IP sec的×××配置

××× 的定义
虚拟专网（×××-VIRTUAL PRIVATE NETWORK）指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个×××网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台（如INTERNET，ATM，FRAME RELAY等）之上的逻辑网络，用户数据在逻辑链路中传输。 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

××× 的功能
1、通过隧道（TUNNEL）或虚电路（VIRTUAL CIRCUIT）实现网络互联
2、支持用户安全管理
3、能够进行网络监控、故障诊断

××× 解决方案的优点
1、省钱：它可以节省长途电话费和长途专线电话费和长途专线网络费可以为用户节省30-25%的 网络应用的开销。
2、选择灵活、速度快：通过***网关，用户可以选择多种internet连通技术，而且对于 INTERNET的容量可以实现按需定制；
3、安全性好：×××的认证机制将更好地保证用户的隐私权和收发数据的完整性；
4、实现投资的保护：×××技术的应用可以建立在用户现有的防火墙的基础上，用户正在使用的 应用软件也不受影响。

××× 技术原理
1、 ×××系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。
2、 ×××设备根据网管设置的规则，确定是否需要对数据进行加密或让数据直接通过。
3、 对需要加密的数据，×××设备对整个数据包进行加密和附上数字签名。
4、 ×××设备加上新的收据包头，其中包括目的地×××设备需要的安全信息和一些初始化参数。
5、 ×××设备对加密后的数据、鉴别包以及源IP地址、目标×××设备IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输。
6、 当数据包到达目标×××设备时，数据包被解封装，数据包被解封装，数字签名，数字签名被 核对无误后，收据包被解密。

××× 配置实例

Intranet 内联网配置:
Figure 3-8: Intranet ××× Scenario Physical Elements
Headquarters Router 配置
hq-sanjose# show running-config
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname hq-sanjose
!
boot system flash bootflash:
boot bootldr bootflash:c7100-boot-mz.120-1.1.T
boot config slot0:hq-sanjose-cfg-small
no logging buffered
!
crypto isakmp policy 1
authentication pre-share
lifetime 84600
crypto isakmp key test12345 address 172.24.2.5
!
crypto ipsec transform-set proposal1 ah-sha-hmac esp-des esp-sha-hmac
mode transport
!
!
crypto map s1first local-address Serial1/0
crypto map s1first 1 ipsec-isakmp
set peer 172.24.2.5
set transform-set proposal1
match address 101
!
interface Tunnel0
bandwidth 180
ip address 172.17.3.3 255.255.255.0
no ip directed-broadcast
tunnel source 172.17.2.4
tunnel destination 172.24.2.5
crypto map s1first
!
interface FastEthernet0/0
ip address <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10.1.3.3 255.255.255.0
no ip directed-broadcast
no keepalive
full-duplex
no cdp enable
!
interface FastEthernet0/1
ip address 10.1.6.4 255.255.255.0
no ip directed-broadcast
no keepalive
full-duplex
no cdp enable
!
interface Serial1/0
ip address 172.17.2.4 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no keepalive
fair-queue 64 256 0
framing c-bit
cablelength 10
dsu bandwidth 44210
clock source internal
no cdp enable
crypto map s1first
!
ip route 10.1.4.0 255.255.255.0 Tunnel0
!
access-list 101 permit gre host 172.17.2.4 host 172.24.2.5
!
line con 0
transport input none
line aux 0
line vty 0 4
login
!
end

Remote Office Router 配置:
ro-rtp# show running-config
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname ro-rtp
!
boot system flash bootflash:
boot bootldr bootflash:c7100-boot-mz.120-1.1.T
boot config slot0:ro-rtp-cfg-small
no logging buffered
!
crypto isakmp policy 1
authentication pre-share
lifetime 84600
crypto isakmp key test12345 address 172.17.2.4
!
crypto ipsec transform-set proposal1 ah-sha-hmac esp-des esp-sha-hmac
mode transport
!
!
crypto map s1first local-address Serial1/0
crypto map s1first 1 ipsec-isakmp
set peer 172.17.2.4
set transform-set proposal1
match address 101
!
interface Tunnel1
bandwidth 180
ip address 172.24.3.6 255.255.255.0
no ip directed-broadcast
tunnel source 172.24.2.5
tunnel destination 172.17.2.4
crypto map s1first
!
interface FastEthernet0/0
ip address 10.1.4.2 255.255.255.0
no ip directed-broadcast
no keepalive
full-duplex
no cdp enable
!
interface Serial1/0
ip address 172.24.2.5 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no keepalive
fair-queue 64 256 0
framing c-bit
cablelength 10
dsu bandwidth 44210
clock source internal
no cdp enable
crypto map s1first
!
ip route 10.1.3.0 255.255.255.0 Tunnel1
ip route 10.1.6.0 255.255.255.0 Tunnel1
!
access-list 101 permit gre host 172.24.2.5 host 172.17.2.4
!
line con 0
transport input none
line aux 0
line vty 0 4
login
!
end
Extranet 外联网配置:
Figure 3-9: Extranet ××× Scenario Physical Elements

Headquarters Router 配置:
hq-sanjose# show running-config
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname hq-sanjose
!
boot system flash bootflash:
boot bootldr bootflash:c7100-boot-mz.120-1.1.T
boot config slot0:hq-sanjose-cfg-small
no logging buffered
!
crypto isakmp policy 1
authentication pre-share
lifetime 84600
crypto isakmp key test12345 address 172.24.2.5
crypto isakmp key test67890 address 172.23.2.7
!
crypto ipsec transform-set proposal1 ah-sha-hmac esp-des esp-sha-hmac
ode transport
!
crypto ipsec transform-set proposal4 ah-sha-hmac esp-des esp-sha-hmac
!
!
crypto map s1first local-address Serial1/0
crypto map s1first 1 ipsec-isakmp
set peer 172.24.2.5
set transform-set proposal1
match address 101
!
crypto map s4second local-address Serial2/0
crypto map s4second 2 ipsec-isakmp
set peer 172.23.2.7
set transform-set proposal4
match address 111
!
interface Tunnel0
bandwidth 180
ip address 172.17.3.3 255.255.255.0
no ip directed-broadcast
tunnel source 172.17.2.4
tunnel destination 172.24.2.5
crypto map s1first
!
interface FastEthernet0/0
ip address 10.1.3.3 255.255.255.0
no ip directed-broadcast
no keepalive
full-duplex
no cdp enable
!
interface FastEthernet0/1
ip address 10.1.6.4 255.255.255.0
no ip directed-broadcast
ip nat inside
no keepalive
full-duplex
no cdp enable
!
interface Serial1/0
ip address 172.17.2.4 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no keepalive
fair-queue 64 256 0
framing c-bit
cablelength 10
dsu bandwidth 44210
clock source internal
no cdp enable
crypto map s1first
!
interface Serial2/0
ip address 172.16.2.2 255.255.255.0
no ip directed-broadcast
ip nat outside
no ip mroute-cache
no keepalive
fair-queue 64 256 0
framing c-bit
cablelength 10
dsu bandwidth 44210
clock source internal
no cdp enable
crypto map s4second
!
router bgp 10
network 10.2.2.2 mask 255.255.255.0
network 172.16.2.0 mask 255.255.255.0
!
ip route 10.1.4.0 255.255.255.0 Tunnel0
!
ip nat inside source static 10.1.6.5 10.2.2.2
!
access-list 101 permit gre host 172.17.2.4 host 172.24.2.5
access-list 111 permit ip host 10.2.2.2 host 10.1.5.3
!
line con 0
transport input none
line aux 0
line vty 0 4
login
!
end

Business Partner Router 配置:
bus-ptnr# show running-config
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname bus-ptnr
!
boot system flash bootflash:
boot bootldr bootflash:c7100-boot-mz.120-1.1.T
boot config slot0:bus-ptnr-cfg-small
no logging buffered
!
crypto isakmp policy 1
authentication pre-share
lifetime 84600
crypto isakmp key test67890 address 172.16.2.2
!
crypto ipsec transform-set proposal4 ah-sha-hmac esp-des esp-sha-hmac
!
!
crypto map s4second local-address Serial1/0
crypto map s4second 2 ipsec-isakmp
set peer 172.16.2.2
set transform-set proposal4
match address 111
!
interface FastEthernet0/0
ip address 10.1.5.2 255.255.255.0
no ip directed-broadcast
no keepalive
full-duplex
no cdp enable
!
interface Serial1/0
ip address 172.23.2.7 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no keepalive
fair-queue 64 256 0
framing c-bit
cablelength 10
dsu bandwidth 44210
clock source internal
no cdp enable
crypto map s4second
!
router bgp 10
network 10.1.5.0 mask 255.255.255.0
network 172.16.2.0 mask 255.255.255.0
!
access-list 111 permit ip host 10.1.5.3 host 10.2.2.2
!
line con 0
transport input none
line aux 0
line vty 0 4

×××组网经验谈

山东证券有限责任公司是一家经营山东省证券业务的公司，总部在济南市，在全省各个地市有十几处营业部，另外在上海和北京设有两处营业部。日常各部之间的联系极为紧密，尤其是各地市分部与总部的联系更是如此。鉴于证券行业的特点，为了把各地市分部的网络连成一体，而又降低投资和管理费用，同时并加强通信的安全性，我们采用了目前微软的基于WINDOWS NT 的×××技术来建设山东证券网络。

具体的连接方式是各地市营业部采用64K DDN专线通过169公网与总部×××服务器建立×××通道连接。同时，为了保证整个×××网络的连续运行，设立青岛接点做为×××备份服务器，一旦济南中心点出现故障，各地市的连接就转移到青岛接点上。另外在济南中心接点，配置一MODEM 池，以便在紧急情况下，做为各地市的拨入设备使用。

山东证券×××网络的IP地址规划：济南中心接点的局域网IP为100.100.0.1，子网掩码为255.255.255.0，即100.100.0.0网络段，其它地市营业部的网络段地址分别为100.100.1.0到100.100.18.0，各地市营业部的×××验证服务器IP地址分别为100.100.1.1到100.100.18.1，掩码都是255.255.255.0。因此这种划分足以满足该公司现在与以后的要求。

各地市×××验证服务器配置过程:

1. 在WINDOWS NT 服务器上安装PPTP协议，并把×××私有网络通道数设置为2，这两个通道用来与中心点服务器连接访问。

2. 安装××× 路由及RAS管理软件(mpri386.exe)，当安装完成之后，Routing and RAS Admin项就自动地出现在NT的程序项中。

3. 在拨号网络里添加×××拨号接口，并进行用户名、口令、运行的协议以及安全认证等的配置。

4. 进行路由选项的配置，我们选用了静态路由进行配置，其中×××路由的目的IP地址都是100.100.0.0（掩码为255.255.0.0）即到中心接点的路由。在这里中心点验证服务器的××× IP地址池(POOL)是100.100.100.0到100.100.100.255,各地市×××路由的网关都是中心点××× PPTP POOL 地址池中IP的第一个IP地址即100.100.100.1。接口是添加的×××拨号接口。到169公网的路由0.0.0.0（掩码为0.0.0.0），网关是各地营业部路由器的以太口地址， 接口是机器的网卡。在验证服务器是NT 域中创建用于拨号的用户。

下面以一个地市(青岛)的×××服务器配置为例。

(1) 首先在windows NT 4.0的网络中添加PPTP协议

(2) 添加好PPTP点对点协议后再设置两个×××私人网络通道。用来与中心点验证服务器连接及中心点验证服务器与本地连接作路由功能用。

(3) 安装××× RAS And Routing Admin(mpri386.exe)软件。

(4) 在安装过程中要重新启动计算机3次，才能完成Routing And RAS 的安装。安装成功后会在程序项中增加Routing And RAS Admin程序项，接下来要配置×××拨号及路由。

(5) 添加×××拨号适配器及拨号IP地址，设置×××验证用户名、口令和域。

添加完成后，可以设置×××按需拨号路由，及×××验证加密方式。

　

(6) 接下来要设置×××路由，可以用静态路由也可以用RIP路由，这里我们用静态路由，要添加两个路由。一个是走×××通道的路由(×××_qd Interface)、另一个是走Internet网络的路由(3Com EhterIII卡)。在这里中心点验证服务器的××× IP地址池(POOL)是100.100.100.0到100.100.100.255,各地市×××路由的网关都是中心点××× PPTP POOL 地址池中IP的第一个IP地址即100.100.100.1。本地Internet网关IP地址应是各地市营业所路由器以太口IP地址如10.86.0.4。则Static Routes(静态路由表)为下表：

（7）在NT的域用户管理器中添加×××拨号用户，并允许拨入。

在这里我们以青岛为例，添加×××_QD用户，设置×××拨号口令，并给予拨入权限。

设置完成后，可以从本地的工作站Ping中心点的局域网中的工作站，如ping 100.100.0.1或ping 100.100.0.11如果能Ping通，则建立×××路由正确。如果Ping不通中心点上的工作站，但能ping通中心点的×××验证服务器，可能是本地×××路由不正确。

另外在本地×××服务器是可以Ping通Internet上的其他计算机的，如果Ping不通，可能是默认静态路由设置有误。如果一切正常那么在Routing And RAS Admin管理中的***_qd 和3Com EhterIII Line的Connection State(LAN And Demand Dial Interface)状态应该都是Connected在连接上，本地×××服务器应该与路由器及连接局域网的集线器相连接。局域网上的工作站IP地址应设置为虚拟IP地址，×××验证服务器或者是两块网卡(一块连接路由器、另一块设置虚拟IP地址连接局域网)，或者是一块网卡(捆绑两个IP地址)。

中心接点×××验证服务器的配置过程：

其配置过程基本上与各地市的验证服务器配置过程一样，就是所添加的×××私有网络通道数是各营业部所添加的和。要创建到各营业部的×××接口，并且对每一借口进行静态路由的配置。还要在WINDOWS NT 的域用户管理器上创建每一个×××用户。

当中心点验证服务器和营业部验证服务器的配置都结束之后，就可以进行×××的连接。另外应注意的是，各地市营业部网络段上的客户端机器的IP地址应配置为该营业部×××的规划地址，而不是169IP地址或其它。只有这样，才能使客户端机器通过本地验证服务器连接到中心接点进行资源的访问。

构建中小企业的×××网络

随着互联网的广泛应用，企业分支机构的联网应用也越来越多。但是，租用专线的费用是很多中小企业无法承受的。通过使用本文中介绍的×××技术，可以轻易构建企业之间的联网应用。

×××，全称“虚拟专用网”。这是相对于实际的专有网络而言的。实际的专有网络比如银行，政府机构，大型企业等等。通过租用专有的线路进行互联。而×××是通过公共互联网传播私有数据的一种技术。这种技术通常使用在如下的网络：

图 一 ×××网络示例
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

下面首先简单介绍一下各种×××技术和各自长短。

GRE：通用路由封装技术。这种技术是在IP数据包的外面再加上一个IP头。通俗的说，就是把私有数据进行一下伪装，加上一个“外套”，传送到其他地方。因为企业私有网络的IP地址通常是自己规划，无法和外部互联网进行正确的路由。而在企业网络的出口，通常会有一个互联网唯一的IP地址。这个地址可以在互联网中唯一识别出来。GRE就是把目的IP地址和源地址为企业内部地址的数据报文进行封装，加上一个目的地址为远端机构互联网出口的IP地址，源地址为本地互联网出口的IP地址的IP头，从而经过通过互联网进行正确的传输。这种技术是最简单的×××技术。

L2tp ：全称二层隧道传输协议。这是一种在特定链路层实现的×××技术。具体是把二层协议PPP的报文封装在IP 报文中，进行传输。这种技术主要是提供了企业员工出差在外通过拨号网络直接访问企业内部网络的方式。在Windows2000中，也提供了这项功能。但是，用户要使用这种技术，必需ISP提供支持。

IPsec： 网络安全协议。这个协议提供了互联网的验证，加密等功能，实现了数据的安全传输。同时，可以使用这种协议构建×××网络。原理也是对IP包进行封装（可以提供多种方式），并且进行加密，然后在互联网中进行传输。与前面两种相比，这种技术提供了更好的安全性。但是，协议的复杂性导致了处理Ipsec 的网络设备（如路由器）需要占用大量的资源，效率较低。如果使用专门的加密硬件，又会增加成本。

其他还有一些最新的技术，如MPLS ×××，但是都需要ISP提供相应的服务。

下面，以目前互联网现状最简单，成本最低，最有效的×××技术——GRE为例，说明如何实际的构造中小企业的×××网络。

现在，许多中小企业都有一个互联网出口供上网，查找资料，处理邮件等。所使用的技术差不多都是NAT——网络地址转换。虽然，这种技术可以让内部网络访问互联网，却不能访问其他的内部网络。

如下图，公司的两个机构原来都使用NAT访问互联网。上网路由器可以通过ISDN，普通拨号电话线，卫星专项等上网。如果原来是使用Linux或者Windows网关上网，要实现下面的功能，必须购买路由器（目前国产的地端路由器不过几千元）。

分支A和分支B都有一个上网使用的公共IP地址。分支A的内部网段为 172.17.1.0/24 ，分支B内部网段为 172.17.20/24。现在需要实现分支A的计算机能访问分支B的服务器Server B，分支B机能访问分支A的服务器Server A。为了实现这个目的，我们需要在Router A 和Router B上进行相应的配置，其他一切不变。

在Router A上：

1 配置一个虚接口（逻辑的接口，不是实际的物理接口），配置IP地址，本例中为172.17.10.1/24。

2 然后配置通道的目的地址——193.64.2.1，配置通道的源地址——202.38.1.1。

3 配置路由：到网段172.17.2.0 255.255.255.0 的下一跳为172.17.10.2。

在Router B上：

1同样配置一个虚接口，配置IP地址——172.17.10.2/24。

2然后配置通道的目的地址——202.38.1.1，配置通道的源地址——193.64.2.1。

3 配置路由：到网段172.17.1.0 255.255.255.0 的下一跳为172.17.10.1。

配置完成以后，从Router A如果可以ping 通 Router B 上的地址172.17.10.2，就大功告成了。分支A 和分支 B上就可以进行如专线一样的联网应用了。

×××的安全协议

文章来源：（赵青）


PPTP－Point to Point Tunnel Protocal(点对点隧道协议)

这是一个最流行的Internet协议，它提供PPTP客户机 与PPTP服务器之间的加密通信，它允许公司使用专用的“ 隧道”，通过公共Internet来扩展公司的网络。通过Internet的数据通信，需要对数据流进行封装和加密，PPTP就可以实现这两个功能，从而可以通过Internet实现多功能通信。这就是说，通过PPTP的封装或“隧道”服务，使非IP网络可以获得进行Internet通信的优点。但是PPTP会话不可通过代理器进行，PPTP是Microsoft和其它厂家支持的标准，它是PPTP协议的扩展，它可以通过Internet建立

多协议×××。

L2TP－Layer2 Tunneling Protocol(第二层隧道协议)

除Microsft外，另有一些厂家也做了许多开发工作，PPTP能支持Macintosh和Unix，Cisco的L2F（Layer2 Forwarding）就是又一个隧道协议。Mi?crosoft、Cisco和其它一些网络厂商正一起努力使L2F与PPTP融合，产生一个新的L2TP协议。PPTP和L2TP十分相似，因为L2TP有一部分就是采用PPTP协议，两个协议都允许客户通过其间的网络建立隧道，L2TP正在由包括Microsoft在内的几家厂商开发。L2TP还支持信道认证，但它没有规定信道保护的方法。

IPSEC—Internet Portocol Security(因特网协议安全性)

该协议正在IETF（因特网工程任务组）的指导下开发。开发这个协议的目的是要解决当前协议中存在的一些缺点，这个标准开发完成最快也要在一年以后。Microsoft承诺支持L2TP和IPSEC。IPSEC是由IETFIP安全性工作组定义的协议集，它用于确保网络层之间的安全通信。该协议草案建议使用IPSEC协议集保护IP网和非IP网上的L2TP业务，以及如何将IPSEC和L2FP一起使用，但它并未试图将端对端的安全性标准化。

SOCKs

SOCKs是一个网络连接的代理协议，它使SOCKs一端的主机完全访问SOCKs；而另一端的主机不要求IP直接可达。SOCKs能将连接请求进行鉴别和授权，并建立代理连接和传送数据。SOCKs通常用作网络防火墙，它使SOCKs后面的主机能通过Internet取得完全的访问权，而避免了通过Internet对内部主机进行未授权访问。目前，有SOCKsV4和SOCKsV5二个版本，SOCKsV5可以处理UDP，而SOCKsV4则不能。

×××概念纵横

文章来源：（孟海江　）

当移动用户或远程用户通过拨号方式远程访问公司或企业内部专用网络的时候，采用传统的远程访问方式不但通讯费用比较高，而且在与内部专用网络中的计算机进行数据传输时，不能保证通信的安全性。为了避免以上的问题，通过拨号与企业内部专用网络建立×××连接是一个理想的选择。

■×××带来的好处

降低费用 首先远程用户可以通过向当地的ISP申请账户登录到Internet，以Internet作为隧道与企业内部专用网络相连，通信费用大幅度降低；其次企业可以节省购买和维护通讯设备的费用。

增强的安全性 ×××通过使用点到点协议（PPP）用户级身份验证的方法进行验证，这些验证方法包括：密码身份验证协议 (PAP)、质询握手身份验证协议 (CHAP)、Shiva 密码身份验证协议 (SPAP)、Microsoft 质询握手身份验证协议 (MS-CHAP) 和可选的可扩展身份验证协议 (EAP)；并且采用微软点对点加密算法（MPPE）和网际协议安全（IPSec）机制对数据进行加密。以上的身份验证和加密手段由远程×××服务器强制执行。对于敏感的数据，可以使用×××连接通过×××服务器将高度敏感的数据服务器物理地进行分隔，只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与×××服务器的×××连接，并且可以访问敏感部门网络中受到保护的资源。

网络协议支持 ×××支持最常用的网络协议，基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用×××。这意味着通过×××连接可以远程运行依赖于特殊网络协议的应用程序。

IP 地址安全 因为×××是加密的， ×××数据包在Internet中传输时，Internet上的用户只看到公用的IP地址，看不到数据包内包含的专有网络地址。因此远程专用网络上指定的地址是受到保护的。

■×××使用的协议

×××使用两种隧道协议：点到点隧道协议（PPTP）和第二层隧道协议（L2TP）。

PPTP PPTP 是PPP的扩展，它增加了一个新的安全等级，并且可以通过Internet 进行多协议通信，它支持通过公共网络（如Internet）建立按需的、多协议的、虚拟专用网络。PPTP 可以建立隧道或将 IP、IPX 或 NetBEUI 协议封装在 PPP 数据包内，因此允许用户远程运行依赖特定网络协议的应用程序。PPTP在基于 TCP/IP 协议的数据网络上创建 ×××连接，实现从远程计算机到专用服务器的安全数据传输。×××服务器执行所有的安全检查和验证，并启用数据加密，使得在不安全的网络上发送信息变得更加安全。尤其是使用EAP后，通过启用 PPTP 的 ×××传输数据就象在企业的一个局域网内那样安全。另外还可以使用 PPTP 建立专用 LAN 到 LAN 的网络。

L2TP L2TP 是一个工业标准的Internet隧道协议，它和PPTP的功能大致相同。L2TP 也会压缩PPP 的帧，从而压缩 IP、IPX 或 NetBEUI 协议，同样允许用户远程运行依赖特定网络协议的应用程序。与PPTP不同的是，L2TP使用新的网际协议安全 (IPSec) 机制来进行身份验证和数据加密。目前L2TP只支持通过IP网络建立隧道，不支持通过 X.25、帧中继或 ATM 网络的本地隧道。

■×××的身份验证方法

前面已经提到×××的身份验证采用PPP的身份验证方法，下面介绍一下×××进行身份验证的几种方法。

CHAP CHAP 通过使用MD5（一种工业标准的散列方案）来协商一种加密身份验证的安全形式。CHAP 在响应时使用质询-响应机制和单向 MD5 散列。用这种方法，可以向服务器证明客户机知道密码，但不必实际地将密码发送到网络上。

MS-CHAP 同CHAP相似，微软开发MS-CHAP 是为了对远程 Windows 工作站进行身份验证，它在响应时使用质询-响应机制和单向加密。而且 MS-CHAP 不要求使用原文或可逆加密密码。

MS-CHAP v2 MS-CHAP v2 是微软开发的第二版的质询握手身份验证协议，它提供了相互身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将×××连接配置为用 MS-CHAP v2 作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。

EAP EAP 的开发是为了适应对使用其他安全设备的远程访问用户进行身份验证的日益增长的需求。通过使用 EAP，可以增加对许多身份验证方案的支持，其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。对于×××来说，使用EAP可以防止暴力或词典***及密码猜测，提供比其他身份验证方法（例如 CHAP）更高的安全性。

在Windows系统中，对于采用智能卡进行身份验证，将采用EAP验证方法；对于通过密码进行身份验证，将采用CHAP、MS-CHAP或MS-CHAP v2验证方法。

■×××的加密技术

×××采用何种加密技术依赖于×××服务器的类型，因此可以分为两种情况。

对于PPTP服务器，将采用MPPE加密技术 MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。只有在 MS-CHAP、MS-CHAP v2 或 EAP/TLS 身份验证被协商之后，数据才由 MPPE 进行加密，MPPE需要这些类型的身份验证生成的公用客户和服务器密钥。

对于L2TP服务器，将使用IPSec机制对数据进行加密 IPSec是基于密码学的保护服务和安全协议的套件。IPSec 对使用 L2TP 协议的 ××× 连接提供机器级身份验证和数据加密。在保护密码和数据的 L2TP 连接建立之前，IPSec 在计算机及其远程×××服务器之间进行协商。IPSec可用的加密包括 56 位密钥的数据加密标准DES和 56 位密钥的三倍 DES (3DES)。

------------------------------------------------------------

何为×××？

×××（Virtual Private Network）：虚拟专用网络，是一门网络新技术，为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成：客户机、传输介质和服务器。×××同样也由这三部分组成，不同的是×××连接使用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，如：Internet或Intranet。

要实现×××连接，企业内部网络中必须配置有一台基于Windows NT或Windows2000 Server的×××服务器，×××服务器一方面连接企业内部专用网络，另一方面要连接到Internet，也就是说×××服务器必须拥有一个公用的IP地址。当客户机通过×××连接与专用网络中的计算机进行通信时，先由ISP（Internet服务提供商）将所有的数据传送到×××服务器，然后再由×××服务器负责将所有的数据传送到目标计算机。×××使用三个方面的技术保证了通信的安全性：隧道协议、身份验证和数据加密。客户机向×××服务器发出请求，×××服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到×××服务器，×××服务器根据用户数据库检查该响应，如果账户有效，×××服务器将检查该用户是否具有远程访问权限，如果该用户拥有远程访问的权限，×××服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。×××连接的示意图如下所示。

 

IP sec的×××配置

 

IP sec 的 ××× 配置

左边的router：

crypto isakmp policy 1

hash md5

authentication pre-share

crypto isakmp key cisco123 address 202.96.15.88

!

crypto ipsec transform-set rtpset esp-des esp-md5-hmac

!

crypto map rtp 1 ipsec-isakmp

set peer 202.96.15.88

set transform-set rtpset

match address 102

!

interface Ethernet0/0

ip address 192.168.1.1 255.255.255.0

no ip directed-broadcast

ip nat inside

!

interface Ethernet0/1

ip address 61.153.158.44 255.255.255.0

no ip directed-broadcast

ip nat outside

no ip route-cache

no ip mroute-cache

crypto map rtp

ip nat inside source route-map nonat interface Ethernet0/1 overload

ip classless

ip route 0.0.0.0 0.0.0.0 61.153.158.4x(网关)

no ip http server

access-list 101deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 101 permit ip 192.168.1.0 0.0.0.255 any

access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

route-map nonat permit 10

match ip address 102

右边的router：

crypto isakmp policy 1

hash md5

authentication pre-share

crypto isakmp key cisco123 address 61.153.158.44

!

crypto ipsec transform-set rtpset esp-des esp-md5-hmac

!

crypto map rtp 1 ipsec-isakmp

set peer 61.153.158.44

set transform-set rtpset

match address 102

!

interface Ethernet0/0

ip address 192.168.2.1 255.255.255.0

no ip directed-broadcast

ip nat inside

!

interface Ethernet0/1

ip address 202.96.15.88 255.255.255.0

no ip directed-broadcast

ip nat outside

no ip route-cache

no ip mroute-cache

crypto map rtp

ip nat inside source route-map nonat interface Ethernet0/1 overload

ip classless

ip route 0.0.0.0 0.0.0.0 202.96.15.8x(网关)

no ip http server

access-list 101deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

access-list 101 permit ip 192.168.2.0 0.0.0.255 any

access-list 102 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

route-map nonat permit 10

match ip address 102

Cisco 路由器 ×××典型配置

本实验借助于Cisco 2600 路由器，通过×××技术实现蓝色学苑，一分部和二分部之间的网络互联，为了贴近实用性，中间仍然通过Cisco 3640 模拟ISP 。

      通过在网络基础部分的介绍，各位应该对×××技术有了一定的认识，在×××的实现中主要有两个方面：建立××× Tunnel和IPSec的加密

具体拓扑图如下：

  

　

　

1.        Cisco 2600 with GRE Tunnel

　

　

Current configuration

!

version 12.0

sevice timestamps debug uptime

sevice timestamps log uptime

sevice password-encryption

!

hostname bluestudy1

!

enable passsword cisco

!

memory-size iomem 25

ip subnet-zero

no ip domain-lookup

!

interface Tunnel0

ip address 172.16.101.1 255.255.255.0

no ip directed-broadcast

ip mtu 1467

tunnel sourece 199.1.1.2

tunnel destination 199.1.2.2

!

interface serial0/0

no ip address

no ip directed-broadcast

encapsulation frame-relay

no ip mroute-cache

frame-relay lmi-type ansi

!

interface serial0/0.1 point-to-point

description connected to internet

ip address 199.1.1.2 255.255.255.248

no ip directed-broadcast

ip nat outside

no arp frame-relay

frame-relay interface-dlci 111

!

!

interface ethernet0/0

ip address 172.16.1.1 255.255.255.0

no ip directed-broadcast

ip nat inside

!

router eigrp 100

network 172.16.0.0

!

router rip

version 2

network 172.16.0.0

no auto-summary

!

ip nat pool bluestudy 199.1.1.3 199.1.1.10 netmask 255.255.255.248

ip nat inside sourece list 2 pool bluestudy overload

ip nat inside sourece static 172.16.1.3 199.1.1.5

ip classless

ip route 0.0.0.0 0.0.0.0 srial0/0.1

ip http server

!

access-list 2 permit 172.16.1.0 0.0.0.255

snmp-server community public RO

!

line con 0

exec-timeout 0 0

password cisco

login

transport input none

line aux 0

line vty 0 4

password cisco

login

!

end

　

　

1.        Cisco 2600 Configuration with IPSec

　

　

Current configuration

!

version 12.0

sevice timestamps debug uptime

sevice timestamps log uptime

sevice password-encryption

!

hostname bluestudy1

!

enable passsword cisco

!

memory-size iomem 25

ip subnet-zero

no ip domain-lookup

!

crypto isakmp key policy 1

authentication pre-share

group 2

crypto isakmp key slurpee-machine address 172.16.101.2

!

crypto ipsec transform-set test ah-sha-hmac esp-des esp-sha-hmac

!

set transform-set test

!

crypto map bluestudy 10 ipsec-isakmp

set peer 172.16.101.2

set transform-set test

match address 101

!

interface Tunnel0

ip address 172.16.101.1 255.255.255.0

no ip directed-broadcast

ip mtu 1467

tunnel sourece 199.1.1.2

tunnel destination 199.1.2.2

crypto map bluestudy

!

interface serial0/0

no ip address

no ip directed-broadcast

encapsulation frame-relay

no ip mroute-cache

frame-relay lmi-type ansi

!

interface serial0/0.1 point-to-point

description connected to internet

ip address 199.1.1.2 255.255.255.248

no ip directed-broadcast

ip nat outside

no arp frame-relay

frame-relay interface-dlci 111

!

!

interface ethernet0/0

ip address 172.16.1.1 255.255.255.0

no ip directed-broadcast

ip nat inside

!

router eigrp 100

network 172.16.0.0

!

router rip

version 2

network 172.16.0.0

no auto-summary

!

ip nat pool bluestudy 199.1.1.3 199.1.1.10 netmask 255.255.255.248

ip nat inside sourece list 2 pool bluestudy overload

ip nat inside sourece static 172.16.1.3 199.1.1.5

ip classless

ip route 0.0.0.0 0.0.0.0 srial0/0.1

ip http server

!

access-list 2 permit 172.16.1.0 0.0.0.255

access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255(对方网络，只有到这个网络的信息包才加密)

　

snmp-server community public RO

!

line con 0

exec-timeout 0 0

password cisco

login

transport input none

line aux 0

line vty 0 4

password cisco

login

!

end

转载于:https://blog.51cto.com/426440/98281