山东科技大学毕业设计(论文)
自动绑定”。系统默认配置是“禁止接入”。图示选择的是“允许接入”,这表示该用户的身份信息不会和其使用的PC硬件绑定。
2、在PC机上运行RG-SRA程序,开始建立VPN隧道: 1) 第一次运行RG-SRA程序后,建立连接:
图4-13 登录远程用户添加VPN连接
3) 运行该隧道连接,建立VPN隧道,并启动隧道连接。
32
山东科技大学毕业设计(论文)
图4-14 VPN隧道的建立
输入身份认证所必须的账号,即在VPN设备A上添加的用户。
图4-15 用户登录
33
山东科技大学毕业设计(论文)
点击“连接”按钮后,系统自动进行身份认证,并且开始IKE的协商,如下图4-16所示:
图4-16 远程用户登录显示
2、在VPN设备A的管理界面也可看到已经建立成功的隧道信息。 隧道启动后可以在“隧道协商状态”栏目下看到隧道的协商状态,“隧道状态”显示“第二阶段协商成功”。
图4-17 登录成功且IKE协商成功
第四步:进行隧道通信
从PC机上去访问服务器提供的服务,服务应该成功。或者先在PC机上Ping一下服务器的IP,应该能够Ping通。(没有VPN隧道前Ping会是失败的)
VPN隧道的通信情况可以在“隧道通信状态”中查看到,如下图4-18所示:
34
山东科技大学毕业设计(论文)
图4-18 隧道协商状态
35
山东科技大学毕业设计(论文)
5. IPSec over GRE VPN的分析与架构
5.1 IPSec协议与GRE协议优缺点的分析
5.1.1 IPSec 协议的优缺点
IPSec协议的优点:①IPsec工作在传输层之下,因此对应用层是透明的,当在路由器或者防火墙上安装IPsec时,无需要更改用户或服务器系统中的软件设置。即使在终端系统中执行IPsec,应用程序等上层软件也不会受影响。另外,IPsec也可以为单个用户提供主机到主机的安全隧道,保护客户的敏感信息。IPsec选择在IP成是一种很好的选择,更好级别的服务只能保护某一种协议,更低级别的服务则只能保护某一种通信媒体,而IPsec则可以保护IP之上的任何协议和IP之下的任何通信媒体。
②IPsec具有模块化的设计,即使选择不同的算法,也不会影响到其他部分的实现,不同用户群可以根据自己的需求选择合适的算法集。
③IPsec使用包过滤的方式进行访问控制。则按可以减少握手的时间,一次握手就可以传送大量的数据,尤其适用于传输数据量大的应用。
④VPN交换机的分离通道特性为IPsec客户端提供同时对internet,extranet和本地网络访问的支持,该技术可以设置权限,允许用户的访问权限,如允许本地打印和文件共享访问,允许直接internet访问和允许安全外网访问,该特性使用用户在安全条件下合理方便的使用网络资源,既有安全性又有灵活性。
IPsec定义了开放的体系结构和框架。
36