IPSEC构建企业秘密隧道

IPSec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows XP 和 Windows Server 2003 家族中，IPSec 提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、Extranet 以及漫游客户端之间的通信。

IPSec的安全特性主要有：
不可否认性 "不可否认性"可以证实消息发送方是唯一可能的发送者，发送者不能否认发送过消息。"不可否认性"是采用公钥技术的一个特征，当使用公钥技术时，发送方用私钥产生一个数字签名随消息一起发送，接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥，也只有发送者才可能产生该数字签名，所以只要数字签名通过验证，发送者就不能否认曾发送过该消息。但"不可否认性"不是基于认证的共享密钥技术的特征，因为在基于认证的共享密钥技术中，发送方和接收方掌握相同的密钥。
反重播性 "反重播"确保每个IP包的唯一性，保证信息万一被截取复制后，不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后，再用相同的信息包冒取非法访问权（即使这种冒取行为发生在数月之后）。
数据完整性 防止传输过程中数据被篡改，确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和，接收方在打开包前先计算检查和，若包遭篡改导致检查和不相符，数据包即被丢弃。
数据可靠性（加密） 在传输前，对数据进行加密，可以保证在传输过程中，即使数据包遭截取，信息也无法被读。该特性在IPSec中为可选项，与IPSec策略的具体设置相关。
认证 　数据源发送信任状，由接收方验证信任状的合法性，只有通过认证的系统才可以建立通信连接。
以上信息，来自于互联网，请尊重版权。接下来，笔者将和您共同探讨企业中的IPSEC简单应用。

实验环境：某企业有两家分公司，为了便于各分公司之间及分公司与总部之间联系，同时出于成本和安全的考虑，要求使用IPSEC等技术。
实验拓扑：





实验设备：
华为路由器两台
华为三层交换机一台
测试机三台（XP）
实验步骤：
一、在总部上路由器R1上进行配置。
1.配置各接口地址。
出于管理方便的考虑，把E0接口的地址设置为辅助地址。




2.配置分部2之间的相关参数
配置acl




配置协商




配置策略
由于一个接口只能应用一个策略，因此，当需要设置两条规则时，应该给它们使用同一条策略，但是属于不同的序号。





3.配置分部3之间的相关参数
配置acl




配置协商




配置策略和共享密钥
由于一个接口只能应用一个策略，因此，当需要设置两条规则时，应该给它们使用同一条策略，但是属于不同的序号。





5.应用到接口上。








二、在枝干交换机上进行配置。
1.配置vlan，并添加相应的端口。




2.配置vlan的地址。




三、在分部路由器R2上配置。
1.配置各接口地址。
出于管理方便的考虑，把E0接口的地址设置为辅助地址。




2.配置默认路由




3.配置与总部之间的相关参数
配置acl



配置协商




配置策略和共享密钥




4.应用到接口上。








四、在分部路由器R3上配置。
1.配置各接口地址。
出于管理方便的考虑，把E0接口的地址设置为辅助地址。




3.配置默认路由




3.配置与总部之间的相关参数
配置acl




配置协商




配置策略和共享密钥








5.应用到接口上。








五、测试各主机之间通讯状况。
1.使用总部主机测试与各分部之间通讯状况








2.使用分部2主机测试与总部和分部3之间通讯状况













3.使用分部3主机测试与总部和分部2之间通讯状况













六、在各个路由器上修改配置。
从以上测试，可以看到，两个分部之间，并不能相互通讯。要想解决这个问题。有两种解决方案：1.在两个分部之间再建立一条隧道。
2.修改总部路由器、各分部路由器的acl。
使用第1种方案，可以从根本上很好的解决问题。但是还得继续配置策略等，相对来讲较为麻烦。由于两个分部相互通讯量并不多，因此，使用第2种方案，配置方便，而且适用于通讯量不大的场景。
1.在总部路由器上进行配置。




2.在分部路由器2上进行配置。




3.在分部路由器3上进行配置。




七、再次测试各个主机之间通讯状况。
使用分部2主机测试与总部和分部3之间通讯状况




使用分部3主机测试与总部和分部2之间通讯状况