【正文】 如圖 所示，連上 VPN 網(wǎng)關服務器之后再進行測試。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關平臺 27 上海應用技術學院 計算機科學與信息工程學院 畢業(yè)論文 圖 測試外網(wǎng)能否訪問內(nèi)網(wǎng) web服務 圖 測試外網(wǎng)能否訪問內(nèi)網(wǎng) ftp服務 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關平臺 28 上海應用技術學院 計算機科學與信息工程學院 畢業(yè)論文 如圖 和 所示，在連入 VPN 服務器之前，客戶端嘗試 ping 內(nèi)網(wǎng)服務器，訪問內(nèi)網(wǎng)的 web 和 ftp 服務， 都無法訪問。由于客戶端和內(nèi)網(wǎng)服務器不屬于同一個 VLAN，所以客戶端無法訪問內(nèi)網(wǎng)服務器的任何服務。內(nèi)網(wǎng)服務器和 VPN 網(wǎng)關的右邊接口 eth0 屬于同一個 VLAN ，并且有相同的網(wǎng)關 。 通過客戶端使用特殊的賬號密碼，連入 VPN 網(wǎng)關，然后 VPN 網(wǎng)關分配給客戶端一個內(nèi)網(wǎng)的 ip 地址，客戶端通過內(nèi)網(wǎng) ip 地址訪問內(nèi)網(wǎng)的 web 服務。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關平臺 24 上海應用技術學院 計算機科學與信息工程學院 畢業(yè)論文 4 本次課題實驗環(huán)境測試 在第三章中 ，所有的 VPN 網(wǎng)關配置已經(jīng)全部完成。 （ 2） 安裝 ， mysql，以及 php （ LAMP） [rootlocalhost ~] yum install [rootlocalhost ~] yum install [rootlocalhost ~] yum install （ 3） 配置 LAMP [rootlocalhost ~] vim /etc/d/conf/ Apache主配置文件 ServerRoot /etc/d 配置文件主目錄 Timeout 60 連接超時時間 Listen 80 監(jiān)聽端口 ServerName :80 域名 DocumentRoot /var//html 網(wǎng)站根目錄 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關平臺 22 上海應用技術學院 計算機科學與信息工程學院 畢業(yè)論文 DirectoryIndex 網(wǎng)站默認主頁 ErrorLog logs/error_log 錯誤日志路徑 [rootlocalhost ~] vim /etc/ [mysqld] datadir=/var/lib/mysql 數(shù)據(jù)庫主目錄 socket=/var/lib/mysql/ 套接字路徑 user=mysql 用戶名 Disabling symboliclinks is remended to prevent assorted security risks symboliclinks=0 [mysqld_safe] logerror=/var/log/ 錯誤日志存放路徑 pidfile=/var/run/mysqld/ 進程文件存放路徑 設置開機自動啟動 ： [rootlocalhost ~] chkconfig –list d 0:off 1:off 2:on 3:on 4:on 5:on 6:off mysqld 0:off 1:off 2:on 3:on 4:on 5:on 6:off phpfpm 0:off 1:off 2:on 3:on 4:on 5:on 6:off vsftpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off 啟動服務 ： /etc//etc//etc/安裝 ftp 服務 ： [rootlocalhost ~] yum install [rootlocalhost ~] service vsftpd start [rootlocalhost ~] less /etc/vsftpd/ anonymous_enable=YES 允許匿名用戶登錄 local_enable=YES 允許本地用戶登錄 write_enable=YES 允許登錄用戶擁有寫權限 local_umask=022 設置本地用戶擁有寫和執(zhí)行權限 connect_from_port_20=YES 使用端口號 20連接 至此，本次課題的內(nèi)網(wǎng) web 和 ftp 服務搭建完成。 三．數(shù)據(jù)庫 在所有開源的數(shù)據(jù)庫中， MySQL 在穩(wěn)定性、功能和性能上無疑是首選， MySQL 可以輕易地達到百萬級別以上的數(shù)據(jù)存儲，網(wǎng)站建設初期可以將 MySQL 和 Web 服務器放在一起，但是當數(shù)據(jù)訪問量到達一定規(guī)模之后，就應 該將 MySQL 數(shù)據(jù)庫從 Web 服務器上獨立出來，將 MySQL 數(shù)據(jù)庫和 Web 服務器單獨運行，同時還需要保證 Web 服務器和 MySQL 數(shù)據(jù)庫之間的穩(wěn)定連接。 對 動態(tài)內(nèi)容緩存 進行優(yōu)化 ， 相應地 提高了 PHP 腳本的緩存性能， 即使 PHP 腳本處 在編譯狀態(tài)下， 它對于服務器的開銷也可以小到忽略不計 。如果 訪問量巨大 的話 則可考慮使用 Memcache 來進行分布式緩存。 Web 服務器的緩存 方案有很多 ， Apache 自己也 提供 了 緩存模塊， 當然 也可以使用外加的 Squid 模塊 來 進行緩存，這兩種 上訴兩種 方式 對 Apache 的訪問響應能力 都有一定的提高 。 Nginx 是一個高性能的 HTTP 和反向代理服務器， Nginx 以它的穩(wěn)定性、 低系統(tǒng)資源的消耗 、示例配置文件和 豐富的功能集 而聞名。但同樣 Apache 的缺點也非常明顯，內(nèi)存和 CPU 的高開銷，性能上的損耗，遠不如 Nginx 這類輕量級的 Web 服務器高效，就靜態(tài) 文件的響 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關平臺 21 上海應用技術學院 計算機科學與信息工程學院 畢業(yè)論文 應能力這一點輕量級的 Web 服務器遠高于 Apache 服務器。 不過， RHEL 和 SUSE LE 等企業(yè)版 Linux 系統(tǒng) ，提供的升級服務 都是需要收費的 ，無法免費 進行 在線升級，因此要求免費的高度穩(wěn)定性的服務器可以 使 用 CentOS 來 替代 RHEL。 一．操作系統(tǒng) Linux 操作系統(tǒng) 具有很多不同的發(fā)行版本 ， 但是，基于 穩(wěn)定性和性能的考慮， 最理想的操作系統(tǒng)無疑是 CentOS。 對于大流量、大并發(fā)量的網(wǎng)站系統(tǒng)架構來說，除了硬件上使用高性能的服務器、負載均衡、 CDN 等之外，在軟件架構上需要重點關注 以下 幾個環(huán)節(jié)：使用高性能的操作系統(tǒng)（ OS）、高性能的網(wǎng)頁服務器（ Web Server）、高性能的數(shù)據(jù)庫（ Database）、高效率的編程語言等。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關平臺 19 上海應用技術學院 計算機科學與信息工程學院 畢業(yè)論文 圖 Windows XP 證書導入 （ 4） 配置 ipsec 編輯網(wǎng)關上的 /etc/，最后一行加上 ipsec 啟動時讀取的密鑰文件 ： [rootlocalhost ca] vim /etc/ : RSA /etc/編輯 ipsec 的主配置文件 [rootlocalhost ca] vim /etc/ config setup Debuglogging controls: none for (almost) none, all for lots. klipsdebug=none plutodebug=control parsing For Red Hat Enterprise Linux and Fedora, leave protostack=key protostack=key nat_traversal=yes virtual_private=%v4:,%v4:,%v4:,%v4:! oe=off 虛擬可用的私網(wǎng)地址 conn %default press=yes authby=rsasig disablearrivalcheck=no leftrsasigkey=%cert 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關平臺 20 上海應用技術學院 計算機科學與信息工程學院 畢業(yè)論文 rightrsasigkey=%cert keyingtries=1 conn l2tpx509 使用 l2tp的 x509協(xié)議 進行 加密連接 pfs=no auto=add left= 網(wǎng)關左邊地址即為監(jiān)聽地址 leftcert= 網(wǎng)關所用證書 leftprotoport=17/1701 網(wǎng)關監(jiān)聽端口 right=%any 客戶端 地址為任意地址 rightca=%same 客戶端證書 rightprotoport=17/%any 客戶端使用的連接端口 內(nèi)網(wǎng) web和 ftp服務的安裝與配置 （ 1） LAMP 簡介 在本次課題中的內(nèi)網(wǎng) web 和 ftp 服務是采用的 LAMP 架構來實現(xiàn)的。 在證書：本地計算機里，選擇個人 所有任務 導入，導入兩個 p12 證書。 現(xiàn)使用以下命令在 /root/ca/demoCA 下產(chǎn)生 ca 根證書 和其私鑰 和 crl 表 ： [rootlocalhost ] mkdri p /root/ca/demoCA/ [rootlocalhost ca] cd /root/ca/demoCA/ [rootlocalhost demoCA] openssl req x509 days 365 newkey rsa:1024 keyout out [rootlocalhost demoCA]openssl ca gencrl out [rootlocalhost demoCA] ls 然后在 /root/ca/ 下使用以下命令產(chǎn)生網(wǎng)關的認證私鑰 和證書： [rootlocalhost demoCA] echo 01 /etc/pki/CA/crlnumber 然后在 /root/ca/ 下使用以下命令產(chǎn)生網(wǎng)關的認證私鑰 和證書： [rootlocalhost ca] openssl req newkey rsa:1024 keyout out [rootlocalhost ca] ll total 16 drwxrxrx. 3 root root 4096 Apr 13 18:21 demoCA rwrr. 1 root root 981 Apr 13 18:27 rwrr. 1 root root 1041 Apr 13 18:26 rwrr. 1 root root 700 Apr 13 18:26 然后將 ca 證書與網(wǎng)關證書與私鑰放進網(wǎng)關上的 openswan 的相依目錄下 ： [rootlocalhost ca] ll /etc/aacerts/ cacerts/ certs/ crls/ examples/ ocspcerts/ passwd/ policies/ private/ [rootlocalhost ca] cp demoCA/ /etc/[rootlocalhost ca] cp /etc/ [rootlocalhost ca] cp /etc/[rootlocalhost ca] ll /etc/rwrr. 1 root root 981 Apr 13 18:31 /etc/在網(wǎng)關的 /root/ca 下，用以下命令將 CA 證書 cacertpem 的格式轉化為 p12 文件： [rootlocalhost ca] openssl pkcs12 export in demoCA/ inkey