基于IPSec安全體系的VPN網絡設計與實現BasedonIPSec［摘要］VPN技術在近幾年的發展可謂是相當的快速。因為vpn的出現，使私有網絡幾乎達到任何想要到達的地方，VPN技術目前最具活力的研究領域之一，因為它的特性適合于大多數的中小型企業，VPN和一般的網絡不同，它可以為邏輯上不存在連接的兩個站點建立一條虛擬的通道，讓連個局域網在在虛擬的情況下進行連接，VPN網絡有很多種類型，而在這之中IPSEC就是一種非常棒的VPN，這是一個加密認證技術，也就是這次的討論對象。本次討論的目標就是要設計一個基于ipsec的VPN實驗，這個方案可以使站點的所有網絡進行跨越，并且通過VPN進行連接，而關于IPSEC協議的主要功能是體現在加密技術上面。本文將以IPSEC為基礎，對虛擬專用網絡這個目前使用很廣泛的信息安全技術進行較深入的研究，設計一個基于IPSEC協議的高效率，安全，穩定的vpn網關，并且通過模擬器對其進行研究。[關鍵詞]：VPN，隧道技術，IPSEC，方案實現[abstract]thedevelopmentofVPNtechnologyinrecentyearsisquitefast.TheemergenceoftheVPN,makeprivatenetworkreachedalmostanyplaceyouwanttogettotheVPN,oneofthemostactiveresearchfieldsbecauseofitsfeaturesissuitableforthemajorityofsmallandmediumenterprises,VPNandgeneralnetwork,itcanbelogicallythereisnoconnectionoftwositestobuildavirtualchannel,toconnectalocalareanetwork(LAN)inundertheconditionofthevirtualconnection,therearemanykindsoftypesofVPNnetwork,andintheIPSECVPNisakindofverygood,thisisanencryptedauthenticationtechnology,whichistheobjectofdiscussion.ThegoalofthisdiscussionistodesignanexperimentbasedonipsecVPN,thisschemecanmakethesiteallacrossthenetwork,andthroughtheVPNconnection,andthemainfunctionistoreflectonipsecprotocolonencryptiontechnology.

ThisarticleisbasedonIPSEC,thevirtualprivatenetworkthatcurrentlyuseawiderangeofinformationsecuritytechnology,afurtherstudytodesignahighefficiencybasedonIPSECprotocol,securityandstabilityoftheVPNgateway,andthroughthesimulatortostudy.

[keywords]:theVPNtunneltechnology,IPSEC,planimplementation

目錄TOC\o"1-3"\h\u7067緒論 4119591.課題研究的背景及意義 4150861.2國內對于ipsec的研究現狀 4320901.2.1研究現狀 466101.2.2國外的研究現狀 536861.3主要研究內容 5130892.相關技術分析 5236102.1VPN概述 5325182.2IPSecVPN概述 5206202.2.1IPSec協議簡介 5127142.2.2IPSecVPN 5171312.3IPsec框架 641682.4散列函數 620522.5加密算法 760862.5.1對稱密鑰算法 7752.5.2非對稱密鑰算法 8187672.6封裝協議 8186191)ESP(EncapsulatingSecuityFayload) 8216302)AH(AuthenticationHeader) 917382.7IPsec的數據封裝模式 10215301.傳輸模式 10206742.隧道模式 10147052.8密鑰有效期 11322862.9本章小結 1191753.網絡需求分析 12183373.1網絡硬件需求 1232843.2網絡功能需求 1274803.3網絡安全需求 12140843.4本章小結 1220294網絡規劃與設計 12319274.1網絡架構設計 12246944.2網絡功能設計 12176204.3網絡安全設計 12100135.網絡環境部署 13224105.1萬能拓撲圖 13286985.2效果拓撲圖 13229965.2.1邊界路由器配置 13121855.2.2校區站點配置 16117435.3網絡功能測試 17191955.3.1mplsvpn測試 18101905.3.2測試R2于R3loo1的連通性 18166605.3.3IPSEC的一些問題 19167546總結與展望 1924266.1全文總結 1933096.2研究展望 202844致謝 2025958參考文檔 2019640參考文獻 20緒論隨著現代網絡的發展，很多人慢慢的把技術的矚目點從網絡的可用性、信息的獲取性轉移到網絡的安全性、應用的簡易性上來。新興發展起來的一種技術虛擬專用網（Virtual

Private

Network，VPN）正在被現在網絡廣泛的使用，許多的ISP都非常的推崇這一項技術，因為他真的很方便。與此相應，網絡中的安全問題也漸漸的受到重視。由于在剛開始建立網絡的時候沒有相對詳細的考慮安全問題，導致現在的網絡狀況很不理想，安全性變得非常的差，為什么？因為網絡中的IP數據包一般都是通過明文來傳輸的，毫無安全性可言。在網絡安全的發展中，各種技術相應的出現，而在1988年IETF推出了ipsec這一項具有優勢的網絡安全技術。IPSec協議現在已經變成世界上使用最為廣泛的技術，它在將來很有可能會變成ip網絡中VPN的標志性技術。但是IPSec協議是一個新興的安全協議，其中技術命令復雜，IPSec在各個方面，例如理論和實踐方面都是需要改進的?；谒鼘τ诰W絡安全真的非常重要。1.課題研究的背景及意義在信息時代，隨著企業及各種學院的廣泛使用，企業網的范圍也在持續不斷增大，從本地網絡發展到跨地區、跨城市，甚至是跨國家的網絡。internet范圍的增大，使得在生活中對網絡的應用的要求變得很高。比如說，分布在不一樣的國家的不一樣的部門都想有一個安全的平臺來共享信息；在旅游時或者出差時，員工想要訪問公司的內部網絡。企業會時常遇見這些問題，都是想ISP租用長型的線路和數字加密技術來保證該企業在網絡方面的需求，但是這種網絡消費方式不是每個企業都能承受的，而且在網絡的擴展性方面這方法也是非常差的。國內的信息公用網在這幾年來已經得到的告訴的發展。在網絡的物理連接上，公眾的共享信息平臺是公開的，所以當有些企業要傳遞信息時需要經過公眾網絡，所以在這里就有很大安全性問題，就是因為出現了安全性問題，IPSEC則破殼而出成為了如今被使用最為廣泛的安全傳輸協議。虛擬專用網（VPN）技術是最近幾年新興出現的技術，它既可以拜托企業中繁重的維護等工作，就可以加強企業網的安全性能。VPN技術，又稱為虛擬專用網技術，就是在有公共網絡的基礎上在建立私有網絡，傳遞的信息在IPSEC的加密下傳入公共網絡中。虛擬專用網技術可以節省成本、提供遠程互聯、延展性好、方便管理和可以進行多方面控制等優點，這是目前每個企業在網絡方面發展的趨勢。1.2國內對于ipsec的研究現狀1.2.1研究現狀在國內對于IPSECVPN的研究相對國外來說是比較滯后的，但是這并不代表我們不會使用該技術，總所皆知，IPSEC技術是一個對所有的加密技術的一個集合體或者說是一個總成，IPSEC總是使用當前最安全靠譜的機密技術來作為核心，對網絡進行安全的防護。在國內IPSEC被廣泛應用于VPN技術中，與VPN技術結合，保護了信息的安全。1.2.2國外的研究現狀相對于國外來說，IPSEC被應用的更為廣泛，它在任何方面都有被使用，就是因為IPSEC技術是與時代共同進步的技術，ipsec應用范圍大，尤其在國外的應用更廣泛。1.3主要研究內容本次論文將對IPSECVPN進行相對深入的講解，從多方面讓大家了解IPSEC技術的只是，主要會從IPSEC的基本原理，以及IPSEC框架，不同的IPSEC應用場合等方面來介紹IPSEC著項技術。相關技術分析2.1VPN概述隨著時代的發展以及企業規模的發展壯大，網絡負擔也不斷的加強，這時，有些企業考慮到成本問題，相對的就產生了vpn技術。VPN（virtualprivatenetwork）即虛擬專用網絡，他可以實現以私網連接到公網的要求，因為成本比較低，所以被很多中小型企業采用。一般企業使用的vpn有兩種，sslvpn和ipsecvpn。這兩種方法同時又有兩種的連接方式：1、access-vpn訪問遠程的用戶2、site-tosite點到點之間的通信2.2IPSecVPN概述2.2.1IPSec協議簡介IPSec協議，是用來維護三層的安全問題。因為大部分的網絡信息都要經過IP這一層，相當于說，網絡中的幾乎所有的信息都是通過TCP/IP來傳輸的。關于ipsec的提出是在1992年。那時ipsec技術不太成熟，經過一段時間的不斷研磨，在1998年的時候對ipsec進行了初步使用。預計在將來，ipsec技術會不斷的發展，乃至最后的成熟。2.2.2IPSecVPN在以往的網絡架構中，一般都是使用GRE隧道模式對數據進行傳輸，其實這樣的傳輸方式是不安全也是不可靠的，ipsec技術的出現彌補了GRE的這一缺點，它可以實現數據的端到端的數據加密型傳輸，保證了數據的安全性。IPSEC有兩種封裝協議分別是AH和ESP。IPSec的優勢有：（1）數據機密性：當公司的數據在互聯網上傳輸的時，都希望自己公司的數據是以密文的方式傳輸出去的，但是，在互聯網上的時候數據有時是密文有時是明文，像這種不同的情況就應該用不同的方案來解決。（2）數據完整性：數據完整性確保數據在源主機和目的主機之間傳送時不被篡改。VPN一般使用hash算法進行加密。哈希算法類似于校驗和，但是更可靠，它可以確保沒有人能更改數據的內容，驗證算法包括MD5，SHA-1。（3）身份驗證：身份驗證確保信息來源的真實性，并傳送到真實的目的地。（4）防重放保護：IPSEC接受方可檢測并拒絕接收過時或重復的數據包。IPSEC協議不是一個單獨的協議，包括安全協議，AH、ESP、IKE和用于驗證，等加密算法。2.3IPsec框架一些傳統的安全技術以及無線安全技術，旺往往會采用某種固定的加密和散列函數，這種做法帶有明顯的賭博性質，因為如果某天這個加密算法曝出嚴重漏洞，那么使用這個加密算法或者散列函數的安全技術也就難免要遭到淘汰，為了避免這種在一棵樹上吊死的悲慘事件發生，IPsec并沒有定義具體的加密和散列函數，IPSEC是以框架模式進行工作的，ipsec每次應用的加密都是要通過協商才能進行使用，比如說，我們覺得3DES這個加密技術很好，那么就不放暫且使用這個額協議來加密數據，但是只要有一天3DES出現了嚴重漏洞，或者出現了一個更好的加密技術，那么我們也可以馬上更換加密協議，使IPSECVPN總是使用最新最好的協議來進行加密，圖3-2所示為ipsec框架示意圖，這張圖旨在說明，不僅僅是散列函數，加密算法，還包括封裝協議和模式，密鑰有效期等內容都可以通過協商決定，在兩個IPSEC對等體之間協商的協議較做IKE。我們現在就一IPSEC框架設計的技術為主線，詳細介紹這些技術的特點和工作原理。2.4散列函數散列函數就是HASH函數，hash算法有兩種：MD5與SHA-1。Hash算法的作用就是用來保證數據的完整性，通過hash算法計算過得數據就叫做hash值，這個散列值也常常被稱為數據的指紋，為什么散列函數會被稱為數據的指紋呢？這是因為散列函數的工作原理和日常我們對指紋采集和使用的原理幾乎一樣，在這之前，我們不妨先來回想以下日常生活中我們是如何對指紋進行采集和使用的。步驟1：公安機關預先記錄：用戶“X”的指紋“指紋一”。步驟2：在犯罪現場中，公安機關獲取到“指紋二”步驟3：通過查詢指紋數據庫發現“指紋一”等于“指紋二”步驟4：由于指紋是獨一無二的，所以就能確定嫌疑犯了。這就是散列函數的工作機制，接下來看看他是如何驗證數據完整性的。步驟1：對“重要文件”執行散列函數計算，得到散列值“散列值一”步驟2：現在我們收到另外一個文件“文件？”。對它進行散列值計算得到“散列值二”。步驟3：將“散列值一”和“散列值二”進行對比，兩個散列值相等。步驟4：因為散列值也是獨一無二的，所以兩個散列值是相同的。1.固定大小散列值有一個特性，就是它可以接受任意大小的數據，但是產生的散列值大小總是一樣的。比說通過MD5計算的到的散列值總是128bite。2.蝴蝶效應蝴蝶效應的意思就是原本的數據只要稍微改變一點，其計算的到的散列值都會發生巨大的改變。單向意思就是說數據只能單向的進行散列值計算，無法在還原到原來的數據。4.沖突避免這點體現了散列值的唯一性，不會有一個散列值是相同的，避免了散列值沖突現在我們來看一下散列算法如何驗證數據的完整性。步驟1：用hash函數對“文件”和得到的“散列值一”進行計算。步驟2：將“散列值一”和“文件”一起發送給對端步驟3：對端同樣對“文件”進行計算得到“散列值二”步驟4：接收方將收到文件中“散列值一”和計算得到的“散列值二”進行對比，如果兩個散列值相同，那么根據散列函數蝴蝶效應和沖突避免的特點，就可以檢查“文件”在傳輸的過程中有沒有被人更改了。2.5加密算法對稱密鑰算法非對稱密鑰算法2.5.1對稱密鑰算法對稱密鑰算法有一個很明顯的特點，發送方和接收方都使用相同的密鑰進行加解密，這樣的加解密算法就叫做對稱算法，對稱密鑰算法有如下特點：優先：速度快：安全：緊湊。缺點：明文傳輸共享密鑰，容易出現中途接觸竊聽的問題；密鑰與參加者之間的函數關系（n*（n-1）/2）；因為密鑰數量過多，對密鑰的管理和存儲時一個很大的問題；對稱密鑰算法的幾種協議：DES3DESAES作一個比較直觀的比較，想必大多數讀者都有使用壓縮軟件的經歷，而對稱密鑰算法加密的速度應該比壓縮的速度稍快，另外，現在無線網絡的使用也很普及，無線都是使用WPA2進行加密的，而WPA2是使用DES進行加密的，用戶在使用無線網絡的時候，似乎并沒有因為加密而使網絡發生太大的延遲，而且只要他們的路由器或者交換機配上硬件加速模塊，那就基本上能夠實現線速加密，因此速度是對稱密鑰算法的一大優勢。2.5.2非對稱密鑰算法在使用非對稱加密技術之前，所有參與者沒不管是用戶還是路由器等網絡設備，都是需要預先使用非對稱密鑰算法產生一對密鑰，其中包括一個公鑰和一個私鑰，公鑰可以共享給所以屬于密鑰系統的用戶，私鑰需要進行嚴格的保護，只有持有這個私鑰的人才能使用。非對稱密鑰算法兩大安全特性：完整性校驗源認證工作特點：1.密鑰不能使用相同的密鑰進行解密2.僅用于密鑰交換和數字簽名優點：1.安全2.密鑰具有一對一的特性；3.交換公鑰不需要提前建立信任關系；非對稱密鑰算法協議：1.RSA；2.DH；3.ECC；2.6封裝協議1)ESP(EncapsulatingSecuityFayload)ESP的IP協議號為50,能夠抵御重放攻擊。對于IP數據包不會進行任何的保護。ESP協議用于對ip數據包進行加密，ESP除了對數據部分可以進行加密工作，還有一些認證的功能。ESP的加密是獨立的，它可以不依賴算法，大多數的數據都是可以使用ESP進行加密的，例如DES，RC5等。因為ESP才用了特殊的封裝方式，所以就算是在舊有的網絡中也是一樣可以運行的。IPSEC的任何協議都是有兩種工作方式，所以對于ESP來說也有兩種工作方式：同樣是隧道模式和傳輸模式。當ESP工做模式為傳輸模式的時候。在隧道模式的時候，對IP數據包整個有效字節進行加密工作，并加入新的IP頭部，這與NAT有異曲同工之妙。圖2-5ESP封裝示意圖2)AH(AuthenticationHeader)AH只和認證有關系，它不涉及加密。AH雖然在某些方面在功能上和ESP有些重復，但是AH有它自身的優勢，比如說他可以專門為IP頭部進行加密。對于AH，它可以是單獨使用，也可以在模式下使用例如隧道模式，或者是和ESP一起使用。（如圖2-6）圖2-6AH頭示意圖3)IKE(InternetKeyExchange)IKE是負責在兩臺節點之間進行一種連接的作用，它可以創建一條隧道來供網絡信息使用，IKE在運行要完成的工作有:--對運行中需要的協議進行協商--公共密鑰的相互交換--兩個節點之間的相互認證--交換成功后對密鑰進行管理圖2-7IKE示意圖IKE也是由三個協議組成--SKEME--Oakley--ISAKMPIKE協議分為二個階段.IPSEC隧道要建立起來就要經過下面的一系列過程:第一步:將ike進行連接第二步:安全系統的建立第三步:使用加速連接模式，建立第二個安全系統第四步:數據包進行加密動作。2.7IPsec的數據封裝模式IPSEC可以對數據進行加密也可以對數據進行認證。只是不管是進行加密或者是進行認證功能，對于這兩種功能IPSEC都有兩種工作方式，一種是隧道模式，還有另一種就是傳輸模式1.傳輸模式傳輸模式，如圖2－3所示，傳輸模式其實很簡單，不管使用的是AH協議還是ESP協議，都在在IP頭部和有效數據之間加入一個協議頭部，另外值得一提的是，ESP協議在數據的后面再加上自己的尾部和一個ESP人認證，并且對IP負載和ESP尾部進行加密和驗證處理，但原始IP頭部被完整地保留下來。圖2-3傳輸模式示意圖2.隧道模式隧道模式，如圖所示，這個模式的工作原理是將原本的整個IP數據包封裝到一個全新的IP數據包中，而在要插入一個EDP部分在原始數據包頭部和新數據包頭部之間，以此對整個原始IP數據包進行了加密和驗證處理。那么，什么樣的網絡拖布適合使用隧道模式來封裝IP數據包呢？其實我們可以這樣理解：當通信點和加密點相同的時候就使用傳輸模式，當通信點和加密點不同時就使用隧道模式。圖2-4隧道模式示意圖2.8密鑰有效期長期使用相同密鑰來加密數據是不明智的，所以在使用密鑰處理信息時，應該要注意的一點就是要周期性的更新密鑰，至少要做到一到兩個小時進行一次更新。我們也可以根據自身的情況對密鑰有效期進行調整，但是這種調整應該遵循一個簡單的原則，那就是密鑰加密的數據越多，密鑰的有效期就應該越短，同樣的道理，加密的數據越少，密鑰周期就越長，思科的IPSECVPN雖然默認每小時更換一次密鑰，但下一個小時使用的密鑰，是由當前這個小時使用的密鑰，通過系列的算法衍生得出的，也就是說這些密鑰之間存在推演關系，這樣的密鑰更新就不能叫做完美的向前保密PFS，PFS要求每一次密鑰更新，更新的密鑰要求都是新的，跟之前的密鑰沒有一點關系，也沒有任何的衍生密鑰，思科的IPSECVPN一旦啟用了PFS技術，就會在每一個小時結束的時候，展開一次全新的DH交換，產生全新的密鑰用于下一個小時加密。2.9本章小結本章的主要任務就基于具體的感興趣流來協商相應的IPSECSA，IKE快速模式交換的三個數據包都得到了安全保護（加密，完整性校驗和源認證）。還有兩個要注意的地方就是SPI和PFS。SPI是用來表示唯一的SPISA的，SPI的值是有出廠商的設備決定的，在CISCO中，是沒有啟用PFS的，設備管理員可以通過配置來啟用這項技術，讓每一次密鑰更新之前都進行一次全新的DH交換，產生全新的密鑰。到此為止，對于IPSECVPN理論的介紹就要告一段落了，從下一章起，我們將會開始對CiscoIPSECVPN的配置方法進行介紹，在介紹的同時會應用到WEBIOU這項模擬實驗工具，WEBIOU是一種基于cisco框架的實驗模擬器，它很好的兼容了思科設備，并且可自由搭建拓撲。相關的工具：VMware虛擬機、UDIOUv21、secureCRT、搜狐瀏覽器、億圖。網絡需求分析3.1網絡硬件需求在網絡結構的設計中，我選用了WEBIOU來作為模擬器實現所設計。所用到的設備：1）路由器5臺7200IOS2）交換機3臺3640IOS3）服務器3臺3.2網絡功能需求改網絡拓撲將以兩個校區為站點，中間網絡由運營商提供，并且使用mplsvpn進行連接，要求，現在兩個校區之間要相互通信。中間網絡運行eigrp和ospf協議，這兩個協議作為底層，運行bgp協議。校區與PE之間運行EBGP。3.3網絡安全需求將它們之間發送的流量使用IPSECESP進行數據包的封裝加密。讓公網中無法看見包的源目。3.4本章小結本章將接下來要進行的實驗粗略的介紹了一下，大體上闡述了實驗所要實現的需求。并且實驗將以閩南科技學院的兩個校區作為范本來搭建實驗拓撲圖。具體情況請參看實驗。4網絡規劃與設計4.1網絡架構設計這次的網絡拓撲的是基于閩南科技學院的兩個校區進行規劃的，站點分為兩個點，分別是康美校區和美林校區，以這兩個校區為基點中間運行運營商提供的網絡，4.2網絡功能設計兩個校區之間的網絡分別運行ospfeigrp還有mbgp協議以，期中以ospf和eigrp協議為底層配置mbgp同時使用一臺交換機來模擬兩個校區，中間運行mplsvpn，在此基礎上配置ipsec加密技術。4.3網絡安全設計構建VPN網絡通信的重要前提是要擁有通暢的基礎網絡。基礎網絡構建完善后，緊接著進行VPN的配置工作。VPN作為一種很好的選擇，縮減了公司所需要支付的成本費用。雖然專線能夠使各分支部門安全的與總部進行通信和數據交換，在安全方面也具有絕對的保障。但專線的費用昂貴，一般的公司難以承受。在本設計中，重要是點到點VPN，基于ipsec的mplsvpn，不同校區都有一條連接到公網的VPN線路。VPN本身就是為了數據的安全傳輸設置的，因此不是所有用戶都能夠通過VPN隧道進行通信，因此，配置時對感興趣流量進行有效控制。5.網絡環境部署5.1萬能拓撲圖5.2效果拓撲圖5.2.1邊界路由器配置R3:首先給接口配置ip地址：interfaceLoopback0interfaceLoopback0ipaddress55!interfaceLoopback1ipaddress!interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipvrfforwardingsite1ipaddressinterfaceSerial1/0ipaddressinterfaceSerial1/2ipaddressinterfaceSerial1/2ipaddress配置ospf協議：routerospf31routerospf31router-idnetworkarea1networkarea1networkarea1networkarea1mplslabelprotocolldpmplsldpexplicit-nullmplslabelprotocolldpmplsldpexplicit-nullmplsldprouter-idLoopback0force配置vrf：ipvrfsite1ipvrfsite1rd1:1route-targetexport1:1route-targetimport1:1配置bgp協議：routerbgp7routerbgp7bgprouter-idbgplog-neighbor-changesneighborremote-as7neighborupdate-sourceLoopback0neighborremote-as7neighborupdate-sourceLoopback0建立vpnv4：neighboractivateneighboractivateneighborsend-communityextendedneighbornext-hop-self配置與SW2的EBGPVRF鄰居：address-familyipv4vrfsite1address-familyipv4vrfsite1neighborremote-as777neighboractivateneighboras-overrideexit-address-familyR2：首先給接口配置ip地址：interfaceLoopback0interfaceLoopback0ipaddress55interfaceLoopback1ipaddressinterfaceEthernet0/0ipaddressinterfaceEthernet0/1ipvrfforwardingsite2ipaddressinterfaceSerial1/0ipaddressinterfaceSerial1/3ipaddress配置eigrp協議：routereigrp31routereigrp31networknetworknetworknetwork配置相應的標簽轉發協議和轉發源：mplslabelprotocolldpmplslabelprotocolldpmplsldpexplicit-nullmplsldprouter-idLoopback0force配置vrf：ipvrfsite2ipvrfsite2rd2:2route-targetexport1:1route-targetimport1:1配置bgp協議：routerbgp7routerbgp7bgprouter-idbgplog-neighbor-changesneighborremote-as7neighborupdate-sourceLoopback0neighborremote-as7neighborupdate-sourceLoopback0建立vpnv4：address-familyvpnv4address-familyvpnv4neighboractivateneighborsend-communityextendedneighbornext-hop-selfexit-address-familyaddress-familyipv4vrfsite2neighborremote-as777address-familyipv4vrfsite2neighborremote-as777neighboractivateneighboras-overrideexit-address-family5.2.2校區站點配置SW2配置：routerbgp777bgplog-neighbor-changesnobgpdefaultipv4-unicastrouterbgp777bgplog-neighbor-changesnobgpdefaultipv4-unicastaddress-familyipv4vrfsite1bgprouter-idnetworkmasknetworkmask55neighborremote-as7neighboractivateexit-address-family!address-familyipv4vrfsite2bgprouter-idnetworkmasknetworkmask55neighborremote-as7neighboractivateexit-address-familyR3：cryptoisakmppolicy10hashmd5cryptoisakmppolicy10hashmd5authenticationpre-sharegroup2cryptoisakmpkeyciscoaddresscryptoipsectransform-setIKE2esp-desesp-md5-hmaccryptomapgxl10ipsec-isakmpsetpeersettransform-setIKE2matchaddress101access-list101permitip5555在接口下調用：interfaceSerial1/0interfaceSerial1/0cryptomapgxlR2：cryptoisakmppolicy10hashmd5cryptoisakmppolicy10hashmd5authenticationpre-sharegroup2cryptoisakmpkeyciscoaddresscryptoipsectransform-setIKE2esp-desesp-md5-hmaccryptomapgxl10ipsec-isakmpsetpeersettransform-setIKE2matchaddress101access-list101permitip5555interfaceSerial1/0cryptomapgxlinterfaceSerial1/0cryptomapgxl5.3網絡功能測試SW2#traceroutevrfsite1Protocol[ip]:TargetIPaddress:Sourceaddress:SW2#traceroutevrfsite1Protocol[ip]:TargetIPaddress:Sourceaddress:Numericdisplay[n]:ResolveASnumberin(G)lobaltable,(V)RFor(N)one[G]:Timeoutinseconds[3]:Probecount[3]:MinimumTimetoLive[1]:MaximumTimetoLive[30]:PortNumber[33434]:Loose,Strict,Record,Timestamp,Verbose[none]:Typeescapesequencetoabort.TracingtheroutetoVRFinfo:(vrfinname/id,vrfoutname/id)10msec0msec0msec2[MPLS:Labels21/33Exp0]36msec36msec36msec3[MPLS:Labels22/33Exp0]36msec40msec40msec4[MPLS:Labels20/33Exp0]36msec32msec36msec5[MPLS:Labels0/33Exp0]36msec52msec36msec632msec*36msec5.3.2測試R2于R3loo1的連通性R2#pingTypeescapesequencetoabort.R2#pingTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:U.U.USuccessrateis0percent(0/5)帶源：R2#pingsourceR2#pingsourceTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:Packetsentwithasourceaddressof.!!!!Successrateis80percent(4/5),round-tripmin/avg/max=33/33/34ms這里我們就能看出實驗的結論了，帶源p