)總企業(yè)設(shè)備2連接金華分企業(yè)配置#進(jìn)入隧道2接口#配置隧道2#配置隧道2#配置隧道2[hz-IPSec2-IPSec-proposal-tran1]encapsulatio[hz-IPSec2-IPSec-proposal-tr[hz-IPSec2]ikepeerjh#創(chuàng)立一種IKE對等體jh,并進(jìn)入IKE對等體jh視圖#配置IKE第一階段模式為主模式#啟動Nat穿越功能[hz-IPSec2-IPSec-policy-isa[hz-IPSec2-IPSec-policy-isakmp-map1-10]ike-p#選擇名為jh的IKE鄰居4)總企業(yè)設(shè)備2連接溫州辦事處配置#進(jìn)入隧道3接口#創(chuàng)立一種IKE對等體wz,并進(jìn)入IKE對等體wz視圖[hz-IPSec2-ike-peer-wz]pre-#配置預(yù)共享密鑰為hzwz[hz-IPSec2-ike-peer-w#配置IKE第一階段模式為主模式#啟動Nat穿越功能[hz-IPSec2-IPSec-policy-isa#選擇名為hztoall的安全提議#選擇名為hztoall的安全提議[hz-IPSec2-IPSec-policy-isakmp-map11)總企業(yè)IPSVPN設(shè)備1配置[hz-IPSec1-12tp1]tunne#創(chuàng)立一種IKE對等體chuchai,并進(jìn)入IKE對等體chuchai視圖[hz-IPSec1-ike-peer-c[hz-IPSec1-ike-peer-chuchai]#配置IKE第一階段模式為野蠻模式[hz-IPSec1-IPSec-policy-isakmp-map1-#選擇名為hztochuchai的安全提議[hz-IPSec1-IPSec-polic[hz-IPSec1-GigabitE#應(yīng)用方略hztochuchai1到接口千兆以太網(wǎng)0/0/1總企業(yè)IPSecVPN設(shè)備2配置#創(chuàng)立一種IKE對等體chuchai,并進(jìn)入IKE[hz-IPSec2-ike-peer-c[hz-IPSec2-ike-peer-chuchai]#配置IKE第一階段模式為野蠻模式[hz-IPSec2-ike-peer-wz]#啟動Nat穿越功能[hz-IPSec2-IPSec-policy-isakmp-m#選擇名為hztochuchai的安全提議#選擇ACL3100作為安全方略列表[hz-IPSec2-IPSec-polic[hz-IPSec2-GigabitEt#進(jìn)入隧道0接口[sx-IPSec-Tunnel0]ipadd#創(chuàng)立一種IKE對等體hz,并進(jìn)入IKE對等體hz視圖#配置預(yù)共享密鑰為sxhz#啟動Nat穿越功能[sx-IPSec-IPSec-policy-isakmp-map1-10]propos#選擇名為hztoall的安全提議#選擇名為sxtohz的安全提議[sx-IPSec-IPSec-policy-isakmp-map1-10#選擇名為hz的IKE鄰居#應(yīng)用方略sxtohz到接口千兆以太網(wǎng)0/0/1#進(jìn)入隧道0接口#創(chuàng)立一種IKE對等體hz,并進(jìn)入IK