【正文】 圖 內(nèi)網(wǎng) ip 地址 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 25 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 圖 VPN網(wǎng)關(guān) ip 地址 圖 外網(wǎng)客戶端 ip 地址 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 26 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 本次課題實(shí)驗(yàn) 環(huán)境測(cè)試 圖 測(cè)試外網(wǎng)能否 ping通內(nèi)網(wǎng) 如圖 所示，在連入 VPN 之前，外網(wǎng)客戶端是無法 ping 通內(nèi)網(wǎng)的。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 23 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 內(nèi)網(wǎng)本地 web 服務(wù)以及 ftp 服務(wù)展示： 圖 內(nèi)網(wǎng)的 web服務(wù) 圖 內(nèi)網(wǎng)的 ftp服務(wù) 如圖 和 所示，內(nèi)網(wǎng)的 ftp 服務(wù)和 web 服務(wù)都已經(jīng)安裝好。 Squid Cache 是一個(gè) Web Cache Server，支持高效的緩存，可以 用作 網(wǎng)頁(yè)服務(wù)器的前端 cache 服務(wù)器緩存相應(yīng)的 請(qǐng)求 以 提高 Web 服務(wù)器的 響應(yīng) 速度，把 Squid 放在 Apache服務(wù)器 的前端 用 來緩存 Web 服務(wù)器生成的動(dòng)態(tài) 頁(yè)面 內(nèi)容，而 Web 應(yīng)用程序只需要對(duì)頁(yè)面實(shí)效時(shí)間進(jìn)行適當(dāng)?shù)卦O(shè)置即可。 CentOS（ Community ENTerprise Operating System）是 Linux 免費(fèi) 發(fā)行版之一， 與RHEL 有著相同的源代碼。 如圖 所示， 在 Windows XP 客戶端 導(dǎo)入證書： 運(yùn)行 mmc， 添加刪除管理單元 添加 證書 計(jì)算機(jī)賬戶 本地計(jì)算機(jī) 完成。 leave chap unspecified for maximum patibility with windows, iOS, etc 。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 13 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 利用虛擬機(jī)安裝多臺(tái)操作系統(tǒng) 圖 虛擬機(jī)上安裝的多個(gè)操作系統(tǒng) 如圖 所示， 在該虛擬機(jī)中， 本課題 安裝了兩臺(tái) Linux 操作系統(tǒng)分別用作 VPN 網(wǎng)關(guān)平臺(tái)和內(nèi)網(wǎng)服務(wù)器。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 12 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 Linux操作 系統(tǒng) 的搭建 安裝 VMware 圖 虛擬機(jī) 如圖 所示， 多臺(tái) PC 機(jī)分別充當(dāng)不懂角色來完成。 本次試驗(yàn)的目的就是在 VPN 網(wǎng)關(guān)服務(wù)器上搭載一個(gè) VPN 服務(wù)，然后讓外網(wǎng)客戶端通過 VPN 通道連上 VPN 網(wǎng)關(guān)， VPN 服務(wù)器會(huì) 隨機(jī)分配一個(gè)內(nèi)網(wǎng)的 ip給客戶端，讓客戶端能夠訪問內(nèi)網(wǎng)的 web/ftp 服務(wù)。對(duì)于終端 B 來講，它所收到的數(shù)據(jù)包就跟從終端 A 直接發(fā)送 過來的數(shù)據(jù)包一樣。 2. Inter 中的終端 A 通過發(fā)送以內(nèi)部網(wǎng)絡(luò)的終端 B 的私有 IP 地址為目的地址的數(shù)據(jù)包來對(duì)終端 B 進(jìn)行訪問。 ESP 的工作原理是在每一個(gè)數(shù)據(jù)包的標(biāo)準(zhǔn) IP 包頭后面添加一個(gè) ESP 報(bào)文頭，并在數(shù)據(jù)包后面追加一個(gè) ESP 尾。 IPsec 提供了兩種安全機(jī)制：認(rèn)證和加密。 數(shù)據(jù)分組的封裝 /分解模塊實(shí)現(xiàn)對(duì) IP 數(shù)據(jù)分組進(jìn)行安全封裝或分解。發(fā)送方將簽名附在明文之后，一起傳送給接收方。網(wǎng)絡(luò)管理員可以通過管理模塊來指定對(duì)哪些 IP 數(shù)據(jù)包進(jìn)行加密。 傳輸模式，只對(duì) IP 數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證。但是 IPSec 不同于包過濾防火墻的是，對(duì) IP 數(shù)據(jù)包的處理方法除了丟棄，直接轉(zhuǎn)發(fā) (繞過 IPSec)外，還有一種，即進(jìn)行 IPSec 處理。在不久的將來， VPN 將可以成為更加基礎(chǔ)的技術(shù)被內(nèi)嵌到各種系統(tǒng)當(dāng)中，從而實(shí)現(xiàn)完全透明化的 VPN 基礎(chǔ)設(shè)施。順應(yīng)全球的經(jīng)濟(jì)發(fā)展趨勢(shì)及互聯(lián)網(wǎng)用戶的增長(zhǎng)態(tài)勢(shì)，亞洲地區(qū)將成為 VPN 市場(chǎng)的新熱點(diǎn)并有可能成為帶動(dòng)消費(fèi)趨勢(shì)的市場(chǎng)區(qū)域之一。這 也 就意味著 那些經(jīng)常變動(dòng)辦公地點(diǎn)的員工 ， 如果想要從其他任何非本人的電腦上訪問公司內(nèi)部資源的時(shí)候 ，他 要么無法訪問 ， 要么打電話向公司求助 。因此，應(yīng)用于硬件中的 IPSec 協(xié)議 也隱藏著兼容性問題 。 （ 2） IPSec VPN 的缺點(diǎn) 1. IPSec VPN 在 通信性能 方面要比其他軟件。應(yīng)用于傳輸層之下 IPSec，對(duì)應(yīng)用程序來說 完全沒有影響 。 VPN 的英文全稱是“ Virtual Private Network”，中文翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。因特網(wǎng) 安全協(xié)議 保證了 在因特網(wǎng)的 網(wǎng)絡(luò)層 上 傳輸?shù)臄?shù)據(jù) 的 安全 性 ，同時(shí)它也是 VPN 的基本加密協(xié)議 。 虛擬專用網(wǎng) (VPN)的出現(xiàn) 提供了巨大的商業(yè)機(jī)會(huì) 給 公共網(wǎng)絡(luò)的經(jīng)營(yíng)者 。 gateway。 本次課題中， 論文 首先對(duì) IPSec VPN 的背景和原理進(jìn)行了一些簡(jiǎn)單的介紹，接著 論文 介紹了 VPN 網(wǎng)關(guān)實(shí)現(xiàn)的具體步驟及功能。 本次課題 使用了 Linux 系統(tǒng)這個(gè)免費(fèi)開源的平臺(tái)用 來作為 VPN 網(wǎng)關(guān)。 xl2tp iii 目錄 摘要 .............................................................................................................. 錯(cuò)誤 !未定義書簽。但是， 在通信的過程中，數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸?shù)陌踩院捅Ｃ苄?，以及企業(yè)網(wǎng)在公共網(wǎng)絡(luò) 中 的不同節(jié)點(diǎn) 的管理方式 ， 才是企業(yè)最關(guān)注的問題 。 通過特定的方式建立一個(gè)通信連接，從而為通信雙方建立一個(gè) IPSec 通道。它是構(gòu)建在公共通信基礎(chǔ)設(shè)施上的虛擬專用網(wǎng)絡(luò)，是一種從公共網(wǎng)絡(luò)中隔離出來的專用網(wǎng)絡(luò)。 在防火墻或者路由器上安裝 IPSec 時(shí)， 不需要對(duì)用戶或者 服務(wù)器系統(tǒng)中的軟件 進(jìn)行 設(shè)置。 IPSec VPN 較高的安全性能反而影響了它的通信性能。 3. IPSec VPN 較難安裝和維護(hù)。 4. IPSec VPN 實(shí)際 只能全面支持較少的系統(tǒng) 。 IPSec VPN 和 MPLS VPN 仍將保持穩(wěn)定的成長(zhǎng)率，但是與 SSL VPN 陣營(yíng)的差距仍將被不斷縮小。 目前，采用 IPSec 標(biāo)準(zhǔn)的 VPN 技術(shù)已經(jīng)基本成熟，得到國(guó)際上幾乎所有主流網(wǎng)絡(luò)和安全供應(yīng)商的鼎力支持，并且正在不斷豐富完善。正是這新增添的處理方法提供了比包過濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性。此時(shí)，繼續(xù)使用以前的 IP頭部，只對(duì) IP 頭部的部分域進(jìn)行修改，而 IPSec 協(xié)議頭部插入到 IP 頭部和傳輸層頭部之間。 Inter 內(nèi)部用戶也可以通過Tel 協(xié)議傳送的專用命令，指定 VPN 系統(tǒng)對(duì)自已的 IP 數(shù)據(jù)包提供加密服務(wù)。 接收方收到數(shù)據(jù)后，首先用密鑰 k 對(duì)簽名進(jìn)行解密得到 h，并將其與 H(m)進(jìn)行比較，如果二者一致，則表明數(shù)據(jù)是完整的。當(dāng)從安全網(wǎng)關(guān)發(fā)送 IP 數(shù)據(jù)分組時(shí)，數(shù)據(jù)分組封裝 /分解模塊為 IP 數(shù)據(jù)分組附加上身份認(rèn)證頭 AH 和安全數(shù)據(jù)封裝頭 ESP。認(rèn)證機(jī)制使 IP 通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在傳輸過程中是否遭篡改。與 AH 協(xié)議不同的是， ESP 將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到 IP 包中，以保證數(shù)據(jù)的機(jī)密性。 3. VPN 網(wǎng)關(guān)中連接 Inter 的那一端收到來自終端 A 發(fā)出的數(shù)據(jù)包時(shí)，會(huì)檢查它的目的地址。 7. 從終端 B 返回終端 A 的數(shù)據(jù)包處理過程和上述過程一樣，這樣兩個(gè)網(wǎng)絡(luò)內(nèi)的終端就可以相互通訊了。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 10 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 本次 課題 實(shí)現(xiàn)的基本流程和功能 （ 1） 基本流程 a) 繪制拓?fù)鋱D b) 安裝虛擬機(jī) c) 在虛擬機(jī)中安裝三個(gè)操作系統(tǒng) d) 設(shè)置虛擬網(wǎng)卡，配置網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) e) 在 VPN 網(wǎng)關(guān)操作系統(tǒng)中安裝和配置 VPN 服務(wù)器 f) 在客戶端添加證書和 VPN 連接 g) 在內(nèi)網(wǎng)服務(wù)器上安裝 web 和 ftp 服務(wù) h) 調(diào)試 （ 2） 實(shí)現(xiàn)的基本功能 a) VPN 網(wǎng)關(guān)服務(wù)器能夠開啟和監(jiān)控 VPN 服務(wù) b) 客戶端能夠連入 VPN 網(wǎng)關(guān)服務(wù)器 c) 客戶端能夠分配到內(nèi)網(wǎng) ip 地址 d) 內(nèi)網(wǎng)服務(wù)器提供 web 和 ftp 服務(wù) e) 客戶端能夠訪問內(nèi)網(wǎng)服務(wù)器的 web 和 ftp 服務(wù) 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 11 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 3 基于 IPSec VPN的 Linux網(wǎng)關(guān)平臺(tái)的實(shí)現(xiàn) Linux系統(tǒng)的 簡(jiǎn)介 Linux 其實(shí)就是一個(gè)操作系統(tǒng)，這個(gè)操作系統(tǒng)里頭含有最主要的 kernel 以及 kernel 提供的工具！他提供了一個(gè)完整的操作系統(tǒng)當(dāng)中最底層的硬件控制與資源管理的完整架構(gòu)，這個(gè)架構(gòu)是沿襲 Unix 良好的傳統(tǒng)來的，所以相當(dāng)?shù)姆€(wěn)定而功能強(qiáng)大！此外，由于這個(gè)優(yōu)良的架構(gòu)可以在目前的個(gè)人計(jì)算機(jī) ( X86 系統(tǒng) ) 上面跑，所以很多的軟件開發(fā)者將他們的工作心血移轉(zhuǎn)到這個(gè)架構(gòu)上面，那就是很多的應(yīng)用軟件！雖然 Linux 僅是其核心與核心提供的工具，不過，由于核心、核心工具與這些軟件開發(fā)者提供的軟件的整合，使得 Linux 成為一個(gè)更完整的、功能強(qiáng)大的操作系統(tǒng)！ Linux 系統(tǒng)使用單內(nèi)核，由 Linux 內(nèi)核負(fù)責(zé)處理進(jìn)程控制、網(wǎng)絡(luò)，以及外圍設(shè)備和文件系統(tǒng)的訪問。所以我們需要安裝虛擬機(jī)實(shí)現(xiàn)用一臺(tái) PC 機(jī)模擬多臺(tái)機(jī)器，從而實(shí)現(xiàn) VPN 網(wǎng)關(guān)平臺(tái)的搭建、配置與測(cè)試。還安裝了一臺(tái) Window XP 來充當(dāng)外網(wǎng)，連入 VPN 網(wǎng)關(guān)平臺(tái)的測(cè)試機(jī)。 require chap = yes refuse pap = yes 不使用 pap協(xié)議 require authentication = yes name = VPNGateway 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 16 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 ppp debug = yes pppoptfile = /etc/ppp/ ppp協(xié)議的配置文件路徑 length bit = yes [rootlocalhost ] less /etc/ppp/ name xl2tpd ipcpacceptlocal ipcpacceptremote msdns 分配給客戶端的 dns mswins Windows客戶端的 ip 地址 noccp auth crtscts idle 1800 mtu 1280 mru 1280 nodefaultroute debug lock proxyarp connectdelay 5000 連接最大超時(shí)時(shí)間 編輯加密文件： [rootlocalhost ] less /etc/ppp/chapsecrets Secrets for authentication using CHAP client server secret IP addresses dream * 123456 l2tp 里面會(huì)使用 chap 對(duì)用戶的身份進(jìn)行驗(yàn)證，就相當(dāng)于撥號(hào)時(shí)輸入的用戶名密碼的作用一樣。 在證書：本地計(jì)算機(jī)里，選擇個(gè)人 所有任務(wù) 導(dǎo)入，導(dǎo)入兩個(gè) p12 證書。 不過， RHEL 和 SUSE LE 等企業(yè)版 Linux 系統(tǒng) ，提供的升級(jí)服務(wù) 都是需要收費(fèi)的 ，無法免費(fèi) 進(jìn)行 在線升級(jí)，因此要求免費(fèi)的高度穩(wěn)定性的服務(wù)器可以 使 用 CentOS 來 替代 RHEL。如果 訪問量巨大 的話 則可考慮使用 Memcache 來進(jìn)行分布式緩存。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 24 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 4 本次課題實(shí)驗(yàn) 環(huán)境測(cè)試 在第三章中 ，所有的 VPN 網(wǎng)關(guān)配置已經(jīng)全部完成。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 27 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 圖 測(cè)試外網(wǎng)能否訪問內(nèi)網(wǎng) web服務(wù) 圖 測(cè)試外網(wǎng)能否訪問內(nèi)網(wǎng) ftp服務(wù) 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 28 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 如圖 和 所示， 在連入 VPN 服務(wù)器之前，客戶端嘗試 ping 內(nèi)網(wǎng)服務(wù)器，訪問內(nèi)網(wǎng)的 web 和 ftp 服務(wù)， 都無法訪問。由于客戶端和內(nèi)網(wǎng)服務(wù)器不屬于同一個(gè) VLAN，所以客戶端無法訪問內(nèi)網(wǎng)服務(wù)器的任何服務(wù)。 （ 2） 安裝 ， mysql，以及 php （ LAMP） [roo