【導(dǎo)讀】何保證網(wǎng)絡(luò)中傳輸?shù)拿舾行畔⒌陌踩闪似仍诿冀薜膯栴}。現(xiàn)異地的內(nèi)部網(wǎng)絡(luò)互聯(lián)或開通專用的業(yè)務(wù)通道。VPN在公網(wǎng)上建立隧道，讓數(shù)據(jù)包通過。這樣就可以實現(xiàn)異地局域網(wǎng)之間的資源共享，而且不需要很高的費用來。必須考慮到數(shù)據(jù)安全性問題。出于安全性考慮基于IPSec隧道協(xié)議才能。夠滿足中、小型企業(yè)建立VPN的需求。IP安全協(xié)議集IPSec是提供這。種安全的核心技術(shù)。本文介紹了基于IPSec的VPN的設(shè)計與實現(xiàn)的工作。

　　

【正文】 的密碼。 ⑷ 、其它的建立就是和主域的建立過程相同?？梢詤⒖?主域控制器的配置過程。只到完成子域的建立完成結(jié)束。 員工加入域 右鍵點擊我的電腦選擇屬性。 圖 4– 2 用戶加入域 配置服務(wù)器之間的 VPN 連接 服務(wù)器與服務(wù)器之間的連接過程，如下的流程圖所示 13 圖 4– 3 流程圖 ⑴ 、 使用管理員登錄到 VPN 服務(wù)器 打開開始 —— 管理工具 —— 路由和遠程訪問 在路由和遠程訪問控制臺中，右擊服務(wù)器，從彈出的快捷菜單中選擇“配置并啟用路由和遠程訪問”命令。在路由和遠程訪問服務(wù)器安裝向?qū)У拇翱谥?，單擊下一? 在配置窗口中 ，選擇如圖示選項， 單擊下一步 圖 4– 4 選擇連接方式圖 ⑵ 、 會出現(xiàn)的選項都默認，點擊下一步。另一個 VPN 也這樣選擇。這里就省略了。對“地址范圍指定”的 IP地址就如下圖所示，前一個是 南陽 ，后一個是 鄭州 ，然后點擊下一步 ，繼續(xù)。 14 圖 4– 5 ⑶ 、 設(shè)置接口名稱， 接口是服務(wù)器連接的憑證，也是互相連接的依據(jù)。服務(wù)器連接需要有兩個接口配置， 一個是 請求撥入接口，二個是請求撥出接口。兩個接口都不能少，而且唯一。 圖 4– 6 接口創(chuàng)建圖 15 ⑷ 、創(chuàng)建好接口之后，要選擇 VPN 連接的接口類型，我們是基于 IPSec 的 VPN 設(shè)計，IPSec 屬于第二層協(xié)議，所以此處我們創(chuàng)建 的 IPSec VPN 必須選擇第二層隧道協(xié)議。 圖 4– 7 選擇接口類型 ⑸ 、 輸入目標地址就是 互相連接的另外 一個 VPN 的內(nèi)網(wǎng)地址 、主機名或者 IP 地址 ，不過 IP 地址比較容易，所以一般都安照 IP 地址進行配置。這個必須是 VPN 的 IP 地址，不能是私人網(wǎng)絡(luò)的 IP 地址。 圖 4– 8 目標地址圖 ⑹ 、 下圖 第一個 是 南陽服務(wù)器的 撥入憑據(jù)， 撥入憑證是服務(wù)器進行連 接的用戶名和密碼，當連接時只有用戶名和密碼正確才能進行連接。撥入憑證和撥出憑證，兩個服務(wù)器整好相反，也就是說南陽服務(wù)器的撥入憑證正好是鄭州服務(wù)器的撥出憑據(jù)。第二個圖是 南陽服務(wù)器中要填寫的撥出憑據(jù)。鄭州服務(wù)器中的撥出憑據(jù)是南陽服務(wù)器 的“撥入憑證”。 16 圖 4– 9 撥出撥入憑證 ⑺ 、南陽服務(wù)器與許昌服務(wù)器只需要“新建接口撥號連接”創(chuàng)建過程和南陽服務(wù)器與鄭州服務(wù)器方法大同小異。 申請證書設(shè)置 ⑴ 、 在 DC上安裝證書服務(wù)（注意在安 裝證書服務(wù)的時候，要同時安裝 WEB 服務(wù)，因為通過瀏覽器申請證書，需要 WEB 服務(wù)的支持）。本實驗的 CA類型為“獨立根 CA”，且將 VPN 服務(wù)器加入到域中。 圖 4– 10 安裝證書功能 ⑵ 、 VPN 服務(wù)器和客戶端均需申請 IPSec 證書，下載并且安裝所申請的證書，作為獨立 CA，會稍微麻煩一點。首先為 VPN 服務(wù)器申請“ IPSec 證書” 然后選擇建立一個 “高級證書申請” 選項。 17 圖 4– 11 選擇申請證書 ⑶ 、 選擇“創(chuàng)建并向此 CA 提交一個申請”。如下圖所示，輸入證書申請的參數(shù)，由于此 CA 類型是獨立根，因此需要輸入的參數(shù)和企業(yè)根有所不同。證書姓名中我們輸入了 VPN 服務(wù)器的域名 ，我們選擇的證書類型是“服務(wù)器身份驗證證書”，然后選擇將證書保存在本地計算機存儲中，其他參數(shù)隨便輸入即可。 圖 4– 12 證書申請圖 ⑷ 、 提交申請后，證書服務(wù)器頒發(fā)了證書，如下圖所 示，我們選擇“安裝此證書”即可完成證書申請工作。注意，獨立根 CA 默認是需要管理員審核才能進行證書核發(fā)，我們修改了獨立根 CA 的策略模塊，讓 CA服務(wù)器可以自動發(fā)放證書。 圖 4– 13 安裝證書 ⑸ 、 VPN 服務(wù)器申請完服務(wù)器證書后，接下來我們申請客戶端證書，訪問 南陽 的 CA服務(wù)器，申請過程和主服務(wù)器相同。此處就略。 18 ⑹ 、 當 VPN 服務(wù)器和客戶端的證書申請完畢后，這個時候還不能通過證書信任來進行 IPSec 的訪問，需要在 南陽 VPN 服務(wù)器 和鄭州服務(wù)器 上下載根 CA 證書及證書鏈，并導(dǎo)入到信任的證書頒發(fā)機構(gòu)列表中 以 南陽 為例 圖 4– 14 下載證書鏈和證書 ⑺ 、 將 CA證書及證書鏈下載到桌面吧，然后進行 證書的安裝和證書鏈的安裝 ， 將所有證書 安裝到 高級選項中的 “受信任的證書頒發(fā)機構(gòu) \本地計算機 ” 然后提示你安裝成功。 19 圖 4– 15 證書的安裝 ⑻ 、 按照上面同樣的方式導(dǎo)入證書鏈 。對于 另外的服務(wù)器和 客戶端來說下載 CA和CA鏈的方式以及導(dǎo)入的方式與 VPN 服務(wù)器完全相同，在此配置省略。 客戶端與服務(wù)器連接 客戶端和服務(wù)器進行連接的流程圖如下所示 圖 4– 16 流程圖 ⑴ 、打開我們的電腦，選擇網(wǎng)上鄰居。里邊有個新建連接向?qū)?，我們選擇新建“連接到我的工作場所的網(wǎng)絡(luò)（ 0）”這是我們進行 VPN 創(chuàng)建的必要過程。 圖 4– 17 創(chuàng)建向?qū)? ⑵ 、在網(wǎng)絡(luò)連接過程中會有提示，此處我們要選擇“虛擬專用網(wǎng)絡(luò)連接”，并且我們給連接的接口起名字，此名字也必須是服務(wù)器端唯一的用戶名。而且這個用戶，在服務(wù)器應(yīng)該被創(chuàng)建好了。 20 圖 4– 18 創(chuàng)建連接與撥號名 ⑶ 、在 VPN 服務(wù)器選擇中輸入所要連接的服務(wù)器的 VPN IP 地址，因為此處我們是要連接南陽總公司的服務(wù)器，我們則添加的是南陽服務(wù)器 VPN 的 IP 地址，然后直至創(chuàng)建完成 圖 4– 19 服務(wù)器選擇 ⑷ 、證書的申請和安裝，與服務(wù)器與服務(wù)器之間的申請、安裝相同，所以此處我們就省略了配置、安裝。詳細參考上面的過程。 5. 實驗測試 安裝網(wǎng)絡(luò)監(jiān)視工具 在鄭州服務(wù)器和許昌服務(wù)器和移動人員的客戶端安裝網(wǎng)絡(luò)監(jiān)視工具 [1]，通過網(wǎng)絡(luò)監(jiān)視工具我們可以很清楚的看到 VPN 是否真正進行了連接。安裝過程如下圖所示。直至完成。 21 圖 5– 1 安裝網(wǎng)絡(luò)監(jiān)視工具 南陽服務(wù)器與鄭州服務(wù)器和許昌 服務(wù)器間的設(shè)置測試如下圖所示 ⑴ 、我們在許昌服務(wù)器上進行“ ping”命令測試。我們 ping 南陽服務(wù)器的公網(wǎng) IP地址。同時用網(wǎng)絡(luò)監(jiān)視工具來查看通信過程是否被加密。因為 IPSec 協(xié)議是基于 IP的第二層協(xié)議，所以我們在網(wǎng)絡(luò)監(jiān)視工具中查看到協(xié)議類型為 ICMP。證明我們的 VPN 連接成功。 圖 5– 2 服務(wù)器間的連通測試 22 ⑵ 、我們在移動辦公人員的客戶端和南陽服務(wù)器進行“ ping”命令測試并用網(wǎng)絡(luò)監(jiān)視工具進行捕獲，捕獲的內(nèi)容和兩個 服務(wù)器之間的相同。則證明基于 IPSec VPN 已經(jīng)真正的連通了。 圖 5– 3 客戶端連通測試 在南陽服務(wù)器中可以看到的連接和活動端口 我們在南陽服務(wù)器的“路由和遠程訪問”的網(wǎng)絡(luò)接口中可以看到“ yidong”“ koumi01”“ koumi02”都已經(jīng)連接上了，在端口中我們看見有 3 個 VPN 端口進入活動。以此證明剛才的 VPN 連接已經(jīng)成功 圖 5– 4 查看網(wǎng)絡(luò)連接和端口 23 證明連接的安全性 我們建立一個屬于公司內(nèi)部的一個人員，但是不給這個人員申請證書，看是否可以進行連接，來查看基于 IPSec VPN 連接安全性。更能夠證明不是任何人都能隨便與服務(wù)器進行連接的。服務(wù)器與服務(wù)器之間的連接相同，此處省略。 圖 5– 5 普通用戶驗證 結(jié)束語 本次設(shè)計，用來搭建立中、小型企業(yè)之間的網(wǎng)絡(luò)通信，設(shè)計是在 Windows Server 20xx 上進行的，同時也可以移動到任何平臺之上 。基于 IPSec 的 VPN 滿足了遠程的連接和安全性要求 ，使企業(yè)間的通信更加方便 。但是由于個人水平有限，對 IPSec VPN 的理解深度不夠。在配置的過程中出現(xiàn)了分公司和移動辦公人員無法申請證書，導(dǎo)致無法通信。用網(wǎng)路監(jiān)視工具捕獲到除了 ICMP 協(xié)議以外的其它協(xié)議，從而不能證明服務(wù)器之間的通信是經(jīng)過 VPN 進行的。在本次設(shè)計中，我只是簡單的實現(xiàn)了 IPSec VPN 的通信功能，在設(shè)計過程中也不免有很多不合理的地方。 設(shè)計難免還有一些不足的地方，還望各位老師們多多批評指正，不勝感激。 參考文獻 [1] 劉士偉 周安民 .基 于 IPSec 的 VPN 實現(xiàn)及安全性分析 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 . 3040 [2] 金漢均 仲紅等 .VPN 虛擬專用網(wǎng)安全實踐教程 [M].清華大學(xué)出版社 .. [3] 陸國棟 . 基于 IPSec VPN 的安全性研究 [D]. 中國優(yōu)秀博碩士 學(xué)位論文全文數(shù)據(jù)庫 (碩士 ) [4] 郭聃 .IPSec 構(gòu)建 VPN[J].通訊世界 .. [5] 郭濤 . IPSec VPN 的研究與實現(xiàn) [D]. 中國優(yōu)秀碩士學(xué)位論文全文數(shù)據(jù)庫 . [6] 博蘭普拉格德（美） 著 .袁國忠譯 .IPSec VPN 設(shè)計 [M].人民郵電出版社 . [7] Carlton R. Davis 著 .周永彬 馮登國等譯 .IPSEC VPN 的安全實施 [M].北京 .清華大學(xué)出版社 .20xx 24 [8] 謝楊 .虛擬專用網(wǎng) VPN 系列講座 [J].計算機世界 . [9] 包穎燕 .VPN 技術(shù)在企業(yè)中的應(yīng)用 [J].寶鋼科技 . [10] 韓立剛 楊洪振 .計劃、實現(xiàn)和維護 windows server 20xx 活動目錄結(jié)構(gòu) [M].北京 .北京希望電子出版社 .. 25 致謝 論文 是在導(dǎo)師 李恒波 講師 的悉心指導(dǎo)下完成的。導(dǎo)師淵博的專業(yè)知識，嚴謹?shù)闹螌W(xué)態(tài)度，精益求精的工作作風(fēng)，誨人不倦的高尚師德，嚴以律己、寬以待人的崇高風(fēng)范，樸實無華、平易近人的人格魅力對我影響深遠。不僅使我掌握了基本的研究方法，還使我明白了 學(xué)多待人接物 與為人處世的道理。本論文從選題到完成，每一步都是在導(dǎo)師的指導(dǎo)下完成的，傾注了導(dǎo)師大量的心血。在此，謹向?qū)煴硎境绺叩木匆夂椭孕牡母兄x！ 其次，我要衷心感謝系里曾經(jīng)教過我的任課老師，他們淵博的知識使我掌握新的知識和技能，他們敬業(yè)的工作態(tài)度幫助我得以順利完成學(xué)業(yè)。 同時感謝在 我學(xué)習(xí)過程中給予我?guī)椭乃型瑢W(xué)們，大家給我提供的技術(shù)支持與許多無私的幫助，同大家在一起的日子是令人難忘的，在你們的幫助下使我能順利完成設(shè)計。還要 感謝我的母校，提供了良好的學(xué)習(xí)環(huán)境和生活環(huán)境，讓我的大學(xué)生活豐富多姿，為我的人生留下精彩的一筆 。 最后我還要感謝我的父母和家人，這么多年來一直對我支持和鼓勵。他們的無私奉獻是我努力的最大動力。