本科畢設(shè)論文--企業(yè)vpn的接入規(guī)劃與設(shè)計(jì)

南陽理工學(xué)院本科生畢業(yè)設(shè)計(jì)(論文)企業(yè)VPN的接入規(guī)劃與設(shè)計(jì)ThePlanninganddesignof

ThecorporateVPNaccessSystem總計(jì)：畢業(yè)設(shè)計(jì)(論文)25頁表格：1個(gè)圖片：36個(gè)

企業(yè)VPN的接入規(guī)劃與設(shè)計(jì)隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)上交流與交易已經(jīng)成為人們工作的重要方式，如何保證網(wǎng)絡(luò)中傳輸?shù)拿舾行畔⒌陌踩闪似仍诿冀薜膯栴}。VPN作為新一代Internet安全技術(shù)，能夠提供簡單、廉價(jià)、安全、可靠的Internet訪問通道，通過公共網(wǎng)絡(luò)實(shí)現(xiàn)異地的內(nèi)部網(wǎng)絡(luò)互聯(lián)或開通專用的業(yè)務(wù)通道。VPN在公網(wǎng)上建立隧道，讓數(shù)據(jù)包通過隧道進(jìn)行傳輸。這樣就可以實(shí)現(xiàn)異地局域網(wǎng)之間的資源共享，而且不需要很高的費(fèi)用來建立專線連接。VPN是基于不可靠的Internet的，對于中、小型企業(yè)的異地?cái)?shù)據(jù)交換就必須考慮到數(shù)據(jù)安全性問題。出于安全性考慮基于IPSec（IPSecurity）隧道協(xié)議才能夠滿足中、小型企業(yè)建立VPN的需求。IP安全協(xié)議集IPSec（IPsecurity）是提供這種安全的核心技術(shù)。本文介紹了基于IPSec的VPN的設(shè)計(jì)與實(shí)現(xiàn)的工作。IP安全協(xié)議；虛擬專用網(wǎng)；安全傳輸ThePlanninganddesignof

ThecorporateVPNaccessSystemNetEngineeringMajor ShiShanmingWiththedevelopmentofInternet，onlinecommunicationandtradinghavebecomeanessentialpartintheworkplace，whereheavyemphasiswillbeplacedonkeepinginformationanddatatransferredacrossInternetsecured。Asanew-generationsecuritytechnology，VPN(VirtualPrivateNetworks)canprovideeasytouse，lowcost，secureandreliableInternetaccesses，andcreateprivatenetworkconnectionsoverpublicnetworks。VPNbuildatunnelonthepublicnetworks，sothatpacketscanbetransmittedthroughthetunnel。Bydoingthiswecanachievesharingresourcesbetweenthelocalareanetworksdifferentplaceswithoutahighcosttobuildspecialconnection。achievemediumandsmallenterprisesarenecessarytoconcerntheissueofdatasecurityasVPNisbasedonunreliableInternetconnection。ForsecurityreasonsonlybasedonIPSectunnelprotocolsareabletomeettheneedsofachievemediumandsmallenterprisestoestablishVPN。IPSec(IPSecurity)isacoretechnologythatprovidesthisprotection。IPSEC；VPN；SecurityTransmission目錄1.緒論 11.1引言 11.2VPN技術(shù)發(fā)展的前提和背景 11.3VPN在國內(nèi)外的發(fā)展 11.4研究內(nèi)容 22.虛擬專用網(wǎng) 22.1VPN概述 22.1.1VPN功能 32.1.2VPN的分類 32.2VPN的特點(diǎn) 43.IPSec技術(shù) 43.1IPSec簡介 43.2IPSec體系結(jié)構(gòu) 53.2.1ESP(封裝安全載荷) 53.2.2AH（驗(yàn)證頭） 53.2.3SA（安全聯(lián)盟） 63.2.4IKE（Internet密鑰交換） 73.3IPSec的兩種模式 73.3.1傳送模式 73.3.2通道模式 83.3.3IPSecVPN兩個(gè)階段的協(xié)商過程 84.基于IPSec的VPN設(shè)計(jì)與實(shí)現(xiàn) 94.1IPSec基本協(xié)議與目標(biāo) 94.2IPSecVPN的實(shí)現(xiàn) 104.2.1企業(yè)網(wǎng)絡(luò)背景分析 104.2.2IP規(guī)劃： 114.3VPN服務(wù)器配置 114.3.1環(huán)境 114.3.2活動(dòng)目錄 124.3.3配置服務(wù)器之間的VPN連接 124.3.4申請證書設(shè)置 164.3.5客戶端與服務(wù)器連接 195.實(shí)驗(yàn)測試 205.1安裝網(wǎng)絡(luò)監(jiān)視工具 205.2南陽服務(wù)器與鄭州服務(wù)器和許昌服務(wù)器間的設(shè)置測試如下圖所示 215.3在南陽服務(wù)器中可以看到的連接和活動(dòng)端口 225.4證明連接的安全性 23結(jié)束語 23參考文獻(xiàn) 23致謝 25PAGE25緒論引言VPN是VirtualPrivateNetwork的縮寫，中文譯為虛擬專用網(wǎng)。VirtualNetwork的含義有兩個(gè)，一是VPN是建立在現(xiàn)有物理網(wǎng)絡(luò)之上，與物理網(wǎng)絡(luò)具體的網(wǎng)絡(luò)結(jié)構(gòu)無關(guān)，用戶一般無需關(guān)心物理網(wǎng)絡(luò)和設(shè)備；二是VPN用戶使用VPN時(shí)看到的是一個(gè)可預(yù)先設(shè)定義的動(dòng)態(tài)的網(wǎng)絡(luò)。PrivateNetwork的含義也有兩個(gè)，一是表明VPN建立在所有用戶能到達(dá)的公共網(wǎng)絡(luò)上，特別是Internet，也包括PSTN、幀中繼、ATM等，當(dāng)在一個(gè)由專線組成的專網(wǎng)內(nèi)構(gòu)建VPN時(shí)，相對VPN這也是一個(gè)“公網(wǎng)”；二是VPN將建立專用網(wǎng)絡(luò)或者稱為私有網(wǎng)絡(luò)，確保提供安全的網(wǎng)絡(luò)連接，它必須具備幾個(gè)關(guān)鍵功能：認(rèn)證、訪問控制、加密和數(shù)據(jù)完整。VPN技術(shù)發(fā)展的前提和背景目前稍具規(guī)模的企業(yè)都不會只有一個(gè)辦公場所，而是具有總部，分公司，辦事處，工廠等多個(gè)業(yè)務(wù)點(diǎn)。既然越來越多的應(yīng)用計(jì)算機(jī)和各類軟件系統(tǒng)來處理企業(yè)業(yè)務(wù)，如何將位于不同地點(diǎn)的分支機(jī)構(gòu)的網(wǎng)絡(luò)互聯(lián)互通，就成了現(xiàn)代企業(yè)必須解決的問題。同時(shí)，伴隨著筆記本電腦的逐漸普及，大量的出差員工，移動(dòng)辦公人員，合作伙伴等迫切需要通過無處不在的Internet網(wǎng)絡(luò)，安全，方便地介入公司內(nèi)部網(wǎng)絡(luò)，使用各項(xiàng)應(yīng)用系統(tǒng)。因而，伴隨著互聯(lián)網(wǎng)間以及遠(yuǎn)程安全的計(jì)入需求，VPN技術(shù)在近幾年迅速走紅并得到廣泛應(yīng)用，也正是基于這樣的前提和背景。VPN在國內(nèi)外的發(fā)展計(jì)算機(jī)的廣泛應(yīng)用把人類帶入了一個(gè)全新的時(shí)代，特別是計(jì)算機(jī)網(wǎng)絡(luò)的社會化，已經(jīng)成為信息時(shí)代的主要推動(dòng)力。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展。尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時(shí)，網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要起來，已被信息社會的各個(gè)領(lǐng)域所重視。目前，全世界的軍事，經(jīng)濟(jì)，社會，文化各個(gè)方面都有越來越依賴于計(jì)算機(jī)網(wǎng)絡(luò)，人類社會對計(jì)算機(jī)的依賴程度達(dá)到了空前的記錄。另外，隨著企業(yè)規(guī)模日益擴(kuò)大，客戶分布日益廣泛，合作伙伴日益增多，傳統(tǒng)企業(yè)基于固定地點(diǎn)的專線連接方式，已難以適應(yīng)現(xiàn)代企業(yè)的需求，虛擬專用網(wǎng)（VPN）滿足了企業(yè)對于網(wǎng)絡(luò)的靈活性，安全性，經(jīng)濟(jì)型，擴(kuò)展性等多方面的要求，贏得了越來越多企業(yè)的青睞，使企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運(yùn)行與維護(hù)，更多地致力于企業(yè)商業(yè)目標(biāo)的實(shí)現(xiàn)。對于企業(yè)網(wǎng)用戶來說，IPSecVPN是一個(gè)公認(rèn)的理想的解決方案，IPS是業(yè)界標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全協(xié)議，可以為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽和篡改，從而有效抵御網(wǎng)絡(luò)攻擊。研究內(nèi)容(1)IPSec體系結(jié)構(gòu):包括ESP(封裝安全載荷)、AH(驗(yàn)證頭)、SA(安全聯(lián)盟)、IKE(Internet密鑰交換)(2)IPSec的兩種模式:包括傳送模式和通道模式(3)IPSec包的處理過程:包括外出處理和進(jìn)入處理(4)VPN的類型包括AccessVPN(遠(yuǎn)程訪問虛擬專用網(wǎng))、InternetVPN(企業(yè)內(nèi)部虛擬專用網(wǎng))、ExtranetVPN(外連虛擬專用網(wǎng))(5)IPSec的組件的設(shè)計(jì)包括IPSec基本協(xié)議、SPD和SADB、IKE(6)VPN使用的安全協(xié)議包括SOCKSv5協(xié)議、IPSec協(xié)議、PPTP/L2TP協(xié)議(7)基于IPSec的VPN設(shè)計(jì)與實(shí)現(xiàn)包括企業(yè)原網(wǎng)絡(luò)分析、企業(yè)對網(wǎng)絡(luò)的新需求、企業(yè)新網(wǎng)絡(luò)設(shè)計(jì)原則、企業(yè)新網(wǎng)絡(luò)實(shí)現(xiàn)方案(8)IPSecVPN的測試包括IKE方式建立IPSec隧道、預(yù)共享方式建立隧道、數(shù)字證書方式建立隧道、IKE自動(dòng)協(xié)商、VPN備份隧道功能、VPN客戶端測試虛擬專用網(wǎng)VPN概述為了使遠(yuǎn)程的企業(yè)員工可以與總部實(shí)時(shí)的交換數(shù)據(jù)信息，企業(yè)得向ISP租用網(wǎng)絡(luò)提供服務(wù)。但公用網(wǎng)容易遭受各種安全攻擊（比如拒絕服務(wù)攻擊來阻塞正常的網(wǎng)絡(luò)服務(wù)，或竊取重要的企業(yè)內(nèi)部信息）。VPN這個(gè)概念的引進(jìn)就是用來解決這個(gè)問題。它是利用公用網(wǎng)絡(luò)來連接到企業(yè)私有網(wǎng)絡(luò)。但在VPN中，用安全機(jī)制來保障機(jī)密性，真實(shí)可靠性、完整性嚴(yán)格的訪問控制。這樣就建立了一個(gè)邏輯上虛擬的私有網(wǎng)絡(luò)。虛擬局域網(wǎng)提供了一個(gè)經(jīng)濟(jì)有效的手段來解決通過公用網(wǎng)絡(luò)安全的交換私有信息。VPN功能VPN可以提供的功能：防火墻功能、認(rèn)證、加密、隧道化。VPN可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，在交換機(jī)，防火墻設(shè)備或Windows2000/2003/2008等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。VPN的分類AccessVPN(遠(yuǎn)程訪問虛擬專用網(wǎng))AccessVPN是通過一個(gè)擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問，使用戶隨時(shí)、隨地以其所需的方式訪問企業(yè)資源。它包括模擬、撥號、ISDN、數(shù)字用戶線路(XDSL)、移動(dòng)IP和電纜技術(shù)，可以安全地連接移動(dòng)用戶、遠(yuǎn)程工作者或分支機(jī)構(gòu)。它適合于內(nèi)部有人員移動(dòng)或遠(yuǎn)程辦公需要的企業(yè)。IntranetVPN(企業(yè)內(nèi)部虛擬專用網(wǎng))如果要進(jìn)行企業(yè)內(nèi)部各分支機(jī)構(gòu)的互聯(lián)，使用IntranetVPN是很好的方式。越來越多的企業(yè)需要在全國乃至世界范圍內(nèi)建立各種辦事機(jī)構(gòu)、分公司、研究所等，各個(gè)分公司之間傳統(tǒng)的網(wǎng)絡(luò)連接方式一般是租用專線。顯然，在分公司增多、業(yè)務(wù)開展越來越廣泛時(shí)，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費(fèi)用昂貴。利用VPN特性可以在Internet上組建世界范圍內(nèi)的IntranetVPN。利用Internet的線路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等VPN特性可以保證信息在整個(gè)IntranetVPN上安全傳輸。IntranetVPN通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。ExtranetVPN(外連虛擬專用網(wǎng))如果是提供B2B之間的安全訪問服務(wù)，則可以考慮ExtranetVPN。隨著信息時(shí)代的到來，各個(gè)企業(yè)越來越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息服務(wù)，通過各種方式了解客戶的需要，同時(shí)各個(gè)企業(yè)之間的合作關(guān)系也越來越多，信息交換日益頻繁。Internet為這樣的一種發(fā)展趨勢提供了良好的基礎(chǔ)，而如何利用Internet進(jìn)行有效的信息管理，是企業(yè)發(fā)展中不可避免的一個(gè)關(guān)鍵問題。利用VPN技術(shù)可以組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。ExtranetVPN通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。[1]VPN的特點(diǎn)VPN技術(shù)除了可以節(jié)省費(fèi)用外，還具有其它特點(diǎn)：（1）伸縮性：能夠隨著網(wǎng)絡(luò)的擴(kuò)張，很靈活的加以擴(kuò)展。Internet對于用戶來說，可以以任何技術(shù)、任何地點(diǎn)訪問。當(dāng)增加新的用戶或者子網(wǎng)時(shí)，只需修改已有網(wǎng)絡(luò)軟件配置，在新增客戶機(jī)或者網(wǎng)關(guān)上安裝相應(yīng)軟件并接入Internet后，新的VPn即可工作，對于最終用戶來說完全感覺不到任何變化。（2）靈活性：Internet的容量完全可以隨著需求的增長而增長，除了能夠方便地將新的子網(wǎng)擴(kuò)充到企業(yè)的網(wǎng)絡(luò)中外，由于Internet的全球連通性，VPN可以使企業(yè)隨時(shí)安全地將信息存取到全球的商貿(mào)伙伴和顧客。（3）易于管理：用專線將企業(yè)的各個(gè)子網(wǎng)連接起來時(shí)，隨著子網(wǎng)數(shù)量的增加，需要的專線數(shù)以幾何級數(shù)增長。而使用VPN時(shí)Internet的作用類似一個(gè)HUB，只需將各個(gè)子網(wǎng)接入Internet即可，不需要進(jìn)行各個(gè)線路的管理。[2]IPSec技術(shù)IPSec簡介“Internet協(xié)議安全性（IPSec）”是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過使用加密的安全服務(wù)以確保在Internet協(xié)議(IP)網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊。Microsoft®Windows®；2000、WindowsXP和WindowsServer2003家族實(shí)施IPSec是基于“Internet工程任務(wù)組(IETF)”IPSec工作組開發(fā)的標(biāo)準(zhǔn)。IPSec是安全聯(lián)網(wǎng)的長期方向。它通過端對端的安全性來提供主動(dòng)的保護(hù)以防止專用網(wǎng)絡(luò)與Internet的攻擊。在通信中，只有發(fā)送方和接收方才是唯一必須了解IPSec保護(hù)的計(jì)算機(jī)。在WindowsXP和WindowsServer2003家族中，IPSec提供了一種能力，以保護(hù)工作組、局域網(wǎng)計(jì)算機(jī)、域客戶端和服務(wù)器、分支機(jī)構(gòu)（物理上為遠(yuǎn)程機(jī)構(gòu)）、Extranet以及漫游客戶端之間的通信。IPSec的主要特征在于它可以對所有IP級的通信進(jìn)行加密和認(rèn)證，正是這一點(diǎn)才使IPSec可以確保包括遠(yuǎn)程登錄、客戶/服務(wù)器、電子郵件、文件傳輸及Web訪問在內(nèi)多種應(yīng)用程序的安全。IPSec在傳輸層之下，對于應(yīng)用程序來說是透明的。當(dāng)在路由器或防火墻上安裝IPSec時(shí)，無需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。即使在終端系統(tǒng)中執(zhí)行IPSec，應(yīng)用程序一類的上層軟件也不會被影響。IPSec對終端用戶來說是透明的，因此不必對用戶進(jìn)行安全機(jī)制的培訓(xùn)。如果需要的話，IPSec可以為個(gè)體用戶提供安全保障，這樣做就可以保護(hù)企業(yè)內(nèi)部的敏感信息。IPSec正向Internet靠攏。已經(jīng)有一些機(jī)構(gòu)部分或全部執(zhí)行了IPSec。IAB的前任總裁ChristianHuitema認(rèn)為，關(guān)于如何保證Internet安全的討論是他所見過的最激烈的討論之一。討論的話題之一就是安全是否在恰當(dāng)?shù)膮f(xié)議層上被使用。想要提供IP級的安全，IPSec必須成為配置在所有相關(guān)平臺（包括WindowsNT，Unix和Macintosh系統(tǒng)）的網(wǎng)絡(luò)代碼中的一部分。實(shí)際上，現(xiàn)在發(fā)行的許多Internet應(yīng)用軟件中已包含了安全特征。例如，NetscapeNavigator和MicrosoftInternetEXPlorer支持保護(hù)互聯(lián)網(wǎng)通信的安全套層協(xié)議（SSL），還有一部分產(chǎn)品支持保護(hù)Internet上信用卡交易的安全電子交易協(xié)議（SET）。然而，VPN需要的是網(wǎng)絡(luò)級的功能，這也正是IPSec所提供的。IPSec體系結(jié)構(gòu)ESP(封裝安全載荷)IPSec封裝安全負(fù)載（IPSecESP）是IPSec體系結(jié)構(gòu)中的一種主要協(xié)議，其主要設(shè)計(jì)來在IPv4和IPv6中提供安全服務(wù)的混合應(yīng)用。IPSecESP通過加密需要保護(hù)的數(shù)據(jù)以及在IPSecESP的數(shù)據(jù)部分放置這些加密的數(shù)據(jù)來提供機(jī)密性和完整性。根據(jù)用戶安全要求，這個(gè)機(jī)制既可以用于加密一個(gè)傳輸層的段（如：TCP、UDP、ICMP、IGMP），也可以用于加密整個(gè)的IP數(shù)據(jù)報(bào)。封裝受保護(hù)數(shù)據(jù)是非常必要的，這樣就可以為整個(gè)原始數(shù)據(jù)報(bào)提供機(jī)密性。ESP頭可以放置在IP頭之后、上層協(xié)議頭之前（傳送層），或者在被封裝的IP頭之前（隧道模式）。IANA分配給ESP一個(gè)協(xié)議數(shù)值50，在ESP頭前的協(xié)議頭總是在“nexthead”字段（IPv6）或“協(xié)議”（IPv4）字段里包含該值50。ESP包含一個(gè)非加密協(xié)議頭，后面是加密數(shù)據(jù)。該加密數(shù)據(jù)既包括了受保護(hù)的ESP頭字段也包括了受保護(hù)的用戶數(shù)據(jù)，這個(gè)用戶數(shù)據(jù)可以是整個(gè)IP數(shù)據(jù)報(bào)，也可以是IP的上層協(xié)議幀（如：TCP或UDP）。ESP提供機(jī)密性、數(shù)據(jù)源認(rèn)證、無連接的完整性、抗重播服務(wù)（一種部分序列完整性的形式）和有限信息流機(jī)密性。所提供服務(wù)集由安全連接（SA）建立時(shí)選擇的選項(xiàng)和實(shí)施的布置來決定，機(jī)密性的選擇與所有其他服務(wù)相獨(dú)立。但是，使用機(jī)密性服務(wù)而不帶有完整性/認(rèn)證服務(wù)（在ESP或者單獨(dú)在AH中）可能使傳輸受到某種形式的攻擊以破壞機(jī)密性服務(wù)。數(shù)據(jù)源驗(yàn)證和無連接的完整性是相互關(guān)聯(lián)的服務(wù)，它們作為一個(gè)選項(xiàng)與機(jī)密性（可選擇的）結(jié)合提供給用戶。只有選擇數(shù)據(jù)源認(rèn)證時(shí)才可以選擇抗重播服務(wù)，由接收方單獨(dú)決定抗重播服務(wù)的選擇。[3]AH（驗(yàn)證頭）驗(yàn)證頭（AH）協(xié)議用于為IP數(shù)據(jù)包提供數(shù)據(jù)完整性、數(shù)據(jù)包源地址驗(yàn)證和一些有限的抗重播服務(wù)，AH不提供對通信數(shù)據(jù)的加密服務(wù)，與ESP協(xié)議相比，AH不提供對通信數(shù)據(jù)的加密服務(wù)，但能比ESP提供更加廣的數(shù)據(jù)驗(yàn)證服務(wù)。AH是另一個(gè)IP協(xié)議，它分配到的數(shù)是51。在IPv6的情況下，下一個(gè)頭字段的值由擴(kuò)展頭的存在來決定。如果沒有擴(kuò)展頭，IPv6頭中的下一個(gè)頭字段將是51。如果AH頭之前有擴(kuò)展頭，緊靠在AH頭前面的擴(kuò)展頭中的下一個(gè)頭字段就會被設(shè)成51。將AH頭插入IPv6的規(guī)則與ESP插入規(guī)則類似。AH和ESP保護(hù)的數(shù)據(jù)相同時(shí)，AH頭會一直插在ESP頭之后。AH頭比ESP頭簡單得多，因?yàn)樗鼪]有提供機(jī)密性。由于不需要填充和一個(gè)填充長度指示器，因此也不存在尾。另外，也不需要一個(gè)初始化向量。SA（安全聯(lián)盟）SA是一種安全關(guān)聯(lián)，SA對兩臺計(jì)算機(jī)之間的策略協(xié)議進(jìn)行編碼，指定它們將使用哪些算法和什么樣的密鑰長度，以及實(shí)際的密鑰本身。安全關(guān)聯(lián)SA（SecurityAssociation）是單向的，在兩個(gè)使用IPSec的實(shí)體（主機(jī)或路由器）間建立的邏輯連接，定義了實(shí)體間如何使用安全服務(wù)（如加密）進(jìn)行通信。它由下列元素組成：①安全參數(shù)索引SPI；②IP目的地址；③安全協(xié)議。（1）SA是一個(gè)單向的邏輯連接，也就是說，在一次通信中，IPSec需要建立兩個(gè)SA，一個(gè)用于入站通信，另一個(gè)用于出站通信。若某臺主機(jī)，如文件服務(wù)器或遠(yuǎn)程訪問服務(wù)器，需要同時(shí)與多臺客戶機(jī)通信，則該服務(wù)器需要與每臺客戶機(jī)分別建立不同的SA。每個(gè)SA用唯一的SPI索引標(biāo)識，當(dāng)處理接收數(shù)據(jù)包時(shí)，服務(wù)器根據(jù)SPI值來決定該使用哪種SA。（2）第一階段SA（主模式SA，為建立信道而進(jìn)行的安全關(guān)聯(lián)）IKE建立SA分兩個(gè)階段。第一階段，協(xié)商創(chuàng)建一個(gè)通信信道（IKESA），并對該信道進(jìn)行認(rèn)證，為雙方進(jìn)一步的IKE通信提供機(jī)密性、數(shù)據(jù)完整性以及數(shù)據(jù)源認(rèn)證服務(wù)；第二階段，使用已建立的IKESA建立IPSecSA。分兩個(gè)階段來完成這些服務(wù)有助于提高密鑰交換的速度。第一階段協(xié)商（主模式協(xié)商）步驟：①策略協(xié)商，在這一步中，就四個(gè)強(qiáng)制性參數(shù)值進(jìn)行協(xié)商：1）加密算法：選擇DES或3DES；2）hash算法：選擇MD5或SHA；3）認(rèn)證方法：選擇證書認(rèn)證、預(yù)置共享密鑰認(rèn)證或Kerberosv5認(rèn)證；4）Diffie-Hellman組的選擇②DH交換雖然名為“密鑰交換”，但事實(shí)上在任何時(shí)候，兩臺通信主機(jī)之間都不會交換真正的密鑰，它們之間交換的只是一些DH算法生成共享密鑰所需要的基本材料信息。DH交換，可以是公開的，也可以受保護(hù)。在彼此交換過密鑰生成"材料"后，兩端主機(jī)可以各自生成出完全一樣的共享“主密鑰”，保護(hù)緊接其后的認(rèn)證過程。③認(rèn)證DH交換需要得到進(jìn)一步認(rèn)證，如果認(rèn)證不成功，通信將無法繼續(xù)下去?！爸髅荑€”結(jié)合在第一步中確定的協(xié)商算法，對通信實(shí)體和通信信道進(jìn)行認(rèn)證。在這一步中，整個(gè)待認(rèn)證的實(shí)體載荷，包括實(shí)體類型、端口號和協(xié)議，均由前一步生成的“主密鑰”提供機(jī)密性和完整性保證。（3）第二階段SA（快速模式SA，為數(shù)據(jù)傳輸而建立的安全關(guān)聯(lián)）這一階段協(xié)商建立IPSecSA，為數(shù)據(jù)交換提供IPSec服務(wù)。第二階段協(xié)商消息受第一階段SA保護(hù)，任何沒有第一階段SA保護(hù)的消息將被拒收。第二階段協(xié)商（快速模式協(xié)商）步驟：①策略協(xié)商，雙方交換保護(hù)需求：使用哪種IPSec協(xié)議：AH或ESP使用哪種hash算法：MD5或SHA是否要求加密，若是，選擇加密算法：3DES或DES在上述三方面達(dá)成一致后，將建立起兩個(gè)SA，分別用于入站和出站通信。②會話密鑰"材料"刷新或交換在這一步中，將生成加密IP數(shù)據(jù)包的"會話密鑰"。生成"會話密鑰"所使用的"材料"可以和生成第一階段SA中"主密鑰"的相同，也可以不同。如果不做特殊要求，只需要刷新"材料"后，生成新密鑰即可。若要求使用不同的"材料"，則在密鑰生成之前，首先進(jìn)行第二輪的DH交換。③SA和密鑰連同SPI，遞交給IPSec驅(qū)動(dòng)程序。第二階段協(xié)商過程與第一階段協(xié)商過程類似，不同之處在于：在第二階段中，如果響應(yīng)超時(shí)，則自動(dòng)嘗試重新進(jìn)行第一階段SA協(xié)商。第一階段SA建立起安全通信信道后保存在高速緩存中，在此基礎(chǔ)上可以建立多個(gè)第二階段SA協(xié)商，從而提高整個(gè)建立SA過程的速度。只要第一階段SA不超時(shí)，就不必重復(fù)第一階段的協(xié)商和認(rèn)證。允許建立的第二階段SA的個(gè)數(shù)由IPSec策略屬性決定。④SA生命期第一階段SA有一個(gè)缺省有效時(shí)間，如果SA超時(shí)，或"主密鑰"和"會話密鑰"中任何一個(gè)生命期時(shí)間到，都要向?qū)Ψ桨l(fā)送第一階段SA刪除消息，通知對方第一階段SA已經(jīng)過期。之后需要重新進(jìn)行SA協(xié)商。第二階段SA的有效時(shí)間由IPSec驅(qū)動(dòng)程序決定。[4]IKE（Internet密鑰交換）Internet密鑰交換協(xié)議(IKE)是用于交換和管理在VPN中使用的加密密鑰的，IKE屬于一種混合型協(xié)議，由Internet安全關(guān)聯(lián)和密鑰管理協(xié)議（ISAKMP）和兩種密鑰交換協(xié)議OAKLEY與SKEME組成。IKE創(chuàng)建在由ISAKMP定義的框架上，沿用了OAKLEY的密鑰交換模式以及SKEME的共享和密鑰更新技術(shù)，還定義了它自己的兩種密鑰交換方式：主要模式和積極模式。IPSec的兩種模式傳送模式傳送模式加密的部份較少，沒有額外的IP報(bào)頭，工作效率相對更好，但安全性相對于隧道模式會有所降低。傳送模式下，源主機(jī)和目的地主機(jī)必須直接執(zhí)行所有密碼操作。加密數(shù)據(jù)是通過使用L2TP（第二層隧道協(xié)議）而生成的單一隧道來發(fā)送的。數(shù)據(jù)（密碼文件）則是由源主機(jī)生成并由目的地主機(jī)檢索的。圖STYLEREF1\s3–SEQ圖\*ARABIC\s11|傳輸模式通道模式通道模式可以在兩個(gè)SecurityGateway間建立一個(gè)安全"隧道"，經(jīng)由這兩個(gè)GatewayProxy的傳送均在這個(gè)通道中進(jìn)行。通道模式下的IPSec報(bào)文要進(jìn)行分段和重組操作，并且可能要再經(jīng)過多個(gè)安全網(wǎng)關(guān)才能到達(dá)安全網(wǎng)關(guān)后面的目的主機(jī)。通道模式下，除了源主機(jī)和目的地主機(jī)之外，特殊的網(wǎng)關(guān)也將執(zhí)行密碼操作。在這種模式里，許多隧道在網(wǎng)關(guān)之間是以系列的形式生成的，從而可以實(shí)現(xiàn)網(wǎng)關(guān)對網(wǎng)關(guān)安全。[5]圖STYLEREF1\s3–SEQ圖\*ARABIC\s12傳輸模式IPSecVPN兩個(gè)階段的協(xié)商過程IPSecVPN隧道的建立過程可以分為二個(gè)階段:第一階段二種模式:主模式或主動(dòng)模式第二階段:快速模式第一階段有三個(gè)任務(wù)必須完成:⑴、協(xié)商一系列算法和參數(shù)(這些算法和參數(shù)用于保護(hù)隧道建立過程中的數(shù)據(jù))。⑵、必須計(jì)算出二邊使用的加密KEY值，例如，二邊使用3DES算法密，3DES算法則需要一個(gè)密碼，這個(gè)密碼二端必須一樣，但又不能在鏈路上傳遞。⑶、對等體的驗(yàn)證，如何才能知道對端就是我要與之通信的對端。這里驗(yàn)證有三種方法:預(yù)共享，數(shù)字簽名，加密臨時(shí)值。這一系列過程都是IKE這個(gè)協(xié)議來實(shí)現(xiàn)，IKE這個(gè)協(xié)議也存在著一些不足，“IKE之子”或第二版IKE正在開發(fā)之中。[6]第二階段只有第一階段任務(wù)必須完成:在二個(gè)對等體間協(xié)商產(chǎn)生IPSec聯(lián)盟的屬性，安全聯(lián)盟可以加密二個(gè)對等體間的數(shù)據(jù)，這才是真正的需要加密的用戶數(shù)據(jù)，至此，隧道才真正建立起來。第一階段三個(gè)任務(wù)，分別用6個(gè)消息來完成，每二個(gè)為一組。第一個(gè)消息由隧道的發(fā)起者發(fā)起，攜帶了如這樣一些參數(shù)，如加密機(jī)制-DES，散列機(jī)制-MD5-HMAC，Diffie-Hellman組-2，認(rèn)證機(jī)制-預(yù)共享。第二個(gè)消息由響應(yīng)者回應(yīng)，內(nèi)容基本一樣，主要與發(fā)起者比較，是否與發(fā)起者匹配，不匹配就進(jìn)行下一組的比較。如果最終都找不到匹配，隧道就停止建立。第三個(gè)消息由發(fā)起者發(fā)出，但是在發(fā)出這個(gè)消息之前，有個(gè)過程必須先完成，就是Diffie-Hellman算法過程。該過程的目的是什么呢?剛剛第一二條消息中所協(xié)商的算法它們必須需要一個(gè)KEY，這個(gè)KEY在二個(gè)對等體上必須一樣，但同時(shí)這個(gè)KEY不能在鏈路中傳遞，因?yàn)閭鬟fKEY是一個(gè)不安全的手段。所以，該過程的目的是分別在二個(gè)對等間獨(dú)立地生成一個(gè)DH公共值，該公共值有什么用呢？因?yàn)槎€(gè)對等體上都生成該DH公共值后，它們會在接下來的第三第四消息中傳送給對方，打個(gè)比方，就是A收到了B的DH公共值，B收到了A的DH公共值。當(dāng)A，B都收到了對方的該公共值后，問題就好解決了。因?yàn)橛幸粋€(gè)公式在數(shù)學(xué)中被論證成立，那么現(xiàn)在借助該公式，就可以在二個(gè)對等上生成一個(gè)只有他們二個(gè)對等體知道的相同的KEY，該公式為發(fā)起者密秘=(Xb)amodp=(Xa)bmodp=響應(yīng)者密秘注意，這個(gè)密秘不是最終算法中使用的KEY，但二個(gè)對等體通過該KEY材料來生成另三個(gè)密鑰，分別是:SKEYID_d--此密鑰被用于計(jì)算后續(xù)IPSec密鑰資源。SKEYID_a--此密鑰被用于提供后續(xù)IKE消息的數(shù)據(jù)完整性以及認(rèn)證。SKEYID_e--此密鑰被用于對后續(xù)IKE消息進(jìn)行加密。所以由發(fā)起者發(fā)起的第三條消息主要是向?qū)Φ润w發(fā)送自己的DH公共值。第四條消息由響應(yīng)者向發(fā)起者發(fā)送，主要是向發(fā)送者發(fā)送自己的DH公共值。由于第一二條消息的算法，第三四條消息生成的KEY，所以在后續(xù)的第五六條消息就能被加密傳送。第五條消息由發(fā)起者向響應(yīng)者發(fā)送，主要是為了驗(yàn)證對端自己就是自己想要與之通信的對端。這可以通過預(yù)共享，數(shù)字簽名，加密臨時(shí)值來實(shí)現(xiàn)。第六條消息由響應(yīng)者向發(fā)起者發(fā)送，主要目的和第五條一樣。在這六條消息過后，就進(jìn)入了第二階段:快速模式，快速模式使用二條消息來實(shí)現(xiàn)。快速模式發(fā)起者會在第一條消息中發(fā)送IPSecSA的轉(zhuǎn)換屬性，如:封裝--ESP，完整性檢驗(yàn)--SHA-HMAC，DH組--2，模式--隧道。響應(yīng)者向發(fā)起者發(fā)送第二條消息，同意第一條消息中的屬性，同時(shí)也能起到確認(rèn)收到對端消息的作用。這一步一旦完成，隧道就建立起來了，用戶的數(shù)據(jù)就能被放入隧道中傳送。[7]基于IPSec的VPN設(shè)計(jì)與實(shí)現(xiàn)IPSec基本協(xié)議與目標(biāo)IPSec基于端對端的安全模式，在源IP和目標(biāo)IP地址之間建立信任和安全性?？紤]認(rèn)為IP地址本身沒有必要具有標(biāo)識，但I(xiàn)P地址后面的系統(tǒng)必須有一個(gè)通過身份驗(yàn)證程序驗(yàn)證過的標(biāo)識。只有發(fā)送和接收的計(jì)算機(jī)需要知道通訊是安全的。每臺計(jì)算機(jī)都假定進(jìn)行通訊的媒體不安全，因此在各自的終端上實(shí)施安全設(shè)置。除非兩臺計(jì)算機(jī)之間正在進(jìn)行防火墻類型的數(shù)據(jù)包篩選或網(wǎng)絡(luò)地址轉(zhuǎn)換，否則僅從源向目標(biāo)路由數(shù)據(jù)的計(jì)算機(jī)不要求支持IPSec。該模式允許為下列企業(yè)方案成功部署IPSec：局域網(wǎng)(LAN)：客戶端/服務(wù)器和對等網(wǎng)絡(luò)廣域網(wǎng)(WAN)：路由器到路由器和網(wǎng)關(guān)到網(wǎng)關(guān)遠(yuǎn)程訪問：撥號客戶機(jī)和從專用網(wǎng)絡(luò)訪問Internet通常，兩端都需要IPSec配置（稱為IPSec策略）來設(shè)置選項(xiàng)與安全設(shè)置，以允許兩個(gè)系統(tǒng)對如何保護(hù)它們之間的通訊達(dá)成協(xié)議。Microsoft®Windows®2000、WindowsXP和WindowsServer2003家族實(shí)施IPSec是基于“Internet工程任務(wù)組(IETF)”IPSec工作組開發(fā)的業(yè)界標(biāo)準(zhǔn)。IPSec相關(guān)服務(wù)部分是由Microsoft與CiscoSystemsInc共同開發(fā)的。IPSec協(xié)議不是一個(gè)單獨(dú)的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括網(wǎng)絡(luò)認(rèn)證協(xié)議AuthenticationHeader（AH）、封裝安全載荷協(xié)議EncapsulatingSecurityPayload（ESP）、密鑰管理協(xié)議InternetKeyExchange（IKE）和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。IPSec規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。[8]IPSecVPN的實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)背景分析某企業(yè)總部設(shè)在南陽，在鄭州有一個(gè)分公司，在許昌有一個(gè)合作伙伴并且有員工長期到外地出差。每個(gè)地方都有員工500人以上，由于企業(yè)信息的安全需求，要求總部與鄭州分部和許昌的合作伙伴之間要求數(shù)據(jù)加密而且具有一般的驗(yàn)證功能，并能提供數(shù)據(jù)的完整性驗(yàn)證。運(yùn)用windowsserver2003進(jìn)行IPSecVPN的搭建。網(wǎng)絡(luò)拓?fù)鋱D：2003-1為南陽總公司服務(wù)器2003-2為鄭州分公司服務(wù)器2003-3為許昌合作伙伴服務(wù)器2003-4為移動(dòng)辦公人員的電腦圖STYLEREF1\s4–SEQ圖\*ARABIC\s11整體規(guī)劃圖IP規(guī)劃：可以看出此網(wǎng)絡(luò)用戶數(shù)量比較小，租用一個(gè)B類網(wǎng)段就可以滿足需求。假如公司申請到的IP地址為子網(wǎng)掩碼為先把此IP號劃分成3個(gè)子網(wǎng)，要求每個(gè)子網(wǎng)用戶>500。來供南陽、許昌和鄭州公司用。所以根據(jù)22=4向主機(jī)借2位用來劃分子網(wǎng)。地點(diǎn)IP地址子網(wǎng)掩碼南陽-鄭州-許昌-表格SEQ表格\*ARABIC1IP劃分VPN服務(wù)器配置環(huán)境Windowsserver2003雙網(wǎng)卡服務(wù)器PCwindowsserver2003南陽：服務(wù)器名字：2003-1IP地址：/18VPNIP:鄭州：服務(wù)器名字：2003-2IP地址：/18VPNIP:0許昌：服務(wù)器名字：2003-3IP地址：/18VPNIP:00活動(dòng)目錄ActiveDirectory存儲了有關(guān)網(wǎng)絡(luò)對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。ActiveDirectory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲方式，并以此作為基礎(chǔ)對目錄信息進(jìn)行合乎邏輯的分層組織。主域的創(chuàng)建⑴、點(diǎn)擊電腦的開始，在運(yùn)行中輸入“dcpromo”。然后點(diǎn)擊確定。⑵、在新建的域控制器中，輸入新域的DNS全名為“”。⑶、按照系統(tǒng)所提供的提示，進(jìn)行操作。點(diǎn)擊下一步，域控制器安裝完成。需要重啟電腦，同時(shí)在安裝的時(shí)候也安裝了也安裝了DNS，我們可以在管理工具中查看到。子域的創(chuàng)建⑴、點(diǎn)擊電腦的開始，在運(yùn)行中輸入“dcpromo”。然后點(diǎn)擊確定。⑵、選擇“在現(xiàn)有域樹中的子域”選項(xiàng)⑶、構(gòu)建子域的時(shí)候也需要“網(wǎng)絡(luò)憑據(jù)”，且是主域管理員的密碼。⑷、其它的建立就是和主域的建立過程相同?？梢詤⒖贾饔蚩刂破鞯呐渲眠^程。只到完成子域的建立完成結(jié)束。員工加入域右鍵點(diǎn)擊我的電腦選擇屬性。圖STYLEREF1\s4–SEQ圖\*ARABIC\s12用戶加入域配置服務(wù)器之間的VPN連接服務(wù)器與服務(wù)器之間的連接過程，如下的流程圖所示圖STYLEREF1\s4–SEQ圖\*ARABIC\s13流程圖⑴、使用管理員登錄到VPN服務(wù)器打開開始——管理工具——路由和遠(yuǎn)程訪問在路由和遠(yuǎn)程訪問控制臺中，右擊服務(wù)器，從彈出的快捷菜單中選擇“配置并啟用路由和遠(yuǎn)程訪問”命令。在路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)У拇翱谥?，單擊下一步在配置窗口中，選擇如圖示選項(xiàng)，單擊下一步圖STYLEREF1\s4–SEQ圖\*ARABIC\s14選擇連接方式圖⑵、會出現(xiàn)的選項(xiàng)都默認(rèn)，點(diǎn)擊下一步。另一個(gè)VPN也這樣選擇。這里就省略了。對“地址范圍指定”的IP地址就如下圖所示，前一個(gè)是南陽，后一個(gè)是鄭州，然后點(diǎn)擊下一步，繼續(xù)。

圖STYLEREF1\s4–SEQ圖\*ARABIC\s15⑶、設(shè)置接口名稱，接口是服務(wù)器連接的憑證，也是互相連接的依據(jù)。服務(wù)器連接需要有兩個(gè)接口配置，一個(gè)是請求撥入接口，二個(gè)是請求撥出接口。兩個(gè)接口都不能少，而且唯一。圖STYLEREF1\s4–SEQ圖\*ARABIC\s16接口創(chuàng)建圖⑷、創(chuàng)建好接口之后，要選擇VPN連接的接口類型，我們是基于IPSec的VPN設(shè)計(jì)，IPSec屬于第二層協(xié)議，所以此處我們創(chuàng)建的IPSecVPN必須選擇第二層隧道協(xié)議。圖STYLEREF1\s4–SEQ圖\*ARABIC\s17選擇接口類型⑸、輸入目標(biāo)地址就是互相連接的另外一個(gè)VPN的內(nèi)網(wǎng)地址、主機(jī)名或者IP地址，不過IP地址比較容易，所以一般都安照IP地址進(jìn)行配置。這個(gè)必須是VPN的IP地址，不能是私人網(wǎng)絡(luò)的IP地址。圖STYLEREF1\s4–SEQ圖\*ARABIC\s18目標(biāo)地址圖⑹、下圖第一個(gè)是南陽服務(wù)器的撥入憑據(jù)，撥入憑證是服務(wù)器進(jìn)行連接的用戶名和密碼，當(dāng)連接時(shí)只有用戶名和密碼正確才能進(jìn)行連接。撥入憑證和撥出憑證，兩個(gè)服務(wù)器整好相反，也就是說南陽服務(wù)器的撥入憑證正好是鄭州服務(wù)器的撥出憑據(jù)。第二個(gè)圖是南陽服務(wù)器中要填寫的撥出憑據(jù)。鄭州服務(wù)器中的撥出憑據(jù)是南陽服務(wù)器的“撥入憑證”。圖STYLEREF1\s4–SEQ圖\*ARABIC\s19撥出撥入憑證⑺、南陽服務(wù)器與許昌服務(wù)器只需要“新建接口撥號連接”創(chuàng)建過程和南陽服務(wù)器與鄭州服務(wù)器方法大同小異。申請證書設(shè)置⑴、在DC上安裝證書服務(wù)（注意在安裝證書服務(wù)的時(shí)候，要同時(shí)安裝WEB服務(wù)，因?yàn)橥ㄟ^瀏覽器申請證書，需要WEB服務(wù)的支持）。本實(shí)驗(yàn)的CA類型為“獨(dú)立根CA”，且將VPN服務(wù)器加入到域中。圖STYLEREF1\s4–SEQ圖\*ARABIC\s110安裝證書功能⑵、VPN服務(wù)器和客戶端均需申請IPSec證書，下載并且安裝所申請的證書，作為獨(dú)立CA，會稍微麻煩一點(diǎn)。首先為VPN服務(wù)器申請“IPSec證書”然后選擇建立一個(gè)“高級證書申請”選項(xiàng)。圖STYLEREF1\s4–SEQ圖\*ARABIC\s111選擇申請證書⑶、選擇“創(chuàng)建并向此CA提交一個(gè)申請”。如下圖所示，輸入證書申請的參數(shù)，由于此CA類型是獨(dú)立根，因此需要輸入的參數(shù)和企業(yè)根有所不同。證書姓名中我們輸入了VPN服務(wù)器的域名，我們選擇的證書類型是“服務(wù)器身份驗(yàn)證證書”，然后選擇將證書保存在本地計(jì)算機(jī)存儲中，其他參數(shù)隨便輸入即可。圖STYLEREF1\s4–SEQ圖\*ARABIC\s112證書申請圖⑷、提交申請后，證書服務(wù)器頒發(fā)了證書，如下圖所示，我們選擇“安裝此證書”即可完成證書申請工作。注意，獨(dú)立根CA默認(rèn)是需要管理員審核才能進(jìn)行證書核發(fā)，我們修改了獨(dú)立根CA的策略模塊，讓CA服務(wù)器可以自動(dòng)發(fā)放證書。圖STYLEREF1\s4–SEQ圖\*ARABIC\s113安裝證書⑸、VPN服務(wù)器申請完服務(wù)器證書后，接下來我們申請客戶端證書，訪問南陽的CA服務(wù)器，申請過程和主服務(wù)器相同。此處就略。⑹、當(dāng)VPN服務(wù)器和客戶端的證書申請完畢后，這個(gè)時(shí)候還不能通過證書信任來進(jìn)行IPSec的訪問，需要在南陽VPN服務(wù)器和鄭州服務(wù)器上下載根CA證書及證書鏈，并導(dǎo)入到信任的證書頒發(fā)機(jī)構(gòu)列表中以南陽為例圖STYLEREF1\s4–SEQ圖\*ARABIC\s114下載證書鏈和證書⑺、將CA證書及證書鏈下載到桌面吧，然后進(jìn)行證書的安裝和證書鏈的安裝，將所有證書安裝到高級選項(xiàng)中的“受信任的證書頒發(fā)機(jī)構(gòu)\本地計(jì)算機(jī)”然后提示你安裝成功。圖STYLEREF1\s4–SEQ圖\*ARABIC\s115證書的安裝⑻、按照上面同樣的方式導(dǎo)入證書鏈。對于另外的服務(wù)器和客戶端來說下載CA和CA鏈的方式以及導(dǎo)入的方式與VPN服務(wù)器完全相同，在此配置省略。客戶端與服務(wù)器連接客戶端和服務(wù)器進(jìn)行連接的流程圖如下所示圖STYLEREF1\s4–SEQ圖\*ARABIC\s116流程圖⑴、打開我們的電腦，選擇網(wǎng)上鄰居。里邊有個(gè)新建連接向?qū)?，我們選擇新建“連接到我的工作場所的網(wǎng)絡(luò)（0）”這是我們進(jìn)行VPN創(chuàng)建的必要過程。圖STYLEREF1\s4–SEQ圖\*ARABIC\s117創(chuàng)建向?qū)Б啤⒃诰W(wǎng)絡(luò)連接過程中會有提示，此處我們要選擇“虛擬專用網(wǎng)絡(luò)連接”，并且我們給連接的接口起名字，此名字也必須是服務(wù)器端唯一的用戶名。而且這個(gè)用戶，在服務(wù)器應(yīng)該被創(chuàng)建好了。圖STYLEREF1\s4–SEQ圖\*ARABIC\s118創(chuàng)建連接與撥號名⑶、在VPN服務(wù)器選擇中輸入所要連接的服務(wù)器的VPNIP地址，因?yàn)榇颂幬覀兪且B接南陽總公司的服務(wù)器，我們則添加的是南陽服務(wù)器VPN的IP地址，然后直至創(chuàng)建完成圖STYLEREF1\s4–SEQ圖\*ARABIC\s119服務(wù)器選擇⑷、證書的申請和安裝，與服務(wù)器與服務(wù)器之間的申請、安裝相同，所以此處我們就省略了配置、安裝。詳