【正文】 如圖 所示， 連上 VPN 網(wǎng)關(guān)服務(wù)器之后再進(jìn)行測(cè)試。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 27 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 圖 測(cè)試外網(wǎng)能否訪問(wèn)內(nèi)網(wǎng) web服務(wù) 圖 測(cè)試外網(wǎng)能否訪問(wèn)內(nèi)網(wǎng) ftp服務(wù) 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 28 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 如圖 和 所示， 在連入 VPN 服務(wù)器之前，客戶端嘗試 ping 內(nèi)網(wǎng)服務(wù)器，訪問(wèn)內(nèi)網(wǎng)的 web 和 ftp 服務(wù)， 都無(wú)法訪問(wèn)。由于客戶端和內(nèi)網(wǎng)服務(wù)器不屬于同一個(gè) VLAN，所以客戶端無(wú)法訪問(wèn)內(nèi)網(wǎng)服務(wù)器的任何服務(wù)。內(nèi)網(wǎng)服務(wù)器和 VPN 網(wǎng)關(guān)的右邊接口 eth0 屬于同一個(gè) VLAN ，并且有相同的網(wǎng)關(guān) 。 通過(guò)客戶端使用特殊的賬號(hào)密碼，連入 VPN 網(wǎng)關(guān)，然后 VPN 網(wǎng)關(guān)分配給客戶端一個(gè)內(nèi)網(wǎng)的 ip 地址，客戶端通過(guò)內(nèi)網(wǎng) ip 地址訪問(wèn)內(nèi)網(wǎng)的 web 服務(wù)。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 24 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 4 本次課題實(shí)驗(yàn) 環(huán)境測(cè)試 在第三章中 ，所有的 VPN 網(wǎng)關(guān)配置已經(jīng)全部完成。 （ 2） 安裝 ， mysql，以及 php （ LAMP） [rootlocalhost ~] yum install [rootlocalhost ~] yum install [rootlocalhost ~] yum install （ 3） 配置 LAMP [rootlocalhost ~] vim /etc/d/conf/ Apache主配置文件 ServerRoot /etc/d 配置文件主目錄 Timeout 60 連接超時(shí)時(shí)間 Listen 80 監(jiān)聽(tīng)端口 ServerName :80 域名 DocumentRoot /var//html 網(wǎng)站根目錄 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 22 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 DirectoryIndex 網(wǎng)站默認(rèn)主頁(yè) ErrorLog logs/error_log 錯(cuò)誤日志路徑 [rootlocalhost ~] vim /etc/ [mysqld] datadir=/var/lib/mysql 數(shù)據(jù)庫(kù)主目錄 socket=/var/lib/mysql/ 套接字路徑 user=mysql 用戶名 Disabling symboliclinks is remended to prevent assorted security risks symboliclinks=0 [mysqld_safe] logerror=/var/log/ 錯(cuò)誤日志存放路徑 pidfile=/var/run/mysqld/ 進(jìn)程文件存放路徑 設(shè)置開(kāi)機(jī)自動(dòng)啟動(dòng) ： [rootlocalhost ~] chkconfig –list d 0:off 1:off 2:on 3:on 4:on 5:on 6:off mysqld 0:off 1:off 2:on 3:on 4:on 5:on 6:off phpfpm 0:off 1:off 2:on 3:on 4:on 5:on 6:off vsftpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off 啟動(dòng)服務(wù) ： /etc//etc//etc/安裝 ftp 服務(wù) ： [rootlocalhost ~] yum install [rootlocalhost ~] service vsftpd start [rootlocalhost ~] less /etc/vsftpd/ anonymous_enable=YES 允許匿名用戶登錄 local_enable=YES 允許本地用戶登錄 write_enable=YES 允許登錄用戶擁有寫(xiě)權(quán)限 local_umask=022 設(shè)置本地用戶擁有寫(xiě)和執(zhí)行權(quán)限 connect_from_port_20=YES 使用端口號(hào) 20連接 至此，本次課題的內(nèi)網(wǎng) web 和 ftp 服務(wù)搭建完成。 三． 數(shù)據(jù)庫(kù) 在所有 開(kāi)源的數(shù)據(jù)庫(kù)中， MySQL 在 穩(wěn)定性、功能和性能上無(wú)疑是 首選， MySQL 可以輕易地 達(dá)到百萬(wàn)級(jí)別 以上的 數(shù)據(jù)存儲(chǔ)，網(wǎng)站 建設(shè) 初期可以將 MySQL 和 Web 服務(wù)器放在一起，但是當(dāng) 數(shù)據(jù) 訪問(wèn)量 到達(dá)一定規(guī)模之后 ， 就 應(yīng)該將 MySQL 數(shù)據(jù)庫(kù)從 Web 服務(wù)器上獨(dú)立出來(lái)， 將 MySQL 數(shù)據(jù)庫(kù)和 Web 服務(wù)器單獨(dú)運(yùn)行 ，同時(shí) 還需要保證 Web 服務(wù)器和 MySQL 數(shù)據(jù)庫(kù)之間 的穩(wěn)定連接。 對(duì) 動(dòng)態(tài)內(nèi)容緩存 進(jìn)行優(yōu)化 ， 相應(yīng)地 提高了 PHP 腳本的緩存性能， 即使 PHP 腳本處 在編譯狀態(tài)下， 它對(duì)于服務(wù)器的開(kāi)銷也可以小到忽略不計(jì) 。如果 訪問(wèn)量巨大 的話 則可考慮使用 Memcache 來(lái)進(jìn)行分布式緩存。 Web 服務(wù)器的緩存 方案有很多 ， Apache 自己也 提供 了 緩存模塊， 當(dāng)然 也可以使用外加的 Squid 模塊 來(lái) 進(jìn)行緩存，這兩種 上訴兩種 方式 對(duì) Apache 的訪問(wèn)響應(yīng)能力 都有一定的提高 。 Nginx 是一個(gè)高性能的 HTTP 和反向代理服務(wù)器， Nginx 以它的穩(wěn)定性、 低系統(tǒng)資源的消耗 、示例配置文件和 豐富的功能集 而聞名。但 同樣 Apache 的缺點(diǎn) 也非常明顯 ，內(nèi)存和 CPU 的高開(kāi)銷 ，性能上 的 損耗， 遠(yuǎn)不如 Nginx 這類 輕量級(jí)的 Web 服務(wù)器高效， 就靜態(tài)文件的響 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 21 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 應(yīng)能力這一點(diǎn) 輕量級(jí)的 Web 服務(wù)器遠(yuǎn)高于 Apache 服務(wù)器。 不過(guò)， RHEL 和 SUSE LE 等企業(yè)版 Linux 系統(tǒng) ，提供的升級(jí)服務(wù) 都是需要收費(fèi)的 ，無(wú)法免費(fèi) 進(jìn)行 在線升級(jí)，因此要求免費(fèi)的高度穩(wěn)定性的服務(wù)器可以 使 用 CentOS 來(lái) 替代 RHEL。 一． 操作系統(tǒng) Linux 操作系統(tǒng) 具有很多不同的發(fā)行版本 ， 但是，基于 穩(wěn)定性和性能的考慮， 最理想的操作系統(tǒng)無(wú)疑是 CentOS。 對(duì)于大流量、大并發(fā)量的網(wǎng)站系統(tǒng)架構(gòu)來(lái)說(shuō)，除了硬件上使用高性能的服務(wù)器、負(fù)載均衡、 CDN 等之外，在軟件架構(gòu)上需要重點(diǎn)關(guān)注 以下 幾個(gè)環(huán)節(jié)：使用高性能的操作系統(tǒng)（ OS）、高性能的網(wǎng)頁(yè)服務(wù)器（ Web Server）、高性能的數(shù)據(jù)庫(kù)（ Database）、高效率的編程語(yǔ)言等。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 19 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 圖 Windows XP 證書(shū)導(dǎo)入 （ 4） 配置 ipsec 編輯網(wǎng)關(guān)上的 /etc/，最后一行加上 ipsec 啟動(dòng)時(shí)讀取的密鑰文件 ： [rootlocalhost ca] vim /etc/ : RSA /etc/編輯 ipsec 的主配置文件 [rootlocalhost ca] vim /etc/ config setup Debuglogging controls: none for (almost) none, all for lots. klipsdebug=none plutodebug=control parsing For Red Hat Enterprise Linux and Fedora, leave protostack=key protostack=key nat_traversal=yes virtual_private=%v4:,%v4:,%v4:,%v4:! oe=off 虛擬可用的私網(wǎng)地址 conn %default press=yes authby=rsasig disablearrivalcheck=no leftrsasigkey=%cert 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 20 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 rightrsasigkey=%cert keyingtries=1 conn l2tpx509 使用 l2tp的 x509協(xié)議 進(jìn)行 加密連接 pfs=no auto=add left= 網(wǎng)關(guān)左邊地址即為監(jiān)聽(tīng)地址 leftcert= 網(wǎng)關(guān)所用證書(shū) leftprotoport=17/1701 網(wǎng)關(guān)監(jiān)聽(tīng)端口 right=%any 客戶端 地址為任意地址 rightca=%same 客戶端證書(shū) rightprotoport=17/%any 客戶端使用的連接端口 內(nèi)網(wǎng) web和 ftp服務(wù)的安裝與配置 （ 1） LAMP 簡(jiǎn)介 在本次課題中的內(nèi)網(wǎng) web 和 ftp 服務(wù)是采用的 LAMP 架構(gòu)來(lái)實(shí)現(xiàn)的。 在證書(shū)：本地計(jì)算機(jī)里，選擇個(gè)人 所有任務(wù) 導(dǎo)入，導(dǎo)入兩個(gè) p12 證書(shū)。 現(xiàn)使用以下命令在 /root/ca/demoCA 下產(chǎn)生 ca 根證書(shū) 和其私鑰 和 crl 表 ： [rootlocalhost ] mkdri p /root/ca/demoCA/ [rootlocalhost ca] cd /root/ca/demoCA/ [rootlocalhost demoCA] openssl req x509 days 365 newkey rsa:1024 keyout out [rootlocalhost demoCA]openssl ca gencrl out [rootlocalhost demoCA] ls 然后在 /root/ca/ 下使用以下命令產(chǎn)生網(wǎng)關(guān)的認(rèn)證私鑰 和證書(shū)： [rootlocalhost demoCA] echo 01 /etc/pki/CA/crlnumber 然后在 /root/ca/ 下使用以下命令產(chǎn)生網(wǎng)關(guān)的認(rèn)證私鑰 和證書(shū)： [rootlocalhost ca] openssl req newkey rsa:1024 keyout out [rootlocalhost ca] ll total 16 drwxrxrx. 3 root root 4096 Apr 13 18:21 demoCA rwrr. 1 root root 981 Apr 13 18:27 rwrr. 1 root root 1041 Apr 13 18:26 rwrr. 1 root root 700 Apr 13 18:26 然后將 ca 證書(shū)與網(wǎng)關(guān)證書(shū)與私鑰放進(jìn)網(wǎng)關(guān)上的 openswan 的相依目錄下 ： [rootlocalhost ca] ll /etc/aacerts/ cacerts/ certs/ crls/ examples/ ocspcerts/ passwd/ policies/ private/ [rootlocalhost ca] cp demoCA/ /etc/[rootlocalhost ca] cp /etc/ [rootlocalhost ca] cp /etc/[rootlocalhost ca] ll /etc/rwrr. 1 root root 981 Apr 13 18:31 /etc/在網(wǎng)關(guān)的 /root/ca 下，用以下命令將 CA 證書(shū) cacertpem 的格式轉(zhuǎn)化為 p12 文件： [rootlocalhost ca] openssl pkc