【正文】 f The corporate VPN access System Net Engineering Major Shi Shan ming Abstract: With the development of Inter， online munication and trading have bee an essential part in the workplace， where heavy emphasis will be placed on keeping information and data transferred across Inter secured。 achieve medium and small enterprises are necessary to concern the issue of data security as VPN is based on unreliable Inter connection。 Virtual Network的含義有兩個(gè)，一是 VPN 是建立在現(xiàn)有物理網(wǎng)絡(luò)之上，與物理網(wǎng)絡(luò)具體的網(wǎng)絡(luò)結(jié)構(gòu)無(wú)關(guān)，用戶一般無(wú)需關(guān)心物理網(wǎng)絡(luò)和設(shè)備；二是 VPN 用戶使用 VPN 時(shí)看到的是一個(gè)可預(yù)先設(shè)定義的動(dòng)態(tài)的網(wǎng)絡(luò)。同時(shí)，伴隨著筆記本電腦的逐漸普及，大量的出差員工，移動(dòng)辦公人員，合作伙伴等迫切需要通過(guò)無(wú)處不在的 Inter 網(wǎng)絡(luò)，安全，方便地介入公司內(nèi)部網(wǎng)絡(luò)，使用各項(xiàng)應(yīng)用系統(tǒng)。尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來(lái)越廣泛，在帶來(lái)了前所未有的海量信息的同時(shí)，網(wǎng)絡(luò)的開(kāi)放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要起來(lái)，已被信息社會(huì)的各個(gè)領(lǐng)域所重視。 研究?jī)?nèi)容 (1)IPSec體系結(jié)構(gòu) : 包括 ESP(封裝安全載荷 )、 AH(驗(yàn)證頭 )、 SA(安全聯(lián)盟 )、 IKE(Inter 密鑰交換 ) (2) IPSec 的兩種模式 : 包括 傳送模式 和 通道模式 (3) IPSec 包的處理過(guò)程 : 包括 外出處理 和進(jìn)入處理 (4)VPN 的類型 包括 Access VPN(遠(yuǎn)程訪問(wèn)虛擬專用網(wǎng) )、 Inter VPN(企業(yè)內(nèi)部虛擬專用網(wǎng) )、Extra VPN(外連虛擬專用網(wǎng) ) (5)IPSec的 組件的設(shè)計(jì) 包括 IPSec 基本協(xié)議 、 SPD 和 SADB、 IKE (6) VPN 使用的安全協(xié)議 包括 SOCKSv5 協(xié)議 、 IPSec 協(xié)議 、 PPTP/L2TP 協(xié)議 (7) 基于 IPSec 的 VPN 設(shè)計(jì)與實(shí)現(xiàn) 包括 企業(yè)原網(wǎng)絡(luò)分析 、 企業(yè)對(duì)網(wǎng)絡(luò)的新需求 、 企業(yè)新網(wǎng)絡(luò)設(shè)計(jì)原則 、 企業(yè)新網(wǎng)絡(luò)實(shí)現(xiàn)方案 (8) IPSec VPN 的測(cè)試 包括 IKE 方式建立 IPSec 隧道 、 預(yù)共享方式建立隧道 、 數(shù)字證書(shū)方式建立隧道 、 IKE自動(dòng)協(xié)商 、 VPN 備份隧道功能 、 VPN 客戶端測(cè)試 2. 虛擬專用網(wǎng) VPN 概述 為了使遠(yuǎn)程的企業(yè)員工可以與總部實(shí)時(shí)的交換數(shù)據(jù)信息，企業(yè)得向 ISP 租用網(wǎng)絡(luò)提供服務(wù)。但在 VPN 中，用安全機(jī)制來(lái)保障機(jī)密性，真實(shí)可靠性、完整性嚴(yán)格的訪問(wèn)控制 。 VPN 可以通過(guò)特殊的加密的通訊協(xié)議在連接在 Inter 上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。 它包括模擬、撥號(hào)、 ISDN、數(shù)字用戶線路 (XDSL)、移動(dòng) IP 和電纜技術(shù)，可以安全地連接移動(dòng)用戶、遠(yuǎn)程工作者或分支機(jī)構(gòu)。顯然，在分公司增多、業(yè)務(wù)開(kāi)展越來(lái)越廣泛時(shí)，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費(fèi)用昂貴。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量 (QoS)、可管理性和可靠性。 Inter 為這樣的一種發(fā)展趨勢(shì)提供了良好的基礎(chǔ)，而如何利用 Inter 進(jìn)行有效的信息管理，是企業(yè)發(fā)展中不可避免的一個(gè)關(guān)鍵問(wèn)題。 [1] 4 VPN 的特點(diǎn) VPN 技術(shù)除了可以節(jié)省費(fèi)用外，還具有其它特點(diǎn)： （ 1）伸縮性：能夠隨著 網(wǎng)絡(luò)的擴(kuò)張，很靈活的加以擴(kuò)展。 （ 3）易于管理：用專線將企業(yè)的各個(gè)子網(wǎng)連接 起來(lái)時(shí)，隨著子網(wǎng)數(shù)量的增加，需要的專線數(shù)以幾何級(jí)數(shù)增長(zhǎng)。reg。它通過(guò)端對(duì)端的安全性來(lái)提供主動(dòng)的保護(hù)以防止專用網(wǎng)絡(luò)與 Inter 的攻擊。 IPSec 在傳輸層之下，對(duì)于應(yīng)用程序來(lái)說(shuō)是透明的。如果需要的話， IPSec 可以為個(gè)體用戶提供安全保障，這樣做就可以保護(hù)企業(yè)內(nèi)部的敏感信息。討論的話題之一就是安全是否在恰當(dāng)?shù)膮f(xié)議層上被使用。然而， VPN 需要的是網(wǎng)絡(luò)級(jí)的功能，這也正是 IPSec 所提供的。封裝受保護(hù)數(shù)據(jù)是非常必要的，這樣就可以為整個(gè)原始數(shù)據(jù)報(bào)提供機(jī)密性。該加密數(shù)據(jù)既包括了受保護(hù)的 ESP 頭字段也包括了受保護(hù)的用戶數(shù)據(jù)，這個(gè)用戶數(shù)據(jù)可以是整個(gè) IP 數(shù)據(jù)報(bào)，也可以是 IP的上層協(xié)議幀（如： TCP 或 UDP）。數(shù)據(jù)源驗(yàn)證和無(wú)連接的完整性是相互關(guān)聯(lián)的服務(wù)，它們作為一個(gè)選項(xiàng)與機(jī)密性 （可選擇的）結(jié)合提供給用戶。在 IPv6 的情況下，下一個(gè)頭字段的值由擴(kuò)展頭的存在來(lái)決定。 AH和 ESP 保護(hù)的數(shù)據(jù)相同時(shí)， AH 頭會(huì)一直插在 ESP 頭之后。 SA（安全聯(lián) 盟） SA是一種安全關(guān)聯(lián)， SA 對(duì)兩臺(tái)計(jì)算機(jī)之間的策略協(xié)議進(jìn)行編碼，指定它們將使用哪些算法和什么樣的密鑰長(zhǎng)度，以及實(shí)際的密鑰本身。若某臺(tái)主機(jī)，如文件服務(wù)器或遠(yuǎn)程訪問(wèn)服務(wù)器，需要同時(shí)與多臺(tái)客戶機(jī)通信，則該服務(wù)器需要與每臺(tái)客戶機(jī)分別建立不同的 SA。分兩個(gè)階段來(lái)完成這些服務(wù)有助于提高密鑰交換的速度。 ③ 認(rèn)證 DH 交換需要得到進(jìn)一步認(rèn)證，如果認(rèn)證不成功，通信將無(wú)法繼續(xù)下去。第二階段協(xié)商消息受第一階段 SA 保護(hù)，任何沒(méi)有第一階段 SA 保護(hù)的消息將被拒收。如果不做特殊 要求，只需要刷新 材料 后，生成新密鑰即可。 第一階段 SA 建立起安全通信信道后保存在高速緩存中，在此基礎(chǔ)上可以建立多個(gè)第二階段 SA 協(xié)商，從而提高整個(gè)建立 SA 過(guò)程的速度。之后需要重新進(jìn)行 SA協(xié)商。 IPSec的兩種模式 傳送模式 傳送模式加密的部份較少，沒(méi)有額外的 IP 報(bào)頭，工作效率相對(duì)更好，但安全性相對(duì)于隧道模式會(huì)有所降低。 圖 3– 1|傳輸模式 8 通道模式 通道模式可以在兩個(gè) Security Gateway 間建立一個(gè)安全 隧道 ，經(jīng)由這兩個(gè)Gateway Proxy 的傳送均在這個(gè)通道中進(jìn)行。 [5] 圖 3– 2 傳輸模式 IPSec VPN 兩個(gè)階段的協(xié)商過(guò)程 IPSec VPN 隧道的建立過(guò)程可以分為二個(gè)階段 : 第一階段二種模式 : 主模式或主動(dòng)模式 第二階段 :快速模式 第一階段有三個(gè)任務(wù)必須完成 : ⑴ 、 協(xié)商一系列算法和參數(shù) (這些算法和參數(shù)用于保護(hù)隧道建立過(guò)程中的數(shù)據(jù) )。 這一系列過(guò)程都是 IKE 這個(gè)協(xié)議來(lái)實(shí)現(xiàn) ， IKE 這個(gè)協(xié)議也存在著一些不足 ，“ IKE之子 ” 或第二版 IKE 正在開(kāi)發(fā)之中 。 第二個(gè)消息由響應(yīng)者回應(yīng) ， 內(nèi)容基本一樣 ， 主要與發(fā)起者比較 ， 是否與發(fā)起者匹配 ，不匹配就進(jìn)行下一組的比較 。 所以 ， 該 過(guò)程的目的是分別在二個(gè)對(duì)等間獨(dú)立地生成一個(gè) DH公共值 ， 該公共值有什么用呢？因?yàn)槎€(gè)對(duì)等體上都生成該 DH公共值后 ， 它們會(huì)在接下來(lái)的第三第四消息中傳送給對(duì)方 ， 打個(gè)比方 ， 就是 A收到了 B 的 DH 公共值 ， B 收到了 A的 DH 公共值 。 SKEYID_e此密鑰被用于對(duì)后續(xù) IKE 消息進(jìn)行加密 。 第五條消息由發(fā)起者向響應(yīng)者發(fā)送 ， 主要是為 了驗(yàn)證對(duì)端自己就是自己想要與之通信的對(duì)端 。 快速模式 發(fā)起者會(huì)在第一條消息中發(fā)送 IPSec SA 的轉(zhuǎn)換屬性 ， 如 :封裝 ESP， 完整性檢驗(yàn)SHAHMAC， DH 組 2， 模式 隧道 。考慮認(rèn)為 IP 地址本身沒(méi)有必要具有標(biāo)識(shí)，但 IP 地址后面的系統(tǒng)必須有一個(gè)通過(guò)身份10 驗(yàn)證程序驗(yàn)證過(guò)的標(biāo)識(shí)。 該模式允許為下列企業(yè)方案成功部署 IPSec： 局域網(wǎng) (LAN)：客戶端 /服務(wù)器和對(duì)等網(wǎng)絡(luò) 廣域網(wǎng) (WAN)：路由器到路由器和網(wǎng)關(guān)到網(wǎng)關(guān) 遠(yuǎn)程訪問(wèn)：撥號(hào)客戶機(jī)和從專用網(wǎng)絡(luò)訪問(wèn) Inter 通常，兩端都需要 IPSec 配置（稱為 IPSec 策略）來(lái)設(shè)置選項(xiàng)與安全設(shè)置，以允許兩個(gè)系統(tǒng)對(duì)如何保護(hù)它們之間的通訊達(dá)成協(xié)議。reg。 IPSec 規(guī)定了如何在對(duì)等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問(wèn)控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。 網(wǎng)絡(luò)拓?fù)鋱D： 20xx1為南陽(yáng)總公司服務(wù)器 20xx2為鄭州分公司服務(wù)器 20xx3為許昌合作伙伴服務(wù)器 20xx4為移動(dòng)辦公人員的電腦 11 圖 4– 1 整體規(guī)劃圖 IP 規(guī)劃： 可以看出此網(wǎng)絡(luò)用戶數(shù)量比較小，租用一個(gè) B 類網(wǎng)段就可以滿足需求。 地點(diǎn) IP 地址 子網(wǎng)掩碼 南陽(yáng) 鄭州 許昌 表格 1IP 劃分 VPN 服務(wù)器配置 環(huán)境 Windows server 20xx 雙網(wǎng)卡服務(wù)器 PC windows server 20xx 南陽(yáng)：服務(wù)器名字： 20xx1 IP 地址： : 鄭州：服務(wù)器名字： 20xx2 IP 地址： : 許昌：服務(wù)器名字： 20xx3 IP 地址： : 12 活動(dòng)目錄 Active Directory 存儲(chǔ)了有關(guān)網(wǎng)絡(luò)對(duì)象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。 ⑵ 、 在新建的域控制器中，輸入新域的 DNS 全名為“ ”。 子域的創(chuàng)建 ⑴ 、 點(diǎn)擊電腦的開(kāi)始，在運(yùn)行中輸入“ dcpromo”。可以參考 主域控制器的配置過(guò)程。在路由和遠(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)У拇翱谥?，單擊下一? 在配置窗口中 ，選擇如圖示選項(xiàng)， 單擊下一步 圖 4– 4 選擇連接方式圖 ⑵ 、 會(huì)出現(xiàn)的選項(xiàng)都默認(rèn)，點(diǎn)擊下一步。 14 圖 4– 5 ⑶ 、 設(shè)置接口名稱， 接口是服務(wù)器連接的憑證，也是互相連接的依據(jù)。 圖 4– 7 選擇接口類型 ⑸ 、 輸入目標(biāo)地址就是 互相連接的另外 一個(gè) VPN 的內(nèi)網(wǎng)地址 、主機(jī)名或者 IP 地址 ，不過(guò) IP 地址比較容易，所以一般都安照 IP 地址進(jìn)行配置。第二個(gè)圖是 南陽(yáng)服務(wù)器中要填寫(xiě)的撥出憑據(jù)。本實(shí)驗(yàn)的 CA類型為“獨(dú)立根 CA”，且將 VPN 服務(wù)器加入到域中。如下圖所示，輸入證書(shū)申請(qǐng)的參數(shù)，由于此 CA 類型是獨(dú)立根，因此需要輸入的參數(shù)和企業(yè)根有所不同。 圖 4– 13 安裝證書(shū) ⑸ 、 VPN 服務(wù)器申請(qǐng)完服務(wù)器證書(shū)后，接下來(lái)我們申請(qǐng)客戶端證書(shū)，訪問(wèn) 南陽(yáng) 的 CA服務(wù)器，申請(qǐng)過(guò)程和主服務(wù)