基于ipsec協(xié)議的linux vpn網(wǎng)關(guān)平臺畢業(yè)設(shè)計(jì)

1、<p>　　基于IPSec協(xié)議的Linux VPN網(wǎng)關(guān)平臺</p><p>　　摘要：因特網(wǎng)協(xié)議安全(IPSec)是一系列建立在網(wǎng)絡(luò)層最頂端的協(xié)議，通常被用來建立虛擬隧道，最廣為人知的是虛擬專用網(wǎng)絡(luò)(VPN)。虛擬專用網(wǎng)絡(luò)(VPN)在公共網(wǎng)絡(luò)，如因特網(wǎng)中擴(kuò)展出一個私有網(wǎng)絡(luò)。它使計(jì)算機(jī)通過共享的或公共的網(wǎng)絡(luò)來發(fā)送和接收數(shù)據(jù),就好像它是直接連接到私有網(wǎng)絡(luò)，而且受益于私有網(wǎng)絡(luò)的功能性、安全性和管理政策。<

2、;/p><p>　　本次課題中，論文首先對IPSec VPN的背景和原理進(jìn)行了一些簡單的介紹，接著論文介紹了VPN網(wǎng)關(guān)實(shí)現(xiàn)的具體步驟及功能。本次課題使用了Linux系統(tǒng)這個免費(fèi)開源的平臺用來作為VPN網(wǎng)關(guān)。通過在一個Linux系統(tǒng)上搭建VPN服務(wù)器來充當(dāng)VPN網(wǎng)關(guān)并采用了xl2tp協(xié)議進(jìn)行數(shù)據(jù)傳輸，在另一個Linux系統(tǒng)上搭建web以及ftp服務(wù)用來充當(dāng)私有網(wǎng)絡(luò)。最后用一臺Windows充當(dāng)公共網(wǎng)絡(luò)中的一臺主機(jī)，通過

3、撥號直接連入VPN網(wǎng)關(guān)，對私有網(wǎng)絡(luò)的web以及ftp實(shí)現(xiàn)訪問。本次課題的成功展示出了IPSec VPN在傳輸數(shù)據(jù)方面的良好的安全性、網(wǎng)絡(luò)功能和管理性能，同時也展現(xiàn)出了IPSec VPN良好的研究應(yīng)用價值和開發(fā)前景。</p><p>　　關(guān)鍵字：Linux；虛擬專用網(wǎng)絡(luò)；IPSec；網(wǎng)關(guān)；xl2tp</p><p>　　Linux VPN gateway platform based on

4、IPSec protocol</p><p>　　Abstract: Internet Protocol Security (IPsec) is a set of protocols which sit on top of the Internet Protocol (IP) layer, it is used to build virtual tunnels, commonly known as Virtual

5、 Private Networks (VPNs). A virtual private Network (VPN) extends a private network across a public network, such as the Internet. It enables a computer to send and receive data across shared or public networks as if it

6、were directly connected to the private network, while benefiting from the functionality, security</p><p>　　In this topic, the thesis simply introduced the background and principle of IPSec VPN, and then intr

7、oduced the concrete steps to implement VPN gateway and the function of VPN gateway. Linux system, the free, open source platform was used for VPN gateway in the topic. The VPN server was set up on a Linux system to act a

8、s the VPN gateway and adopted xl2tp protocols for data transmission, and then another Linux system was used to build web and FTP service to act as a private network. Finally a Wind</p><p>　　Keywords: Linux;

9、VPN; IPSec; gateway; xl2tp</p><p><b>　　目錄</b></p><p><b>　　摘要i</b></p><p>　　Abstracti</p><p><b>　　目錄iii</b></p><p>&l

10、t;b>　　1緒論1</b></p><p>　　1.1基于IPSec 協(xié)議的VPN 概述1</p><p>　　1.1.1IPSec VPN的定義1</p><p>　　1.1.2IPSec VPN的優(yōu)缺點(diǎn)2</p><p>　　1.2VPN的發(fā)展趨勢4</p><p>　　1.

11、3IPSec VPN的基本原理5</p><p>　　1.3.1IPSec的基本原理5</p><p>　　1.3.2VPN的基本原理5</p><p>　　2IPSec VPN系統(tǒng)的實(shí)現(xiàn)過程及具體設(shè)計(jì)7</p><p>　　2.1IPSec協(xié)議的實(shí)現(xiàn)7</p><p>　　2.2VPN的實(shí)現(xiàn)8

12、</p><p>　　2.3本次課題的基本實(shí)現(xiàn)功能及簡要說明9</p><p>　　2.3.1本次課題的網(wǎng)絡(luò)拓?fù)鋱D9</p><p>　　2.3.2本次課題實(shí)現(xiàn)的基本流程和功能10</p><p>　　3基于IPSec VPN的Linux網(wǎng)關(guān)平臺的實(shí)現(xiàn)11</p><p>　　3.1Linux系統(tǒng)的簡

13、介11</p><p>　　3.2Linux操作系統(tǒng)的搭建12</p><p>　　3.2.1安裝VMware12</p><p>　　3.2.2VMware虛擬機(jī)主要的功能12</p><p>　　3.2.3利用虛擬機(jī)安裝多臺操作系統(tǒng)13</p><p>　　3.3VPN Linux 網(wǎng)關(guān)平臺的配

14、置與搭建14</p><p>　　3.3.1進(jìn)入VPN Linux系統(tǒng)14</p><p>　　3.3.2基于IPSec VPN網(wǎng)關(guān)平臺的安裝15</p><p>　　3.3.3內(nèi)網(wǎng)web和ftp服務(wù)的安裝與配置20</p><p>　　4本次課題實(shí)驗(yàn)環(huán)境測試24</p><p>　　4.1本次課題

15、實(shí)驗(yàn)環(huán)境介紹24</p><p>　　4.2本次課題實(shí)驗(yàn)環(huán)境測試26</p><p><b>　　4.3總結(jié)31</b></p><p><b>　　5致謝32</b></p><p><b>　　6參考文獻(xiàn)33</b></p><p>

16、;<b>　　附錄34</b></p><p><b>　　緒論</b></p><p>　　隨著Internet的商業(yè)化，許多企業(yè)的內(nèi)部網(wǎng)絡(luò)都需要與外界的Internet相連，并且隨著企業(yè)全球化的飛速發(fā)展，不同地區(qū)的企業(yè)內(nèi)部網(wǎng)絡(luò)都需要互聯(lián)。以往都是通過租用專線的傳統(tǒng)方式來實(shí)現(xiàn)的。在外出差的工作人員如果想要訪問公司內(nèi)部的網(wǎng)絡(luò)服務(wù)，以往都必須通過

17、長途撥號的方式連接到公司的內(nèi)部網(wǎng)絡(luò)。這種撥號連接的方式價格相當(dāng)?shù)陌嘿F，一般也只有大型公司和企業(yè)才能承擔(dān)得起。近年來，Internet的高速發(fā)展，推動了基于因特網(wǎng)的虛擬專用網(wǎng)（VPN）的發(fā)展，讓不同地區(qū)企業(yè)的不同部門之間，以及政府機(jī)構(gòu)的不同部門之間利用公共網(wǎng)絡(luò)實(shí)現(xiàn)網(wǎng)際互聯(lián)成為可能，同時使企業(yè)節(jié)約了大筆的通信費(fèi)用。虛擬專用網(wǎng)(VPN)的出現(xiàn)提供了巨大的商業(yè)機(jī)會給公共網(wǎng)絡(luò)的經(jīng)營者。但是，在通信的過程中，數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸?shù)陌踩院捅Ｃ苄?，?/p>

18、及企業(yè)網(wǎng)在公共網(wǎng)絡(luò)中的不同節(jié)點(diǎn)的管理方式，才是企業(yè)最關(guān)注的問題。采用專用網(wǎng)絡(luò)加密和通信協(xié)議的虛擬專用網(wǎng)（VPN）讓企業(yè)在公共網(wǎng)絡(luò)上搭建一個虛擬的加密隧道，構(gòu)筑屬于自己的安全的虛擬專用網(wǎng)絡(luò)?？绲貐^(qū)的企業(yè)部門或出差員工可以從遠(yuǎn)程經(jīng)過公共網(wǎng)絡(luò)，通過企業(yè)專用的虛擬加密隧道連接企業(yè)內(nèi)部的網(wǎng)絡(luò)，而公共網(wǎng)絡(luò)上的其他用戶則</p><p>　　在現(xiàn)今的VPN的開發(fā)中，使用得最廣泛的一種協(xié)議就是IPSec協(xié)議。采用IPSec

19、60;VPN對各個節(jié)點(diǎn)進(jìn)行互聯(lián)，企業(yè)無需擔(dān)心前期大量地投入硬件設(shè)施，也不再需要擔(dān)心因網(wǎng)絡(luò)瓶頸造成的重復(fù)或者浪費(fèi)的二期投入；擁有高安全性和端到端的加密特性的IPSec VPN充分保證了信息網(wǎng)絡(luò)的安全性；另外還有一點(diǎn)非常重要，各個分支機(jī)構(gòu)的工作人員也沒有必要去考慮復(fù)雜的應(yīng)用，網(wǎng)管工作人員只需要在企業(yè)總部中心就可以管理和訪問每個客戶端所使用的端到端的IPSec VPN連接，而且只需要使用移動辦公客戶端就可以對遠(yuǎn)程客戶端的電腦故障進(jìn)行

20、維護(hù)和解決。解決了網(wǎng)絡(luò)通信過程中的安全性和在公共網(wǎng)絡(luò)中實(shí)現(xiàn)異地的局域網(wǎng)之間的虛擬通道的連接,為重要數(shù)據(jù)的傳輸提供了保密性、完整性和認(rèn)證性,并且在各種訪問控制中都得到了應(yīng)用。</p><p>　　基于IPSec 協(xié)議的VPN 概述</p><p>　　IPSec VPN的定義</p><p>　　IPSec的英文全名為“Internet Protocol Securi

21、ty”，中文名為“因特網(wǎng)安全協(xié)議”。因特網(wǎng)安全協(xié)議保證了在因特網(wǎng)的網(wǎng)絡(luò)層上傳輸?shù)臄?shù)據(jù)的安全性，同時它也是VPN的基本加密協(xié)議。通過特定的方式建立一個通信連接，從而為通信雙方建立一個IPSec通道。由于IPSec協(xié)議支持多種不同的操作模式，所以通信雙方在建立IPSec通道之前必須要先確定所采用的操作模式和安全策略，包括如加密運(yùn)算法則和身份驗(yàn)證方法類型等。在IPSec協(xié)議中，一旦IPSec通道建立，所有在網(wǎng)絡(luò)層之上的協(xié)議在通信雙方都經(jīng)過加密

22、，如TCP、UDP 、SNMP、HTTP、POP等，而不管這些通道構(gòu)建時所采用的安全和加密方法如何。IPSec VPN是一種基于IPSec協(xié)議的VPN通訊設(shè)備。</p><p>　　IPSec是IETF IPSec工作組制定的一套協(xié)議簇，目的在于為IP層通信提供安全。它主要由兩大部分組成：安全協(xié)議部分、密鑰協(xié)商部分。安全協(xié)議部分提供了各種通信保護(hù)方式；密鑰協(xié)商部分用來保護(hù)安全協(xié)議協(xié)商的參數(shù)，以及鑒別通信實(shí)體的身份

23、。</p><p>　　VPN的英文全稱是“Virtual Private Network”，中文翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。它是構(gòu)建在公共通信基礎(chǔ)設(shè)施上的虛擬專用網(wǎng)絡(luò)，是一種從公共網(wǎng)絡(luò)中隔離出來的專用網(wǎng)絡(luò)。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。VPN的核心

24、就是在公共網(wǎng)絡(luò)上建立出來的虛擬專用網(wǎng)。虛擬專用網(wǎng)可以用來幫助商業(yè)伙伴、遠(yuǎn)程用戶、供應(yīng)商以及公司分支機(jī)構(gòu)同公司的內(nèi)部網(wǎng)建立可信、安全的連接，并且保證了數(shù)據(jù)傳輸?shù)陌踩?。由于是將?shù)據(jù)流轉(zhuǎn)移到了成本較低的公共網(wǎng)絡(luò)上，所以企業(yè)的虛擬專用網(wǎng)解決方案將用戶花費(fèi)在遠(yuǎn)程網(wǎng)絡(luò)和城域網(wǎng)連接上的費(fèi)用大幅度地消減。同時，還能夠?qū)W(wǎng)絡(luò)的管理和設(shè)計(jì)進(jìn)行簡化，加速新的用戶和網(wǎng)站連接。</p><p>　　IPSec VPN的優(yōu)缺點(diǎn)</p

25、><p>　　IPSec VPN的優(yōu)點(diǎn)</p><p>　　IPSec技術(shù)與應(yīng)用無關(guān)，因此IPSec VPN是一種支持所有IP層協(xié)議的客戶端。應(yīng)用于傳輸層之下IPSec，對應(yīng)用程序來說完全沒有影響。在防火墻或者路由器上安裝IPSec時，不需要對用戶或者服務(wù)器系統(tǒng)中的軟件進(jìn)行設(shè)置。就算在終端系統(tǒng)上運(yùn)行IPSec，基于應(yīng)用程序的上層軟件也不會受到任何影響。</p><p>

26、　　IPSec技術(shù)中，client-to-client（客戶端到客戶端）、 client-to-site（客戶端到站點(diǎn)）、site-to-site（站點(diǎn)到站點(diǎn)）這三種模式在連接時使用的是完全一樣的技術(shù)。</p><p>　　IPSec VPN有著極高的安全性能。由于IPSec安全協(xié)議網(wǎng)絡(luò)層中運(yùn)行，不僅會加密所有網(wǎng)絡(luò)通道，而且用戶通過采用像專線方式物理連接企業(yè)網(wǎng)絡(luò)一樣的方式去訪問所有企業(yè)資源。IPSec不是僅僅加密

27、正在通信的那一部分通道，而是加密所有的通道。另外安裝和配置在運(yùn)程接入客戶端的IPSec客戶端軟件和接入設(shè)備限制了來自接入設(shè)備、軟件客戶端、用戶認(rèn)證機(jī)制和預(yù)定義安全規(guī)則的特定訪問，能夠大大的提高安全級別。</p><p>　　IPSec VPN的缺點(diǎn)</p><p>　　IPSec VPN在通信性能方面要比其他軟件。IPSec VPN較高的安全性能反而影響了它的通信性能。</p>

28、<p>　　IPSec VPN必須安裝客戶端軟件來支持。在IPSec VPN中，每個客戶端都需要安裝有特定用途的軟件。這些特定用途的軟件可以用來替換或者增加客戶系統(tǒng)的TCP/IP堆棧。在很多的系統(tǒng)中，這也許會出現(xiàn)和其他軟件的兼容性問題。目前還沒有出現(xiàn)解決這一兼容性問題的標(biāo)準(zhǔn)，每一個IPSec客戶端軟件都是特定的，無法和其他軟件兼容。在一些其他的情形中，IPSec安全協(xié)議可以網(wǎng)絡(luò)硬件應(yīng)用中運(yùn)行，這就要求通信雙方必須采用相同的

29、硬件。因此，應(yīng)用于硬件中的IPSec協(xié)議也隱藏著兼容性問題。</p><p>　　IPSec VPN較難安裝和維護(hù)。使用IPSec VPN時，每個接入用戶都必須安裝VPN客戶端，因此，需要花費(fèi)非常高的費(fèi)用?，F(xiàn)今的一些移動終端用戶偏離了IPSec VPN用于連接運(yùn)程辦公地點(diǎn)的這一初衷。IPSec VPN，必須得為每個移動終端用戶提供客戶端。環(huán)境和網(wǎng)絡(luò)不同，客戶端的配置也不一樣。如果想要從不同的地方訪問公司內(nèi)部網(wǎng)絡(luò)，

30、就要求客戶經(jīng)常修改配置，無形當(dāng)中支持的費(fèi)用也提高了。在部署IPSec VPN之后，如果用戶想要訪問他所需要的資源，就必須事先在他的電腦上安裝客戶端。這也就意味著那些經(jīng)常變動辦公地點(diǎn)的員工，如果想要從其他任何非本人的電腦上訪問公司內(nèi)部資源的時候，他要么無法訪問，要么打電話向公司求助。</p><p>　　IPSec VPN實(shí)際只能全面支持較少的系統(tǒng)。雖然已有許多開發(fā)的操作系統(tǒng)提出對IPSec協(xié)議的支持，但是在實(shí)際應(yīng)

31、用中，IPSec安全協(xié)議客戶的計(jì)算機(jī)通常只運(yùn)行于Windows系統(tǒng)，很少有能運(yùn)行在其它PC系統(tǒng)平臺的，如Mac、Linux、Solaris 等。</p><p><b>　　VPN的發(fā)展趨勢</b></p><p>　　近年來，IT產(chǎn)業(yè)的消費(fèi)日益膨脹，安全通信逐漸成為人們關(guān)注的重點(diǎn)，這使得VPN技術(shù)得到了前所未有的IT產(chǎn)業(yè)青睞。隨著VPN技術(shù)的飛速成長，日益成熟的VP

32、N產(chǎn)品成為了各大IT行業(yè)的發(fā)展新目標(biāo)。目前大部分的VPN市場份額仍由VPN產(chǎn)品銷售體現(xiàn)，在未來的若干年里，VPN服務(wù)所占的市場份額將超過VPN產(chǎn)品，這也體現(xiàn)了信息安全服務(wù)成為競爭焦點(diǎn)的趨勢。隨著整合式安全設(shè)備的發(fā)展，VPN將被更多的集成在整體式安全體系當(dāng)中，而各種安全協(xié)議和語言的分裂融合將更加激烈。VPN廠商將根據(jù)形式轉(zhuǎn)換角色，可能出現(xiàn)專門進(jìn)行技術(shù)設(shè)計(jì)、系統(tǒng)制造和增值服務(wù)的不同類型的廠商。順應(yīng)全球的經(jīng)濟(jì)發(fā)展趨勢及互聯(lián)網(wǎng)用戶的增長態(tài)勢，亞

33、洲地區(qū)將成為VPN市場的新熱點(diǎn)并有可能成為帶動消費(fèi)趨勢的市場區(qū)域之一。</p><p>　　IPSec VPN和MPLS VPN仍將保持穩(wěn)定的成長率，但是與SSL VPN陣營的差距仍將被不斷縮小。IPSec/MPLS VPN和SSL VPN陣營的技術(shù)各有特色，而且所面向的用戶群體有所不同。在短期內(nèi)這兩者還不會形成互相侵蝕的局面，但是SSL VPN的易用性將吸引很多用戶投向該產(chǎn)品，這必然將引起這兩種VPN架構(gòu)面對面

34、的競爭。這兩種架構(gòu)會在互相學(xué)習(xí)對手優(yōu)勢的同時不斷的融合其它功能特征，以提供更全面的服務(wù)用于吸引用戶。由于承載VPN流量的非專用網(wǎng)絡(luò)通常不提供QoS（服務(wù)質(zhì)量）保障，所以VPN解決方案必須整合QoS解決方案才能夠提供具有足夠可用性的目前IETF已經(jīng)提出了支持QoS（服務(wù)質(zhì)量）的RSVP（帶寬資源預(yù)留）協(xié)議，而IPv6協(xié)議也提供了處理QoS的能力。這為VPN的進(jìn)一步普及化提供了足夠的保障。隨著IPv6網(wǎng)絡(luò)的主流化進(jìn)程，將會產(chǎn)生更具統(tǒng)治力的V

35、PN架構(gòu)，VPN技術(shù)將向著IP協(xié)議這類基礎(chǔ)協(xié)議的形式發(fā)展。在不久的將來，VPN將可以成為更加基礎(chǔ)的技術(shù)被內(nèi)嵌到各種系統(tǒng)當(dāng)中，從而實(shí)現(xiàn)完全透明化的VPN基礎(chǔ)設(shè)施。</p><p>　　目前，采用IPSec標(biāo)準(zhǔn)的VPN技術(shù)已經(jīng)基本成熟，得到國際上幾乎所有主流網(wǎng)絡(luò)和安全供應(yīng)商的鼎力支持，并且正在不斷豐富完善?？梢詳喽?，IPSec將成為未來相當(dāng)一段時間內(nèi)企業(yè)構(gòu)筑VPN的主流標(biāo)準(zhǔn)，因此企業(yè)在構(gòu)造VPN基礎(chǔ)設(shè)施時應(yīng)該首先考慮

36、IPSec標(biāo)準(zhǔn)。</p><p>　　IPSec VPN的基本原理</p><p>　　IPSec的基本原理</p><p>　　IPSec的工作原理類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴(kuò)展。當(dāng)接收到一個IP數(shù)據(jù)包時，包過濾防火墻使用其頭部在一個規(guī)則表中進(jìn)行匹配。當(dāng)找到一個相匹配的規(guī)則時，包過濾防火墻就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進(jìn)行處理。

37、這里的處理工作只有兩種：丟棄或轉(zhuǎn)發(fā)?！?lt;/p><p>　　IPSec通過查詢SPD(Security Po1icy Database安全策略數(shù)據(jù)庫)決定對接收到的IP數(shù)據(jù)包的處理。但是IPSec不同于包過濾防火墻的是，對IP數(shù)據(jù)包的處理方法除了丟棄，直接轉(zhuǎn)發(fā)(繞過IPSec)外，還有一種，即進(jìn)行IPSec處理。正是這新增添的處理方法提供了比包過濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性。</p><p&g

38、t;　　進(jìn)行IPSec處理意味著對IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證。包過濾防火墻只能控制來自或去往某個站點(diǎn)的IP數(shù)據(jù)包的通過，可以拒絕來自某個外部站點(diǎn)的IP數(shù)據(jù)包訪問內(nèi)部某些站點(diǎn)，．也可以拒絕某個內(nèi)部站點(diǎn)方對某些外部網(wǎng)站的訪問。但是包過濾防火墻不能保證自內(nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取，也不能保證進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過篡改。只有在對IP數(shù)據(jù)包實(shí)施了加密和認(rèn)證后，才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機(jī)密性，真實(shí)性，完整性，通過Internet進(jìn)新安全

39、的通信才成為可能。</p><p>　　IPSec既可以只對IP數(shù)據(jù)包進(jìn)行加密，或只進(jìn)行認(rèn)證，也可以同時實(shí)施二者。但無論是進(jìn)行加密還是進(jìn)行認(rèn)證，IPSec都有兩種工作模式，一種是隧道模式，另一種是傳輸模式。</p><p>　　傳輸模式，只對IP數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證。此時，繼續(xù)使用以前的IP頭部，只對IP頭部的部分域進(jìn)行修改，而IPSec協(xié)議頭部插入到IP頭部和傳輸層頭部之間。&

40、lt;/p><p>　　隧道模式，對整個IP數(shù)據(jù)包進(jìn)行加密或認(rèn)證。此時，需要新產(chǎn)生一個IP頭部，IPSec頭部被放在新產(chǎn)生的IP頭部和以前的IP數(shù)據(jù)包之間，從而組成一個新的IP頭部。</p><p><b>　　VPN的基本原理</b></p><p>　　VPN由管理模塊、密鑰分配和生成模塊、身份認(rèn)證模塊、數(shù)據(jù)加密、解密模塊、數(shù)據(jù)分組封裝、分解模

41、塊和加密函數(shù)庫幾部分組成。</p><p>　　管理模塊負(fù)責(zé)整個系統(tǒng)的配置和管理。由管理模塊來決定采取何種傳輸模式，對哪些IP數(shù)據(jù)包進(jìn)行加密、解密。由于對IP數(shù)據(jù)包進(jìn)行加密需要消耗系統(tǒng)資源，增大網(wǎng)絡(luò)延遲，因此對兩個安全網(wǎng)關(guān)之間所有的IP數(shù)據(jù)包提供VPN服務(wù)是不現(xiàn)實(shí)的。網(wǎng)絡(luò)管理員可以通過管理模塊來指定對哪些IP數(shù)據(jù)包進(jìn)行加密。Internet內(nèi)部用戶也可以通過Telnet協(xié)議傳送的專用命令，指定VPN系統(tǒng)對自已的I

42、P數(shù)據(jù)包提供加密服務(wù)。</p><p>　　密鑰管理模塊負(fù)責(zé)完成身份認(rèn)證和數(shù)據(jù)加密所需的密鑰生成和分配。其中密鑰的生成采取隨機(jī)生成的方式。各安全網(wǎng)關(guān)之間密鑰的分配采取手工分配的方式， 通過非網(wǎng)絡(luò)傳輸?shù)钠渌踩ㄐ欧绞酵瓿擅荑€在各安全網(wǎng)關(guān)之間的傳送。各安全網(wǎng)關(guān)的密鑰存貯在密數(shù)據(jù)庫中，支持以IP地址為關(guān)鍵字的快速查詢獲取。</p><p>　　身份認(rèn)證模塊對IP數(shù)據(jù)包完成數(shù)字簽名的運(yùn)算。整個數(shù)

43、字簽名的過程：首先，發(fā)送方對數(shù)據(jù)進(jìn)行哈希運(yùn)算h＝H(m)，然后 用通信密鑰k對h進(jìn)行加密得到簽名Signature＝{ h} key。發(fā)送方將簽名附在明文之后，一起傳送給接收方。 接收方收到數(shù)據(jù)后，首先用密鑰k對簽名進(jìn)行解密得到 h，并將其與H(m)進(jìn)行比較，如果二者一致，則表明數(shù)據(jù)是完整的。數(shù)字簽名在保證數(shù)據(jù)完整性的同時，也起到了身份認(rèn)證的作用，因?yàn)橹挥性谟忻荑€的情況之下，才能對數(shù)據(jù)進(jìn)行正確的簽名。</p><p&

44、gt;　　數(shù)據(jù)加密/解密模塊完成對IP數(shù)據(jù)包的加密和解密操作?？蛇x的加密算法有IDEA算法和DES算法。前者在用軟件方式實(shí)現(xiàn)時可以獲得較快的加密速度。為了 進(jìn)一步提高系統(tǒng)效率，可以采用專用硬件的方式實(shí)現(xiàn)數(shù)據(jù)的加密和解密，這時采用DES算法能得到較快的加密速度。隨著當(dāng)前計(jì)算機(jī)運(yùn)算能力的提高，DES算法的安全性開始受到挑戰(zhàn)，對于安全性要求更高的網(wǎng)絡(luò)數(shù)據(jù)，數(shù)據(jù)加密/解密模塊可以提供TriPle DES加密服務(wù)。</p><

45、p>　　數(shù)據(jù)分組的封裝/分解模塊實(shí)現(xiàn)對IP數(shù)據(jù)分組進(jìn)行安全封裝或分解。當(dāng)從安全網(wǎng)關(guān)發(fā)送IP數(shù)據(jù)分組時，數(shù)據(jù)分組封裝/分解模塊為IP數(shù)據(jù)分組附加上身份認(rèn)證頭AH和安全數(shù)據(jù)封裝頭ESP。當(dāng)安全網(wǎng)關(guān)接收到IP 數(shù)據(jù)分組時，數(shù)據(jù)分組封裝/分解模塊對AH和ESP進(jìn)行協(xié)議分析，并根據(jù)包頭信息進(jìn)行身份驗(yàn)證和數(shù)據(jù)解密。加密函數(shù)庫為上述模塊提供統(tǒng)一的加密服務(wù)。加密函數(shù)庫設(shè)計(jì)的一條基本原則是通過一個統(tǒng)一的函數(shù)接口界面與上述模塊進(jìn)行通信。這樣可以根據(jù)實(shí)

46、際的需要，在掛接加密算法和加密強(qiáng)度不同的函數(shù)庫時，其它模塊不需作出改動。</p><p>　　IPSec VPN系統(tǒng)的實(shí)現(xiàn)過程及具體設(shè)計(jì)</p><p>　　IPSec協(xié)議的實(shí)現(xiàn)</p><p>　　IPsec協(xié)議不是一個單獨(dú)的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括網(wǎng)絡(luò)認(rèn)證協(xié)議AH（Authentication Header，認(rèn)證頭）、ESP

47、（Encapsulating Security Payload，封裝安全載荷）、IKE（Internet Key Exchange，因特網(wǎng)密鑰交換）和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。其中，AH協(xié)議和ESP協(xié)議用于提供安全服務(wù)，IKE協(xié)議用于密鑰交換。</p><p>　　IPsec提供了兩種安全機(jī)制：認(rèn)證和加密。認(rèn)證機(jī)制使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在傳輸過程中是否遭篡改。加密機(jī)制通過

48、對數(shù)據(jù)進(jìn)行加密運(yùn)算來保證數(shù)據(jù)的機(jī)密性，以防數(shù)據(jù)在傳輸過程中被竊聽。</p><p>　　IPsec協(xié)議中的AH協(xié)議定義了認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)源認(rèn)證和完整性保證；ESP協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)可靠性保證。</p><p>　　AH協(xié)議（IP協(xié)議號為51）提供數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能，它能保護(hù)通信免受篡改，但不能防止竊聽，適合用于傳輸非機(jī)密數(shù)據(jù)。AH的

49、工作原理是在每一個數(shù)據(jù)包上添加一個身份驗(yàn)證報(bào)文頭，此報(bào)文頭插在標(biāo)準(zhǔn)IP包頭后面，對數(shù)據(jù)提供完整性保護(hù)?？蛇x擇的認(rèn)證算法有MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。</p><p>　　ESP協(xié)議（IP協(xié)議號為50）提供加密、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能。ESP的工作原理是在每一個數(shù)據(jù)包的標(biāo)準(zhǔn)IP包頭后面添加一個ESP報(bào)文頭，并在數(shù)據(jù)包后面追加

50、一個ESP尾。與AH協(xié)議不同的是，ESP將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到IP包中，以保證數(shù)據(jù)的機(jī)密性。常見的加密算法有DES、3DES、AES等。同時，作為可選項(xiàng)，用戶可以選擇MD5、SHA-1算法保證報(bào)文的完整性和真實(shí)性。</p><p>　　在實(shí)際進(jìn)行IP通信時，可以根據(jù)實(shí)際安全需求同時使用這兩種協(xié)議或選擇使用其中的一種。AH和ESP都可以提供認(rèn)證服務(wù)，不過，AH提供的認(rèn)證服務(wù)要強(qiáng)于ESP。同時使用AH

51、和ESP時，設(shè)備支持的AH和ESP聯(lián)合使用的方式為：先對報(bào)文進(jìn)行ESP封裝，再對報(bào)文進(jìn)行AH封裝，封裝之后的報(bào)文從內(nèi)到外依次是原始IP報(bào)文、ESP頭、AH頭和外部IP頭。</p><p><b>　　VPN的實(shí)現(xiàn)</b></p><p>　　1.VPN網(wǎng)關(guān)需要兩張網(wǎng)卡的支持，一張網(wǎng)卡連接內(nèi)部私有網(wǎng)絡(luò)，一張網(wǎng)卡連接Internet。</p><p&g

52、t;　　2.Internet中的終端A通過發(fā)送以內(nèi)部網(wǎng)絡(luò)的終端B的私有IP地址為目的地址的數(shù)據(jù)包來對終端B進(jìn)行訪問。</p><p>　　3. VPN網(wǎng)關(guān)中連接Internet的那一端收到來自終端A發(fā)出的數(shù)據(jù)包時，會檢查它的目的地址。如果目的地址是屬于內(nèi)部網(wǎng)絡(luò)中的地址，那么就封裝該數(shù)據(jù)包，不同的VPN技術(shù)會采用不同的封裝方式。封裝后的原數(shù)據(jù)包用來負(fù)載VPN網(wǎng)關(guān)構(gòu)造出的新VPN數(shù)據(jù)包，新的VPN數(shù)據(jù)包的目標(biāo)地址

53、為內(nèi)部網(wǎng)絡(luò)中的VPN網(wǎng)關(guān)的外部地址。</p><p>　　4.VPN外網(wǎng)網(wǎng)關(guān)發(fā)送VPN數(shù)據(jù)包到Internet當(dāng)中，由于VPN數(shù)據(jù)包的目的地址是VPN網(wǎng)關(guān)的外部地址，所以該數(shù)據(jù)包將被Internet中的路由正確地發(fā)送到VPN網(wǎng)關(guān)外網(wǎng)接口。</p><p>　　5.VPN網(wǎng)關(guān)外網(wǎng)接口會檢查所有接收到的數(shù)據(jù)包，如果發(fā)現(xiàn)該數(shù)據(jù)包是來自于公網(wǎng)中的VPN網(wǎng)關(guān)，則可判定該數(shù)據(jù)包為VPN數(shù)據(jù)包，然后

54、會解封裝該數(shù)據(jù)包。解封裝時先剝離VPN數(shù)據(jù)包包頭，然后把VPN數(shù)據(jù)包還原成原數(shù)據(jù)包。</p><p>　　6.解封裝之后的原始數(shù)據(jù)包會被VPN網(wǎng)關(guān)發(fā)送到內(nèi)網(wǎng)終端B，由于原數(shù)據(jù)包中的目的地址是內(nèi)網(wǎng)終端B的IP地址，因此內(nèi)網(wǎng)中的終端B能夠正確地收到該訪問數(shù)據(jù)包。對于終端B來講，它所收到的數(shù)據(jù)包就跟從終端A直接發(fā)送過來的數(shù)據(jù)包一樣。</p><p>　　7.從終端B返回終端A的數(shù)據(jù)包處理過程

55、和上述過程一樣，這樣兩個網(wǎng)絡(luò)內(nèi)的終端就可以相互通訊了。</p><p>　　通過上述說明可以發(fā)現(xiàn)，在VPN網(wǎng)關(guān)對數(shù)據(jù)包進(jìn)行處理時，有兩個參數(shù)對于VPN通訊十分重要： 原始數(shù)據(jù)包的目標(biāo)地址（VPN目標(biāo)地址）和遠(yuǎn)程VPN網(wǎng)關(guān)地址。根據(jù)VPN目標(biāo)地址，VPN網(wǎng)關(guān)能夠判斷對哪些數(shù)據(jù)包進(jìn)行VPN處理，對于不需要處理的數(shù)據(jù)包通常情況下可直接轉(zhuǎn)發(fā)到上級路由；遠(yuǎn)程VPN網(wǎng)關(guān)地址則指定了處理后的VPN數(shù)據(jù)包發(fā)送的目標(biāo)地址，即VPN

56、隧道的另一端VPN網(wǎng)關(guān)地址。由于網(wǎng)絡(luò)通訊是雙向的，在進(jìn)行VPN通訊時，隧道兩端的VPN網(wǎng)關(guān)都必須知道VPN目標(biāo)地址和與此對應(yīng)的遠(yuǎn)端VPN網(wǎng)關(guān)地址。</p><p>　　本次課題的基本實(shí)現(xiàn)功能及簡要說明</p><p>　　本次課題的網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　圖2.1 網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　如圖2.1所示，本次課題我們采用兩個路

57、由器分別充當(dāng)外網(wǎng)和內(nèi)網(wǎng)網(wǎng)關(guān)。外網(wǎng)客戶端和VPN網(wǎng)關(guān)服務(wù)器的eth0端口連接192.168.1.1這個網(wǎng)關(guān)，VPN網(wǎng)關(guān)服務(wù)器的eth1接口和內(nèi)網(wǎng)搭載web/ftp的服務(wù)器連接192.168.3.2這個網(wǎng)關(guān)。由于客戶端和內(nèi)網(wǎng)服務(wù)器的ip屬于不同網(wǎng)段，并且他們之間并沒有設(shè)置路由條目，所以外網(wǎng)客戶端是無法訪問內(nèi)網(wǎng)的web/ftp服務(wù)的。本次試驗(yàn)的目的就是在VPN網(wǎng)關(guān)服務(wù)器上搭載一個VPN服務(wù)，然后讓外網(wǎng)客戶端通過VPN通道連上VPN網(wǎng)關(guān)，VPN

58、服務(wù)器會隨機(jī)分配一個內(nèi)網(wǎng)的ip給客戶端，讓客戶端能夠訪問內(nèi)網(wǎng)的web/ftp服務(wù)。</p><p>　　本次課題實(shí)現(xiàn)的基本流程和功能</p><p><b>　　基本流程</b></p><p><b>　　繪制拓?fù)鋱D</b></p><p><b>　　安裝虛擬機(jī)</b>&l

59、t;/p><p>　　在虛擬機(jī)中安裝三個操作系統(tǒng)</p><p>　　設(shè)置虛擬網(wǎng)卡，配置網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)</p><p>　　在VPN網(wǎng)關(guān)操作系統(tǒng)中安裝和配置VPN服務(wù)器</p><p>　　在客戶端添加證書和VPN連接</p><p>　　在內(nèi)網(wǎng)服務(wù)器上安裝web和ftp服務(wù)</p><p><

60、b>　　調(diào)試</b></p><p><b>　　實(shí)現(xiàn)的基本功能</b></p><p>　　VPN網(wǎng)關(guān)服務(wù)器能夠開啟和監(jiān)控VPN服務(wù)</p><p>　　客戶端能夠連入VPN網(wǎng)關(guān)服務(wù)器</p><p>　　客戶端能夠分配到內(nèi)網(wǎng)ip地址</p><p>　　內(nèi)網(wǎng)服務(wù)器提供web和

61、ftp服務(wù)</p><p>　　客戶端能夠訪問內(nèi)網(wǎng)服務(wù)器的web和ftp服務(wù)</p><p>　　基于IPSec VPN的Linux網(wǎng)關(guān)平臺的實(shí)現(xiàn)</p><p>　　Linux系統(tǒng)的簡介</p><p>　　Linux 其實(shí)就是一個操作系統(tǒng)，這個操作系統(tǒng)里頭含有最主要的 kernel 以及 kerne

62、l 提供的工具！他提供了一個完整的操作系統(tǒng)當(dāng)中最底層的硬件控制與資源管理的完整架構(gòu)，這個架構(gòu)是沿襲 Unix 良好的傳統(tǒng)來的，所以相當(dāng)?shù)姆€(wěn)定而功能強(qiáng)大！此外，由于這個優(yōu)良的架構(gòu)可以在目前的個人計(jì)算機(jī) ( X86 系統(tǒng) ) 上面跑，所以很多的軟件開發(fā)者將他們的工作心血移轉(zhuǎn)到這個架構(gòu)上面，那就是很多的應(yīng)用軟件！雖然 Linux 僅是其核心與核

63、心提供的工具，不過，由于核心、核心工具與這些軟件開發(fā)者提供的軟件的整合，使得 Linux 成為一個更完整的、功能強(qiáng)大的操作系統(tǒng)！</p><p>　　Linux系統(tǒng)使用單內(nèi)核，由Linux內(nèi)核負(fù)責(zé)處理進(jìn)程控制、網(wǎng)絡(luò)，以及外圍設(shè)備和文件系統(tǒng)的訪問。在系統(tǒng)運(yùn)行的時候，設(shè)備驅(qū)動程序要么與內(nèi)核直接集成，要么以加載模塊形式添加。Linux具有設(shè)備獨(dú)立性，它內(nèi)核具有高度適應(yīng)能力，從而給系統(tǒng)提供了更高級的功

64、能。GNU用戶界面組件是大多數(shù)Linux操作系統(tǒng)的重要組成部分，提供常用的C函數(shù)庫，shell，還有許多常見的Unix實(shí)用工具，可以完成許多基本的操作系統(tǒng)任務(wù)。大多數(shù)Linux系統(tǒng)使用的圖形用戶界面創(chuàng)建在X窗口系統(tǒng)之上，由X窗口系統(tǒng)通過軟件工具及架構(gòu)協(xié)議來創(chuàng)建操作系統(tǒng)所用的圖形用戶界面。</p><p>　　Linux系統(tǒng)還具備以下優(yōu)點(diǎn)：跨平臺的硬件支持、豐富的軟件支持、多用戶多任務(wù)、可靠的安全性、良好的穩(wěn)定性、

65、完善的網(wǎng)絡(luò)功能。</p><p>　　Linux 在它的追捧者眼里是一個近乎完美的操作系統(tǒng)，它具有運(yùn)行穩(wěn)定、功能強(qiáng)大、獲取方便等優(yōu)點(diǎn)，因而有著廣闊的前景，或許也值得我們每一個計(jì)算機(jī)愛好者學(xué)習(xí)和應(yīng)用。</p><p>　　Linux操作系統(tǒng)的搭建</p><p><b>　　安裝VMware</b></p><p><

66、;b>　　圖3.1 虛擬機(jī)</b></p><p>　　如圖3.1所示，多臺PC機(jī)分別充當(dāng)不懂角色來完成。所以我們需要安裝虛擬機(jī)實(shí)現(xiàn)用一臺PC機(jī)模擬多臺機(jī)器，從而實(shí)現(xiàn)VPN網(wǎng)關(guān)平臺的搭建、配置與測試。</p><p>　　VMware虛擬機(jī)主要的功能</p><p>　　不需要分區(qū)或重開機(jī)就能在同一臺PC上使用兩種以上的操作系統(tǒng)。</p>

67、;<p>　　完全隔離并保護(hù)不同OS的操作環(huán)境以及所有安裝在OS上面的應(yīng)用軟件和資料。</p><p>　　不同的OS之間還能互動操作，包括網(wǎng)絡(luò)、周邊、文件分享以及復(fù)制粘貼功能。</p><p>　　有復(fù)原（Undo）功能。</p><p>　　能夠設(shè)定并隨時修改操作系統(tǒng)的操作環(huán)境，如：內(nèi)存、磁碟空間、周邊設(shè)備等等。</p><p&

68、gt;<b>　　熱遷移，高可用性。</b></p><p>　　利用虛擬機(jī)安裝多臺操作系統(tǒng)</p><p>　　圖3.2 虛擬機(jī)上安裝的多個操作系統(tǒng)</p><p>　　如圖3.2所示，在該虛擬機(jī)中，本課題安裝了兩臺Linux操作系統(tǒng)分別用作VPN網(wǎng)關(guān)平臺和內(nèi)網(wǎng)服務(wù)器。還安裝了一臺Window XP 來充當(dāng)外網(wǎng)，連入VPN網(wǎng)關(guān)平臺的測試機(jī)。&

69、lt;/p><p>　　VPN Linux 網(wǎng)關(guān)平臺的配置與搭建</p><p>　　進(jìn)入VPN Linux系統(tǒng)</p><p>　　圖3.3 Linux開機(jī)界面</p><p>　　圖3.4 Linux系統(tǒng)操作界面</p><p>　　如圖3.3和3.4所示，Linux系統(tǒng)的操作界面和Windows大不相同，Linu

70、x主要使用命令行界面，而Windows以圖形化界面為主</p><p>　　基于IPSec VPN網(wǎng)關(guān)平臺的安裝</p><p>　　安裝openswan, ipsec, xl2tpd</p><p>　　安裝之前，需要修改配置。在/etc/sysctl.conf文件中，找到</p><p>　　net.ipv4.ip_forward = 0

71、</p><p>　　net.ipv4.conf.default.rp_filter = 1 </p><p><b>　　改為：</b></p><p>　　net.ipv4.ip_forward = 1</p><p>　　net.ipv4.conf.default.rp_filter = 0</p>

72、<p>　　然后執(zhí)行sysctl -p使之生效。</p><p>　　Ipsec工具是Linux系統(tǒng)自帶的，所以不需要安裝。先去網(wǎng)上下載xl2tpd安裝包。默認(rèn)放在/home/xyl/Downlad/目錄下面。</p><p>　　[root@localhost Downloads]# ls</p><p>　　xl2tpd-1.3.0.tar.gz<

73、;/p><p>　　[root@localhost Downloads]# tar -zxvf xl2tpd-1.3.0.tar.gz</p><p>　　[root@localhost Downloads]# ls </p><p>　　xl2tpd-1.3.0 xl2tpd-1.3.0.tar.gz</p><p>　　[root@loc

74、alhost Downloads]# cd xl2tpd-1.3.0</p><p>　　[root@localhost xl2tpd-1.3.0]# make install</p><p>　　然后使用yum安裝openswan：</p><p>　　[root@localhost xl2tpd-1.3.0]# yum install openswan</

75、p><p>　　最后檢測安裝是否成功：</p><p>　　[root@localhost xl2tpd-1.3.0]# rpm -qa|grep xl2tpd</p><p>　　xl2tpd-1.3.1-14.fc20.x86_64</p><p>　　[root@localhost xl2tpd-1.3.0]# rpm -qa|grep o

76、penswan</p><p>　　openswan-2.6.32-27.2.el6_5.x86_64</p><p><b>　　配置xl2tpd</b></p><p>　　[root@localhost xl2tpd-1.3.0]# vim /etc/xl2tpd/xl2tpd.conf</p><p><b

77、>　　[global]</b></p><p>　　listen-addr = 192.168.1.126 #網(wǎng)關(guān)通過該ip地址監(jiān)聽客戶端的連接請求</p><p>　　port=1701 #監(jiān)聽端口</p><p>　　auth file = /etc/ppp/chap-s

78、ecrets #加密文件路徑</p><p>　　[lns default]</p><p>　　ip range = 192.168.3.129-192.168.3.254 #客戶機(jī)連上VPN后分配到的地址范圍</p><p>　　local ip = 192.168.1.126 #本地ip地址</p&

79、gt;<p>　　; leave chap unspecified for maximum compatibility with windows, iOS, etc</p><p>　　; require chap = yes</p><p>　　refuse pap = yes #不使用pap協(xié)議</p><

80、;p>　　require authentication = yes </p><p>　　name = VPNGateway</p><p>　　ppp debug = yes</p><p>　　pppoptfile = /etc/ppp/options.xl2tpd #ppp協(xié)議的配置文件路徑</p>

81、;<p>　　length bit = yes</p><p>　　[root@localhost xl2tpd-1.3.0]# less /etc/ppp/options.xl2tpd</p><p>　　name xl2tpd</p><p>　　ipcp-accept-local</p><p>　　ipcp-accept

82、-remote </p><p>　　ms-dns 8.8.8.8 #分配給客戶端的dns</p><p>　　ms-wins 192.168.1.127 #Windows客戶端的ip地址</p><p><b>　　noccp</b></

83、p><p><b>　　auth</b></p><p><b>　　crtscts</b></p><p><b>　　idle 1800</b></p><p><b>　　mtu 1280</b></p><p><b>

84、;　　mru 1280</b></p><p>　　nodefaultroute</p><p><b>　　debug</b></p><p><b>　　lock</b></p><p><b>　　proxyarp</b></p><p&g

85、t;　　connect-delay 5000 #連接最大超時時間</p><p><b>　　編輯加密文件：</b></p><p>　　[root@localhost xl2tpd-1.3.0]# less /etc/ppp/chap-secrets</p><p>　　# Secrets for

86、 authentication using CHAP</p><p>　　# client server secret IP addresses</p><p>　　dream * "123456" 192.168.3.128/25</p><

87、p>　　l2tp里面會使用chap對用戶的身份進(jìn)行驗(yàn)證，就相當(dāng)于撥號時輸入的用戶名密碼的作用一樣。 在該文件的最后一行輸入 用戶名 * 密碼 (*表示用戶可以使用任意的網(wǎng)段進(jìn)行撥號，例如dream * “123456”)。</p><p>　　至此，xl2tpd的所有配置都已經(jīng)完成。</p><p>　　配置openswan(就是配置認(rèn)證方式，可以時rsa或者是x.509，這里采用x

88、.509認(rèn)證方式) ，其主配置文件為/etc/ipsec.conf,/etc/ipsec.secrets，其配置目錄在/etc/ipsec.d 里面是對x.509證書的配置。</p><p>　　[root@localhost xl2tpd-1.3.0]# ll /etc/ipsec.d/</p><p><b>　　total 40</b></p>&

89、lt;p>　　drwxr-xr-x. 2 root root 4096 Apr 13 18:30 cacerts #存放X.509的根證書</p><p>　　drwxr-xr-x. 2 root root 4096 Apr 13 04:15 certs #存放X.509客戶端證書</p><p>　　drwxr-xr-x. 2 root root 4096 Apr 13

90、02:39 crls # 存放X.509認(rèn)證私鑰</p><p>　　drwxr-xr-x. 2 root root 4096 Apr 13 18:31 private #存放X.509撤消列表</p><p>　　建立如下目錄/root/ca/demoCA，demoCA存放ca證書和撤銷列表。而網(wǎng)關(guān)證書與認(rèn)證私鑰，客戶端證書與私鑰放在ca下。</p><p

91、>　　現(xiàn)使用以下命令在/root/ca/demoCA下產(chǎn)生ca根證書cacert.pem和其私鑰cakey.pem 和crl表crl.pem：</p><p>　　[root@localhost xl2tpd-1.3.0]# mkdri -p /root/ca/demoCA/</p><p>　　[root@localhost ca]# cd /root/ca/demoCA/<

92、/p><p>　　[root@localhost demoCA]# openssl req -x509 -days 365 -newkey rsa:1024 -keyout cakey.pem -out cacert.pem</p><p>　　[root@localhost demoCA]openssl ca -gencrl -out crl.pem</p><p>

93、　　[root@localhost demoCA]# ls</p><p>　　cacert.pem cakey.pem crl.pem</p><p>　　然后在/root/ca/下使用以下命令產(chǎn)生網(wǎng)關(guān)的認(rèn)證私鑰vpngateway.key和證書vpngateway.cert：</p><p>　　[root@localhost demoCA]# echo &q

94、uot;01" /etc/pki/CA/crlnumber</p><p>　　然后在/root/ca/下使用以下命令產(chǎn)生網(wǎng)關(guān)的認(rèn)證私鑰vpngateway.key和證書vpngateway.cert：</p><p>　　[root@localhost ca]# openssl req -newkey rsa:1024 -keyout vpngateway.key -out v

95、pngatewayreq.pem</p><p>　　[root@localhost ca]# ll</p><p><b>　　total 16</b></p><p>　　drwxr-xr-x. 3 root root 4096 Apr 13 18:21 demoCA</p><p>　　-rw-r--r--. 1

96、root root 981 Apr 13 18:27 vpngateway.cert</p><p>　　-rw-r--r--. 1 root root 1041 Apr 13 18:26 vpngateway.key</p><p>　　-rw-r--r--. 1 root root 700 Apr 13 18:26 vpngatewayreq.pem</p><

97、p>　　然后將ca證書與網(wǎng)關(guān)證書與私鑰放進(jìn)網(wǎng)關(guān)上的openswan的相依目錄下：</p><p>　　[root@localhost ca]# ll /etc/ipsec.d/</p><p>　　aacerts/ cacerts/ certs/ crls/ examples/ l2tp-psk.conf ocsp

98、certs/ passwd/ policies/ private/ </p><p>　　[root@localhost ca]# cp demoCA/cacert.pem /etc/ipsec.d/cacerts/</p><p>　　[root@localhost ca]# cp vpngateway.cert /etc/ipsec.d/ce

99、rts/</p><p>　　[root@localhost ca]# cp vpngateway.key /etc/ipsec.d/private/</p><p>　　[root@localhost ca]# ll /etc/ipsec.d/certs/ </p><p>　　-rw-r--r--. 1 root root 981 Apr 13 18:31 /e

100、tc/ipsec.d/certs/vpngateway.cert </p><p>　　在網(wǎng)關(guān)的/root/ca下，用以下命令將CA證書cacertpem的格式轉(zhuǎn)化為p12文件： </p><p>　　[root@localhost ca]# openssl pkcs12 -export -in demoCA/cacert.pem -inkey demoCA/cakey.

101、pem -out demoCA.p12</p><p>　　Enter pass phrase for demoCA/cakey.pem:</p><p>　　Enter Export Password:</p><p>　　Verifying - Enter Export Password:</p><p>　　[root@localho

102、st ca]# ll</p><p><b>　　total 20</b></p><p>　　drwxr-xr-x. 3 root root 4096 Apr 13 18:21 demoCA</p><p>　　-rw-r--r--. 1 root root 1677 Apr 13 18:47 demoCA.p12</p>&l

103、t;p>　　-rw-r--r--. 1 root root 981 Apr 13 18:27 vpngateway.cert</p><p>　　-rw-r--r--. 1 root root 1041 Apr 13 18:26 vpngateway.key</p><p>　　-rw-r--r--. 1 root root 700 Apr 13 18:26 vpngateway

104、req.pem</p><p>　　以同樣方法為window客戶端生成證書與私鑰： </p><p>　　[root@localhost ca]# openssl req -newkey rsa:1024 -keyout winclient.key -out winreq.pem</p><p>　　[root@localhost ca]# openssl ca -

105、in winreq.pem -days 365 -out winclient.cert -notext</p><p>　　[root@localhost ca]# openssl req -newkey rsa:1024 -keyout winclient.key -out winreq.pem</p><p>　　[root@localhost ca]# openssl ca -in

106、winreq.pem -days 365 -out winclient.cert -notext</p><p>　　openssl pkcs12 -export -in winclient.cert -inkey winclient.key -out winclient.p12</p><p>　　[root@localhost ca]# ll</p><p

107、><b>　　total 28</b></p><p>　　drwxr-xr-x. 3 root root 4096 Apr 30 06:21 demoCA</p><p>　　-rw-r--r--. 1 root root 1677 Apr 13 18:47 demoCA.p12</p><p>　　drwxr-xr-x. 2 root

108、 root 4096 Apr 13 19:06 vpngateway</p><p>　　-rw-r--r--. 1 root root 981 Apr 13 19:15 winclient.cert</p><p>　　-rw-r--r--. 1 root root 1041 Apr 13 19:15 winclient.key</p><p>　　-rw-r-

109、-r--. 1 root root 1701 Apr 13 19:17 winclient.p12</p><p>　　-rw-r--r--. 1 root root 700 Apr 13 19:15 winreq.pem</p><p>　　最后把winclient.p12和demoCA.p12這兩個文件通過安全方式復(fù)制到Windows XP客戶端。</p><p&

110、gt;　　如圖3.5所示，在Windows XP客戶端導(dǎo)入證書：</p><p>　　運(yùn)行mmc，添加刪除管理單元->添加->證書->計(jì)算機(jī)賬戶->本地計(jì)算機(jī)->完成。</p><p>　　在證書：本地計(jì)算機(jī)里，選擇個人->所有任務(wù)->導(dǎo)入，導(dǎo)入兩個p12證書。把CA的證書由個人拖到“受信任的根證書頒發(fā)機(jī)構(gòu)”里。</p><p&

111、gt;　　圖3.5 Windows XP 證書導(dǎo)入</p><p><b>　　配置ipsec</b></p><p>　　編輯網(wǎng)關(guān)上的/etc/ipsec.secerts，最后一行加上ipsec啟動時讀取的密鑰文件：</p><p>　　[root@localhost ca]# vim /etc/ipsec.secrets</p>