企业VPN的接入规划与设计毕业设计论文.doc

《企业VPN的接入规划与设计毕业设计论文.doc》由会员分享，可在线阅读，更多相关《企业VPN的接入规划与设计毕业设计论文.doc（30页珍藏版）》请在三一办公上搜索。

1、南 阳 理 工 学 院本科生毕业设计(论文)企业VPN的接入规划与设计The Planning and design ofThe corporate VPN access System总 计：毕业设计(论文) 25页表 格： 1个图 片： 36个企业VPN的接入规划与设计摘 要 随着互联网的发展，网上交流与交易已经成为人们工作的重要方式，如何保证网络中传输的敏感信息的安全成了迫在眉睫的问题。VPN作为新一代Internet安全技术，能够提供简单、廉价、安全、可靠的Internet访问通道，通过公共网络实现异地的内部网络互联或开通专用的业务通道。VPN在公网上建立隧道，让数据包通过隧道进行传输。

2、这样就可以实现异地局域网之间的资源共享，而且不需要很高的费用来建立专线连接。VPN是基于不可靠的Internet的，对于中、小型企业的异地数据交换就必须考虑到数据安全性问题。出于安全性考虑基于IPSec（IP Security）隧道协议才能够满足中、小型企业建立VPN的需求。IP安全协议集IPSec（IP security）是提供这种安全的核心技术。本文介绍了基于IPSec的VPN的设计与实现的工作。关键词 IP安全协议；虚拟专用网；安全传输The Planning and design ofThe corporate VPN access SystemNet Engineering Majo

3、rShi Shan mingAbstract: With the development of Internet， online communication and trading have become an essential part in the workplace， where heavy emphasis will be placed on keeping information and data transferred across Internet secured。 As a new-generation security technology， VPN (Virtual Pr

4、ivate Networks)can provide easy to use， low cost， secure and reliable Internet accesses， and create private network connections over public networks。VPN build a tunnel on the public networks， so that packets can be transmitted through the tunnel。 By doing this we can achieve sharing resources betwee

5、n the local area networks different places without a high cost to build special connection。 achieve medium and small enterprises are necessary to concern the issue of data security as VPN is based on unreliable Internet connection。 For security reasons only based on IPSec tunnel protocols are able t

6、o meet the needs of achieve medium and small enterprises to establish VPN。 IPSec (IP Security)is a core technology that provides this protection。Key words: IPSEC；VPN；Security Transmission目 录1. 绪论11.1 引言11.2 VPN技术发展的前提和背景11.3 VPN在国内外的发展11.4 研究内容22. 虚拟专用网22.1 VPN概述22.1.1 VPN功能32.1.2 VPN的分类32.2 VPN的特点4

7、3. IPSec技术43.1 IPSec简介43.2 IPSec体系结构53.2.1 ESP(封装安全载荷)53.2.2 AH（验证头）53.2.3 SA（安全联盟）63.2.4 IKE（Internet密钥交换）73.3 IPSec的两种模式73.3.1 传送模式73.3.2 通道模式83.3.3 IPSec VPN两个阶段的协商过程84. 基于IPSec的VPN设计与实现94.1 IPSec基本协议与目标94.2 IPSec VPN的实现104.2.1 企业网络背景分析104.2.2 IP规划：114.3 VPN服务器配置114.3.1 环境114.3.2 活动目录124.3.3 配置服务

8、器之间的VPN连接124.3.4 申请证书设置164.3.5 客户端与服务器连接195. 实验测试205.1 安装网络监视工具205.2 南阳服务器与郑州服务器和许昌服务器间的设置测试如下图所示215.3 在南阳服务器中可以看到的连接和活动端口225.4 证明连接的安全性23结束语23参考文献23致谢251. 绪论1.1 引言VPN是Virtual Private Network的缩写，中文译为虚拟专用网。Virtual Network的含义有两个，一是VPN是建立在现有物理网络之上，与物理网络具体的网络结构无关，用户一般无需关心物理网络和设备；二是VPN用户使用VPN时看到的是一个可预先设定

9、义的动态的网络。Private Network的含义也有两个，一是表明VPN建立在所有用户能到达的公共网络上，特别是Internet，也包括PSTN、帧中继、ATM等，当在一个由专线组成的专网内构建VPN时，相对VPN这也是一个“公网”；二是VPN将建立专用网络或者称为私有网络，确保提供安全的网络连接，它必须具备几个关键功能：认证、访问控制、加密和数据完整。1.2 VPN技术发展的前提和背景目前稍具规模的企业都不会只有一个办公场所，而是具有总部，分公司，办事处，工厂等多个业务点。既然越来越多的应用计算机和各类软件系统来处理企业业务，如何将位于不同地点的分支机构的网络互联互通，就成了现代企业必须

10、解决的问题。同时，伴随着笔记本电脑的逐渐普及，大量的出差员工，移动办公人员，合作伙伴等迫切需要通过无处不在的Internet网络，安全，方便地介入公司内部网络，使用各项应用系统。因而，伴随着互联网间以及远程安全的计入需求，VPN技术在近几年迅速走红并得到广泛应用，也正是基于这样的前提和背景。1.3 VPN在国内外的发展计算机的广泛应用把人类带入了一个全新的时代，特别是计算机网络的社会化，已经成为信息时代的主要推动力。随着计算机网络技术的飞速发展。尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性，网络信息的安全性变

11、得日益重要起来，已被信息社会的各个领域所重视。目前，全世界的军事，经济，社会，文化各个方面都有越来越依赖于计算机网络，人类社会对计算机的依赖程度达到了空前的记录。另外，随着企业规模日益扩大，客户分布日益广泛，合作伙伴日益增多，传统企业基于固定地点的专线连接方式，已难以适应现代企业的需求，虚拟专用网（VPN）满足了企业对于网络的灵活性，安全性，经济型，扩展性等多方面的要求，赢得了越来越多企业的青睐，使企业可以较少地关注网络的运行与维护，更多地致力于企业商业目标的实现。对于企业网用户来说，IPSec VPN 是一个公认的理想的解决方案，IPS是业界标准的网络安全协议，可以为IP网络通信提供透明的安

12、全服务，保护TCP/IP通信免遭窃听和篡改，从而有效抵御网络攻击。1.4 研究内容(1)IPSec体系结构:包括ESP(封装安全载荷)、AH(验证头)、 SA(安全联盟)、IKE(Internet密钥交换)(2) IPSec的两种模式:包括传送模式和通道模式(3) IPSec包的处理过程:包括外出处理和进入处理(4)VPN的类型包括Access VPN(远程访问虚拟专用网)、Internet VPN(企业内部虚拟专用网)、Extranet VPN(外连虚拟专用网)(5)IPSec的组件的设计包括IPSec基本协议、SPD和SADB、IKE(6) VPN使用的安全协议包括SOCKSv5协议、IP

13、Sec协议、PPTP/L2TP协议(7) 基于IPSec的VPN设计与实现包括企业原网络分析、企业对网络的新需求、企业新网络设计原则、企业新网络实现方案(8) IPSec VPN的测试包括IKE方式建立IPSec隧道、预共享方式建立隧道、数字证书方式建立隧道、IKE自动协商、VPN备份隧道功能、VPN客户端测试2. 虚拟专用网2.1 VPN概述为了使远程的企业员工可以与总部实时的交换数据信息，企业得向ISP租用网络提供服务。但公用网容易遭受各种安全攻击（比如拒绝服务攻击来阻塞正常的网络服务，或窃取重要的企业内部信息）。VPN这个概念的引进就是用来解决这个问题。它是利用公用网络来连接到企业私有网

14、络。但在VPN中，用安全机制来保障机密性，真实可靠性、完整性严格的访问控制。这样就建立了一个逻辑上虚拟的私有网络。虚拟局域网提供了一个经济有效的手段来解决通过公用网络安全的交换私有信息。2.1.1 VPN功能VPN可以提供的功能： 防火墙功能、认证、加密、隧道化。VPN可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，在交换机，防火墙设

15、备或Windows 2000/2003/2008等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。2.1.2 VPN的分类Access VPN(远程访问虚拟专用网)Access VPN是通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问，使用户随时、随地以其所需的方式访问企业资源。它包括模拟、拨号、ISDN、数字用户线路(XDSL)、移动IP和电缆技术，可以安全地连接移动用户、远程工作者或分支机构。它适合于内部有人员移动或远程办公需要的企业。Intranet VPN(企业内部虚拟专用网)如果要进行企业内部各分支机构的互联，使用Int

16、ranet VPN是很好的方式。越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。Intranet VPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠

17、性。Extranet VPN(外连虚拟专用网)1 如果是提供B2B之间的安全访问服务，则可以考虑Extranet VPN。随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础，而如何利用Internet进行有效的信息管理，是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。Extranet VPN通过一个使用专用连接

18、的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。12.2 VPN的特点VPN技术除了可以节省费用外，还具有其它特点：（1）伸缩性：能够随着网络的扩张，很灵活的加以扩展。Internet对于用户来说，可以以任何技术、任何地点访问。当增加新的用户或者子网时，只需修改已有网络软件配置，在新增客户机或者网关上安装相应软件并接入Internet后，新的VPn即可工作，对于最终用户来说完全感觉不到任何变化。（2）灵活性：Internet的容量完全可以随着需求的增长而增长，除了能够方便地将新的子网扩充到企业的网

19、络中外，由于Internet的全球连通性，VPN可以使企业随时安全地将信息存取到全球的商贸伙伴和顾客。（3）易于管理：用专线将企业的各个子网连接起来时，随着子网数量的增加，需要的专线数以几何级数增长。而使用VPN时Internet的作用类似一个HUB，只需将各个子网接入Internet即可，不需要进行各个线路的管理。23. IPSec技术3.1 IPSec简介“Internet协议安全性（IPSec）”是一种开放标准的框架结构，通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。Microsoft® Windows®；2000 、Windows

20、XP和Windows Server 2003家族实施IPSec是基于“Internet工程任务组(IETF)”IPSec工作组开发的标准。 IPSec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows XP 和 Windows Server 2003 家族中，IPSec 提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、Extranet 以及漫游客户端之间的通信。IPSec的主要特征在于它可以对所有IP级的通信

21、进行加密和认证，正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内多种应用程序的安全。IPSec在传输层之下，对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时，无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec，应用程序一类的上层软件也不会被影响。IPSec对终端用户来说是透明的，因此不必对用户进行安全机制的培训。如果需要的话，IPSec可以为个体用户提供安全保障，这样做就可以保护企业内部的敏感信息。IPSec正向Internet靠拢。已经有一些机构部分或全部执行了IPSec。IAB的前任总裁Christian Hui

22、tema认为，关于如何保证Internet安全的讨论是他所见过的最激烈的讨论之一。讨论的话题之一就是安全是否在恰当的协议层上被使用。想要提供IP级的安全，IPSec必须成为配置在所有相关平台（包括Windows NT，Unix和Macintosh系统）的网络代码中的一部分。实际上，现在发行的许多Internet应用软件中已包含了安全特征。例如，Netscape Navigator和Microsoft Internet EXPlorer支持保护互联网通信的安全套层协议（SSL），还有一部分产品支持保护Internet上信用卡交易的安全电子交易协议（SET）。然而，VPN需要的是网络级的功能，这也

23、正是IPSec所提供的。3.2 IPSec体系结构3.2.1 ESP(封装安全载荷)IPSec 封装安全负载（IPSec ESP）是 IPSec 体系结构中的一种主要协议，其主要设计来在 IPv4 和 IPv6 中提供安全服务的混合应用。IPSec ESP 通过加密需要保护的数据以及在 IPSec ESP 的数据部分放置这些加密的数据来提供机密性和完整性。根据用户安全要求，这个机制既可以用于加密一个传输层的段（如：TCP、UDP、ICMP、IGMP），也可以用于加密整个的 IP 数据报。封装受保护数据是非常必要的，这样就可以为整个原始数据报提供机密性。ESP头可以放置在IP头之后、上层协议头之

24、前（传送层），或者在被封装的IP头之前（隧道模式）。IANA分配给ESP一个协议数值50，在ESP头前的协议头总是在“next head”字段（IPv6）或“协议”（IP v4）字段里包含该值50。ESP包含一个非加密协议头，后面是加密数据。该加密数据既包括了受保护的 ESP 头字段也包括了受保护的用户数据，这个用户数据可以是整个IP数据报，也可以是IP的上层协议帧（如：TCP 或 UDP）。ESP 提供机密性、数据源认证、无连接的完整性、抗重播服务（一种部分序列完整性的形式） 和有限信息流机密性。所提供服务集由安全连接（SA）建立时选择的选项和实施的布置来决定，机密性的选择与所有其他服务相独

25、立。但是，使用机密性服务而不带有完整性/认证服务（在 ESP 或者单独在 AH 中）可能使传输受到某种形式的攻击以破坏机密性服务。数据源验证和无连接的完整性是相互关联的服务，它们作为一个选项与机密性 （可选择的）结合提供给用户。只有选择数据源认证时才可以选择抗重播服务，由接收方单独决定抗重播服务的选择。33.2.2 AH（验证头）验证头（AH）协议用于为IP数据包提供数据完整性、数据包源地址验证和一些有限的抗重播服务，AH不提供对通信数据的加密服务，与ESP协议相比，AH不提供对通信数据的加密服务，但能比ESP提供更加广的数据验证服务。AH是另一个IP协议，它分配到的数是51。在IPv6的情况

26、下，下一个头字段的值由扩展头的存在来决定。如果没有扩展头，IPv6头中的下一个头字段将是51。如果AH头之前有扩展头，紧靠在AH头前面的扩展头中的下一个头字段就会被设成51。将AH头插入IPv6的规则与ESP插入规则类似。AH和ESP保护的数据相同时，AH头会一直插在ESP头之后。AH头比ESP头简单得多，因为它没有提供机密性。由于不需要填充和一个填充长度指示器，因此也不存在尾。另外，也不需要一个初始化向量。3.2.3 SA（安全联盟）SA是一种安全关联，SA 对两台计算机之间的策略协议进行编码，指定它们将使用哪些算法和什么样的密钥长度，以及实际的密钥本身。安全关联SA（Security As

27、sociation）是单向的，在两个使用 IPSec的实体（主机或路由器）间建立的逻辑连接，定义了实体间如何使用安全服务（如加密）进行通信。它由下列元素组成：安全参数索引SPI；IP目的地址；安全协议。（1）SA是一个单向的逻辑连接，也就是说，在一次通信中，IPSec 需要建立两个SA，一个用于入站通信，另一个用于出站通信。若某台主机，如文件服务器或远程访问服务器，需要同时与多台客户机通信，则该服务器需要与每台客户机分别建立不同的SA。每个SA用唯一的SPI索引标识，当处理接收数据包时，服务器根据SPI值来决定该使用哪种SA。 （2）第一阶段SA（主模式SA，为建立信道而进行的安全关联）IKE

28、建立SA分两个阶段。第一阶段，协商创建一个通信信道（IKE SA），并对该信道进行认证，为双方进一步的IKE通信提供机密性、数据完整性以及数据源认证服务；第二阶段，使用已建立的IKE SA建立IPSec SA。分两个阶段来完成这些服务有助于提高密钥交换的速度。 第一阶段协商（主模式协商）步骤：策略协商，在这一步中，就四个强制性参数值进行协商：1）加密算法：选择DES或3DES；2）hash算法：选择MD5或SHA；3）认证方法：选择证书认证、预置共享密钥认证或Kerberos v5认证；4）Diffie-Hellman组的选择DH交换虽然名为“密钥交换”，但事实上在任何时候，两台通信主机之间都

29、不会交换真正的密钥，它们之间交换的只是一些DH算法生成共享密钥所需要的基本材料信息。DH交换，可以是公开的，也可以受保护。在彼此交换过密钥生成材料后，两端主机可以各自生成出完全一样的共享“主密钥”，保护紧接其后的认证过程。认证 DH交换需要得到进一步认证，如果认证不成功，通信将无法继续下去。“主密钥”结合在第一步中确定的协商算法，对通信实体和通信信道进行认证。在这一步中，整个待认证的实体载荷，包括实体类型、端口号和协议，均由前一步生成的“主密钥”提供机密性和完整性保证。（3）第二阶段SA（快速模式SA，为数据传输而建立的安全关联）这一阶段协商建立IPSec SA，为数据交换提供IPSec服务。

30、第二阶段协商消息受第一阶段SA保护，任何没有第一阶段SA保护的消息将被拒收。第二阶段协商（快速模式协商）步骤：策略协商，双方交换保护需求：使用哪种IPSec协议：AH或ESP 使用哪种hash算法：MD5或SHA 是否要求加密，若是，选择加密算法：3DES或DES 在上述三方面达成一致后，将建立起两个SA，分别用于入站和出站通信。会话密钥材料刷新或交换 在这一步中，将生成加密IP数据包的会话密钥。生成会话密钥所使用的材料可以和生成第一阶段SA中主密钥的相同，也可以不同。如果不做特殊要求，只需要刷新材料后，生成新密钥即可。若要求使用不同的材料，则在密钥生成之前，首先进行第二轮的DH交换。SA和密

31、钥连同SPI，递交给IPSec驱动程序。 第二阶段协商过程与第一阶段协商过程类似，不同之处在于：在第二阶段中，如果响应超时，则自动尝试重新进行第一阶段SA协商。 第一阶段SA建立起安全通信信道后保存在高速缓存中，在此基础上可以建立多个第二阶段SA协商，从而提高整个建立SA过程的速度。只要第一阶段SA不超时，就不必重复第一阶段的协商和认证。允许建立的第二阶段SA的个数由IPSec策略属性决定。SA生命期 第一阶段SA有一个缺省有效时间，如果SA超时，或主密钥和会话密钥中任何一个生命期时间到，都要向对方发送第一阶段SA删除消息，通知对方第一阶段SA已经过期。之后需要重新进行SA协商。第二阶段SA的

32、有效时间由IPSec驱动程序决定。43.2.4 IKE（Internet密钥交换）Internet密钥交换协议(IKE)是用于交换和管理在VPN中使用的加密密钥的，IKE属于一种混合型协议，由Internet安全关联和密钥管理协议（ISAKMP）和两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上，沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术，还定义了它自己的两种密钥交换方式：主要模式和积极模式。3.3 IPSec的两种模式3.3.1 传送模式传送模式加密的部份较少，没有额外的IP报头，工作效率相对更好，但安全性相对于隧道模式会有所降低。

33、 传送模式下，源主机和目的地主机必须直接执行所有密码操作。加密数据是通过使用L2TP（第二层隧道协议）而生成的单一隧道来发送的。数据（密码文件）则是由源主机生成并由目的地主机检索的。图31|传输模式3.3.2 通道模式通道模式可以在两个Security Gateway间建立一个安全隧道，经由这两个Gateway Proxy的传送均在这个通道中进行。通道模式下的IPSec报文要进行分段和重组操作，并且可能要再经过多个安全网关才能到达安全网关后面的目的主机。通道模式下，除了源主机和目的地主机之外，特殊的网关也将执行密码操作。在这种模式里，许多隧道在 网关之间是以系列的形式生成的，从而可以实现网关对

34、网关安全。5图32传输模式3.3.3 IPSec VPN两个阶段的协商过程IPSec VPN隧道的建立过程可以分为二个阶段:第一阶段二种模式: 主模式或主动模式第二阶段:快速模式第一阶段有三个任务必须完成:、协商一系列算法和参数(这些算法和参数用于保护隧道建立过程中的数据)。、必须计算出二边使用的加密KEY值，例如，二边使用3DES算法密，3DES算法则需要一个密码，这个密码二端必须一样，但又不能在链路上传递。、对等体的验证，如何才能知道对端就是我要与之通信的对端。这里验证有三种方法:预共享，数字签名，加密临时值。这一系列过程都是IKE这个协议来实现，IKE这个协议也存在着一些不足，“IKE之

35、子”或第二版IKE正在开发之中。6第二阶段只有第一阶段任务必须完成:在二个对等体间协商产生IPSec联盟的属性，安全联盟可以加密二个对等体间的数据，这才是真正的需要加密的用户数据，至此，隧道才真正建立起来。第一阶段三个任务，分别用6个消息来完成，每二个为一组。第一个消息由隧道的发起者发起，携带了如这样一些参数，如加密机制-DES，散列机制-MD5-HMAC，Diffie-Hellman组-2，认证机制-预共享。第二个消息由响应者回应，内容基本一样，主要与发起者比较，是否与发起者匹配，不匹配就进行下一组的比较。如果最终都找不到匹配，隧道就停止建立。第三个消息由发起者发出，但是在发出这个消息之前，

36、有个过程必须先完成，就是Diffie-Hellman算法过程。该过程的目的是什么呢?刚刚第一二条消息中所协商的算法它们必须需要一个KEY，这个KEY在二个对等体上必须一样，但同时这个KEY不能在链路中传递，因为传递KEY是一个不安全的手段。所以，该过程的目的是分别在二个对等间独立地生成一个DH公共值，该公共值有什么用呢？因为二个对等体上都生成该DH公共值后，它们会在接下来的第三第四消息中传送给对方，打个比方，就是A收到了B的DH公共值，B收到了A的DH公共值。当A，B都收到了对方的该公共值后，问题就好解决了。因为有一个公式在数学中被论证成立，那么现在借助该公式，就可以在二个对等上生成一个只有他

37、们二个对等体知道的相同的KEY，该公式为 发起者密秘=(Xb)amod p=(Xa)bmod p=响应者密秘注意，这个密秘不是最终算法中使用的KEY，但二个对等体通过该KEY材料来生成另三个密钥，分别是: SKEYID_d-此密钥被用于计算后续IPSec密钥资源。SKEYID_a-此密钥被用于提供后续IKE消息的数据完整性以及认证。SKEYID_e-此密钥被用于对后续IKE消息进行加密。所以由发起者发起的第三条消息主要是向对等体发送自己的DH公共值。第四条消息由响应者向发起者发送，主要是向发送者发送自己的DH公共值。由于第一二条消息的算法，第三四条消息生成的KEY，所以在后续的第五六条消息就能

38、被加密传送。第五条消息由发起者向响应者发送，主要是为了验证对端自己就是自己想要与之通信的对端。这可以通过预共享，数字签名，加密临时值来实现。第六条消息由响应者向发起者发送，主要目的和第五条一样。在这六条消息过后，就进入了第二阶段:快速模式，快速模式使用二条消息来实现。 快速模式 发起者会在第一条消息中发送IPSec SA的转换属性，如:封装-ESP，完整性检验-SHA-HMAC，DH组-2，模式-隧道。响应者向发起者发送第二条消息，同意第一条消息中的属性，同时也能起到确认收到对端消息的作用。这一步一旦完成，隧道就建立起来了，用户的数据就能被放入隧道中传送。74. 基于IPSec的VPN设计与实

39、现4.1 IPSec基本协议与目标IPSec 基于端对端的安全模式，在源 IP 和目标 IP 地址之间建立信任和安全性。考虑认为 IP 地址本身没有必要具有标识，但 IP 地址后面的系统必须有一个通过身份验证程序验证过的标识。只有发送和接收的计算机需要知道通讯是安全的。每台计算机都假定进行通讯的媒体不安全，因此在各自的终端上实施安全设置。除非两台计算机之间正在进行防火墙类型的数据包筛选或网络地址转换，否则仅从源向目标路由数据的计算机不要求支持 IPSec。该模式允许为下列企业方案成功部署 IPSec：局域网 (LAN)：客户端/服务器和对等网络 广域网 (WAN)：路由器到路由器和网关到网关

40、远程访问：拨号客户机和从专用网络访问 Internet 通常，两端都需要IPSec配置（称为 IPSec 策略）来设置选项与安全设置，以允许两个系统对如何保护它们之间的通讯达成协议。Microsoft® Windows® 2000、Windows XP 和 Windows Server 2003家族实施IPSec是基于“Internet工程任务组 (IETF)” IPSec 工作组开发的业界标准。IPSec 相关服务部分是由Microsoft 与 Cisco Systems Inc共同开发的。IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构

41、，包括网络认证协议 Authentication Header（AH）、封装安全载荷协议Encapsulating Security Payload（ESP）、密钥管理协议Internet Key Exchange （IKE）和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。84.2 IPSec VPN的实现4.2.1 企业网络背景分析某企业总部设在南阳，在郑州有一个分公司，在许昌有一个合作伙伴并且有员工长期到外地出差。每个地方都有员工500人以上，由于企业信息的安全 需求，要求总部

42、与郑州分部和许昌的合作伙伴之间要求数据加密而且具有一般的验证功能， 并能提供数据的完整性验证。运用windows server 2003进行IPSec VPN的搭建。网络拓扑图：2003-1为南阳总公司服务器 2003-2为郑州分公司服务器 2003-3为许昌合作伙伴服务器 2003-4为移动办公人员的电脑图41整体规划图4.2.2 IP规划：可以看出此网络用户数量比较小，租用一个B类网段就可以满足需求。假如公司申请到的IP地址为172.16.0.0 子网掩码为255.255.0.0先把此IP号划分成3个子网，要求每个子网用户500。来供南阳、许昌和郑州公司用。所以根据22=4向主机借2位用来

43、划分子网。地点IP地址子网掩码南阳172.16.192.1-172.16.223.1255.255.224.0郑州172.16.64.1-172.16.95.1许昌172.16.0.1-172.16.63.1表格 1IP划分4.3 VPN服务器配置4.3.1 环境Windows server 2003 双网卡服务器PC windows server 2003 南阳：服务器名字：2003-1 IP地址：172.16.192.1/18 VPN IP:10.10.10.1郑州：服务器名字：2003-2 IP地址：172.16.64.1/18 VPN IP:10.10.10.10许昌：服务器名字：20

44、03-3 IP地址：172.16.0.1/18 VPN IP:10.10.10.1004.3.2 活动目录Active Directory存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。主域的创建、点击电脑的开始，在运行中输入“dcpromo”。然后点击确定。、在新建的域控制器中，输入新域的DNS全名为“”。、按照系统所提供的提示，进行操作。点击下一步，域控制器安装完成。需要重启电脑，同时在安装的时候也安装了也安装了DNS，我们可以在管理工具中查看到。子域的

45、创建、点击电脑的开始，在运行中输入“dcpromo”。然后点击确定。、选择“在现有域树中的子域”选项、构建子域的时候也需要“网络凭据”，且是主域管理员的密码。、其它的建立就是和主域的建立过程相同。可以参考主域控制器的配置过程。只到完成子域的建立完成结束。员工加入域右键点击我的电脑选择属性。图42用户加入域4.3.3 配置服务器之间的VPN连接服务器与服务器之间的连接过程，如下的流程图所示图43流程图、使用管理员登录到VPN服务器 打开开始管理工具路由和远程访问 在路由和远程访问控制台中，右击服务器，从弹出的快捷菜单中选择“配置并启用路由和远程访问”命令。在路由和远程访问服务器安装向导的窗口中，

46、单击下一步 在配置窗口中，选择如图示选项，单击下一步图44选择连接方式图、会出现的选项都默认，点击下一步。另一个VPN也这样选择。这里就省略了。对“地址范围指定”的IP地址就如下图所示，前一个是南阳，后一个是郑州，然后点击下一步，继续。图45、设置接口名称，接口是服务器连接的凭证，也是互相连接的依据。服务器连接需要有两个接口配置，一个是请求拨入接口，二个是请求拨出接口。两个接口都不能少，而且唯一。图46接口创建图、创建好接口之后，要选择VPN连接的接口类型，我们是基于IPSec的VPN设计，IPSec属于第二层协议，所以此处我们创建的IPSec VPN必须选择第二层隧道协议。图47选择接口类型

47、、输入目标地址就是互相连接的另外一个VPN的内网地址、主机名或者IP地址，不过IP地址比较容易，所以一般都安照IP地址进行配置。这个必须是VPN的IP地址，不能是私人网络的IP地址。图48目标地址图、下图第一个是南阳服务器的拨入凭据，拨入凭证是服务器进行连接的用户名和密码，当连接时只有用户名和密码正确才能进行连接。拨入凭证和拨出凭证，两个服务器整好相反，也就是说南阳服务器的拨入凭证正好是郑州服务器的拨出凭据。第二个图是南阳服务器中要填写的拨出凭据。郑州服务器中的拨出凭据是南阳服务器的“拨入凭证”。图49拨出拨入凭证、南阳服务器与许昌服务器只需要“新建接口拨号连接”创建过程和南阳服务器与郑州服务器方法大同小异。4.3.4 申请证书设置、在DC上安装证书服务（注意在安装证书服务的时候，要同时安装WEB服务，因为通过浏览器申请证书，需要WEB服务的支持）。本实验的CA类型为“独立根CA”，且将VPN服务器加入