【正文】 后，接下來我們申請客戶端證書，訪問 南陽 的 CA服務器，申請過程和主服務器相同。本實驗的 CA類型為“獨立根 CA”，且將 VPN 服務器加入到域中。 圖 4– 7 選擇接口類型 ⑸ 、 輸入目標地址就是 互相連接的另外 一個 VPN 的內網地址 、主機名或者 IP 地址 ，不過 IP 地址比較容易，所以一般都安照 IP 地址進行配置。在路由和遠程訪問服務器安裝向導的窗口中，單擊下一步 在配置窗口中 ，選擇如圖示選項， 單擊下一步 圖 4– 4 選擇連接方式圖 ⑵ 、 會出現的選項都默認，點擊下一步。 子域的創(chuàng)建 ⑴ 、 點擊電腦的開始，在運行中輸入“ dcpromo”。 地點 IP 地址 子網掩碼 南陽 鄭州 許昌 表格 1IP 劃分 VPN 服務器配置 環(huán)境 Windows server 20xx 雙網卡服務器 PC windows server 20xx 南陽：服務器名字： 20xx1 IP 地址： : 鄭州：服務器名字： 20xx2 IP 地址： : 許昌：服務器名字： 20xx3 IP 地址： : 12 活動目錄 Active Directory 存儲了有關網絡對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。 IPSec 規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問控制、數據源認證、數據加密等網絡安全服務。 該模式允許為下列企業(yè)方案成功部署 IPSec： 局域網 (LAN)：客戶端 /服務器和對等網絡 廣域網 (WAN)：路由器到路由器和網關到網關 遠程訪問：撥號客戶機和從專用網絡訪問 Inter 通常，兩端都需要 IPSec 配置（稱為 IPSec 策略）來設置選項與安全設置，以允許兩個系統(tǒng)對如何保護它們之間的通訊達成協(xié)議。 快速模式 發(fā)起者會在第一條消息中發(fā)送 IPSec SA 的轉換屬性 ， 如 :封裝 ESP， 完整性檢驗SHAHMAC， DH 組 2， 模式 隧道 。 SKEYID_e此密鑰被用于對后續(xù) IKE 消息進行加密 。 第二個消息由響應者回應 ， 內容基本一樣 ， 主要與發(fā)起者比較 ， 是否與發(fā)起者匹配 ，不匹配就進行下一組的比較 。 [5] 圖 3– 2 傳輸模式 IPSec VPN 兩個階段的協(xié)商過程 IPSec VPN 隧道的建立過程可以分為二個階段 : 第一階段二種模式 : 主模式或主動模式 第二階段 :快速模式 第一階段有三個任務必須完成 : ⑴ 、 協(xié)商一系列算法和參數 (這些算法和參數用于保護隧道建立過程中的數據 )。 IPSec的兩種模式 傳送模式 傳送模式加密的部份較少，沒有額外的 IP 報頭，工作效率相對更好，但安全性相對于隧道模式會有所降低。 第一階段 SA 建立起安全通信信道后保存在高速緩存中，在此基礎上可以建立多個第二階段 SA 協(xié)商，從而提高整個建立 SA 過程的速度。第二階段協(xié)商消息受第一階段 SA 保護，任何沒有第一階段 SA 保護的消息將被拒收。分兩個階段來完成這些服務有助于提高密鑰交換的速度。 SA（安全聯(lián) 盟） SA是一種安全關聯(lián)， SA 對兩臺計算機之間的策略協(xié)議進行編碼，指定它們將使用哪些算法和什么樣的密鑰長度，以及實際的密鑰本身。在 IPv6 的情況下，下一個頭字段的值由擴展頭的存在來決定。該加密數據既包括了受保護的 ESP 頭字段也包括了受保護的用戶數據，這個用戶數據可以是整個 IP 數據報，也可以是 IP的上層協(xié)議幀（如： TCP 或 UDP）。然而， VPN 需要的是網絡級的功能，這也正是 IPSec 所提供的。如果需要的話， IPSec 可以為個體用戶提供安全保障，這樣做就可以保護企業(yè)內部的敏感信息。它通過端對端的安全性來提供主動的保護以防止專用網絡與 Inter 的攻擊。 （ 3）易于管理：用專線將企業(yè)的各個子網連接 起來時，隨著子網數量的增加，需要的專線數以幾何級數增長。 Inter 為這樣的一種發(fā)展趨勢提供了良好的基礎，而如何利用 Inter 進行有效的信息管理，是企業(yè)發(fā)展中不可避免的一個關鍵問題。顯然，在分公司增多、業(yè)務開展越來越廣泛時，網絡結構趨于復雜，費用昂貴。 VPN 可以通過特殊的加密的通訊協(xié)議在連接在 Inter 上的位于不同地方的兩個或多個企業(yè)內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。 研究內容 (1)IPSec體系結構 : 包括 ESP(封裝安全載荷 )、 AH(驗證頭 )、 SA(安全聯(lián)盟 )、 IKE(Inter 密鑰交換 ) (2) IPSec 的兩種模式 : 包括 傳送模式 和 通道模式 (3) IPSec 包的處理過程 : 包括 外出處理 和進入處理 (4)VPN 的類型 包括 Access VPN(遠程訪問虛擬專用網 )、 Inter VPN(企業(yè)內部虛擬專用網 )、Extra VPN(外連虛擬專用網 ) (5)IPSec的 組件的設計 包括 IPSec 基本協(xié)議 、 SPD 和 SADB、 IKE (6) VPN 使用的安全協(xié)議 包括 SOCKSv5 協(xié)議 、 IPSec 協(xié)議 、 PPTP/L2TP 協(xié)議 (7) 基于 IPSec 的 VPN 設計與實現 包括 企業(yè)原網絡分析 、 企業(yè)對網絡的新需求 、 企業(yè)新網絡設計原則 、 企業(yè)新網絡實現方案 (8) IPSec VPN 的測試 包括 IKE 方式建立 IPSec 隧道 、 預共享方式建立隧道 、 數字證書方式建立隧道 、 IKE自動協(xié)商 、 VPN 備份隧道功能 、 VPN 客戶端測試 2. 虛擬專用網 VPN 概述 為了使遠程的企業(yè)員工可以與總部實時的交換數據信息，企業(yè)得向 ISP 租用網絡提供服務。同時，伴隨著筆記本電腦的逐漸普及，大量的出差員工，移動辦公人員，合作伙伴等迫切需要通過無處不在的 Inter 網絡，安全，方便地介入公司內部網絡，使用各項應用系統(tǒng)。 achieve medium and small enterprises are necessary to concern the issue of data security as VPN is based on unreliable Inter connection。 VPN 是基于不可靠的 Inter 的，對于 中、小型 企業(yè)的異地數據交換就必須考慮到數據安全性問題。這樣就可以實現異地局域網之間的資源共享，而且不需要很高的費用來建立專線連接。 By doing this we can achieve sharing resources between the local area works different places without a high cost to build special connection。既然越來越多的應用計算機和各類軟件系統(tǒng)來處理企業(yè) 業(yè)務，如何將位于不同地點的分支機構的網絡互聯(lián)互通，就成了現代企業(yè)必須解決的問題。 2 對于企業(yè)網用戶來說， IPSec VPN 是一個公認的理想的解決方案， IPS 是業(yè)界標準的網絡安全協(xié)議，可以為 IP 網絡通信提供透明的安全服務，保護 TCP/IP 通信免遭竊聽和篡改，從而有效抵御網絡攻擊。 3 VPN 功能 VPN 可以提供的功能： 防火墻功能、認證、加密、隧道化 。越來越多的企業(yè)需要在全國乃至世界范圍內建立各種辦事機構、分公司、研究所等，各個分公司之間傳統(tǒng)的網絡連接方式一般是租用專線。希望可以提供給客戶最快捷方便的信息服務，通過各種方式了解客戶的需要，同時各個企業(yè)之間的合作關系也越來越多，信息交換日益頻繁。 （ 2）靈活性： Inter 的容量完全可以隨著需求的增長而增長，除了能夠方便地將新的子網擴充到企業(yè)的網絡中外，由于 Inter 的全球連通性， VPN 可以使企業(yè)隨時安全地將信息存取到全球的商貿伙伴和顧客。 IPSec 是安全聯(lián)網的長期方向。 IPSec 對終端用戶來說是透明的，因此不必對用戶進行安全機制的培訓。例如， Netscape Navigator 和 Microsoft Inter EXPlorer 支持保護互聯(lián)網通信的安全套層協(xié)議（ SSL），還有一部分產品支持保護 Inter 上信用卡交易的安全電子交易協(xié)議（ SET）。 ESP 包含一個非加密協(xié)議頭，后面是加密數據。 AH是另一個 IP 協(xié)議，它分配到的數是 51。另外，也不需要一個初始化向量。第一階段，協(xié)商創(chuàng)建一個通信信道（ IKE SA），并對該信道進行認證，為雙方進一步的 IKE 通信提供機密性、數據完整性以及數據源認證服務；第二階段，使用已建立的 IKE SA 建立 IPSec SA。 （ 3） 第二階段 SA（快速模式 SA，為數據傳輸而建立的安全關聯(lián)）這一階段協(xié)商建立 IPSec SA，為數據交換提供 IPSec 服務 。 第二階段協(xié)商過程與第一階段協(xié)商過程類似，不同之處在于：在第二階段中，如果響應超時，則自動嘗試重新進行第一階段 SA協(xié)商。 IKE 創(chuàng)建在由 ISAKMP 定義的框架上，沿用了 OAKLEY 的密鑰交換模式以及 SKEME 的共享和密鑰更新技術，還定義了它自己的兩種密鑰交換方式：主要模式和積極模式。在這種模式里，許多隧道在 網關之間是以系列的形式生成的，從而可以實現網關對網關安全 。 第一個消息由隧道的發(fā)起者發(fā)起 ， 攜帶了如這樣一些參數 ， 如加密機制 DES， 散列機制 MD5HMAC， DiffieHellman 組 2， 認證機制 預共享 。 SKEYID_a此密鑰被用于提供后續(xù) IKE 消息的數據完整性以及認證 。 在這六條消息過后 ， 就進入了第二階段 :快速模式 ， 快速模式使用二條消息來實現 。除非兩臺計算機之間正在進行防火墻類型的數據包篩選或網絡地址轉換，否則僅從源向目標路由數據的計算機不要求支持 IPSec。 IPSec 協(xié)議不是一個單獨的協(xié)議，它給出了應用于 IP 層上網絡數據安全的一整套體系結構，包括網絡認證協(xié)議 Authentication Header（ AH）、封裝安全載荷協(xié)議Encapsulating Security Payload（ ESP）、密鑰管理協(xié)議 Inter Key Exchange （ IKE）和用于網絡認證及加密的一些算法等。所以根據 22=4 向主機借 2位用來劃分子網。需要重啟電腦，同時在安裝的時候也安裝了也安裝了 DNS，我們可以在管理工具中查看到 。 圖 4– 2 用戶加入域 配置服務器之間的 VPN 連接 服務器與服務器之間的連接過程，如下的流程圖所示 13 圖