【正文】 同時(shí)感謝在 我學(xué)習(xí)過程中給予我?guī)椭乃型瑢W(xué)們，大家給我提供的技術(shù)支持與許多無私的幫助，同大家在一起的日子是令人難忘的，在你們的幫助下使我能順利完成設(shè)計(jì)。用網(wǎng)路監(jiān)視工具捕獲到除了 ICMP 協(xié)議以外的其它協(xié)議，從而不能證明服務(wù)器之間的通信是經(jīng)過 VPN 進(jìn)行的。 圖 5– 3 客戶端連通測試 在南陽服務(wù)器中可以看到的連接和活動(dòng)端口 我們在南陽服務(wù)器的“路由和遠(yuǎn)程訪問”的網(wǎng)絡(luò)接口中可以看到“ yidong”“ koumi01”“ koumi02”都已經(jīng)連接上了，在端口中我們看見有 3 個(gè) VPN 端口進(jìn)入活動(dòng)。直至完成。 客戶端與服務(wù)器連接 客戶端和服務(wù)器進(jìn)行連接的流程圖如下所示 圖 4– 16 流程圖 ⑴ 、打開我們的電腦，選擇網(wǎng)上鄰居。證書姓名中我們輸入了 VPN 服務(wù)器的域名 ，我們選擇的證書類型是“服務(wù)器身份驗(yàn)證證書”，然后選擇將證書保存在本地計(jì)算機(jī)存儲中，其他參數(shù)隨便輸入即可。鄭州服務(wù)器中的撥出憑據(jù)是南陽服務(wù)器 的“撥入憑證”。服務(wù)器連接需要有兩個(gè)接口配置， 一個(gè)是 請求撥入接口，二個(gè)是請求撥出接口。只到完成子域的建立完成結(jié)束。 ⑶ 、按照系統(tǒng)所提供的提示，進(jìn)行操作。 假如公司申請到的 IP 地址為 子網(wǎng)掩碼為 先把此 IP號劃分成 3個(gè)子網(wǎng)，要求每個(gè)子網(wǎng)用戶 500。 20xx、 Windows XP 和 Windows Server 20xx 家族實(shí)施 IPSec 是基于“ Inter 工程任務(wù)組 (IETF)” IPSec 工作組開發(fā)的業(yè)界標(biāo)準(zhǔn)。只有發(fā)送和接收的計(jì)算機(jī)需要知道通訊是安全的。 這可以通過預(yù)共享 ， 數(shù)字簽名 ， 加密臨時(shí)值來實(shí)現(xiàn) 。 當(dāng) A， B都收到了對方的該公共值后 ， 問題就好解決了 。 [6] 第二階段只有 第 一 階段 任務(wù)必須完成 :在二個(gè)對等體間協(xié)商產(chǎn)生 IPSec聯(lián)盟的屬性 ，安全聯(lián)盟可以加密二個(gè)對等體間的數(shù)據(jù) ， 這才是真正的需要加密的用戶數(shù)據(jù) ， 至此 ， 隧道才真正建立起來 。通道模式下的 IPSec 報(bào)文要進(jìn)行分段和重組操作，并且可能要再經(jīng)過多個(gè)安全網(wǎng)關(guān)才能到達(dá)安全網(wǎng)關(guān)后面的目的主機(jī)。第二階段 SA的有效時(shí)間由IPSec 驅(qū)動(dòng)程序決定 。若要求使用不同的 材料 ，則在密鑰生成之前，首先進(jìn)行第二輪的 DH 交換。 “ 主密鑰 ” 結(jié)合在第一步中確定的協(xié)商算法，對通信實(shí)體和通信信道進(jìn)行認(rèn)證。每個(gè) SA 用唯一的 SPI 索引標(biāo)識，當(dāng)處理接收數(shù)據(jù)包時(shí)，服務(wù)器根據(jù) SPI 值來決定該使用哪種 SA。 AH頭比 ESP 頭簡單得多，因?yàn)樗鼪]有提供機(jī)密性。只有選擇數(shù)據(jù)源認(rèn)證時(shí)才可以選擇抗重播服務(wù)，由接收方單獨(dú)決定抗重播服務(wù)的選擇。 ESP 頭可以放置在 IP頭之后、上層協(xié)議頭之前（傳送層），或者在被封裝的 IP 頭之前（隧道模式）。想要提供 IP5 級的安全， IPSec 必須成為配置在所有相關(guān)平臺（包括 Windows NT， Unix 和 Macintosh系統(tǒng)）的網(wǎng)絡(luò)代碼中的一部分。當(dāng)在路由器或防火墻上安裝 IPSec 時(shí)，無需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。 Windowsamp。 Inter 對于用戶來說，可以以任何技術(shù)、任何地點(diǎn)訪問。 Extra VPN(外連虛擬專用網(wǎng) ) [1] 如果是提供 B2B 之間的安全訪問服務(wù)，則可以考慮 Extra VPN。它適合于內(nèi)部有人員移動(dòng)或遠(yuǎn)程辦公需要的企業(yè) 。這樣就建立了一個(gè)邏輯上虛擬的私有網(wǎng)絡(luò)。 目前，全世界的軍事，經(jīng)濟(jì)，社會，文化各個(gè)方面都有越來越依賴于計(jì)算機(jī)網(wǎng)絡(luò)，人類社會對計(jì)算機(jī)的依賴程度達(dá)到了空前的記錄。 Private Network 的含義也有兩個(gè)，一是表明 VPN 建立在所有用戶能到達(dá)的公共網(wǎng)絡(luò)上，特別是 Inter，也包括 PSTN、幀中繼、 ATM 等，當(dāng)在一個(gè)由專線組成的專網(wǎng)內(nèi)構(gòu)建 VPN 時(shí)，相對 VPN 這也是一個(gè) “ 公網(wǎng) ” ；二是 VPN 將建立專用網(wǎng)絡(luò)或者稱為私有網(wǎng)絡(luò)，確保提供安全的網(wǎng)絡(luò)連接，它必須具備幾個(gè)關(guān)鍵功能：認(rèn)證、訪問控制、加密和數(shù)據(jù)完整。 As a newgeneration security technology， VPN (Virtual Private Networks)can provide easy to use， low cost， secure and reliable Inter accesses， and create private work connections over public works。 VPN 作為新一代 Inter安全技術(shù)，能夠提供簡單、廉價(jià)、安全、可靠的 Inter 訪問通道，通過公共網(wǎng)絡(luò)實(shí)現(xiàn)異地的內(nèi)部網(wǎng)絡(luò)互聯(lián)或開通專用的業(yè)務(wù)通道。 IP安全協(xié)議集 IPSec（ IP security）是提 供這種安全的核心技術(shù)。 IPSec (IP Security)is a core technology that provides this protection。 VPN 在國內(nèi)外的發(fā)展 計(jì)算機(jī)的廣泛應(yīng)用把人類帶入了一個(gè)全新的時(shí)代，特別是計(jì)算機(jī)網(wǎng)絡(luò)的社會化，已經(jīng)成為信息時(shí)代的主要推動(dòng)力。 VPN 這個(gè)概念的引進(jìn)就是用來解決這個(gè)問題。 VPN 技術(shù)原是路由器具有的重要技術(shù)之一，在交換機(jī) ，防火墻設(shè)備或 Windows 20xx/20xx/20xx 等軟件里也都支持 VPN 功能，一句話， VPN 的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。利用 Inter 的線路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等VPN 特性可以保證信息在整個(gè) Intra VPN 上安全傳輸。 Extra VPN 通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。 [2] 3. IPSec 技術(shù) IPSec簡介 “ Inter 協(xié)議安全性 （ IPSec）” 是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過使用加密的安全服務(wù)以確保在 Inter 協(xié)議 (IP)網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊 。在 Windows XP 和 Windows Server 20xx 家族中， IPSec 提供了一種能力，以保護(hù)工作組、局域網(wǎng)計(jì)算機(jī)、域客戶端和服務(wù)器、分支機(jī)構(gòu)（物理上為遠(yuǎn)程機(jī)構(gòu)）、 Extra 以及漫游客戶端之間的通信。已經(jīng)有一些機(jī)構(gòu)部分或全部執(zhí)行了 IPSec。 IPSec ESP 通過加密需要保護(hù)的數(shù)據(jù)以及在 IPSec ESP 的數(shù)據(jù)部分放置這些加密的數(shù)據(jù)來提供機(jī)密性和完整性。所提供服務(wù)集由安全連接（ SA）建立時(shí)選擇的選項(xiàng)和實(shí)施的布置來決定，機(jī)密性的選擇與所有其他服務(wù)相獨(dú) 立。如果 AH6 頭之前有擴(kuò)展頭，緊靠在 AH 頭前面的擴(kuò)展頭中的下一個(gè)頭字段就會被設(shè)成 51。它由下列元素組成： ① 安全參數(shù)索引 SPI； ② IP 目的地址； ③ 安全協(xié)議。DH交換， 可以是公開的，也可以受保護(hù)。 ② 會話密鑰 材料 刷新或交換 在這一步中，將生成加密 IP 數(shù)據(jù)包的 會話密鑰 。允許建立的第二階段 SA 的個(gè)數(shù)由 IPSec策略屬性 決定。加密數(shù)據(jù)是通過使用 L2TP（第二層隧道協(xié)議）而生成的單一隧道來發(fā)送的。 ⑶ 、 對等體的驗(yàn)證 ， 如何才能知道 對端就是我要與之通信的對端 。 9 第三個(gè)消息由發(fā)起者發(fā)出 ， 但是在發(fā)出這個(gè)消息之前 ， 有個(gè)過程必須先完成 ， 就是DiffieHellman 算法過程 。 第四條消息由響應(yīng)者向發(fā)起者發(fā)送 ， 主要是向發(fā)送者發(fā)送自己的 DH 公共值 。 這一步一旦完成 ， 隧道就建立起來了 ， 用戶的數(shù)據(jù)就能 被放入隧道中傳送 。reg。 每個(gè)地方都有員工 500 人以上，由于企業(yè)信息的安全 需求，要求總部與 鄭州 分部 和許昌的合作伙伴 之間要求數(shù)據(jù)加密而且具有一般的驗(yàn)證功能， 并能提供數(shù)據(jù)的完整性驗(yàn)證。 主域的創(chuàng)建 ⑴ 、 點(diǎn)擊電腦的開始，在運(yùn)行中輸入“ dcpromo”。 ⑵ 、 選擇“在現(xiàn)有域樹中的子域”選項(xiàng) ⑶ 、 構(gòu)建子域的時(shí)候也需要“網(wǎng)絡(luò)憑據(jù)”，且是主域管理員的密碼。這里就省略了。 圖 4– 8 目標(biāo)地址圖 ⑹ 、 下圖 第一個(gè) 是 南陽服務(wù)器的 撥入憑據(jù)， 撥入憑證是服務(wù)器進(jìn)行連 接的用戶名和密碼，當(dāng)連接時(shí)只有用戶名和密碼正確才能進(jìn)行連接。首先為 VPN 服務(wù)器申請“ IPSec 證書” 然后選擇建立一個(gè) “高級證書申請” 選項(xiàng)。 18 ⑹ 、 當(dāng) VPN 服務(wù)器和客戶端的證書申請完畢后，這個(gè)時(shí)候還不能通過證書信任來進(jìn)行 IPSec 的訪問，需要在 南陽 VPN 服務(wù)器 和鄭州服務(wù)器 上下載根 CA 證書及證書鏈，并導(dǎo)入到信任的證書頒發(fā)機(jī)構(gòu)列表中 以 南陽 為例 圖 4– 14 下載證書鏈和證書 ⑺ 、 將 CA證書及證書鏈下載到桌面吧，然后進(jìn)行 證書的安裝和證書鏈的安裝 ， 將所有證書 安裝到 高級選項(xiàng)中的 “受信任的證書頒發(fā)機(jī)構(gòu) \本地計(jì)算機(jī) ” 然后提示你安裝成功。詳細(xì)參考上面的過程。證明我們的 VPN 連接成功?；?IPSec 的 VPN 滿足了遠(yuǎn)程的連接和安全性要求 ，使企業(yè)間的通信更加方便 。不僅使我掌握了基本的研究方法，還使我明白了 學(xué)多待人接物 與為人處世的道理。他們的無私奉獻(xiàn)是我努力的最大動(dòng)力。 參考文獻(xiàn) [1] 劉士偉 周安民 .基 于 IPSec 的 VPN 實(shí)現(xiàn)及安全性分析 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 . 3040 [2] 金漢均 仲紅等 .VPN 虛擬專用網(wǎng)安全實(shí)踐教程 [M].清華大學(xué)出版社 .. [3] 陸國棟 . 基于 IPSec VPN 的安全性研究 [D]. 中國優(yōu)秀博碩士 學(xué)位論文全文數(shù)據(jù)庫 (碩士 ) [4] 郭聃 .IPSec 構(gòu)建 VPN[J].通訊世界 .. [5] 郭濤 . IPSec VPN 的研究與實(shí)現(xiàn) [D]. 中國優(yōu)秀碩士學(xué)位論文全文數(shù)據(jù)庫 . [6] 博蘭普拉格德（美） 著 .袁國忠譯 .IPSec VPN 設(shè)計(jì) [M].人民郵電出版社 . [7] Carlton R. Davis 著 .周永彬 馮登國等譯 .IPSEC VPN 的安全實(shí)施 [M].北京 .清華大學(xué)出版社 .20xx 24 [8] 謝楊 .虛擬專用網(wǎng) VPN 系列講座 [J].計(jì)算機(jī)世界 . [9] 包穎燕 .VPN 技術(shù)在企業(yè)中的應(yīng)用 [J].寶鋼科技 . [10] 韓立剛 楊洪振 .計(jì)劃、實(shí)現(xiàn)和維護(hù) windows server 20xx 活動(dòng)目錄結(jié)構(gòu) [M].北京 .北京希望電子出版社 .. 25 致謝 論文 是在導(dǎo)師 李恒波 講師 的悉心指導(dǎo)下完成的。服務(wù)器與服務(wù)器之間的連接相同，此處省略。同時(shí)用網(wǎng)絡(luò)監(jiān)視工具來查看通信過程是否被加密。而且這個(gè)用戶，在服務(wù)器應(yīng)該被創(chuàng)建好了。 圖 4– 13 安裝證書 ⑸ 、 VPN 服務(wù)器申請完服務(wù)器證書