防火墙基础之中型企业网络架构VPN组网服务器解决方案IPSec 报文分析

中型企业网络架构VPN组网服务器解决方案IPSec报文分析

原理概述：

防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

所谓“防火墙”是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。

防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下，用户才能够进入计算机内，如果不同意就会被阻挡于外，防火墙技术的警报功能十分强大，在外部的用户要进入到计算机内时，防火墙就会迅速的发出相应的警报，并提醒用户的行为，并进行自我的判断来决定是否允许外部的用户进入到内部，只要是在网络环境内的用户，这种防火墙都能够进行有效的查询，同时把查到信息朝用户进行显示，然后用户需要按照自身需要对防火墙实施相应设置，对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看，并且还能够对数据信息的上传和下载速度进行掌握，便于用户对计算机使用的情况具有良好的控制判断，计算机的内部情况也可以通过这种防火墙进行查看，还具有启动与关闭程序的功能，而计算机系统的内部中具有的日志功能，其实也是防火墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。

防火墙是在两个网络通讯时执行的一种访问控制尺度，能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

网络安全的屏障

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用，防火墙还支持具有Internet服务性的企业内部网络技术体系VPN（虚拟专用网）。

日志记录与事件通知

进出网络的数据都必须经过防火墙，防火墙通过日志对其进行记录，能提供网络使用的详细统计信息。当发生可疑事件时，防火墙更能根据机制进行报警和通知，提供网络是否受到威胁的信息。

交换机端口有三种工作模式，分别是Access，Hybrid，Trunk。

Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口;

Trunk类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口;

Hybrid类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。

Hybrid端口和Trunk端口在接收数据时，处理方法是一样的，唯一不同之处在于发送数据时：Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。

Acess端口收报文：

收到一个报文，判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有则直接丢弃（缺省）

trunk端口收报文：

收到一个报文，判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有判断该trunk端口是否允许该 VLAN的数据进入：如果允许则报文携带原有VLAN标记进行转发，否则丢弃该报文。

hybrid端口收报文：

收到一个报文，判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有则判断该hybrid端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃。

备注：PVID为Port-base Vlan ID，也就是端口的虚拟局域网ID号，关系到端口收发数据帧时的VLAN TAG 标记。

Acess端口发报文：

将报文的VLAN信息剥离，直接发送出去

trunk端口发报文：

比较端口的PVID和将要发送报文的VLAN信息，如果两者相等则剥离VLAN信息，再发送，否则报文将携带原有的VLAN标记进行转发。

hybrid端口发报文：

判断该VLAN在本端口的属性

如果是untag则剥离VLAN信息，再发送，如果是tag则比较端口的PVID和将要发送报文的VLAN信息，如果两者相等则剥离VLAN信息，再发送，否则报文将携带原有的VLAN标记进行转发。

二层交换机和三层交换机的区别

二层交换机用于小型的局域网络。这个就不用多言了，在小型局域网中，广播包影响不大，二层交换机的快速交换功能、多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。

三层交换机的优点在于接口类型丰富，支持的三层功能强大，路由能力强大，适合用于大型的网络间的路由，它的优势在于选择最佳路由，负荷分担，链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。

三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。如果把大型网络按照部门，地域等等因素划分成一个个小局域网，这将导致大量的网际互访，单纯的使用二层交换机不能实现网际互访；如单纯的使用路由器，由于接口数量有限和路由转发速度慢，将限制网络的速度和网络规模，采用具有路由功能的快速转发的三层交换机就成为首选。

一般来说，在内网数据流量大，要求快速转发响应的网络中，如全部由三层交换机来做这个工作，会造成三层交换机负担过重，响应速度受影响，将网间的路由交由路由器去完成，充分发挥不同设备的优点，不失为一种好的组网策略，当然，前提是客户的腰包很鼓，不然就退而求其次，让三层交换机也兼为网际互连。

三层交换机和路由器的区别

1. 主要功能不同

虽然三层交换机与路由器都具有路由功能，但我们不能因此而把它们等同起来，正如现在许多网络设备同时具备多种传统网络设备功能一样，就如现在有许多宽带路由器不仅具有路由功能，还提供了交换机端口、硬件防火墙功能，但不能把它与交换机或者防火墙等同起来一样。因为这些路由器的主要功能还是路由功能，其它功能只不过是其附加功能，其目的是使设备适用面更广、使其更加实用。这里的三层交换机也一样，它仍是交换机产品，只不过它是具备了一些基本的路由功能的交换机，它的主要功能仍是数据交换。也就是说它同时具备了数据交换和路由由发两种功能，但其主要功能还是数据交换；而路由器仅具有路由转发这一种主要功能。

2. 主要适用的环境不一样

三层交换机的路由功能通常比较简单，因为它所面对的主要是简单的局域网连接。正因如此，三层交换机的路由功能通常比较简单，路由路径远没有路由器那么复杂。它用在局域网中的主要用途还是提供快速数据交换功能，满足局域网数据交换频繁的应用特点。

而路由器则不同，它的设计初哀就是为了满足不同类型的网络连接，虽然也适用于局域网之间的连接，但它的路由功能更多的体现在不同类型网络之间的互联上，如局域网与广域网之间的连接、不同协议的网络之间的连接等，所以路由器主要是用于不同类型的网络之间。它最主要的功能就是路由转发，解决好各种复杂路由路径网络的连接就是它的最终目的，所以路由器的路由功能通常非常强大，不仅适用于同种协议的局域网间，更适用于不同协议的局域网与广域网间。它的优势在于选择最佳路由、负荷分担、链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。为了与各种类型的网络连接，路由器的接口类型非常丰富，而三层交换机则一般仅同类型的局域网接口，非常简单。

3. 性能体现不一样

从技术上讲，路由器和三层交换机在数据包交换操作上存在着明显区别。路由器一般由基于微处理器的软件路由引擎执行数据包交换，而三层交换机通过硬件执行数据包交换。三层交换机在对第一个数据流进行路由后，它将会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此表直接从二层通过而不是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率。同时，三层交换机的路由查找是针对数据流的，它利用缓存技术，很容易利用ASIC技术来实现，因此，可以大大节约成本，并实现快速转发。而路由器的转发采用最长匹配的方式，实现复杂，通常使用软件来实现，转发效率较低。

正因如此，从整体性能上比较的话，三层交换机的性能要远优于路由器，非常适用于数据交换频繁的局域网中；而路由器虽然路由功能非常强大，但它的数据包转发效率远低于三层交换机，更适合于数据交换不是很频繁的不同类型网络的互联，如局域网与互联网的互联。如果把路由器，特别是高档路由器用于局域网中，则在相当大程度上是一种浪费（就其强大的路由功能而言），而且还不能很好地满足局域网通信性能需求，影响子网间的正常通信。

综上所述，三层交换机与路由器之间还是存在着非常大的本质区别的。无论从哪方面来说，在局域网中进行多子网连接，最好还选用三层交换机，特别是在不同子网数据交换频繁的环境中。一方面可以确保子网间的通信性能需求，另一方面省去了另外购买交换机的投资。当然，如果子网间的通信不是很频繁，采用路由器也无可厚非，也可达到子网安全隔离相互通信的目的。具体要根据实际需求来定。

区别：二层、路由、三层、四层

二层交换技术

二层交换技术是发展比较成熟，二层交换机属数据链路层设备，可以识别数据包中的MAC地址信息，根据MAC地址进行转发，并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。具体的工作流程如下：

(1)当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这样它就知道源MAC地址的机器是连在哪个端口上的;

(2)再去读取包头中的目的MAC地址，并在地址表中查找相应的端口;

(3)如表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上;

(4)如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应时，交换机又可以学习一目的MAC地址与哪个端口对应，在下次传送数据时就不再需要对所有端口进行广播了。不断的循环这个过程，对于全网的MAC地址信息都可以学习到，二层交换机就是这样建立和维护它自己的地址表。

路由器工作在OSI模型的第三层——网络层操作，其工作模式与二层交换相似，但路由器工作在第三层，这个区别决定了路由和交换在传递包时使用不同的控制信息，实现功能的方式就不同。工作原理是在路由器的内部也有一个表，这个表所标示的是如果要去某一个地方，下一步应该向那里走，如果能从路由表中找到数据包下一步往那里走，把链路层信息加上转发出去;如果不能知道下一步走向那里，则将此包丢弃，然后返回一个信息交给源地址。

路由技术实质上来说不过两种功能：决定最优路由和转发数据包。路由表中写入各种信息，由路由算法计算出到达目的地址的最佳路径，然后由相对简单直接的转发机制发送数据包。接受数据的下一台路由器依照相同的工作方式继续转发，依次类推，直到数据包到达目的路由器。而路由表的维护，也有两种不同的方式。一种是路由信息的更新，将部分或者全部的路由信息公布出去，路由器通过互相学习路由信息，就掌握了全网的拓扑结构，这一类的路由协议称为距离矢量路由协议;另一种是路由器将自己的链路状态信息进行广播，通过互相学习掌握全网的路由信息，进而计算出最佳的转发路径，这类路由协议称为链路状态路由协议。

由于路由器需要做大量的路径计算工作，一般处理器的工作能力直接决定其性能的优劣。当然这一判断还是对中低端路由器而言，因为高端路由器往往采用分布式处理系统体系设计。

三层交换技术

使用IP的设备A------------------------三层交换机------------------------使用IP的设备B比如A要给B发送数据，已知目的IP，那么A就用子网掩码取得网络地址，判断目的IP是否与自己在同一网段。

如果在同一网段，但不知道转发数据所需的MAC地址，A就发送一个ARP请求，B返回其MAC地址，A用此MAC封装数据包并发送给交换机，交换机起用二层交换模块，查找MAC地址表，将数据包转发到相应的端口。

如果目的IP地址显示不是同一网段的，那么A要实现和B的通讯，在流缓存条目中没有对应MAC地址条目，就将第一个正常数据包发送向一个缺省网关，这个缺省网关一般在操作系统中已经设好，对应第三层路由模块，所以可见对于不是同一子网的数据，最先在MAC表中放的是缺省网关的MAC地址;然后就由三层模块接收到此数据包，查询路由表以确定到达B的路由，将构造一个新的帧头，其中以缺省网关的MAC地址为源MAC地址，以主机B的MAC地址为目的MAC地址。通过一定的识别触发机制，确立主机A与B的MAC地址及转发端口的对应关系，并记录进流缓存条目表，以后的A到B的数据，就直接交由二层交换模块完成。这就通常所说的一次路由多次转发。

二层交换机用于小型的局域网络。这个就不用多言了，在小型局域网中，广播包影响不大，二层交换机的快速交换功能、多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。

路由器的优点在于接口类型丰富，支持的三层功能强大，路由能力强大，适合用于大型的网络间的路由，它的优势在于选择最佳路由，负荷分担，链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。

三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。如果把大型网络按照部门，地域等等因素划分成一个个小局域网，这将导致大量的网际互访，单纯的使用二层交换机不能实现网际互访;如单纯的使用路由器，由于接口数量有限和路由转发速度慢，将限制网络的速度和网络规模，采用具有路由功能的快速转发的三层交换机就成为首选。

四层交换技术

第四层交换的一个简单定义是：它是一种功能，它决定传输不仅仅依据MAC地址(第二层网桥)或源/目标IP地址(第三层路由),而且依据TCP/UDP(第四层)应用端口号。第四层交换功能就象是虚IP，指向物理服务器。它传输的业务服从的协议多种多样，有HTTP、FTP、NFS、Telnet或其他协议。这些业务在物理服务器基础上，需要复杂的载量平衡算法。在IP世界，业务类型由终端TCP或UDP端口地址来决定，在第四层交换中的应用区间则由源端和终端IP地址、TCP和UDP端口共同决定。在第四层交换中为每个供搜寻使用的服务器组设立虚IP地址(VIP)，每组服务器支持某种应用。在域名服务器(DNS)中存储的每个应用服务器地址是VIP，而不是真实的服务器地址。当某用户申请应用时，一个带有目标服务器组的VIP连接请求(例如一个TCP SYN包)发给服务器交换机。服务器交换机在组中选取最好的服务器，将终端地址中的VIP用实际服务器的IP取代，并将连接请求传给服务器。这样，同一区间所有的包由服务器交换机进行映射，在用户和同一服务器间进行传输。第四层交换的原理OSI模型的第四层是传输层。传输层负责端对端通信，即在网络源和目标系统之间协调通信。在IP协议栈中这是TCP(一种传输协议)和UDP(用户数据包协议)所在的协议层。

在第四层中，TCP和UDP标题包含端口号(portnumber)，它们可以唯一区分每个数据包包含哪些应用协议(例如HTTP、FTP等)。端点系统利用这种信息来区分包中的数据，尤其是端口号使一个接收端计算机系统能够确定它所收到的IP包类型，并把它交给合适的高层软件。端口号和设备IP地址的组合通常称作"插口(socket)"。1和255之间的端口号被保留，他们称为"熟知"端口，也就是说，在所有主机TCP/I P协议栈实现中，这些端口号是相同的。除了"熟知"端口外，标准UNIX服务分配在256到1024端口范围，定制的应用一般在1024以上分配端口号。分配端口号的最近清单可以在RFc1700"Assigned Numbers"上找到。TCP/UDP端口号提供的附加信息可以为网络交换机所利用，这是第4层交换的基础。

具有第四层功能的交换机能够起到与服务器相连接的"虚拟IP"(VIP)前端的作用。每台服务器和支持单一或通用应用的服务器组都配置一个VIP地址。这个VIP地址被发送出去并在域名系统上注册。在发出一个服务请求时，第四层交换机通过判定TCP开始，来识别一次会话的开始。然后它利用复杂的算法来确定处理这个请求的最佳服务器。一旦做出这种决定，交换机就将会话与一个具体的IP地址联系在一起，并用该服务器真正的IP地址来代替服务器上的VIP地址。

每台第四层交换机都保存一个与被选择的服务器相配的源IP地址以及源TCP端口相关联的连接表。然后第四层交换机向这台服务器转发连接请求。所有后续包在客户机与服务器之间重新影射和转发，直到交换机发现会话为止。在使用第四层交换的情况下，接入可以与真正的服务器连接在一起来满足用户制定的规则，诸如使每台服务器上有相等数量的接入或根据不同服务器的容量来分配传输流。

如何选择第三层交换机

目前，第三层交换机呈现出较强的增长趋势，正在局域网中取代路由器，其巨大的市场潜力正在吸引着大批国内外厂商加入角逐。可喜的是国内厂商在关键技术方面已经开发出了自已的ASIC芯片和网管软件，从而为用户在品牌的选择上提供了广阔的空间。目前，国内市场主要厂商有Cisco、3Com、安奈特、Extreme、Fountry、Avaya、Nortel、Entersys、D-Link、SVA、神州数码网络、华为、同方网络、清华比威和TCL等。面对如此丰富多彩的品牌，用户在选择时要从哪些方面入手是必须解决的问题。

对于第三层交换机的选择，由于不同用户的网络结构和应用都会有所不同，所以在选择第三层交换机的侧重点也就有所不同。但对于用户而言，一般要注意如下几方面。

1．注重满配置时的吞吐量 与任何电子产品一样，选择第三层交换机时，首先要分析各种产品的性能指标，然而面对诸如交换容量（Gbps）、背板带宽（Gbps）、处理能力（Mpps）、吞吐量（Mpps）等众多技术指标，您最好还是紧紧抓住“满配置时的吞吐量”这个指标，因为其他技术指标用户一般没有能力进行测量，惟有吞吐量是用户可以使用Smart Bits和IXIA等测试仪表直接测量和验证的指标。

2．分布式优于集中式 不同品牌的交换机所采用的交换机技术也不同，主要可分为集中式和分布式两类。传统总线式交换结构模块是集中式，现代交换矩阵模块是分布式。由于企业内联网中运行的音频、视频及数据信息量越来越大，使之对交换机处理能力的要求也越来越高，为了实现在高端口密度条件下的高速无阻塞交换，采用分布式第三层交换机是明智的选择。因为总线式交换机模块在以太网环境下，仍然避免不了冲突，而矩阵式恰恰避免了端口交换时的冲突现象。

3．关注延时与延时抖动指标 企业内联网几乎都是高速局域网，其目的之一就是为了音频和视频等大容量多媒体数据的传输，而这些大容量多媒体数据包最忌因延时较长和数据包丢失使信息传输产生抖动。有些传统集中式交换机的延时高达2ms，而某些现代分布式交换机的延时只有10ms左右，两者相差上百倍。而导致延时过高的原因通常包括阻塞设计的交换结构和过量使用缓冲等，所以，关注延时实际上需要关注产品的模块结构。

4．性能稳定 第三层交换机多用于骨干和汇聚层，如果性能不稳定，则会波及网络系统的大部分主机，甚至整个网络系统。所以，只有性能稳定的第三层交换机才是网络系统连续、可靠、安全和正常运行的保证。当然，性能稳定看似抽象，似乎需要历史检测才能有说服力。其实不然，由于设备性能实际上是通过多项基本技术指标和市场声誉来实现的。所以，您可以通过吞吐量、延迟、丢帧率、地址表深度、线端阻塞和多对一功能等多项指标以及市场应用调查来确定。

5．安全可靠 作为网络核心设备的第三层交换机，自然是黑客攻击的重要对象，这就要求必须将第三层交换机纳入网络安全防护的范围。当然，这里所说的“安全可靠”，应该包括第三层交换机的软件和硬件。所以，从“安全”上讲，配备支持性能优良、没有安全漏洞防火墙功能的第三层交换机是非常必要的。从“可靠”上看，因客观上任何产品都不能保证其不发生故障，而发生故障时能否迅速切换到一个好设备上是需要关心的问题。另外，在硬件上要考虑冗余能力，如电源、管理模块和端口等重要部件是否支持冗余，这对诸如电信、金融等对安全可靠性要求高的用户尤其重要。还有就是散热方式，如散热风扇等设置是否合理等。最后，对宽带运营商来说，认证功能也是考察的重要方面。以前交换机是给企业用的，上了网就直接连出去了，不需要认证。而宽带运营商则需要确认用户是否记录在案。用户访问Internet时出现了一个窗口，输入用户名和密码才能通过认证，所以宽带运营商的第三层交换机还应支持一些特殊的协议如802.1x等，以实现认证。

1. 功能齐全产品不但要满足现有需求，还应满足未来一段时间内的需求，从而给用户一个增值空间。如当公司员工增加时，可以插上模块来扩充而不必淘汰原有设备。还有一些功能，如组播、QoS、端口干路（Port Trunking）、802.1d跨越树（Spanning Tree）以及是否支持RIP、OSPF等路由协议，对第三层交换机来说都是十分重要的。以组播为例，在VOD应用中，如果一组用户同时点播一个节目，用组播协议可以保证交换机在高密度视频流点播时非常顺畅地进行数据处理，反之，如果交换机不支持组播协议，则占用的带宽就相当大。再如QoS功能可以根据用户不同需求将其划分为不同等级，可以使宽带运营商按端口流量计费，从而为不同用户提供不同服务。另外，访问列表功能。如果在接入层划分VLAN，则不同VLAN用户间是不能通讯的，因为这是基于第二层的VLAN。若想通讯，必须通过第三层。如企业的财务部与市场部，一般都不来往，若有用户需要访问，则网管人员可以通过第三层交换机进行一个简单命令行设置，使VLAN间正常通讯，这就是访问列表功能。它是从路由器移植到第三层交换机上的一个功能，可以实现不同VLAN间的单向或双向通讯。如果发现外部某IP地址总发送无用数据包到自己网络上，则可以在访问列表中设置，禁止其发送数据包。

实验目的：

1. 了解和掌握防火墙的基础配置​
2. 了解和掌握防火墙区域的原理​
3. 了解和掌握防火墙的安全策略​
4. 了解和掌握防火墙配置双出口

实验拓扑：

基础配置：

配置接口：

配置安全策略：

配置NAT：

配置接口：

配置安全策略：

配置NAT ：

配置接口：

配置安全策略：

配置NAT：

验证实验：

在各个分支PC上访问公网：

IPSec VPN组网方案：

FW1大屏可视：

FW2大屏可视：

FW3大屏可视：

测试VPN业务：

交换机配置：

配置服务器：

在分支FW2和FW3处有两台服务器：

分支FW2服务器：

分支FW3服务器：

分支FW1终端通过VPN访问服务器：

访问分支FW2服务器：

访问分支FW3服务器：

分别在FW1和FW3的LAN口和WAN口上抓包：
数据包分析：​

抓包结果如下所示:

G1/0/1:

G1/0/0:

实验结论：

由此可见，数据从私网转发到公网再到私网，这个过程是由加密到解密的一个过程​

Internet 密钥交换协议（IKE）用于在两个通信实体协商和建立安全相关，交换密钥。安全关联（Security Association）是 IPSec 中的一个重要概念。 [1] 一个安全相关表示两个或多个通信实体之间经过了身份认证，且这些通信实体都能支持相同的加密算法，成功地交换了会话密钥，可以开始利用 IPSec 进行安全通信。IPSec 协议本身没有提供在通信实体间建立安全相关的方法，利用 IKE 建立安全相关。IKE 定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。

IKE是一种混合型协议，由RFC2409定义，包含了3个不同协议的有关部分：ISAKMP、Oakley和SKEME。IKE和ISAKMP的不同之处在于：IKE真正定义了一个密钥交换的过程，而ISAKMP只是定义了一个通用的可以被任何密钥交换协议使用的框架。​

Oakley：定义IKE提供了一个多样化，多模式的应用，让IKE可以用在很多场合，大学开发的​

SKEME：提供了IKE交换密钥的算法，方式；即，通过DH进行密钥交换和管理的方式，个人开发的​

ISAKMP：它是一个框架，在该框架以内，它定义了每一次交换的包结构，每次需要几个包交换，主模式6个包交换和主动模式3个包交换，它由美国国家安全处开发，在配置IPSEC VPN的时候，只能设置它，前两个协议不能被设置。​

ISAKMP（Internet Security Association Key Management Protocol，Internet安全关联密钥管理协议） [1] 由RFC2408定义，定义了协商、建立、修改和删除SA的过程和包格式。ISAKMP只是为SA的属性和协商、修改、删除SA的方法提供了一个通用的框架，并没有定义具体的SA格式。​

ISAKMP没有定义任何密钥交换协议的细节，也没有定义任何具体的加密算法、密钥生成技术或者认证机制。这个通用的框架是与密钥交换独立的，可以被不同的密钥交换协议使用。​

ISAKMP报文可以利用UDP或者TCP，端口都是500，一般情况下常用UDP协议。​

ISAKMP双方交换的内容称为载荷（payload），ISAKMP目前定义了13种载荷，一个载荷就像积木中的一个“小方块”，这些载荷按照某种规则“叠放”在一起，然后在最前面添加上ISAKMP头部，这样就组成了一个ISAKMP报文，这些报文按照一定的模式进行交换，从而完成SA的协商、修改和删除等功能。​

在配置IPSEC VPN的时候，只能设置它，前两个协议不能被设置，​

IKE是以上三个框架协议的混合体。IP SEC强是因为他IKE强。​

IKE为IPSec通信双方提供密钥材料，这个材料用于生成加密密钥和验证密钥。另外，IKE也为IPSec协议AH ESP协商SA。​

IKE中有4种身份认证方式：​

（1） 基于数字签名（Digital Signature），利用数字证书来表示身份，利用数字签名算法计算出一个签名来验证身份。​

（2） 基于公开密钥（Public Key Encryption），利用对方的公开密钥加密身份，通过检查对方发来的该HASH值作认证。​

（3） 基于修正的公开密钥（Revised Public Key Encryption），对上述方式进行修正。​

（4） 基于预共享字符串（Pre?Shared Key），双方事先通过某种方式商定好一个双方共享的字符串。​

IKE目前定义了4种模式：主模式、积极模式、快速模式和新组模式。前面3个用于协商SA，最后一个用于协商Diffie Hellman算法所用的组。主模式和积极模式用于第一阶段；快速模式用于第二阶段；新组模式用于在第一个阶段后协商新的组。​

在第一阶段中：​

主模式：LAN to LAN 六个包交换，在认证的时候是加密的，​

1、2个包：策略和转换集的协商。第一阶段的加密和HASH的策略，包括对方的IP地址。对第阶段策略的协商，发起者把它所有的策略发给接收者让它选择协商（发起者可以设很多个策略），​

3、4个包：进行DH（DH算出的公共值和两边产生的随机数）的交换，这两外包很大，MTU小可能在这个地方出错。​

5、6个包：彼此进行认证，HASH被加密过，对方解密才能进行认证。​

远程拔号VPN：激进模式，3个包，减少对PC的压力，在认证的时候是不加密的​

在第二阶段中（快速模式）：会对第一阶段的信息再做一次认证​

快速模式：当IP SEC参数设的不一致，它会在快速模式的第1、2个包报错，会出现不可接受信息。以及感兴趣流（ACL定义内容）也要匹配。ACL两边要对应一致。​

快速模式的1、2、3个包的作用是再进行双方的认证，协商IP sec SA的策略，建立IP sec的安全关联，周期性的更新IP sec的SA，默认一小时一次，ISAKMP默认是一天更新一次，协商双方的感兴趣流，如果有PFS，就会进行新一轮的DH交换，过程与第一阶段的DH交换基本一样。

实验结束；

备注：如有错误，请谅解！

此文章为本人学习笔记，仅供参考！如有重复！！！请联系本人