【正文】 s12 export in demoCA/ inkey demoCA/ out Enter pass phrase for demoCA/: Enter Export Password: Verifying Enter Export Password: [rootlocalhost ca] ll total 20 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 18 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 drwxrxrx. 3 root root 4096 Apr 13 18:21 demoCA rwrr. 1 root root 1677 Apr 13 18:47 rwrr. 1 root root 981 Apr 13 18:27 rwrr. 1 root root 1041 Apr 13 18:26 rwrr. 1 root root 700 Apr 13 18:26 以同樣方法為 window 客戶端生成證書與私鑰 ： [rootlocalhost ca] openssl req newkey rsa:1024 keyout out [rootlocalhost ca] openssl ca in days 365 out notext [rootlocalhost ca] openssl req newkey rsa:1024 keyout out [rootlocalhost ca] openssl ca in days 365 out notext openssl pkcs12 export in inkey out [rootlocalhost ca] ll total 28 drwxrxrx. 3 root root 4096 Apr 30 06:21 demoCA rwrr. 1 root root 1677 Apr 13 18:47 drwxrxrx. 2 root root 4096 Apr 13 19:06 vpngateway rwrr. 1 root root 981 Apr 13 19:15 rwrr. 1 root root 1041 Apr 13 19:15 rwrr. 1 root root 1701 Apr 13 19:17 rwrr. 1 root root 700 Apr 13 19:15 最后把 和 這兩個(gè)文件通過安全方式復(fù)制到 Windows XP客戶端 。 [rootlocalhost ] ll /etc/total 40 drwxrxrx. 2 root root 4096 Apr 13 18:30 cacerts 存放 drwxrxrx. 2 root root 4096 Apr 13 04:15 certs 存放 drwxrxrx. 2 root root 4096 Apr 13 02:39 crls 存放 drwxrxrx. 2 root root 4096 Apr 13 18:31 private 存放 建立如下目錄 /root/ca/demoCA， demoCA 存放 ca 證書和撤銷列表。 至此， xl2tpd 的所有配置都已經(jīng)完成。 require chap = yes refuse pap = yes 不使用 pap協(xié)議 require authentication = yes name = VPNGateway 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 16 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 ppp debug = yes pppoptfile = /etc/ppp/ ppp協(xié)議的配置文件路徑 length bit = yes [rootlocalhost ] less /etc/ppp/ name xl2tpd ipcpacceptlocal ipcpacceptremote msdns 分配給客戶端的 dns mswins Windows客戶端的 ip 地址 noccp auth crtscts idle 1800 mtu 1280 mru 1280 nodefaultroute debug lock proxyarp connectdelay 5000 連接最大超時(shí)時(shí)間 編輯加密文件： [rootlocalhost ] less /etc/ppp/chapsecrets Secrets for authentication using CHAP client server secret IP addresses dream * 123456 l2tp 里面會(huì)使用 chap 對(duì)用戶的身份進(jìn)行驗(yàn)證，就相當(dāng)于撥號(hào)時(shí)輸入的用戶名密碼的作用一樣。 [rootlocalhost Downloads] ls [rootlocalhost Downloads] tar zxvf [rootlocalhost Downloads] ls [rootlocalhost Downloads] cd [rootlocalhost ] make install 然后使用 yum 安裝 openswan： [rootlocalhost ] yum install openswan 最后檢測(cè)安裝是否成功： [rootlocalhost ] rpm qa|grep xl2tpd [rootlocalhost ] rpm qa|grep openswan （ 2） 配置 xl2tpd [rootlocalhost ] vim /etc/xl2tpd/ [global] listenaddr = 網(wǎng)關(guān)通過該 ip 地址監(jiān)聽客戶端的連接請(qǐng)求 port=1701 監(jiān)聽端口 auth file = /etc/ppp/chapsecrets 加密文件路徑 [lns default] ip range = 客戶機(jī)連上 VPN后分配 到 的地址范圍 local ip = 本地 ip地址 。先去網(wǎng)上下載 xl2tpd 安裝包。在 /etc/ 文件中，找到 = 0 = 1 改為： = 1 = 0 然后執(zhí)行 sysctl p 使之生效。還安裝了一臺(tái) Window XP 來(lái)充當(dāng)外網(wǎng)，連入 VPN 網(wǎng)關(guān)平臺(tái)的測(cè)試機(jī)。 6. 熱遷移，高可用性。 4. 有復(fù)原（ Undo）功能。 2. 完全隔離并保護(hù)不同 OS 的操作環(huán)境以及所有安裝在 OS 上面的應(yīng)用軟件和資料。所以我們需要安裝虛擬機(jī)實(shí)現(xiàn)用一臺(tái) PC 機(jī)模擬多臺(tái)機(jī)器，從而實(shí)現(xiàn) VPN 網(wǎng)關(guān)平臺(tái)的搭建、配置與測(cè)試。 Li nux 在它的追捧者眼里是一個(gè)近乎完美的操作系統(tǒng)，它具有運(yùn)行穩(wěn)定、功能強(qiáng)大、獲取方便等優(yōu)點(diǎn)，因而有著廣闊的前景，或許也值得我們每一個(gè)計(jì)算機(jī)愛好者學(xué)習(xí)和應(yīng)用。大多數(shù) Linux 系統(tǒng)使用的圖形用戶界面創(chuàng)建在 X 窗口系統(tǒng)之上，由 X 窗口系統(tǒng)通過軟件工具及架構(gòu)協(xié)議來(lái)創(chuàng)建操作系統(tǒng)所用的圖形用戶界面。 Linux 具有設(shè)備獨(dú)立性，它內(nèi)核具有高度適應(yīng)能力，從而給系統(tǒng)提供了更高級(jí)的功能。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 10 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 本次 課題 實(shí)現(xiàn)的基本流程和功能 （ 1） 基本流程 a) 繪制拓?fù)鋱D b) 安裝虛擬機(jī) c) 在虛擬機(jī)中安裝三個(gè)操作系統(tǒng) d) 設(shè)置虛擬網(wǎng)卡，配置網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) e) 在 VPN 網(wǎng)關(guān)操作系統(tǒng)中安裝和配置 VPN 服務(wù)器 f) 在客戶端添加證書和 VPN 連接 g) 在內(nèi)網(wǎng)服務(wù)器上安裝 web 和 ftp 服務(wù) h) 調(diào)試 （ 2） 實(shí)現(xiàn)的基本功能 a) VPN 網(wǎng)關(guān)服務(wù)器能夠開啟和監(jiān)控 VPN 服務(wù) b) 客戶端能夠連入 VPN 網(wǎng)關(guān)服務(wù)器 c) 客戶端能夠分配到內(nèi)網(wǎng) ip 地址 d) 內(nèi)網(wǎng)服務(wù)器提供 web 和 ftp 服務(wù) e) 客戶端能夠訪問內(nèi)網(wǎng)服務(wù)器的 web 和 ftp 服務(wù) 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 11 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 3 基于 IPSec VPN的 Linux網(wǎng)關(guān)平臺(tái)的實(shí)現(xiàn) Linux系統(tǒng)的 簡(jiǎn)介 Linux 其實(shí)就是一個(gè)操作系統(tǒng)，這個(gè)操作系統(tǒng)里頭含有最主要的 kernel 以及 kernel 提供的工具！他提供了一個(gè)完整的操作系統(tǒng)當(dāng)中最底層的硬件控制與資源管理的完整架構(gòu)，這個(gè)架構(gòu)是沿襲 Unix 良好的傳統(tǒng)來(lái)的，所以相當(dāng)?shù)姆€(wěn)定而功能強(qiáng)大！此外，由于這個(gè)優(yōu)良的架構(gòu)可以在目前的個(gè)人計(jì)算機(jī) ( X86 系統(tǒng) ) 上面跑，所以很多的軟件開發(fā)者將他們的工作心血移轉(zhuǎn)到這個(gè)架構(gòu)上面，那就是很多的應(yīng)用軟件！雖然 Linux 僅是其核心與核心提供的工具，不過，由于核心、核心工具與這些軟件開發(fā)者提供的軟件的整合，使得 Linux 成為一個(gè)更完整的、功能強(qiáng)大的操作系統(tǒng)！ Linux 系統(tǒng)使用單內(nèi)核，由 Linux 內(nèi)核負(fù)責(zé)處理進(jìn)程控制、網(wǎng)絡(luò)，以及外圍設(shè)備和文件系統(tǒng)的訪問。由于客戶端和內(nèi)網(wǎng)服務(wù)器的 ip 屬于不同網(wǎng)段，并且他們之間并沒有設(shè)置路由條目，所以外網(wǎng)客戶端 是 無(wú)法訪問內(nèi)網(wǎng)的 web/ftp 服務(wù) 的 。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 9 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 本次課題 的基本 實(shí)現(xiàn)功能及簡(jiǎn)要說明 本次課題 的 網(wǎng)絡(luò)拓?fù)鋱D 圖 網(wǎng)絡(luò)拓?fù)鋱D 如圖 所示 ，本次 課題 我們采用兩個(gè)路由器分別充當(dāng)外網(wǎng)和內(nèi)網(wǎng)網(wǎng)關(guān)。根據(jù)VPN 目標(biāo)地址， VPN 網(wǎng)關(guān)能夠判斷對(duì)哪些數(shù)據(jù)包進(jìn)行 VPN 處理，對(duì)于不需要處理的數(shù)據(jù)包通常情況下可直接轉(zhuǎn)發(fā)到上級(jí)路由；遠(yuǎn)程 VPN 網(wǎng)關(guān)地址則指定了處理后的 VPN 數(shù)據(jù)包發(fā)送的目標(biāo)地址，即 VPN 隧道的另一端 VPN 網(wǎng)關(guān)地址。 7. 從終端 B 返回終端 A 的數(shù)據(jù)包處理過程和上述過程一樣，這樣兩個(gè)網(wǎng)絡(luò)內(nèi)的終端就可以相互通訊了。 6. 解封裝之后的原始數(shù)據(jù)包會(huì)被 VPN 網(wǎng)關(guān)發(fā)送到內(nèi)網(wǎng)終端 B，由于原數(shù)據(jù)包中的目的地址是內(nèi)網(wǎng)終端 B 的 IP 地址 ， 因此內(nèi)網(wǎng)中的終端 B 能夠正確地收到該訪問數(shù)據(jù)包 。 5. VPN 網(wǎng)關(guān)外網(wǎng)接口會(huì)檢查所有接收到的數(shù)據(jù)包， 如果發(fā)現(xiàn)該數(shù)據(jù)包是來(lái)自于公網(wǎng)中的 VPN 網(wǎng)關(guān) ， 則可判定該數(shù)據(jù)包為 VPN 數(shù)據(jù)包 ， 然后會(huì)解封裝該數(shù)據(jù)包 。封裝后的原數(shù)據(jù)包用來(lái)負(fù)載 VPN 網(wǎng)關(guān)構(gòu)造出的新 VPN 數(shù)據(jù)包，新的 VPN 數(shù)據(jù)包的目標(biāo)地址為內(nèi)部網(wǎng)絡(luò)中的 VPN 網(wǎng)關(guān)的外部地址。 3. VPN 網(wǎng)關(guān)中連接 Inter 的那一端收到來(lái)自終端 A 發(fā)出的數(shù)據(jù)包時(shí)，會(huì)檢查它的目的地址。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 8 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 VPN 的實(shí)現(xiàn) 網(wǎng)關(guān)需要兩張網(wǎng)卡的支持，一張網(wǎng)卡連接內(nèi)部私有網(wǎng)絡(luò)，一張網(wǎng)卡連接Inter。 AH 和 ESP 都可以提供認(rèn)證服務(wù)，不過， AH 提供的認(rèn)證服務(wù)要強(qiáng)于 ESP。同時(shí)，作為可選項(xiàng)，用戶可以選擇 MD SHA1 算法保證報(bào)文的完整性和真實(shí)性。與 AH 協(xié)議不同的是， ESP 將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到 IP 包中，以保證數(shù)據(jù)的機(jī)密性。 ESP 協(xié)議 （ IP 協(xié)議號(hào)為 50） 提供加密、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能。 AH 的工作原理是在每一個(gè)數(shù)據(jù)包上添加一個(gè)身份驗(yàn)證報(bào)文頭，此報(bào)文頭插在標(biāo)準(zhǔn) IP 包 頭后面，對(duì)數(shù)據(jù)提供完整性保護(hù)。 IPsec 協(xié)議中的 AH協(xié)議定義了認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)源認(rèn)證和完整性保證； ESP協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)可靠性保證。認(rèn)證機(jī)制使 IP 通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在傳輸過程中是否遭篡改。其中， AH 協(xié)議和 ESP 協(xié)議用于提供安全服務(wù)， IKE協(xié)議用于密鑰交換。這樣可以根據(jù)實(shí)際的需要，在掛接加密算法和加密強(qiáng)度不同的函數(shù)庫(kù)時(shí)，其它模塊不需作出改動(dòng)。加密函數(shù)庫(kù)為上述模塊提供統(tǒng)一的加密服務(wù)。當(dāng)從安全網(wǎng)關(guān)發(fā)送 IP 數(shù)據(jù)分組時(shí)，數(shù)據(jù)分組封裝 /分解模塊為 IP 數(shù)據(jù)分組附加上身份認(rèn)證頭 AH 和安全數(shù)據(jù)封裝頭 ESP。隨著當(dāng)前計(jì)算機(jī)運(yùn)算能力的提高， DES 算法的安全性開始受到挑戰(zhàn)，對(duì)于安全性要求更高的網(wǎng)絡(luò)數(shù)據(jù)，數(shù)據(jù)加密 /解密模塊可以提供 TriPle