基于ipsec協(xié)議的linux vpn網(wǎng)關平臺畢業(yè)設計

1、<p>　　基于IPSec協(xié)議的Linux VPN網(wǎng)關平臺</p><p>　　摘要：因特網(wǎng)協(xié)議安全(IPSec)是一系列建立在網(wǎng)絡層最頂端的協(xié)議，通常被用來建立虛擬隧道，最廣為人知的是虛擬專用網(wǎng)絡(VPN)。虛擬專用網(wǎng)絡(VPN)在公共網(wǎng)絡，如因特網(wǎng)中擴展出一個私有網(wǎng)絡。它使計算機通過共享的或公共的網(wǎng)絡來發(fā)送和接收數(shù)據(jù),就好像它是直接連接到私有網(wǎng)絡，而且受益于私有網(wǎng)絡的功能性、安全性和管理政策。<

2、;/p><p>　　本次課題中，論文首先對IPSec VPN的背景和原理進行了一些簡單的介紹，接著論文介紹了VPN網(wǎng)關實現(xiàn)的具體步驟及功能。本次課題使用了Linux系統(tǒng)這個免費開源的平臺用來作為VPN網(wǎng)關。通過在一個Linux系統(tǒng)上搭建VPN服務器來充當VPN網(wǎng)關并采用了xl2tp協(xié)議進行數(shù)據(jù)傳輸，在另一個Linux系統(tǒng)上搭建web以及ftp服務用來充當私有網(wǎng)絡。最后用一臺Windows充當公共網(wǎng)絡中的一臺主機，通過

3、撥號直接連入VPN網(wǎng)關，對私有網(wǎng)絡的web以及ftp實現(xiàn)訪問。本次課題的成功展示出了IPSec VPN在傳輸數(shù)據(jù)方面的良好的安全性、網(wǎng)絡功能和管理性能，同時也展現(xiàn)出了IPSec VPN良好的研究應用價值和開發(fā)前景。</p><p>　　關鍵字：Linux；虛擬專用網(wǎng)絡；IPSec；網(wǎng)關；xl2tp</p><p>　　Linux VPN gateway platform based on

4、IPSec protocol</p><p>　　Abstract: Internet Protocol Security (IPsec) is a set of protocols which sit on top of the Internet Protocol (IP) layer, it is used to build virtual tunnels, commonly known as Virtual

5、 Private Networks (VPNs). A virtual private Network (VPN) extends a private network across a public network, such as the Internet. It enables a computer to send and receive data across shared or public networks as if it

6、were directly connected to the private network, while benefiting from the functionality, security</p><p>　　In this topic, the thesis simply introduced the background and principle of IPSec VPN, and then intr

7、oduced the concrete steps to implement VPN gateway and the function of VPN gateway. Linux system, the free, open source platform was used for VPN gateway in the topic. The VPN server was set up on a Linux system to act a

8、s the VPN gateway and adopted xl2tp protocols for data transmission, and then another Linux system was used to build web and FTP service to act as a private network. Finally a Wind</p><p>　　Keywords: Linux;

9、VPN; IPSec; gateway; xl2tp</p><p><b>　　目錄</b></p><p><b>　　摘要i</b></p><p>　　Abstracti</p><p><b>　　目錄iii</b></p><p>&l

10、t;b>　　1緒論1</b></p><p>　　1.1基于IPSec 協(xié)議的VPN 概述1</p><p>　　1.1.1IPSec VPN的定義1</p><p>　　1.1.2IPSec VPN的優(yōu)缺點2</p><p>　　1.2VPN的發(fā)展趨勢4</p><p>　　1.

11、3IPSec VPN的基本原理5</p><p>　　1.3.1IPSec的基本原理5</p><p>　　1.3.2VPN的基本原理5</p><p>　　2IPSec VPN系統(tǒng)的實現(xiàn)過程及具體設計7</p><p>　　2.1IPSec協(xié)議的實現(xiàn)7</p><p>　　2.2VPN的實現(xiàn)8

12、</p><p>　　2.3本次課題的基本實現(xiàn)功能及簡要說明9</p><p>　　2.3.1本次課題的網(wǎng)絡拓撲圖9</p><p>　　2.3.2本次課題實現(xiàn)的基本流程和功能10</p><p>　　3基于IPSec VPN的Linux網(wǎng)關平臺的實現(xiàn)11</p><p>　　3.1Linux系統(tǒng)的簡

13、介11</p><p>　　3.2Linux操作系統(tǒng)的搭建12</p><p>　　3.2.1安裝VMware12</p><p>　　3.2.2VMware虛擬機主要的功能12</p><p>　　3.2.3利用虛擬機安裝多臺操作系統(tǒng)13</p><p>　　3.3VPN Linux 網(wǎng)關平臺的配

14、置與搭建14</p><p>　　3.3.1進入VPN Linux系統(tǒng)14</p><p>　　3.3.2基于IPSec VPN網(wǎng)關平臺的安裝15</p><p>　　3.3.3內(nèi)網(wǎng)web和ftp服務的安裝與配置20</p><p>　　4本次課題實驗環(huán)境測試24</p><p>　　4.1本次課題

15、實驗環(huán)境介紹24</p><p>　　4.2本次課題實驗環(huán)境測試26</p><p><b>　　4.3總結(jié)31</b></p><p><b>　　5致謝32</b></p><p><b>　　6參考文獻33</b></p><p>

16、;<b>　　附錄34</b></p><p><b>　　緒論</b></p><p>　　隨著Internet的商業(yè)化，許多企業(yè)的內(nèi)部網(wǎng)絡都需要與外界的Internet相連，并且隨著企業(yè)全球化的飛速發(fā)展，不同地區(qū)的企業(yè)內(nèi)部網(wǎng)絡都需要互聯(lián)。以往都是通過租用專線的傳統(tǒng)方式來實現(xiàn)的。在外出差的工作人員如果想要訪問公司內(nèi)部的網(wǎng)絡服務，以往都必須通過

17、長途撥號的方式連接到公司的內(nèi)部網(wǎng)絡。這種撥號連接的方式價格相當?shù)陌嘿F，一般也只有大型公司和企業(yè)才能承擔得起。近年來，Internet的高速發(fā)展，推動了基于因特網(wǎng)的虛擬專用網(wǎng)（VPN）的發(fā)展，讓不同地區(qū)企業(yè)的不同部門之間，以及政府機構的不同部門之間利用公共網(wǎng)絡實現(xiàn)網(wǎng)際互聯(lián)成為可能，同時使企業(yè)節(jié)約了大筆的通信費用。虛擬專用網(wǎng)(VPN)的出現(xiàn)提供了巨大的商業(yè)機會給公共網(wǎng)絡的經(jīng)營者。但是，在通信的過程中，數(shù)據(jù)在公共網(wǎng)絡中傳輸?shù)陌踩院捅Ｃ苄裕?/p>

18、及企業(yè)網(wǎng)在公共網(wǎng)絡中的不同節(jié)點的管理方式，才是企業(yè)最關注的問題。采用專用網(wǎng)絡加密和通信協(xié)議的虛擬專用網(wǎng)（VPN）讓企業(yè)在公共網(wǎng)絡上搭建一個虛擬的加密隧道，構筑屬于自己的安全的虛擬專用網(wǎng)絡?？绲貐^(qū)的企業(yè)部門或出差員工可以從遠程經(jīng)過公共網(wǎng)絡，通過企業(yè)專用的虛擬加密隧道連接企業(yè)內(nèi)部的網(wǎng)絡，而公共網(wǎng)絡上的其他用戶則</p><p>　　在現(xiàn)今的VPN的開發(fā)中，使用得最廣泛的一種協(xié)議就是IPSec協(xié)議。采用IPSec

19、60;VPN對各個節(jié)點進行互聯(lián)，企業(yè)無需擔心前期大量地投入硬件設施，也不再需要擔心因網(wǎng)絡瓶頸造成的重復或者浪費的二期投入；擁有高安全性和端到端的加密特性的IPSec VPN充分保證了信息網(wǎng)絡的安全性；另外還有一點非常重要，各個分支機構的工作人員也沒有必要去考慮復雜的應用，網(wǎng)管工作人員只需要在企業(yè)總部中心就可以管理和訪問每個客戶端所使用的端到端的IPSec VPN連接，而且只需要使用移動辦公客戶端就可以對遠程客戶端的電腦故障進行

20、維護和解決。解決了網(wǎng)絡通信過程中的安全性和在公共網(wǎng)絡中實現(xiàn)異地的局域網(wǎng)之間的虛擬通道的連接,為重要數(shù)據(jù)的傳輸提供了保密性、完整性和認證性,并且在各種訪問控制中都得到了應用。</p><p>　　基于IPSec 協(xié)議的VPN 概述</p><p>　　IPSec VPN的定義</p><p>　　IPSec的英文全名為“Internet Protocol Securi

21、ty”，中文名為“因特網(wǎng)安全協(xié)議”。因特網(wǎng)安全協(xié)議保證了在因特網(wǎng)的網(wǎng)絡層上傳輸?shù)臄?shù)據(jù)的安全性，同時它也是VPN的基本加密協(xié)議。通過特定的方式建立一個通信連接，從而為通信雙方建立一個IPSec通道。由于IPSec協(xié)議支持多種不同的操作模式，所以通信雙方在建立IPSec通道之前必須要先確定所采用的操作模式和安全策略，包括如加密運算法則和身份驗證方法類型等。在IPSec協(xié)議中，一旦IPSec通道建立，所有在網(wǎng)絡層之上的協(xié)議在通信雙方都經(jīng)過加密

22、，如TCP、UDP 、SNMP、HTTP、POP等，而不管這些通道構建時所采用的安全和加密方法如何。IPSec VPN是一種基于IPSec協(xié)議的VPN通訊設備。</p><p>　　IPSec是IETF IPSec工作組制定的一套協(xié)議簇，目的在于為IP層通信提供安全。它主要由兩大部分組成：安全協(xié)議部分、密鑰協(xié)商部分。安全協(xié)議部分提供了各種通信保護方式；密鑰協(xié)商部分用來保護安全協(xié)議協(xié)商的參數(shù)，以及鑒別通信實體的身份

23、。</p><p>　　VPN的英文全稱是“Virtual Private Network”，中文翻譯過來就是“虛擬專用網(wǎng)絡”。它是構建在公共通信基礎設施上的虛擬專用網(wǎng)絡，是一種從公共網(wǎng)絡中隔離出來的專用網(wǎng)絡。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。VPN的核心

24、就是在公共網(wǎng)絡上建立出來的虛擬專用網(wǎng)。虛擬專用網(wǎng)可以用來幫助商業(yè)伙伴、遠程用戶、供應商以及公司分支機構同公司的內(nèi)部網(wǎng)建立可信、安全的連接，并且保證了數(shù)據(jù)傳輸?shù)陌踩?。由于是將?shù)據(jù)流轉(zhuǎn)移到了成本較低的公共網(wǎng)絡上，所以企業(yè)的虛擬專用網(wǎng)解決方案將用戶花費在遠程網(wǎng)絡和城域網(wǎng)連接上的費用大幅度地消減。同時，還能夠?qū)W(wǎng)絡的管理和設計進行簡化，加速新的用戶和網(wǎng)站連接。</p><p>　　IPSec VPN的優(yōu)缺點</p

25、><p>　　IPSec VPN的優(yōu)點</p><p>　　IPSec技術與應用無關，因此IPSec VPN是一種支持所有IP層協(xié)議的客戶端。應用于傳輸層之下IPSec，對應用程序來說完全沒有影響。在防火墻或者路由器上安裝IPSec時，不需要對用戶或者服務器系統(tǒng)中的軟件進行設置。就算在終端系統(tǒng)上運行IPSec，基于應用程序的上層軟件也不會受到任何影響。</p><p>

26、　　IPSec技術中，client-to-client（客戶端到客戶端）、 client-to-site（客戶端到站點）、site-to-site（站點到站點）這三種模式在連接時使用的是完全一樣的技術。</p><p>　　IPSec VPN有著極高的安全性能。由于IPSec安全協(xié)議網(wǎng)絡層中運行，不僅會加密所有網(wǎng)絡通道，而且用戶通過采用像專線方式物理連接企業(yè)網(wǎng)絡一樣的方式去訪問所有企業(yè)資源。IPSec不是僅僅加密

27、正在通信的那一部分通道，而是加密所有的通道。另外安裝和配置在運程接入客戶端的IPSec客戶端軟件和接入設備限制了來自接入設備、軟件客戶端、用戶認證機制和預定義安全規(guī)則的特定訪問，能夠大大的提高安全級別。</p><p>　　IPSec VPN的缺點</p><p>　　IPSec VPN在通信性能方面要比其他軟件。IPSec VPN較高的安全性能反而影響了它的通信性能。</p>

28、<p>　　IPSec VPN必須安裝客戶端軟件來支持。在IPSec VPN中，每個客戶端都需要安裝有特定用途的軟件。這些特定用途的軟件可以用來替換或者增加客戶系統(tǒng)的TCP/IP堆棧。在很多的系統(tǒng)中，這也許會出現(xiàn)和其他軟件的兼容性問題。目前還沒有出現(xiàn)解決這一兼容性問題的標準，每一個IPSec客戶端軟件都是特定的，無法和其他軟件兼容。在一些其他的情形中，IPSec安全協(xié)議可以網(wǎng)絡硬件應用中運行，這就要求通信雙方必須采用相同的

29、硬件。因此，應用于硬件中的IPSec協(xié)議也隱藏著兼容性問題。</p><p>　　IPSec VPN較難安裝和維護。使用IPSec VPN時，每個接入用戶都必須安裝VPN客戶端，因此，需要花費非常高的費用?，F(xiàn)今的一些移動終端用戶偏離了IPSec VPN用于連接運程辦公地點的這一初衷。IPSec VPN，必須得為每個移動終端用戶提供客戶端。環(huán)境和網(wǎng)絡不同，客戶端的配置也不一樣。如果想要從不同的地方訪問公司內(nèi)部網(wǎng)絡，

30、就要求客戶經(jīng)常修改配置，無形當中支持的費用也提高了。在部署IPSec VPN之后，如果用戶想要訪問他所需要的資源，就必須事先在他的電腦上安裝客戶端。這也就意味著那些經(jīng)常變動辦公地點的員工，如果想要從其他任何非本人的電腦上訪問公司內(nèi)部資源的時候，他要么無法訪問，要么打電話向公司求助。</p><p>　　IPSec VPN實際只能全面支持較少的系統(tǒng)。雖然已有許多開發(fā)的操作系統(tǒng)提出對IPSec協(xié)議的支持，但是在實際應

31、用中，IPSec安全協(xié)議客戶的計算機通常只運行于Windows系統(tǒng)，很少有能運行在其它PC系統(tǒng)平臺的，如Mac、Linux、Solaris 等。</p><p><b>　　VPN的發(fā)展趨勢</b></p><p>　　近年來，IT產(chǎn)業(yè)的消費日益膨脹，安全通信逐漸成為人們關注的重點，這使得VPN技術得到了前所未有的IT產(chǎn)業(yè)青睞。隨著VPN技術的飛速成長，日益成熟的VP

32、N產(chǎn)品成為了各大IT行業(yè)的發(fā)展新目標。目前大部分的VPN市場份額仍由VPN產(chǎn)品銷售體現(xiàn)，在未來的若干年里，VPN服務所占的市場份額將超過VPN產(chǎn)品，這也體現(xiàn)了信息安全服務成為競爭焦點的趨勢。隨著整合式安全設備的發(fā)展，VPN將被更多的集成在整體式安全體系當中，而各種安全協(xié)議和語言的分裂融合將更加激烈。VPN廠商將根據(jù)形式轉(zhuǎn)換角色，可能出現(xiàn)專門進行技術設計、系統(tǒng)制造和增值服務的不同類型的廠商。順應全球的經(jīng)濟發(fā)展趨勢及互聯(lián)網(wǎng)用戶的增長態(tài)勢，亞

33、洲地區(qū)將成為VPN市場的新熱點并有可能成為帶動消費趨勢的市場區(qū)域之一。</p><p>　　IPSec VPN和MPLS VPN仍將保持穩(wěn)定的成長率，但是與SSL VPN陣營的差距仍將被不斷縮小。IPSec/MPLS VPN和SSL VPN陣營的技術各有特色，而且所面向的用戶群體有所不同。在短期內(nèi)這兩者還不會形成互相侵蝕的局面，但是SSL VPN的易用性將吸引很多用戶投向該產(chǎn)品，這必然將引起這兩種VPN架構面對面

34、的競爭。這兩種架構會在互相學習對手優(yōu)勢的同時不斷的融合其它功能特征，以提供更全面的服務用于吸引用戶。由于承載VPN流量的非專用網(wǎng)絡通常不提供QoS（服務質(zhì)量）保障，所以VPN解決方案必須整合QoS解決方案才能夠提供具有足夠可用性的目前IETF已經(jīng)提出了支持QoS（服務質(zhì)量）的RSVP（帶寬資源預留）協(xié)議，而IPv6協(xié)議也提供了處理QoS的能力。這為VPN的進一步普及化提供了足夠的保障。隨著IPv6網(wǎng)絡的主流化進程，將會產(chǎn)生更具統(tǒng)治力的V

35、PN架構，VPN技術將向著IP協(xié)議這類基礎協(xié)議的形式發(fā)展。在不久的將來，VPN將可以成為更加基礎的技術被內(nèi)嵌到各種系統(tǒng)當中，從而實現(xiàn)完全透明化的VPN基礎設施。</p><p>　　目前，采用IPSec標準的VPN技術已經(jīng)基本成熟，得到國際上幾乎所有主流網(wǎng)絡和安全供應商的鼎力支持，并且正在不斷豐富完善?？梢詳喽?，IPSec將成為未來相當一段時間內(nèi)企業(yè)構筑VPN的主流標準，因此企業(yè)在構造VPN基礎設施時應該首先考慮

36、IPSec標準。</p><p>　　IPSec VPN的基本原理</p><p>　　IPSec的基本原理</p><p>　　IPSec的工作原理類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴展。當接收到一個IP數(shù)據(jù)包時，包過濾防火墻使用其頭部在一個規(guī)則表中進行匹配。當找到一個相匹配的規(guī)則時，包過濾防火墻就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進行處理。

37、這里的處理工作只有兩種：丟棄或轉(zhuǎn)發(fā)?！?lt;/p><p>　　IPSec通過查詢SPD(Security Po1icy Database安全策略數(shù)據(jù)庫)決定對接收到的IP數(shù)據(jù)包的處理。但是IPSec不同于包過濾防火墻的是，對IP數(shù)據(jù)包的處理方法除了丟棄，直接轉(zhuǎn)發(fā)(繞過IPSec)外，還有一種，即進行IPSec處理。正是這新增添的處理方法提供了比包過濾防火墻更進一步的網(wǎng)絡安全性。</p><p&g

38、t;　　進行IPSec處理意味著對IP數(shù)據(jù)包進行加密和認證。包過濾防火墻只能控制來自或去往某個站點的IP數(shù)據(jù)包的通過，可以拒絕來自某個外部站點的IP數(shù)據(jù)包訪問內(nèi)部某些站點，．也可以拒絕某個內(nèi)部站點方對某些外部網(wǎng)站的訪問。但是包過濾防火墻不能保證自內(nèi)部網(wǎng)絡出去的數(shù)據(jù)包不被截取，也不能保證進入內(nèi)部網(wǎng)絡的數(shù)據(jù)包未經(jīng)過篡改。只有在對IP數(shù)據(jù)包實施了加密和認證后，才能保證在外部網(wǎng)絡傳輸?shù)臄?shù)據(jù)包的機密性，真實性，完整性，通過Internet進新安全

39、的通信才成為可能。</p><p>　　IPSec既可以只對IP數(shù)據(jù)包進行加密，或只進行認證，也可以同時實施二者。但無論是進行加密還是進行認證，IPSec都有兩種工作模式，一種是隧道模式，另一種是傳輸模式。</p><p>　　傳輸模式，只對IP數(shù)據(jù)包的有效負載進行加密或認證。此時，繼續(xù)使用以前的IP頭部，只對IP頭部的部分域進行修改，而IPSec協(xié)議頭部插入到IP頭部和傳輸層頭部之間。&

40、lt;/p><p>　　隧道模式，對整個IP數(shù)據(jù)包進行加密或認證。此時，需要新產(chǎn)生一個IP頭部，IPSec頭部被放在新產(chǎn)生的IP頭部和以前的IP數(shù)據(jù)包之間，從而組成一個新的IP頭部。</p><p><b>　　VPN的基本原理</b></p><p>　　VPN由管理模塊、密鑰分配和生成模塊、身份認證模塊、數(shù)據(jù)加密、解密模塊、數(shù)據(jù)分組封裝、分解模

41、塊和加密函數(shù)庫幾部分組成。</p><p>　　管理模塊負責整個系統(tǒng)的配置和管理。由管理模塊來決定采取何種傳輸模式，對哪些IP數(shù)據(jù)包進行加密、解密。由于對IP數(shù)據(jù)包進行加密需要消耗系統(tǒng)資源，增大網(wǎng)絡延遲，因此對兩個安全網(wǎng)關之間所有的IP數(shù)據(jù)包提供VPN服務是不現(xiàn)實的。網(wǎng)絡管理員可以通過管理模塊來指定對哪些IP數(shù)據(jù)包進行加密。Internet內(nèi)部用戶也可以通過Telnet協(xié)議傳送的專用命令，指定VPN系統(tǒng)對自已的I

42、P數(shù)據(jù)包提供加密服務。</p><p>　　密鑰管理模塊負責完成身份認證和數(shù)據(jù)加密所需的密鑰生成和分配。其中密鑰的生成采取隨機生成的方式。各安全網(wǎng)關之間密鑰的分配采取手工分配的方式， 通過非網(wǎng)絡傳輸?shù)钠渌踩ㄐ欧绞酵瓿擅荑€在各安全網(wǎng)關之間的傳送。各安全網(wǎng)關的密鑰存貯在密數(shù)據(jù)庫中，支持以IP地址為關鍵字的快速查詢獲取。</p><p>　　身份認證模塊對IP數(shù)據(jù)包完成數(shù)字簽名的運算。整個數(shù)

43、字簽名的過程：首先，發(fā)送方對數(shù)據(jù)進行哈希運算h＝H(m)，然后 用通信密鑰k對h進行加密得到簽名Signature＝{ h} key。發(fā)送方將簽名附在明文之后，一起傳送給接收方。 接收方收到數(shù)據(jù)后，首先用密鑰k對簽名進行解密得到 h，并將其與H(m)進行比較，如果二者一致，則表明數(shù)據(jù)是完整的。數(shù)字簽名在保證數(shù)據(jù)完整性的同時，也起到了身份認證的作用，因為只有在有密鑰的情況之下，才能對數(shù)據(jù)進行正確的簽名。</p><p&

44、gt;　　數(shù)據(jù)加密/解密模塊完成對IP數(shù)據(jù)包的加密和解密操作?？蛇x的加密算法有IDEA算法和DES算法。前者在用軟件方式實現(xiàn)時可以獲得較快的加密速度。為了 進一步提高系統(tǒng)效率，可以采用專用硬件的方式實現(xiàn)數(shù)據(jù)的加密和解密，這時采用DES算法能得到較快的加密速度。隨著當前計算機運算能力的提高，DES算法的安全性開始受到挑戰(zhàn)，對于安全性要求更高的網(wǎng)絡數(shù)據(jù)，數(shù)據(jù)加密/解密模塊可以提供TriPle DES加密服務。</p><

45、p>　　數(shù)據(jù)分組的封裝/分解模塊實現(xiàn)對IP數(shù)據(jù)分組進行安全封裝或分解。當從安全網(wǎng)關發(fā)送IP數(shù)據(jù)分組時，數(shù)據(jù)分組封裝/分解模塊為IP數(shù)據(jù)分組附加上身份認證頭AH和安全數(shù)據(jù)封裝頭ESP。當安全網(wǎng)關接收到IP 數(shù)據(jù)分組時，數(shù)據(jù)分組封裝/分解模塊對AH和ESP進行協(xié)議分析，并根據(jù)包頭信息進行身份驗證和數(shù)據(jù)解密。加密函數(shù)庫為上述模塊提供統(tǒng)一的加密服務。加密函數(shù)庫設計的一條基本原則是通過一個統(tǒng)一的函數(shù)接口界面與上述模塊進行通信。這樣可以根據(jù)實

46、際的需要，在掛接加密算法和加密強度不同的函數(shù)庫時，其它模塊不需作出改動。</p><p>　　IPSec VPN系統(tǒng)的實現(xiàn)過程及具體設計</p><p>　　IPSec協(xié)議的實現(xiàn)</p><p>　　IPsec協(xié)議不是一個單獨的協(xié)議，它給出了應用于IP層上網(wǎng)絡數(shù)據(jù)安全的一整套體系結(jié)構，包括網(wǎng)絡認證協(xié)議AH（Authentication Header，認證頭）、ESP

47、（Encapsulating Security Payload，封裝安全載荷）、IKE（Internet Key Exchange，因特網(wǎng)密鑰交換）和用于網(wǎng)絡認證及加密的一些算法等。其中，AH協(xié)議和ESP協(xié)議用于提供安全服務，IKE協(xié)議用于密鑰交換。</p><p>　　IPsec提供了兩種安全機制：認證和加密。認證機制使IP通信的數(shù)據(jù)接收方能夠確認數(shù)據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在傳輸過程中是否遭篡改。加密機制通過

48、對數(shù)據(jù)進行加密運算來保證數(shù)據(jù)的機密性，以防數(shù)據(jù)在傳輸過程中被竊聽。</p><p>　　IPsec協(xié)議中的AH協(xié)議定義了認證的應用方法，提供數(shù)據(jù)源認證和完整性保證；ESP協(xié)議定義了加密和可選認證的應用方法，提供數(shù)據(jù)可靠性保證。</p><p>　　AH協(xié)議（IP協(xié)議號為51）提供數(shù)據(jù)源認證、數(shù)據(jù)完整性校驗和防報文重放功能，它能保護通信免受篡改，但不能防止竊聽，適合用于傳輸非機密數(shù)據(jù)。AH的

49、工作原理是在每一個數(shù)據(jù)包上添加一個身份驗證報文頭，此報文頭插在標準IP包頭后面，對數(shù)據(jù)提供完整性保護?？蛇x擇的認證算法有MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。</p><p>　　ESP協(xié)議（IP協(xié)議號為50）提供加密、數(shù)據(jù)源認證、數(shù)據(jù)完整性校驗和防報文重放功能。ESP的工作原理是在每一個數(shù)據(jù)包的標準IP包頭后面添加一個ESP報文頭，并在數(shù)據(jù)包后面追加

50、一個ESP尾。與AH協(xié)議不同的是，ESP將需要保護的用戶數(shù)據(jù)進行加密后再封裝到IP包中，以保證數(shù)據(jù)的機密性。常見的加密算法有DES、3DES、AES等。同時，作為可選項，用戶可以選擇MD5、SHA-1算法保證報文的完整性和真實性。</p><p>　　在實際進行IP通信時，可以根據(jù)實際安全需求同時使用這兩種協(xié)議或選擇使用其中的一種。AH和ESP都可以提供認證服務，不過，AH提供的認證服務要強于ESP。同時使用AH

51、和ESP時，設備支持的AH和ESP聯(lián)合使用的方式為：先對報文進行ESP封裝，再對報文進行AH封裝，封裝之后的報文從內(nèi)到外依次是原始IP報文、ESP頭、AH頭和外部IP頭。</p><p><b>　　VPN的實現(xiàn)</b></p><p>　　1.VPN網(wǎng)關需要兩張網(wǎng)卡的支持，一張網(wǎng)卡連接內(nèi)部私有網(wǎng)絡，一張網(wǎng)卡連接Internet。</p><p&g

52、t;　　2.Internet中的終端A通過發(fā)送以內(nèi)部網(wǎng)絡的終端B的私有IP地址為目的地址的數(shù)據(jù)包來對終端B進行訪問。</p><p>　　3. VPN網(wǎng)關中連接Internet的那一端收到來自終端A發(fā)出的數(shù)據(jù)包時，會檢查它的目的地址。如果目的地址是屬于內(nèi)部網(wǎng)絡中的地址，那么就封裝該數(shù)據(jù)包，不同的VPN技術會采用不同的封裝方式。封裝后的原數(shù)據(jù)包用來負載VPN網(wǎng)關構造出的新VPN數(shù)據(jù)包，新的VPN數(shù)據(jù)包的目標地址

53、為內(nèi)部網(wǎng)絡中的VPN網(wǎng)關的外部地址。</p><p>　　4.VPN外網(wǎng)網(wǎng)關發(fā)送VPN數(shù)據(jù)包到Internet當中，由于VPN數(shù)據(jù)包的目的地址是VPN網(wǎng)關的外部地址，所以該數(shù)據(jù)包將被Internet中的路由正確地發(fā)送到VPN網(wǎng)關外網(wǎng)接口。</p><p>　　5.VPN網(wǎng)關外網(wǎng)接口會檢查所有接收到的數(shù)據(jù)包，如果發(fā)現(xiàn)該數(shù)據(jù)包是來自于公網(wǎng)中的VPN網(wǎng)關，則可判定該數(shù)據(jù)包為VPN數(shù)據(jù)包，然后

54、會解封裝該數(shù)據(jù)包。解封裝時先剝離VPN數(shù)據(jù)包包頭，然后把VPN數(shù)據(jù)包還原成原數(shù)據(jù)包。</p><p>　　6.解封裝之后的原始數(shù)據(jù)包會被VPN網(wǎng)關發(fā)送到內(nèi)網(wǎng)終端B，由于原數(shù)據(jù)包中的目的地址是內(nèi)網(wǎng)終端B的IP地址，因此內(nèi)網(wǎng)中的終端B能夠正確地收到該訪問數(shù)據(jù)包。對于終端B來講，它所收到的數(shù)據(jù)包就跟從終端A直接發(fā)送過來的數(shù)據(jù)包一樣。</p><p>　　7.從終端B返回終端A的數(shù)據(jù)包處理過程

55、和上述過程一樣，這樣兩個網(wǎng)絡內(nèi)的終端就可以相互通訊了。</p><p>　　通過上述說明可以發(fā)現(xiàn)，在VPN網(wǎng)關對數(shù)據(jù)包進行處理時，有兩個參數(shù)對于VPN通訊十分重要： 原始數(shù)據(jù)包的目標地址（VPN目標地址）和遠程VPN網(wǎng)關地址。根據(jù)VPN目標地址，VPN網(wǎng)關能夠判斷對哪些數(shù)據(jù)包進行VPN處理，對于不需要處理的數(shù)據(jù)包通常情況下可直接轉(zhuǎn)發(fā)到上級路由；遠程VPN網(wǎng)關地址則指定了處理后的VPN數(shù)據(jù)包發(fā)送的目標地址，即VPN

56、隧道的另一端VPN網(wǎng)關地址。由于網(wǎng)絡通訊是雙向的，在進行VPN通訊時，隧道兩端的VPN網(wǎng)關都必須知道VPN目標地址和與此對應的遠端VPN網(wǎng)關地址。</p><p>　　本次課題的基本實現(xiàn)功能及簡要說明</p><p>　　本次課題的網(wǎng)絡拓撲圖</p><p>　　圖2.1 網(wǎng)絡拓撲圖</p><p>　　如圖2.1所示，本次課題我們采用兩個路

57、由器分別充當外網(wǎng)和內(nèi)網(wǎng)網(wǎng)關。外網(wǎng)客戶端和VPN網(wǎng)關服務器的eth0端口連接192.168.1.1這個網(wǎng)關，VPN網(wǎng)關服務器的eth1接口和內(nèi)網(wǎng)搭載web/ftp的服務器連接192.168.3.2這個網(wǎng)關。由于客戶端和內(nèi)網(wǎng)服務器的ip屬于不同網(wǎng)段，并且他們之間并沒有設置路由條目，所以外網(wǎng)客戶端是無法訪問內(nèi)網(wǎng)的web/ftp服務的。本次試驗的目的就是在VPN網(wǎng)關服務器上搭載一個VPN服務，然后讓外網(wǎng)客戶端通過VPN通道連上VPN網(wǎng)關，VPN

58、服務器會隨機分配一個內(nèi)網(wǎng)的ip給客戶端，讓客戶端能夠訪問內(nèi)網(wǎng)的web/ftp服務。</p><p>　　本次課題實現(xiàn)的基本流程和功能</p><p><b>　　基本流程</b></p><p><b>　　繪制拓撲圖</b></p><p><b>　　安裝虛擬機</b>&l

59、t;/p><p>　　在虛擬機中安裝三個操作系統(tǒng)</p><p>　　設置虛擬網(wǎng)卡，配置網(wǎng)絡拓撲結(jié)構</p><p>　　在VPN網(wǎng)關操作系統(tǒng)中安裝和配置VPN服務器</p><p>　　在客戶端添加證書和VPN連接</p><p>　　在內(nèi)網(wǎng)服務器上安裝web和ftp服務</p><p><

60、b>　　調(diào)試</b></p><p><b>　　實現(xiàn)的基本功能</b></p><p>　　VPN網(wǎng)關服務器能夠開啟和監(jiān)控VPN服務</p><p>　　客戶端能夠連入VPN網(wǎng)關服務器</p><p>　　客戶端能夠分配到內(nèi)網(wǎng)ip地址</p><p>　　內(nèi)網(wǎng)服務器提供web和

61、ftp服務</p><p>　　客戶端能夠訪問內(nèi)網(wǎng)服務器的web和ftp服務</p><p>　　基于IPSec VPN的Linux網(wǎng)關平臺的實現(xiàn)</p><p>　　Linux系統(tǒng)的簡介</p><p>　　Linux 其實就是一個操作系統(tǒng)，這個操作系統(tǒng)里頭含有最主要的 kernel 以及 kerne

62、l 提供的工具！他提供了一個完整的操作系統(tǒng)當中最底層的硬件控制與資源管理的完整架構，這個架構是沿襲 Unix 良好的傳統(tǒng)來的，所以相當?shù)姆€(wěn)定而功能強大！此外，由于這個優(yōu)良的架構可以在目前的個人計算機 ( X86 系統(tǒng) ) 上面跑，所以很多的軟件開發(fā)者將他們的工作心血移轉(zhuǎn)到這個架構上面，那就是很多的應用軟件！雖然 Linux 僅是其核心與核

63、心提供的工具，不過，由于核心、核心工具與這些軟件開發(fā)者提供的軟件的整合，使得 Linux 成為一個更完整的、功能強大的操作系統(tǒng)！</p><p>　　Linux系統(tǒng)使用單內(nèi)核，由Linux內(nèi)核負責處理進程控制、網(wǎng)絡，以及外圍設備和文件系統(tǒng)的訪問。在系統(tǒng)運行的時候，設備驅(qū)動程序要么與內(nèi)核直接集成，要么以加載模塊形式添加。Linux具有設備獨立性，它內(nèi)核具有高度適應能力，從而給系統(tǒng)提供了更高級的功

64、能。GNU用戶界面組件是大多數(shù)Linux操作系統(tǒng)的重要組成部分，提供常用的C函數(shù)庫，shell，還有許多常見的Unix實用工具，可以完成許多基本的操作系統(tǒng)任務。大多數(shù)Linux系統(tǒng)使用的圖形用戶界面創(chuàng)建在X窗口系統(tǒng)之上，由X窗口系統(tǒng)通過軟件工具及架構協(xié)議來創(chuàng)建操作系統(tǒng)所用的圖形用戶界面。</p><p>　　Linux系統(tǒng)還具備以下優(yōu)點：跨平臺的硬件支持、豐富的軟件支持、多用戶多任務、可靠的安全性、良好的穩(wěn)定性、

65、完善的網(wǎng)絡功能。</p><p>　　Linux 在它的追捧者眼里是一個近乎完美的操作系統(tǒng)，它具有運行穩(wěn)定、功能強大、獲取方便等優(yōu)點，因而有著廣闊的前景，或許也值得我們每一個計算機愛好者學習和應用。</p><p>　　Linux操作系統(tǒng)的搭建</p><p><b>　　安裝VMware</b></p><p><

66、;b>　　圖3.1 虛擬機</b></p><p>　　如圖3.1所示，多臺PC機分別充當不懂角色來完成。所以我們需要安裝虛擬機實現(xiàn)用一臺PC機模擬多臺機器，從而實現(xiàn)VPN網(wǎng)關平臺的搭建、配置與測試。</p><p>　　VMware虛擬機主要的功能</p><p>　　不需要分區(qū)或重開機就能在同一臺PC上使用兩種以上的操作系統(tǒng)。</p>

67、;<p>　　完全隔離并保護不同OS的操作環(huán)境以及所有安裝在OS上面的應用軟件和資料。</p><p>　　不同的OS之間還能互動操作，包括網(wǎng)絡、周邊、文件分享以及復制粘貼功能。</p><p>　　有復原（Undo）功能。</p><p>　　能夠設定并隨時修改操作系統(tǒng)的操作環(huán)境，如：內(nèi)存、磁碟空間、周邊設備等等。</p><p&

68、gt;<b>　　熱遷移，高可用性。</b></p><p>　　利用虛擬機安裝多臺操作系統(tǒng)</p><p>　　圖3.2 虛擬機上安裝的多個操作系統(tǒng)</p><p>　　如圖3.2所示，在該虛擬機中，本課題安裝了兩臺Linux操作系統(tǒng)分別用作VPN網(wǎng)關平臺和內(nèi)網(wǎng)服務器。還安裝了一臺Window XP 來充當外網(wǎng)，連入VPN網(wǎng)關平臺的測試機。&

69、lt;/p><p>　　VPN Linux 網(wǎng)關平臺的配置與搭建</p><p>　　進入VPN Linux系統(tǒng)</p><p>　　圖3.3 Linux開機界面</p><p>　　圖3.4 Linux系統(tǒng)操作界面</p><p>　　如圖3.3和3.4所示，Linux系統(tǒng)的操作界面和Windows大不相同，Linu

70、x主要使用命令行界面，而Windows以圖形化界面為主</p><p>　　基于IPSec VPN網(wǎng)關平臺的安裝</p><p>　　安裝openswan, ipsec, xl2tpd</p><p>　　安裝之前，需要修改配置。在/etc/sysctl.conf文件中，找到</p><p>　　net.ipv4.ip_forward = 0

71、</p><p>　　net.ipv4.conf.default.rp_filter = 1 </p><p><b>　　改為：</b></p><p>　　net.ipv4.ip_forward = 1</p><p>　　net.ipv4.conf.default.rp_filter = 0</p>

72、<p>　　然后執(zhí)行sysctl -p使之生效。</p><p>　　Ipsec工具是Linux系統(tǒng)自帶的，所以不需要安裝。先去網(wǎng)上下載xl2tpd安裝包。默認放在/home/xyl/Downlad/目錄下面。</p><p>　　[root@localhost Downloads]# ls</p><p>　　xl2tpd-1.3.0.tar.gz<

73、;/p><p>　　[root@localhost Downloads]# tar -zxvf xl2tpd-1.3.0.tar.gz</p><p>　　[root@localhost Downloads]# ls </p><p>　　xl2tpd-1.3.0 xl2tpd-1.3.0.tar.gz</p><p>　　[root@loc

74、alhost Downloads]# cd xl2tpd-1.3.0</p><p>　　[root@localhost xl2tpd-1.3.0]# make install</p><p>　　然后使用yum安裝openswan：</p><p>　　[root@localhost xl2tpd-1.3.0]# yum install openswan</

75、p><p>　　最后檢測安裝是否成功：</p><p>　　[root@localhost xl2tpd-1.3.0]# rpm -qa|grep xl2tpd</p><p>　　xl2tpd-1.3.1-14.fc20.x86_64</p><p>　　[root@localhost xl2tpd-1.3.0]# rpm -qa|grep o

76、penswan</p><p>　　openswan-2.6.32-27.2.el6_5.x86_64</p><p><b>　　配置xl2tpd</b></p><p>　　[root@localhost xl2tpd-1.3.0]# vim /etc/xl2tpd/xl2tpd.conf</p><p><b

77、>　　[global]</b></p><p>　　listen-addr = 192.168.1.126 #網(wǎng)關通過該ip地址監(jiān)聽客戶端的連接請求</p><p>　　port=1701 #監(jiān)聽端口</p><p>　　auth file = /etc/ppp/chap-s

78、ecrets #加密文件路徑</p><p>　　[lns default]</p><p>　　ip range = 192.168.3.129-192.168.3.254 #客戶機連上VPN后分配到的地址范圍</p><p>　　local ip = 192.168.1.126 #本地ip地址</p&

79、gt;<p>　　; leave chap unspecified for maximum compatibility with windows, iOS, etc</p><p>　　; require chap = yes</p><p>　　refuse pap = yes #不使用pap協(xié)議</p><

80、;p>　　require authentication = yes </p><p>　　name = VPNGateway</p><p>　　ppp debug = yes</p><p>　　pppoptfile = /etc/ppp/options.xl2tpd #ppp協(xié)議的配置文件路徑</p>

81、;<p>　　length bit = yes</p><p>　　[root@localhost xl2tpd-1.3.0]# less /etc/ppp/options.xl2tpd</p><p>　　name xl2tpd</p><p>　　ipcp-accept-local</p><p>　　ipcp-accept

82、-remote </p><p>　　ms-dns 8.8.8.8 #分配給客戶端的dns</p><p>　　ms-wins 192.168.1.127 #Windows客戶端的ip地址</p><p><b>　　noccp</b></

83、p><p><b>　　auth</b></p><p><b>　　crtscts</b></p><p><b>　　idle 1800</b></p><p><b>　　mtu 1280</b></p><p><b>

84、;　　mru 1280</b></p><p>　　nodefaultroute</p><p><b>　　debug</b></p><p><b>　　lock</b></p><p><b>　　proxyarp</b></p><p&g

85、t;　　connect-delay 5000 #連接最大超時時間</p><p><b>　　編輯加密文件：</b></p><p>　　[root@localhost xl2tpd-1.3.0]# less /etc/ppp/chap-secrets</p><p>　　# Secrets for

86、 authentication using CHAP</p><p>　　# client server secret IP addresses</p><p>　　dream * "123456" 192.168.3.128/25</p><

87、p>　　l2tp里面會使用chap對用戶的身份進行驗證，就相當于撥號時輸入的用戶名密碼的作用一樣。 在該文件的最后一行輸入 用戶名 * 密碼 (*表示用戶可以使用任意的網(wǎng)段進行撥號，例如dream * “123456”)。</p><p>　　至此，xl2tpd的所有配置都已經(jīng)完成。</p><p>　　配置openswan(就是配置認證方式，可以時rsa或者是x.509，這里采用x

88、.509認證方式) ，其主配置文件為/etc/ipsec.conf,/etc/ipsec.secrets，其配置目錄在/etc/ipsec.d 里面是對x.509證書的配置。</p><p>　　[root@localhost xl2tpd-1.3.0]# ll /etc/ipsec.d/</p><p><b>　　total 40</b></p>&

89、lt;p>　　drwxr-xr-x. 2 root root 4096 Apr 13 18:30 cacerts #存放X.509的根證書</p><p>　　drwxr-xr-x. 2 root root 4096 Apr 13 04:15 certs #存放X.509客戶端證書</p><p>　　drwxr-xr-x. 2 root root 4096 Apr 13

90、02:39 crls # 存放X.509認證私鑰</p><p>　　drwxr-xr-x. 2 root root 4096 Apr 13 18:31 private #存放X.509撤消列表</p><p>　　建立如下目錄/root/ca/demoCA，demoCA存放ca證書和撤銷列表。而網(wǎng)關證書與認證私鑰，客戶端證書與私鑰放在ca下。</p><p

91、>　　現(xiàn)使用以下命令在/root/ca/demoCA下產(chǎn)生ca根證書cacert.pem和其私鑰cakey.pem 和crl表crl.pem：</p><p>　　[root@localhost xl2tpd-1.3.0]# mkdri -p /root/ca/demoCA/</p><p>　　[root@localhost ca]# cd /root/ca/demoCA/<

92、/p><p>　　[root@localhost demoCA]# openssl req -x509 -days 365 -newkey rsa:1024 -keyout cakey.pem -out cacert.pem</p><p>　　[root@localhost demoCA]openssl ca -gencrl -out crl.pem</p><p>

93、　　[root@localhost demoCA]# ls</p><p>　　cacert.pem cakey.pem crl.pem</p><p>　　然后在/root/ca/下使用以下命令產(chǎn)生網(wǎng)關的認證私鑰vpngateway.key和證書vpngateway.cert：</p><p>　　[root@localhost demoCA]# echo &q

94、uot;01" /etc/pki/CA/crlnumber</p><p>　　然后在/root/ca/下使用以下命令產(chǎn)生網(wǎng)關的認證私鑰vpngateway.key和證書vpngateway.cert：</p><p>　　[root@localhost ca]# openssl req -newkey rsa:1024 -keyout vpngateway.key -out v

95、pngatewayreq.pem</p><p>　　[root@localhost ca]# ll</p><p><b>　　total 16</b></p><p>　　drwxr-xr-x. 3 root root 4096 Apr 13 18:21 demoCA</p><p>　　-rw-r--r--. 1

96、root root 981 Apr 13 18:27 vpngateway.cert</p><p>　　-rw-r--r--. 1 root root 1041 Apr 13 18:26 vpngateway.key</p><p>　　-rw-r--r--. 1 root root 700 Apr 13 18:26 vpngatewayreq.pem</p><

97、p>　　然后將ca證書與網(wǎng)關證書與私鑰放進網(wǎng)關上的openswan的相依目錄下：</p><p>　　[root@localhost ca]# ll /etc/ipsec.d/</p><p>　　aacerts/ cacerts/ certs/ crls/ examples/ l2tp-psk.conf ocsp

98、certs/ passwd/ policies/ private/ </p><p>　　[root@localhost ca]# cp demoCA/cacert.pem /etc/ipsec.d/cacerts/</p><p>　　[root@localhost ca]# cp vpngateway.cert /etc/ipsec.d/ce

99、rts/</p><p>　　[root@localhost ca]# cp vpngateway.key /etc/ipsec.d/private/</p><p>　　[root@localhost ca]# ll /etc/ipsec.d/certs/ </p><p>　　-rw-r--r--. 1 root root 981 Apr 13 18:31 /e

100、tc/ipsec.d/certs/vpngateway.cert </p><p>　　在網(wǎng)關的/root/ca下，用以下命令將CA證書cacertpem的格式轉(zhuǎn)化為p12文件： </p><p>　　[root@localhost ca]# openssl pkcs12 -export -in demoCA/cacert.pem -inkey demoCA/cakey.

101、pem -out demoCA.p12</p><p>　　Enter pass phrase for demoCA/cakey.pem:</p><p>　　Enter Export Password:</p><p>　　Verifying - Enter Export Password:</p><p>　　[root@localho

102、st ca]# ll</p><p><b>　　total 20</b></p><p>　　drwxr-xr-x. 3 root root 4096 Apr 13 18:21 demoCA</p><p>　　-rw-r--r--. 1 root root 1677 Apr 13 18:47 demoCA.p12</p>&l

103、t;p>　　-rw-r--r--. 1 root root 981 Apr 13 18:27 vpngateway.cert</p><p>　　-rw-r--r--. 1 root root 1041 Apr 13 18:26 vpngateway.key</p><p>　　-rw-r--r--. 1 root root 700 Apr 13 18:26 vpngateway

104、req.pem</p><p>　　以同樣方法為window客戶端生成證書與私鑰： </p><p>　　[root@localhost ca]# openssl req -newkey rsa:1024 -keyout winclient.key -out winreq.pem</p><p>　　[root@localhost ca]# openssl ca -

105、in winreq.pem -days 365 -out winclient.cert -notext</p><p>　　[root@localhost ca]# openssl req -newkey rsa:1024 -keyout winclient.key -out winreq.pem</p><p>　　[root@localhost ca]# openssl ca -in

106、winreq.pem -days 365 -out winclient.cert -notext</p><p>　　openssl pkcs12 -export -in winclient.cert -inkey winclient.key -out winclient.p12</p><p>　　[root@localhost ca]# ll</p><p

107、><b>　　total 28</b></p><p>　　drwxr-xr-x. 3 root root 4096 Apr 30 06:21 demoCA</p><p>　　-rw-r--r--. 1 root root 1677 Apr 13 18:47 demoCA.p12</p><p>　　drwxr-xr-x. 2 root

108、 root 4096 Apr 13 19:06 vpngateway</p><p>　　-rw-r--r--. 1 root root 981 Apr 13 19:15 winclient.cert</p><p>　　-rw-r--r--. 1 root root 1041 Apr 13 19:15 winclient.key</p><p>　　-rw-r-

109、-r--. 1 root root 1701 Apr 13 19:17 winclient.p12</p><p>　　-rw-r--r--. 1 root root 700 Apr 13 19:15 winreq.pem</p><p>　　最后把winclient.p12和demoCA.p12這兩個文件通過安全方式復制到Windows XP客戶端。</p><p&

110、gt;　　如圖3.5所示，在Windows XP客戶端導入證書：</p><p>　　運行mmc，添加刪除管理單元->添加->證書->計算機賬戶->本地計算機->完成。</p><p>　　在證書：本地計算機里，選擇個人->所有任務->導入，導入兩個p12證書。把CA的證書由個人拖到“受信任的根證書頒發(fā)機構”里。</p><p&

111、gt;　　圖3.5 Windows XP 證書導入</p><p><b>　　配置ipsec</b></p><p>　　編輯網(wǎng)關上的/etc/ipsec.secerts，最后一行加上ipsec啟動時讀取的密鑰文件：</p><p>　　[root@localhost ca]# vim /etc/ipsec.secrets</p>