1、山東科技大學(xué)畢業(yè)設(shè)計(jì)()摘要Network)即虛擬(Virtal絡(luò)的安全的Private網(wǎng)，是一條穿過(guò)公共網(wǎng)的通道。通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸，在因特網(wǎng)或其他網(wǎng)絡(luò)上建立一條臨時(shí)的、安全的、的連接，從而實(shí)現(xiàn)在公網(wǎng)上傳輸私有數(shù)據(jù)。通常是對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的擴(kuò)展，通過(guò)它可以幫助用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司內(nèi)部網(wǎng)建立可信的接，數(shù)據(jù)的安全傳輸?？捎糜诓粩嘣鲩L(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)接；可用于實(shí)現(xiàn)企業(yè)之間安全通道的虛擬線路，用于有效地連接到商業(yè)伙伴和用戶的聯(lián)網(wǎng)虛擬網(wǎng)。本文首先了的研究影響。然后了實(shí)現(xiàn)的隧道技術(shù)，其主要的安全協(xié)議，/L2TP 協(xié)議，IPSEC 協(xié)議，GRE 協(xié)議，所有

2、這些技術(shù)構(gòu)建絡(luò)提供理論依據(jù)。網(wǎng)：、網(wǎng)絡(luò)、隧道、IPSec、GRE山東科技大學(xué)畢業(yè)設(shè)計(jì)()Abstract(Virtal Private Network) is a kind of safe and steady channel work through the public network . By encapsulate and encryption of data , a temporary , secure and steady link can be set up on which the private datacan be transfferd safely . Usally ,i

3、s an extension to the enterprise andvarious providers able to connect to the company inner network and transferdata safely .can be used to provide mobile user to access internetgloblely , and can be used as virtual private link from enterprise , and alsocan be used to economical secure links from en

4、terprise , and also can be used to economical secure linksfrom enterprise to business partners . Thispaper first introduces the definition ofand its study implications. Andthen introduces the key technologies for implementing aincludes the Tunnel technology and its main secure protocols,which/L2TPpr

5、otocol, IPSEC protocol, GRE protocol, All these technologies provide thetheoretical bases for building anetwork.Keyword:, network , tunnel , safely，IPSec，GRE山東科技大學(xué)畢業(yè)設(shè)計(jì)()目錄1. 緒論01.4的定義0的課題背景0的設(shè)計(jì)目標(biāo)1的組織結(jié)構(gòu)32.的技術(shù)分析的工作原理3的. 5主要協(xié)議的. 6的設(shè)計(jì)目標(biāo)7. 9實(shí)現(xiàn)的兩種協(xié)議的分析123. 基于 GRE的架構(gòu)基

6、于 GRE 實(shí)驗(yàn)的需求分析19GRE 實(shí)驗(yàn)的設(shè)計(jì)19GRE 協(xié)議的實(shí)現(xiàn)配置204. 基于 IPSEC的架構(gòu)基于 IPSEC 實(shí)驗(yàn)的需求分析22IPSEC 實(shí)驗(yàn)的設(shè)計(jì)22IPSEC 協(xié)議的實(shí)現(xiàn)步驟及配置235. IPSEC OVER GRE的分析與架構(gòu)35.4IPSEC 協(xié)議與 GRE 協(xié)議優(yōu)缺點(diǎn)的分析35IPSEC OVER GRE 的原理及需求分析36IPSEC OVER GRE 實(shí)驗(yàn)的設(shè)計(jì)37IPSEC OVER GRE 的步驟及配置38山東科技大學(xué)畢業(yè)設(shè)計(jì)()致謝47參考文獻(xiàn)48附錄 1 英文原文49附錄 2 中文譯文55山東科技大學(xué)畢業(yè)設(shè)計(jì)()

7、1. 緒論1.1的定義（ Virtual Private Network）被定義過(guò)一個(gè)公共網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公共網(wǎng)絡(luò)的安全、的隧道。虛擬網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展與延伸。虛擬網(wǎng)可以幫助用戶、公司分支機(jī)構(gòu)、商業(yè)合作伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)絡(luò)建立安全可信的連通通道，數(shù)據(jù)的安全傳輸。虛擬網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)接；可用于實(shí)現(xiàn)企業(yè)之間安全通信的虛擬線路，用于有效地連接到商業(yè)伙伴和用戶的聯(lián)網(wǎng)虛擬網(wǎng)。1.2隨著 Internet 和的課題背景商務(wù)的蓬勃發(fā)展全球化的最佳途徑是發(fā)展基于 Internet 的商務(wù)應(yīng)用。隨著商務(wù)活動(dòng)的日益頻繁，

8、各企業(yè)開(kāi)始其生意伙伴、供應(yīng)商也能夠本企業(yè)的局域網(wǎng)，從而大大簡(jiǎn)化信息交流的途徑，增加交換速度。這些合作和是動(dòng)態(tài)的，并依靠網(wǎng)絡(luò)來(lái)維持和加強(qiáng)，于是各企業(yè)發(fā)現(xiàn)，這樣的交流不但帶來(lái)了網(wǎng)絡(luò)的復(fù)雜性，還帶來(lái)了管理和安全性的問(wèn)題，因?yàn)?Internet 是一個(gè)全球性和開(kāi)放性的、基于 TCP/IP 技術(shù)的、不可管理的國(guó)際互聯(lián)網(wǎng)絡(luò)，因此，基于 Internet 的商務(wù)活動(dòng)就非善意的威脅和安全隱患。還有一類(lèi)用戶，隨著自身的發(fā)展壯大與跨國(guó)化，企業(yè)的分支機(jī)構(gòu)不僅越來(lái)越多，而且相互間的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為普遍。因此，用戶的技0山東科技大學(xué)畢業(yè)設(shè)計(jì)()術(shù)部門(mén)在連接分支機(jī)構(gòu)方面也感到日益棘手。用戶的需求正是虛擬網(wǎng)技術(shù)誕

9、生的直接。雖然在理解和應(yīng)用方面都是高度復(fù)雜的技術(shù)，甚至確定其是否適用于本公司也一件復(fù)雜的，但在大多數(shù)情況下的各種實(shí)現(xiàn)方法都可以應(yīng)用于每個(gè)公司。即使不需要使用加密數(shù)據(jù)，也可節(jié)省開(kāi)支。因此，在未來(lái)幾年里，客戶和廠商很可能會(huì)使用，從而使商務(wù)重又獲得生機(jī)，畢竟全球化、化、化是大勢(shì)所趨。1.3的設(shè)計(jì)目標(biāo)來(lái)說(shuō)，企業(yè)在選用一種網(wǎng)絡(luò)互聯(lián)方案時(shí)都希望能夠?qū)ζ髽I(yè)資源和的要求加以，所選用的方案應(yīng)當(dāng)既能夠?qū)崿F(xiàn)用戶與企業(yè)局域網(wǎng)資源的連接，不同分支機(jī)構(gòu)之間的資源共享；又能夠確保企業(yè)數(shù)據(jù)在公共互聯(lián)網(wǎng)絡(luò)或企業(yè)內(nèi)部網(wǎng)絡(luò)上傳輸時(shí)安全性不受破壞。因此，最低限度，一個(gè)的方案應(yīng)當(dāng)能夠滿足以下所有方面的要求： (1)用戶驗(yàn)證方案必須能夠

10、驗(yàn)證用戶并嚴(yán)格只有用戶才能。另外，方案還必須能夠提供審計(jì)和記費(fèi)功能，了何種。 (2)地址管理顯示何人在何時(shí)方案必須能夠?yàn)橛脩舴峙渚W(wǎng)絡(luò)上的地址并確保地址的安全性。 (3)數(shù)據(jù)加密 對(duì)通過(guò)公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過(guò)加密，確保網(wǎng)絡(luò)其他未的用戶無(wú)法該。 (4)密鑰管理方案必須能夠生成并更新客戶端和服務(wù)器的鑰。(5)多協(xié)議支持方案必須支持公共互聯(lián)網(wǎng)絡(luò)上 普ip，ipx 等。以點(diǎn)對(duì)點(diǎn)隧道協(xié)議()或第 2 層遍使用的基本協(xié)議，隧道協(xié)議(l2tp)為基礎(chǔ)的方案既能夠滿足以上所有的基本要求，又能夠充分利用遍及世界各地的 internet 互聯(lián)網(wǎng)絡(luò)的優(yōu)勢(shì)。其它方案，包括安全 ip 協(xié)議(ipsec)，雖然不能

11、滿足上述全部要求，但是仍然適用于在1山東科技大學(xué)畢業(yè)設(shè)計(jì)()特定的環(huán)境。本文以下部分將主要集中討論有關(guān)的協(xié)議和基于兩種協(xié)議所完成的實(shí)驗(yàn)。1.4的組織結(jié)構(gòu)本文分為五章，具體安排如下：第一章主要是什么，簡(jiǎn)單這種技術(shù)，由來(lái)的背景，的設(shè)計(jì)的要求。第二章主要是對(duì)技術(shù)的分析，工作的原理，本是基于的何種，對(duì)一系列協(xié)議的簡(jiǎn)單，設(shè)計(jì)實(shí)現(xiàn)什么目標(biāo)，實(shí)現(xiàn)都需要有哪些技術(shù)，對(duì)本中兩種協(xié)議的具體分析。第三章 對(duì)基于 GRE 協(xié)議的完成本實(shí)驗(yàn)的操作。實(shí)現(xiàn)了需求、設(shè)計(jì)，在模擬上第四章 基于有限的實(shí)驗(yàn)制定一個(gè)合理的需求分析，在需求產(chǎn)生后設(shè)計(jì)一個(gè)具體的實(shí)驗(yàn)，并在具體上完成該實(shí)驗(yàn)。第五章 基于上述兩種實(shí)驗(yàn)的缺憾，結(jié)合兩種協(xié)議的使

12、用，合理完成一個(gè)混雜網(wǎng)絡(luò)上的實(shí)驗(yàn)。2山東科技大學(xué)畢業(yè)設(shè)計(jì)()2.的技術(shù)分析2.1的工作原理把因特網(wǎng)用作廣域網(wǎng)，就要克服兩個(gè)主要。首先，網(wǎng)絡(luò)經(jīng)常使用多種協(xié)議如 IPX 和 NetBEUI 進(jìn)行通信，但因特網(wǎng)只能處理 IP 流量。所以，就需要提供法，將非 IP 的協(xié)議從一個(gè)網(wǎng)絡(luò)傳送到另一個(gè)網(wǎng)絡(luò)。其次，網(wǎng)上傳輸?shù)臄?shù)據(jù)包以明文格式傳輸，因而，只要看得到因特網(wǎng)的流量，就能包內(nèi)所含的數(shù)據(jù)。如果公司希望利用因特網(wǎng)傳輸重要的商業(yè)，這顯然是一個(gè)問(wèn)題?？朔@些的辦法就是采用了隧道技術(shù)：數(shù)據(jù)包不是公開(kāi)在網(wǎng)上傳輸，而是首先進(jìn)行加密以確保安全，然后由成 IP 包的形式，通過(guò)隧道在網(wǎng)上傳輸，如圖 2-1 所示：3山東科技

13、大學(xué)畢業(yè)設(shè)計(jì)()圖 1-1工作原理圖源網(wǎng)絡(luò)的隧道發(fā)起器與目標(biāo)網(wǎng)絡(luò)上的隧道發(fā)起器進(jìn)行通信。兩者就加密方案達(dá)成一致，然后隧道發(fā)起器對(duì)加密，確保安全（為了加強(qiáng)安全，應(yīng)采用驗(yàn)證過(guò)程，以確保連接用戶擁有進(jìn)入目標(biāo)網(wǎng)絡(luò)的相應(yīng)的權(quán)限。大多數(shù)現(xiàn)有的支持多種驗(yàn)證方式）。最后，發(fā)起器將整個(gè)加密包成 IP 包?，F(xiàn)在不管原先傳輸?shù)氖呛畏N協(xié)議，它都能在純 IP 因特網(wǎng)上傳輸。又因?yàn)榱思用?，所以誰(shuí)也無(wú)法原始數(shù)據(jù)。在目標(biāo)網(wǎng)絡(luò)這頭，隧道終結(jié)器收到去掉 IP，然后根據(jù)達(dá)成一致的加密方案對(duì)，將隨后獲得的包發(fā)給接入服務(wù)器或本地路由器，他們?cè)诎央[藏的 IPX 包發(fā)到網(wǎng)絡(luò)，最終發(fā)往相應(yīng)目的地。4山東科技大學(xué)畢業(yè)設(shè)計(jì)()2.2的從不同的角

14、度看，就可以得到不同的類(lèi)型,按照應(yīng)用領(lǐng)域，我們可以把（1）分成以下三類(lèi)：（Access）移動(dòng)用戶通過(guò)技術(shù)可以在任何時(shí)間、任何地點(diǎn)采用撥號(hào)、ISDN、DSL、移動(dòng) IP 和電纜技術(shù)與公司總部、公司內(nèi)聯(lián)網(wǎng)的建立起隧道或密道信，實(shí)現(xiàn)連接，此時(shí)的用戶終端上必須加裝相應(yīng)的。推而廣之，用戶可與任何一臺(tái)主機(jī)或網(wǎng)絡(luò)在相同策略下利用公共通信網(wǎng)絡(luò)設(shè)施實(shí)現(xiàn)。這種應(yīng)用類(lèi)型也叫 Access證明，其他類(lèi)型的(或型)，這是基本的應(yīng)用類(lèi)型。不難都是 Access的組合、延伸和擴(kuò)展。（2）組建內(nèi)聯(lián)網(wǎng)（Intranet）一個(gè)組織機(jī)構(gòu)的總部或中心網(wǎng)絡(luò)與跨地域的分支機(jī)構(gòu)網(wǎng)絡(luò)在公共通信基礎(chǔ)設(shè)施上采用的隧道技術(shù)等技術(shù)組織機(jī)構(gòu)“內(nèi)部”的

15、虛擬網(wǎng)絡(luò)，當(dāng)其將權(quán)的配置在各個(gè)公司網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間（即連接邊界處）時(shí)，這樣的內(nèi)聯(lián)網(wǎng)還具有管理上的可控、策略集中配置和分布式安全的安全特性。利用組建的內(nèi)聯(lián)網(wǎng)也叫 Intranet安全、傳輸安全的主要。Intranet。是解決內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)安全和連接（3）組建外聯(lián)網(wǎng) （Extranet）使用虛擬網(wǎng)絡(luò)技術(shù)在公共通信基礎(chǔ)設(shè)施上將合作伙伴和有共同利益的主機(jī)或網(wǎng)絡(luò)與內(nèi)聯(lián)網(wǎng)連接起來(lái)，根據(jù)安全策略、資源共享約定規(guī)則實(shí)施內(nèi)聯(lián)網(wǎng)內(nèi)的特定主機(jī)和網(wǎng)絡(luò)資源與外部特定的主機(jī)和網(wǎng)絡(luò)資源相互共享，這在業(yè)務(wù)機(jī)構(gòu)和具有相互協(xié)作的內(nèi)聯(lián)網(wǎng)之間具有廣泛5山東科技大學(xué)畢業(yè)設(shè)計(jì)()的應(yīng)用價(jià)值。這樣組建的外聯(lián)網(wǎng)也叫 Extranet決外聯(lián)網(wǎng)結(jié)

16、構(gòu)安全和連接安全、傳輸安全的主要。Extranet。若外聯(lián)網(wǎng)是解的連接和傳輸中使用了加密技術(shù)，必須解決其中的分發(fā)、管理的一致性問(wèn)題。2.3主要協(xié)議的2.3.1Intranet的適用協(xié)議組建內(nèi)聯(lián)網(wǎng)的主要的適用協(xié)議有 GRE、IPSec種。、MPLS三GRE 協(xié)議能夠?qū)Ω鞣N網(wǎng)絡(luò)層協(xié)議的數(shù)據(jù)報(bào)，被的數(shù)據(jù)報(bào)文能夠在 IP 網(wǎng)絡(luò)中傳輸。GRE 采用了 Tunnel 技術(shù)，是的三層隧道協(xié)議。但是它的安全性低。下文會(huì)詳細(xì)此協(xié)議。IPSec是標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全協(xié)議，可以為 IP 網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù) TCP/IP 通信免遭竊聽(tīng)和篡改，從而有效抵御網(wǎng)絡(luò)攻擊。IPSec優(yōu)勢(shì)。在網(wǎng)絡(luò)的靈活性、安全性、性、擴(kuò)

17、展性等方面極具M(jìn)PLS是指采用 MPLS 技術(shù)在寬帶 IP 的骨干網(wǎng)絡(luò)上構(gòu)建企業(yè)IP 專(zhuān)網(wǎng)，以實(shí)現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、音頻等業(yè)務(wù)通信。MPLS能，良結(jié)合區(qū)分服務(wù)、流量工程等相關(guān)技術(shù)，將公共網(wǎng)絡(luò)可靠的性擴(kuò)展性，豐富的功能與網(wǎng)的安全、靈活、高效地結(jié)合在一起，可以為用戶提供高質(zhì)量的服務(wù)。6山東科技大學(xué)畢業(yè)設(shè)計(jì)()2.3.2Access的適用協(xié)議的適用協(xié)議主要有 IPSec是一種很全面的技術(shù)，在、VPDN、SSL。IPSec上仍然適用，所以該技術(shù)應(yīng)用很廣泛，本文有對(duì) IPSec技術(shù)的詳細(xì)敘述。VPDN 是業(yè)務(wù)的一種，具體包含的技術(shù)、L2TP、PPPoE 等，是基于撥號(hào)用戶的虛擬撥號(hào)網(wǎng)業(yè)務(wù)。

18、即用戶以撥號(hào)接入的方式聯(lián)網(wǎng)，并通過(guò) CDMA 1x 分組網(wǎng)絡(luò)傳輸數(shù)據(jù)時(shí)，VPDN 會(huì)對(duì)數(shù)據(jù)進(jìn)行和加密，從而保障數(shù)據(jù)的私密性，并使有到達(dá)私有網(wǎng)絡(luò)安全級(jí)別。VPDN 是利用 IP 網(wǎng)絡(luò)的承載功能結(jié)合相應(yīng)的認(rèn)證和機(jī)制建立起來(lái)的一種安全的虛擬網(wǎng)，是一種很傳統(tǒng)的技術(shù)。SSL指的是基于接層協(xié)議建立問(wèn)通道的技術(shù)。它是一種新興的技術(shù)，隨著 Web 的普及和商務(wù)辦公的興起而發(fā)展起來(lái)。2.4的設(shè)計(jì)目標(biāo)在實(shí)際應(yīng)用中，來(lái)說(shuō)一個(gè)高效、的應(yīng)具備以下幾個(gè)特點(diǎn)：（1）安全保障雖然實(shí)現(xiàn)的技術(shù)和方式很多，但所有的均應(yīng)保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的性和安全性。在非面向連接的公用 IP 網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接，稱(chēng)之為建立

19、一個(gè)隧道，可以利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而數(shù)據(jù)的私有性和安全性。在安全性方面，由于直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問(wèn)題也更為突出。企業(yè)必須確保其上傳送的數(shù)據(jù)不被者窺視和篡7山東科技大學(xué)畢業(yè)設(shè)計(jì)()改，并且要防止用戶對(duì)網(wǎng)絡(luò)資源或私有的。Extranet將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶，對(duì)安全性提出了更高的要求。（2）服務(wù)質(zhì)量保證（QoS）網(wǎng)絡(luò)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。如移動(dòng)辦公用戶，提供廣泛的連接和覆蓋性是保證服務(wù)的一個(gè)主要因素；而對(duì)于擁有眾多分支機(jī)構(gòu)的專(zhuān)線網(wǎng)

20、絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的性；對(duì)于其它應(yīng)用（如等）則對(duì)網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時(shí)延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS 通過(guò)流量與流量策略，可以按照優(yōu)先級(jí)分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類(lèi)數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。（3）可擴(kuò)充性和靈活性必須能夠支持通過(guò) Int

21、ranet 和 Extranet 的任何類(lèi)型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類(lèi)型的傳輸媒介，可以滿足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。（4）可管理性從用戶角度和運(yùn)營(yíng)商的角度應(yīng)可方便地進(jìn)行管理、維護(hù)。在管理方面，要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無(wú)縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交8山東科技大學(xué)畢業(yè)設(shè)計(jì)()給服務(wù)提供商去完成，企業(yè)仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個(gè)完善的管理系統(tǒng)是必不可少的。管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，管理主要安全管理、管理、配置管理、列表管理、QoS管理等內(nèi)容。

22、2.5實(shí)現(xiàn)的（1）隧道技術(shù)隧道技術(shù)(Tunneling)是的底層支撐技術(shù)，所謂隧道，實(shí)際上是一種，就是將一種協(xié)議（協(xié)議 X）在另一種協(xié)議（協(xié)議 Y）中傳輸，從而實(shí)現(xiàn)協(xié)議 X 對(duì)公用網(wǎng)絡(luò)的透明性。這里協(xié)議 X 被稱(chēng)為被封裝協(xié)議，協(xié)議 Y 被稱(chēng)為協(xié)議，時(shí)還要加上特定的隧道，因此隧道協(xié)議的形式為（協(xié)議 Y）隧道頭（協(xié)議 X）。在公用網(wǎng)絡(luò)（指因特網(wǎng)）上傳輸過(guò)程中，只有端口或網(wǎng)關(guān)的 IP 地址在外邊。隧道解決了專(zhuān)網(wǎng)與公網(wǎng)的兼容問(wèn)題，其優(yōu)點(diǎn)是能夠隱藏發(fā)送者、接受者的 IP 地址以及其它協(xié)議。采用隧道技術(shù)向用戶提供了無(wú)縫的、安全的、端到端的連接服務(wù)，以確保資源的安全。區(qū)別于網(wǎng)絡(luò)互聯(lián)的關(guān)鍵是隧道的建立，數(shù)據(jù)包

23、經(jīng)過(guò)加密后，按隧道協(xié)議進(jìn)行、傳送以保證安全性。隧道是由隧道協(xié)議形成的。隧道協(xié)議分為第二、第三層隧道協(xié)議，第二層隧道協(xié)議如 L2TP、L2F 等，他們工作在 OSI 體系結(jié)構(gòu)的第二層（即數(shù)據(jù)鏈路層）；第三層隧道協(xié)議如 IPSec，GRE 等，工作在 OSI體系結(jié)構(gòu)的第三層（即網(wǎng)絡(luò)層）。第二層隧道和第三層隧道的本質(zhì)區(qū)別在于：用戶的 IP 數(shù)據(jù)包被在不同的數(shù)據(jù)在隧道中傳輸。9山東科技大學(xué)畢業(yè)設(shè)計(jì)()第二層隧道協(xié)議是建立在點(diǎn)對(duì)點(diǎn)協(xié)議 PPP 的基礎(chǔ)上，充分利用 PPP協(xié)議支持多協(xié)議的特點(diǎn)，先把各種網(wǎng)絡(luò)協(xié)議（如 IP、IPX 等）到PPP 幀中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議。和 L2TP 協(xié)議主要用于虛擬

24、網(wǎng)。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠網(wǎng)絡(luò)層協(xié)議進(jìn)行傳輸。無(wú)論從可擴(kuò)充性，還是安全性、可靠性方面，第三層隧道協(xié)議均優(yōu)于第二層隧道協(xié)議。IPSec 即 IP 安全協(xié)議是目前實(shí)現(xiàn)功能的最佳選擇。（2）加認(rèn)證技術(shù)加技術(shù)是的另一技術(shù)。為了保證數(shù)據(jù)在傳輸過(guò)程中的安全性，不被的用戶竊取或篡改，都在傳輸之前進(jìn)行加密，在接受方再對(duì)其進(jìn)行。技術(shù)是保證數(shù)據(jù)安全傳輸?shù)?，以密鑰為標(biāo)準(zhǔn)，可將密碼系統(tǒng)分為單鑰（又稱(chēng)為對(duì)稱(chēng)或私鑰）和雙鑰（又稱(chēng)為非對(duì)稱(chēng)或公鑰）。單鑰的特點(diǎn)是加密和都使用同一個(gè)密鑰，因此，單鑰體制的安全性就是密鑰的安全。其優(yōu)點(diǎn)是加解密速度快。最有影響的單鑰就是局頒布的 DES 算

25、法（56 比特密鑰）。而 3DES（112 比特密鑰）被認(rèn)為是目前不可破譯的。雙鑰體制下，鑰與密鑰不同，鑰公開(kāi)，而密鑰，相比單鑰體制，其算法復(fù)雜且加密速度慢。所以現(xiàn)在的大都采用單鑰的 DES 和 3DES 作為加的主要技術(shù)，而以公鑰和單鑰的混合加密體制(即加采用單鑰，而密鑰傳送采鑰)來(lái)進(jìn)行網(wǎng)絡(luò)上密鑰交換和管理，不但可以提高了傳輸速度，還具有良保密功能。認(rèn)證技術(shù)可以防止來(lái)自第的主動(dòng)。用戶和雙10山東科技大學(xué)畢業(yè)設(shè)計(jì)()方在交換數(shù)據(jù)之前，先核對(duì)，如果準(zhǔn)確無(wú)誤，雙方才開(kāi)始交換數(shù)據(jù)。用戶認(rèn)證最常用的技術(shù)是用戶名和方式。而認(rèn)證則需要依CA 所頒發(fā)的。目前主要有的認(rèn)證方式有：簡(jiǎn)單口令如質(zhì)詢(xún)握手驗(yàn)證協(xié)議 C

26、HAP 和驗(yàn)證協(xié)議 PAP 等；動(dòng)態(tài)口令如動(dòng)態(tài)令牌和 X.509 數(shù)字等。簡(jiǎn)單口令認(rèn)證方式的優(yōu)點(diǎn)是實(shí)施簡(jiǎn)單、技術(shù)成熟、互操作性好，且支持動(dòng)態(tài)地加載，可擴(kuò)展性強(qiáng)。（3）密鑰管理技術(shù)密鑰管理的主要任務(wù)就是保證在開(kāi)放的網(wǎng)絡(luò)環(huán)境中傳遞密鑰，而不被竊取。目前密鑰管理的協(xié)議ISAKMP、SKIP、MKMP 等。Internet 密鑰交換協(xié)議 IKE 是 Internet 安全關(guān)聯(lián)和密鑰管理協(xié)議ISAKMP 語(yǔ)言來(lái)定義密鑰的交換，綜合了 Oakley 和 SKEME 的密鑰交換方案，通過(guò)協(xié)商安全策略，形成各自的驗(yàn)證加密參數(shù)。IKE 交換的最終目的是提供一個(gè)通過(guò)驗(yàn)證的密鑰以及建立在雙方同意基礎(chǔ)上的安全服務(wù)。S

27、KIP 主要是利用 Diffie-Hellman 的演算法則，在網(wǎng)絡(luò)上傳輸密鑰。IKE 協(xié)議是目前首選的密鑰管理標(biāo)準(zhǔn)，較 SKIP 而言，其主要優(yōu)勢(shì)在于定義更靈活，能適應(yīng)不同的鑰。IKE 協(xié)議的缺點(diǎn)是它雖然提供了強(qiáng)大的主機(jī)級(jí)認(rèn)證，但同時(shí)卻只能支持有限的用戶級(jí)認(rèn)證，并且不支持非對(duì)稱(chēng)的用戶認(rèn)證。（4）技術(shù)虛擬網(wǎng)的基本功能就是不同的用戶對(duì)不同的主機(jī)或服務(wù)器的權(quán)限是不一樣的。由服務(wù)的提供者與最終網(wǎng)絡(luò)資源的提供者共同來(lái)協(xié)商確定特定用戶對(duì)特定資源的權(quán)限，以此實(shí)現(xiàn)基于用戶的細(xì)粒度，以實(shí)現(xiàn)對(duì)資源的最大限度的保護(hù)。11山東科技大學(xué)畢業(yè)設(shè)計(jì)()策略可以細(xì)分為選擇性和強(qiáng)制性。選擇性是基于主體或主體所在組的被內(nèi)置于許

28、多操作系統(tǒng)當(dāng)中。強(qiáng)制性是基于被的敏感性。2.6兩種協(xié)議的分析2.6.1IPSec 協(xié)議IPSec 是 IETF 提出的 IP 安全標(biāo)準(zhǔn)2 它在 IP 層上對(duì)數(shù)據(jù)包進(jìn)行安全處理提供數(shù)據(jù)源驗(yàn)證無(wú)連接數(shù)據(jù)完整性數(shù)據(jù)性抗重播和有限業(yè)務(wù)流性等安全服務(wù)各種應(yīng)用程序完全可以享用IP 層提供的安全服務(wù)和密鑰管理而不必設(shè)計(jì)和實(shí)現(xiàn)的安全機(jī)制因此減少了密鑰協(xié)商的開(kāi)銷(xiāo)也降低了產(chǎn)生安全漏洞的可能性 IPSec 可連續(xù)或遞歸應(yīng)用在路由器主機(jī)和通信鏈配置實(shí)現(xiàn)端到端安全虛擬網(wǎng)絡(luò)() Road Warrior 和安全隧道技術(shù)1。IPSec 協(xié)議由協(xié)議和支撐模塊組成協(xié)議AH(驗(yàn)證頭)與 ESP(安全載荷) 支撐部分加密算法 HA

29、SH 算法安全策略安全關(guān)聯(lián) IKE 密鑰交換機(jī)制47IP 技術(shù)是在原始的 IP 頭部和數(shù)據(jù)之間一個(gè) IPSec 頭部，這樣可以對(duì)原始 IP 負(fù)載實(shí)現(xiàn)加密，同時(shí)還可以實(shí)現(xiàn)對(duì) IPSec 頭部和原始 IP負(fù)載的驗(yàn)證，以確保數(shù)據(jù)的完整性。IPSec 的結(jié)構(gòu)是一種框架性的結(jié)構(gòu)，IPSec 沒(méi)有具體的加密和散列函數(shù)，它是每一次的 IPSec 會(huì)話所用的具體算法都是通過(guò)協(xié)商來(lái)確定，這樣更具有安全性。還IPSec 框架中的協(xié)議和模式、密鑰有效期等內(nèi)容都是通過(guò)協(xié)商決定，在兩個(gè) IPSec 對(duì)等體之間協(xié)商的協(xié)議叫做IKE。協(xié)商完成后產(chǎn)生安全關(guān)聯(lián) SA，實(shí)現(xiàn)安全通信。12山東科技大學(xué)畢業(yè)設(shè)計(jì)()IPSec 是 I

30、ETF(Internet Engineer Task Force) 正在完善的安全標(biāo)準(zhǔn)，它把幾種安全技術(shù)結(jié)合在一起形成一個(gè)較為完整的體系，受到了眾多廠商的關(guān)注和支持。通過(guò)對(duì)數(shù)據(jù)加密、認(rèn)證、完整性檢查來(lái)保證數(shù)據(jù) 傳 輸 的 可 靠 性 、 私 有 性 和性 。 IPSec 由 IP 認(rèn)證頭 AH(Authentication Header) 、IP 安全載荷封載 ESP(EncapsulatedSecurityPayload)和密鑰管理協(xié)議組成。IPSec的體系結(jié)構(gòu)如圖2-2所示：圖 2-2 IPSec 的體系結(jié)構(gòu)IPSec 協(xié)議是一個(gè)范圍廣泛、開(kāi)放的虛擬網(wǎng)安全協(xié)議。IPSec 適13策略密鑰管

31、理解釋域認(rèn)證算法加密算法認(rèn)證包頭（AH）安全負(fù)載IPsec 體系山東科技大學(xué)畢業(yè)設(shè)計(jì)()應(yīng)向 IPv6 遷移， 它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，提供透明的安全通信。IPSec 用技術(shù)從三個(gè)方面來(lái)保證數(shù)據(jù)的安全。即:認(rèn)證：用于對(duì)主機(jī)和端點(diǎn)進(jìn)行鑒別。完整性檢查：用于保證數(shù)據(jù)在通過(guò)網(wǎng)絡(luò)傳輸時(shí)沒(méi)有被修改。加密：加密 IP 地址和數(shù)據(jù)以保證私有性，這樣就算被第捕獲后也無(wú)法將其恢復(fù)成明文。IPSec 協(xié)議可以設(shè)置成在兩種模式下運(yùn)行:一種是隧道模式，一種是傳輸模式。 在隧道模式下，IPSec 把 IPv4 數(shù)據(jù)包在安全的 IP幀 中,這樣保護(hù)從一個(gè)到另一個(gè)時(shí)的安全性。在隧道模式下，是為了保護(hù)端到端的安全性，

32、即在這種模式下隱藏路由。隧道模式是最安全的，但會(huì)帶來(lái)較大的系統(tǒng)開(kāi)銷(xiāo)。IPSec 現(xiàn)在還全成熟，但它得到了一些路由器廠商和硬件廠商的大力支持。預(yù)計(jì)它今后將成為虛擬網(wǎng)的主要標(biāo)準(zhǔn)。IPSec 有擴(kuò)展能力以適應(yīng)未來(lái)商業(yè)的需要。在 1997 年底，IETF組完成了 IPSec 的擴(kuò)展， 在IPSec 協(xié)議中加上 ISAKMP(InternetSecurity Association and KayManagement Protocol)協(xié)議，其中還一個(gè)密鑰分配協(xié)議 Oakley。ISAKMP/Oakley 支持自動(dòng)建立加密信道，密鑰的自動(dòng)安全分發(fā)和更新。IPSec 也可用于連接其它層己的通信協(xié)議，如支持

33、安全(SET:Secure Electronic Tranion)協(xié)議和 SSL（Secure Socketlayer）協(xié)議。即使不用 SET 或 SSL,IPSec 都能提供認(rèn)證和加密以保證的傳輸。2.6.2GRE 協(xié)議GRE（Generic Routing Encapsulation，通用路由）協(xié)議是對(duì)14山東科技大學(xué)畢業(yè)設(shè)計(jì)()某些網(wǎng)絡(luò)層協(xié)議（如 IP 和 IPX）的數(shù)據(jù)報(bào)進(jìn)行，使這些被的數(shù)據(jù)報(bào)能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議（如 IP）中傳輸。GRE 是（VirtualPrivate Network）的第三層隧道協(xié)議，在協(xié)議層之間采用了一種被稱(chēng)之為 Tunnel（隧道）的技術(shù)。Tunnel 是一

34、個(gè)虛擬的點(diǎn)對(duì)點(diǎn)的連接，在實(shí)際中可以看成僅支持點(diǎn)對(duì)點(diǎn)連接的虛擬接口，這個(gè)接口提供了一條通路使的數(shù)據(jù)報(bào)能夠在這個(gè)通傳輸，并且在一個(gè) Tunnel 的兩端分別對(duì)數(shù)據(jù)報(bào)進(jìn)行及解。一個(gè)報(bào)文要想在Tunnel 中傳輸，必須要經(jīng)過(guò)加與解兩個(gè)過(guò)程，下面這兩個(gè)過(guò)程如圖 2-3 所示：圖 2-3 IPX 網(wǎng)絡(luò)通過(guò) GRE 隧道互聯(lián)(1) 加過(guò)程連接 Novell Group1 的接口收到 IPX 數(shù)據(jù)報(bào)后首先交由 IPX 協(xié)議處理，IPX 協(xié)議檢查 IPX 報(bào)頭中的目的地址域來(lái)確定如何路由此包。若報(bào)文的目的地址被發(fā)現(xiàn)要路由經(jīng)過(guò)網(wǎng)號(hào)為 1f 的網(wǎng)絡(luò)（Tunnel 的虛擬網(wǎng)號(hào)），則將此報(bào)文發(fā)給網(wǎng)號(hào)為 1f 的 Tun

35、nel 端口。Tunnel 口收到此進(jìn)行 GRE，完成后交給 IP 模塊處理，在IP 報(bào)文頭后，根據(jù)此包的目的地址及路由表交由相應(yīng)的網(wǎng)絡(luò)接口處理。(2) 解解的過(guò)程過(guò)程和加的過(guò)程相反。從 Tunnel 接口收到的 IP 報(bào)文，通過(guò)檢查目的地址，當(dāng)發(fā)現(xiàn)目的地就是此路由器時(shí)，系統(tǒng)剝掉此報(bào)文的IP 報(bào)頭，交給 GRE 協(xié)議模塊處理（進(jìn)行檢驗(yàn)密鑰、檢查校驗(yàn)和及報(bào)文15山東科技大學(xué)畢業(yè)設(shè)計(jì)()的序列號(hào)等）；GRE 協(xié)議模塊完成相應(yīng)的處理后，剝掉 GRE 報(bào)頭，再交由 IPX 協(xié)議模塊處理，IPX 協(xié)議模塊象對(duì)待數(shù)據(jù)報(bào)一樣對(duì)此數(shù)據(jù)報(bào)進(jìn)行處理。 系統(tǒng)收到一個(gè)需要和路由的數(shù)據(jù)報(bào)，稱(chēng)之為（payload），這個(gè)

36、首先被加上 GRE，成為 GRE 報(bào)文；再被層負(fù)責(zé)此報(bào)文的向前傳輸在 IP 報(bào)文中，這樣就可完全由 IP（ forwarded ）。人們常把這個(gè)負(fù)責(zé)向前傳輸 IP 協(xié)議稱(chēng)為傳輸協(xié)議（delivery protocol 或者 transport protocol）。報(bào)文的形式如下圖 2-4 所示：圖 2-4的 Tunnel 報(bào)文格式舉例來(lái)說(shuō)，一個(gè)在 IP Tunnel 中的 IPX 傳輸報(bào)文的格式如下圖 2-5所示：圖 2-5 Tunnel 中傳輸報(bào)文的格式16山東科技大學(xué)畢業(yè)設(shè)計(jì)()2.3.3/L2TP1996 年，Microsoft 和 Ascend 等在 PPP 協(xié)議的基礎(chǔ)上開(kāi)發(fā)了， 它集

37、成于 Windows NT Server4.0 中，Windows NT Workstation和 Windows 9.X 也提供相應(yīng)的客戶端。PPP 支持多種網(wǎng)絡(luò)協(xié)議，可把 IP 、IPX、AppleTalk 或 NetBEUI 的數(shù)據(jù)包在 PPP，再將整個(gè)報(bào)文在隧道協(xié)議，最后，再嵌入 IP 報(bào)文或幀中繼或ATM 中進(jìn)行傳輸。提供流量，減少擁塞的可能性，避免由于包丟棄而包重傳的數(shù)量。的加密采用 Microsoft 點(diǎn)對(duì)點(diǎn)加密(MPPE: MicrosoftPoint-to- Point) 算法，可以選用較弱的 40 位密鑰或強(qiáng)度較大的 128 位密鑰。1996 年， Cisco 提出 L2F

38、(Layer 2Forwarding)隧道協(xié)議，它也支持多協(xié)議，但其主要用于 Cisco 的路由器和撥號(hào)服務(wù)器。1997 年底，Microsoft 和 Cisco 公司把協(xié)議和 L2F 協(xié)議的優(yōu)點(diǎn)結(jié)合在一起，形成了 L2TP 協(xié)議。L2TP 支持多協(xié)議，利用公共網(wǎng)絡(luò)PPP 幀，可以實(shí)現(xiàn)和企業(yè)原有非 IP 網(wǎng)的兼容。還繼承了的流量，支持 MP(Multilink Protocol)，把多個(gè)物理通道捆綁為單一邏輯信道。L2TP 使用 PPP 可靠性發(fā)送(RFC 1663)實(shí)現(xiàn)數(shù)據(jù)包的可靠發(fā)送。L2TP 隧道在兩端的服務(wù)器之間采用口令握手協(xié)議 CHAP 來(lái)驗(yàn)證對(duì)方的.L2TP 受到了許多大公司的支持

39、./L2TP 協(xié)議的優(yōu)點(diǎn):/L2TP 對(duì)用微軟操作系統(tǒng)的 用戶來(lái)說(shuō)很方便，因?yàn)槲④浖喊阉鳛槁酚傻囊徊糠帧? L2TP 支持其它網(wǎng)絡(luò)協(xié)議。如 NOWELL 的 IPX,NETBEUI 和 APPLETALK 協(xié)議,還支持流量。 它通過(guò)減少丟棄包來(lái)網(wǎng)絡(luò)性能，這樣可減少重傳。/ L2TP 協(xié)議的缺點(diǎn):PM 和 L2TP 將不安全的 IP 包在安全的 IP 包內(nèi)，它們用 IP 幀在兩臺(tái)計(jì)算機(jī)之間創(chuàng)建和打開(kāi)數(shù)據(jù)通道，一旦17山東科技大學(xué)畢業(yè)設(shè)計(jì)()通道打開(kāi)，源和目的用戶就不再需要，這樣可能帶來(lái)問(wèn)題，它不對(duì)兩個(gè)節(jié)點(diǎn)間的傳輸進(jìn)行監(jiān)視或。和 L2TP 限制同時(shí)最多只能連接 255 個(gè)用戶，端點(diǎn)用戶需要在連接

40、前手工建立加密信道，認(rèn)證和加密受到限制，沒(méi)有強(qiáng)加密和認(rèn)證支持。/L2TP 最適合于.18山東科技大學(xué)畢業(yè)設(shè)計(jì)()3. 基于 GRE的架構(gòu)3.1基于 GRE 實(shí)驗(yàn)的需求分析山東科技大學(xué)有多個(gè)校區(qū)，青島校區(qū)（總校）、泰安校區(qū)、濟(jì)南校區(qū)，總校與分校之間不可避免需要彼此私有地址服務(wù)器的信息，為了實(shí)現(xiàn)彼此數(shù)據(jù)的問(wèn)，我們學(xué)校使用了技術(shù)。所以我對(duì)進(jìn)行了學(xué)習(xí)，因?yàn)閮蓚€(gè)校區(qū)可能用到不同網(wǎng)絡(luò)協(xié)議，所以我采用了 GRE 技術(shù)。通過(guò) GRE 技術(shù)在不同的兩個(gè)校區(qū)之間建立了一個(gè)點(diǎn)到點(diǎn)的GRE 隧道，前期處于學(xué)習(xí)階段，因此在 GRE 的隧道口上運(yùn)行了靜態(tài)路由協(xié)議，又來(lái)學(xué)習(xí)彼此的網(wǎng)絡(luò)路由。兩點(diǎn)之間的流量通過(guò) GRE 隧道穿

41、越 Internet。3.2GRE 實(shí)驗(yàn)的設(shè)計(jì)本實(shí)驗(yàn)使用模擬所做的 PT 實(shí)驗(yàn)，隧道建立在路由器上，沒(méi)有專(zhuān)門(mén)的網(wǎng)關(guān)來(lái)管理。在青島校區(qū)和泰安校區(qū)之間建立 GRE 隧道，通過(guò)對(duì)兩邊緣路由器的配置，實(shí)現(xiàn)兩校區(qū)之間無(wú)通信。下面是實(shí)驗(yàn)拓?fù)鋱D圖 3-1：19山東科技大學(xué)畢業(yè)設(shè)計(jì)()圖 3-1 GRE 實(shí)驗(yàn)拓?fù)鋱D3.3GRE 協(xié)議的實(shí)現(xiàn)配置3.3.1分別各個(gè)路由器端口、PC 機(jī)和服務(wù)器配置地址IP 規(guī)劃表：Internet/24 青島總校 /24Internet/24 濟(jì)南校區(qū) /24Internet/24泰安校區(qū) 10.1.1

42、.2/24青島總校 54/24服務(wù)器 /24青島總校 54/24主機(jī) 2 /24青島總校 54/24主機(jī) 1 /24本實(shí)驗(yàn)配置的關(guān)鍵在青島總校，所以下面主要總校的配置。配置如下：20山東科技大學(xué)畢業(yè)設(shè)計(jì)()interface Tunnel0ip address tunnel source FastEthernet0/0 tunnel destination interface Tunnel1ip add

43、ress tunnel source FastEthernet0/0 tunnel destination （ipiprouteroute iproute.0f0/13.3.2主要之間連通性測(cè)試下面是主機(jī) 1 對(duì)連通性的測(cè)試圖 3-2 所示：21山東科技大學(xué)畢業(yè)設(shè)計(jì)()圖 3-2 主機(jī) 1 對(duì)服務(wù)器的連通性測(cè)試4. 基于 IPSec的架構(gòu)4.1基于 IPSec 實(shí)驗(yàn)的需求分析山東

44、科技大學(xué)的教務(wù)管理系統(tǒng)為了實(shí)現(xiàn)安全，只在校內(nèi)網(wǎng)問(wèn)，若或同學(xué)在校外就無(wú)法，會(huì)帶來(lái)很大不便。我們可通過(guò)建立 IPSec的加密隧道，實(shí)現(xiàn)出差和假期期間師生和學(xué)校之間的安全傳輸。IPSec技術(shù)通過(guò)隧道技術(shù)、加技術(shù)、密鑰管理技術(shù)、和認(rèn)證技術(shù)有效的數(shù)據(jù)在 Internet 網(wǎng)絡(luò)傳輸?shù)陌踩?，是目前最安全、使用最廣泛的技術(shù)。4.2IPSec 實(shí)驗(yàn)的設(shè)計(jì)PC 機(jī)模擬出差員工的 PC，與A（模擬公司出口）通過(guò) IKE 自動(dòng)協(xié)商建立起 IPSec 的加密隧道。使得 PC 機(jī)能問(wèn)到A 所保護(hù)的內(nèi)部服務(wù)器。試驗(yàn)時(shí)，可以在服務(wù)器上開(kāi)設(shè) FTP 服務(wù)或者 Web 服務(wù)，在隧道建立后，PC 機(jī)將能夠到這些服務(wù)。移動(dòng)用戶（即

45、 PC 機(jī)）在和建立隧道前，需要先獲得的驗(yàn)證。該實(shí)驗(yàn)所采用的用戶驗(yàn)證為口令方式，并且口令賬號(hào)的頒發(fā)由A 來(lái)完成。移動(dòng)用戶（即 PC 機(jī)）在通過(guò)A 的驗(yàn)證后，A會(huì)自動(dòng)將隧道建立（即 IKE 協(xié)商）所需要的配置下發(fā)給 PC 機(jī)，然后 PC 機(jī)與A 之間自動(dòng)開(kāi)始 IKE 協(xié)商，協(xié)商后隧道即22山東科技大學(xué)畢業(yè)設(shè)計(jì)()建立。整個(gè)過(guò)程系統(tǒng)自動(dòng)完成，無(wú)需人為干預(yù)，是免配置的典型方式。本實(shí)驗(yàn)的拓?fù)鋱D圖 4-1：圖 4-1 IPSec 實(shí)驗(yàn)拓?fù)鋱D4.3IPSec 協(xié)議的實(shí)現(xiàn)步驟及配置IPSec 協(xié)議的實(shí)現(xiàn)的具體步驟的詳細(xì)如下：第一步：準(zhǔn)備好 PC 機(jī)和服務(wù)器。1) 實(shí)驗(yàn)中即可以通過(guò)服務(wù)器來(lái)管理。2) 在 PC

46、 機(jī)上安裝 RG-SRA程序。注意：RG-SRA 是客戶端程序，如果 PC 機(jī)上已預(yù)裝其它廠家的客戶端程序，請(qǐng)先卸載其它廠家的客戶端程序，否則可能RG-SRA 無(wú)法正常工作。RG-SRA 作為安全，安裝后會(huì)對(duì)系統(tǒng)的網(wǎng)卡、端口、協(xié)議等方面有改動(dòng)，因此會(huì)和部分或者防程序不兼容。目前經(jīng)過(guò)測(cè)試，已知和市場(chǎng)主流的殺毒是兼容的有：瑞星、天網(wǎng)、Symentec、微軟等都兼容。已知的不兼容的有：司基、Sygate。因此建議用于測(cè)試的 PC 機(jī)卸載這兩個(gè)程序。推薦用戶使用沒(méi)有安裝任何第、防程序的機(jī)器來(lái)作試驗(yàn)。第二步：搭建圖示實(shí)驗(yàn)拓?fù)?，然后配?PC 機(jī)、服務(wù)器、A、route 的 IP 及必要路由。示例如下：A

47、 的 eht1 口地址：23山東科技大學(xué)畢業(yè)設(shè)計(jì)()A 的 eth0 口地址：PC 機(jī)的 IP 地址：PC 機(jī)的網(wǎng)關(guān)地址：服務(wù)器的 IP 地址：服務(wù)器的網(wǎng)關(guān)地址：Route 的 F0/0 地址:Route 的 F0/1 地址:A 接口及缺省路由配置如下：1) 通過(guò)服務(wù)器的超級(jí)終端，配置好網(wǎng)關(guān)的 IP 地址顯示如下圖圖 4-2：圖 4-2網(wǎng)關(guān)的 IP 地址2）配置連接服務(wù)器的接口 eth1，如下圖圖 4-3：24山東科技大學(xué)畢業(yè)設(shè)計(jì)()圖 4-3網(wǎng)關(guān)的

48、建立顯示圖 4-4網(wǎng)關(guān)地址的配置3）建立服務(wù)器與網(wǎng)關(guān)的連接，進(jìn)而操作網(wǎng)關(guān)。安全網(wǎng)關(guān)登錄如圖 4-5 所示：25山東科技大學(xué)畢業(yè)設(shè)計(jì)()圖 4-5 安全網(wǎng)關(guān)登錄顯示4）登錄頁(yè)面如圖 4-6 所示：圖 4-6 登錄顯示5) 通過(guò)服務(wù)器上的管理登錄A，然后配置 eth0口地址，操作如下圖 4-7 所示：26山東科技大學(xué)畢業(yè)設(shè)計(jì)()圖 4-7 網(wǎng)絡(luò)接口顯示設(shè)置 eth0 口地址如圖 4-8 所示：圖 4-8 外出接口配置27山東科技大學(xué)畢業(yè)設(shè)計(jì)()第三步：配置 IPSec隧道1、在A 上進(jìn)行 IPSec隧道配置：1) 進(jìn)入移動(dòng)用戶隧道配置的界面登錄A 的管理界面，選擇進(jìn)入“用戶管理”界面，如下圖所示：

49、2)首先配置“子網(wǎng)”圖 4-9 添加可的子網(wǎng)顯示3)配置“本地用戶數(shù)據(jù)庫(kù)”28山東科技大學(xué)畢業(yè)設(shè)計(jì)()圖 4-10 添加用戶注意：添加完用戶后一定要點(diǎn)擊“用戶生效”按鈕，否則新添加的用戶依然不可使用。4) 配置“虛IP 地址池”29山東科技大學(xué)畢業(yè)設(shè)計(jì)()圖 4-11 虛 IP 地址池中 IP 地址的配置顯示5) 配置“用戶特征碼表”圖 4-12 用戶特征碼綁定顯示配置說(shuō)明：“用戶特征碼表”是為需要將PC 的硬件和分配給用戶的綁定的需求而設(shè)計(jì)的。選擇了“接入并自動(dòng)綁定”功能，則會(huì)將用戶的 PC 硬件特征碼與該用戶的認(rèn)證信息相互綁定，綁定后該用戶將無(wú)法用的再在其它 PC上建立隧道。該實(shí)驗(yàn)中我們既

50、可以選擇“接入”，也可以選擇“接入并30山東科技大學(xué)畢業(yè)設(shè)計(jì)()自動(dòng)綁定”。系統(tǒng)默認(rèn)配置是“接入”。圖示選擇的是“接入”，這表示該用戶的和其使用的 PC 硬件綁定。2、在 PC 機(jī)上運(yùn)行 RG-SRA 程序，開(kāi)始建立隧道：1）第一次運(yùn)行 RG-SRA 程序后，建立連接：圖 4-13 登錄用戶添加連接3) 運(yùn)行該隧道連接，建立隧道，并啟動(dòng)隧道連接。31山東科技大學(xué)畢業(yè)設(shè)計(jì)()圖 4-14隧道的建立輸入認(rèn)證所必須的賬號(hào)，即在A 上添加的用戶。圖 4-15 用戶登錄32山東科技大學(xué)畢業(yè)設(shè)計(jì)()點(diǎn)擊“連接”按鈕后，系統(tǒng)自動(dòng)進(jìn)行認(rèn)證，并且開(kāi)始 IKE 的協(xié)商，如下圖 4-16 所示：圖 4-16用戶登錄顯示2、在A 的管理界面也可看到已經(jīng)建立的隧道。隧道啟動(dòng)后可以在“隧道協(xié)商狀態(tài)”欄目下看到隧道的協(xié)商狀態(tài)，“隧道狀態(tài)”顯示“第二階段協(xié)商”。圖 4-17 登錄且 IKE 協(xié)商第四步：進(jìn)行隧道通信從 P