利用openvpn+linux快速建立企业VPN
openvpn介绍http://openvpn.sourceforge.net/,不多说了.
openvpn可工作于两种模式：
一种是IP遂道路由模式,主要应用于点对点
一种是基于以太网的遂道桥模式, 应用于点对多点,有多个分支机构
本文介绍的配置实例是第一种
拓扑图:
局域网1: OFFICE主机装redhat9.0 两块网卡
eth1接公网 61.131.58.x ,
eth0接 内网192.168.1.56
vpn 10.1.0.1
A主机 192.168.1.222
局域网2:
HOME主机装redhat9.0两块网卡
eth0 接公网 218.85.158.244
eth1 接内网 192.168.0.235
vpn 10.1.0.2
B主机 192.168.0.45

环境:redhat9.0+lzo+openssl+openvpn
openssl用来进行加密，lzo用来进行数据压缩
下载地址 http://prdownloads.sourceforge.net/openvpn/openvpn-2.0_beta7.tar.gz
http://www.oberhumer.com/opensource/lzo/download/lzo-1.08.tar.gz

先检查openssl是否已安装
rpm –qa | grep openssl
没有请先装openssl, openssl如何安装就不介绍了
我将openvpn-2.0.beta7.tar.gz和lzo-1.08.tar.gz下载到/home
#cd /home
#tar zxvf lzo-1.08.tar.gz
#cd lzo-1.08.
#./comfigure
#make
#make install
#tar zxvf openvpn-2.0_beta7.tar.gz
#cd openvpn-2.0_beta7
#./configure --with-lzo-headers=/usr/local/include --with-lzo-lib=/usr/local/lib
#make
#make install
#mkdir /etc/openvpn
#cd /etc/openvpn
#openvpn --genkey --secret static.key
将static.key从office主机复制到home主机的/etc/openvpn目录中
office#scp static.key root@218.85.158.244:/etc/openvpn
office#cd /home/openvpn-2.0_beta7/sample-config-files
office#cp static-office.conf /etc/openvpn
office#cp firewall.sh /etc/openvpn
office#cp openvpn-startup.sh /etc/openvpn
office#cp office.up /etc/openvpn
修改static-office.conf ,firewall.sh ,openvpn-startup.sh,office.up
我们先来看office主机的这几个配置文件
static-office.conf配置如下:
dev tun0
remote 218.85.158.244 #为对端的公网ip
ifconfig 10.1.0.1 10.1.0.2 #为本端和对端的vpn ip地址
secret /etc/openvpn/static.key #密钥
port 5000
comp-lzo
ping 15
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
verb 3

office主机的firewall.sh脚本如下:
#!/bin/bash
PRIVATE=192.168.1.0/24
LOOP=127.0.0.1

iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -F

iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i eth1 -s $LOOP -j DROP
iptables -A FORWARD -i eth1 -s $LOOP -j DROP
iptables -A INPUT -i eth1 -d $LOOP -j DROP
iptables -A FORWARD -i eth1 -d $LOOP -j DROP

iptables -A FORWARD -p tcp --sport 137:139 -o eth1 -j DROP
iptables -A FORWARD -p udp --sport 137:139 -o eth1 -j DROP
iptables -A OUTPUT -p tcp --sport 137:139 -o eth1 -j DROP
iptables -A OUTPUT -p udp --sport 137:139 -o eth1 -j DROP

iptables -A FORWARD -s ! $PRIVATE -i eth0 -j DROP

iptables -A INPUT -s $LOOP -j ACCEPT
iptables -A INPUT -d $LOOP -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A INPUT -p tcp --dport http -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -j ACCEPT

iptables -A INPUT -p udp --dport 5000 -j ACCEPT #openvpn默认使用udp 5000端口

iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT #这两句很重要
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT

iptables -A INPUT -i eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT

iptables -A OUTPUT -m state --state NEW -o eth1 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state NEW -o eth1 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -s $PRIVATE -o eth1 -j MASQUERADE

office.up脚本配置如下:
#!/bin/bash
route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.1.0.2 #此处是对端的vpn ip地址
openvpn-startup.sh脚本配置如下:
#!/bin/bash
dir=/etc/openvpn
$dir/firewall.sh
modprobe tun
echo 1 > /proc/sys/net/ipv4/ip_forward
openvpn --config /etc/openvpn/static-office.conf

home主机的4个配置文件
static-home.conf如下
dev tun0
remote 61.131.58.194
ifconfig 10.1.0.2 10.1.0.1
secret /etc/openvpn/static.key
port 5000
comp-lzo
ping 15
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
verb 3

firewall.sh如下
#!/bin/bash
PRIVATE=192.168.0.0/24
LOOP=127.0.0.1
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -F

iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i eth0 -s $LOOP -j DROP
iptables -A FORWARD -i eth0 -s $LOOP -j DROP
iptables -A INPUT -i eth0 -d $LOOP -j DROP
iptables -A FORWARD -i eth0 -d $LOOP -j DROP

iptables -A FORWARD -p tcp --sport 137:139 -o eth0 -j DROP
iptables -A FORWARD -p udp --sport 137:139 -o eth0 -j DROP
iptables -A OUTPUT -p tcp --sport 137:139 -o eth0 -j DROP
iptables -A OUTPUT -p udp --sport 137:139 -o eth0 -j DROP

iptables -A FORWARD -s ! $PRIVATE -i eth1 -j DROP

iptables -A INPUT -s $LOOP -j ACCEPT
iptables -A INPUT -d $LOOP -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A INPUT -p tcp --dport http -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -j ACCEPT

iptables -A INPUT -p udp --dport 5000 -j ACCEPT

iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT

iptables -A INPUT -i eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT

iptables -A OUTPUT -m state --state NEW -o eth0 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state NEW -o eth0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -s $PRIVATE -o eth0 -j MASQUERADE

home.up脚本如下:
#!/bin/bash
route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.1.0.1
openvpn-startup.sh脚本如下:
#!/bin/bash
dir=/etc/openvpn
$dir/firewall.sh
modprobe tun
echo 1 > /proc/sys/net/ipv4/ip_forward
openvpn --config /etc/openvpn/static-home.conf
最后需要注意的是在office和home主机的/etc/modules.conf都要加上一行:
alias char-major-10-200 tun
在office主机上
office#cd /etc/openvpn
office#./openvpn-startup.sh
office#./office.up
在home主机上
home#cd /etc/openvpn
home#./openvpn-startup.sh
home#./home.up
A主机的default gateway设为192.168.1.56
B主机的default gateway设为192.168.0.235
在A主机上ping 192.168.0.45
在home主机上用tcpdump监听
home#tcpdump -i tun0
应该有echo request和echo reply
不行的话，在home#ping 10.1.0.1看两个vpn网关是否通
http://openvpn.sourceforge.net 上还有howto，faq,examples可参考

     首先将从两个WAN口出去的数据包进行IP伪装masquerade

　　/sbin/iptables -t nat -A postrouting -o eth1 -j masquerade

　　/sbin/iptables -t nat -A postrouting -o eth2 -j masquerade

　　然后，给系统增加一个标示为CNC的路由表，增加一个默认网关，这个默认网关是网通提供的网关。

　　ip route add 0/0 via 11.11.11.11 table CNC

　　然后给系统主路由表配置网关，这个网关是电信的网关

　　ip route add 0/0 via 22.22.22.22

　　然后添加路由规则，让所有通向网通的数据查询标示为11的路由表:

　　ip rule add to 60.0.0.0/13 table CNC

　　ip rule add to 60.8.0.0/15 table CNC

　　ip rule add to 60.10.0.0/16 table CNC

     这些规则，大家可以借鉴一下routeros的，网上很多，我就不说了，没有的可以跟我要。我的是MMS的，应该是比较全了

　　经过我们的设置所有通向网通的数据会查询路由表CNC，而通向其他的地方的数据，通向电信。(如果还有其他的线路，再增加路由表，再增加策略就可以了)

     要注意的是，在配置网卡的时候，先不要配置网关，不要使用老的ifconfig命令来配置网关，而要使用iproute2来配置网关，否则会造成冲突，

     或者 使用 ip route replace 命令来替换 ip route add 命令。

　　还有一个做法是:

　　Internet
　　| |
　　电信 网通
　　| |
　　交换机
     |
　　eth1 eth2

　　Server

　　eth0

　　|

　　其中eth0 ip 192.168.0.0/24

　　eth1 222.168.1.3/255.255.255.252

　　eth2 218.62.3.3/255.255.255.252

　　默认网关为网通的218.62.3.2

　　加上ip route add的电信网关 222.168.1.2

　　部分脚本为

　　iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -d 电信ip -j SNAT --to 222.168.1.3

　　***

　　***

　　***

　　iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 218.62.3.3

　　这样呢就实现了一个网段的电信网通自动切换

　　前期测试:如果单独切换ip,内网同时并存192.168.0.254/24 192.168.2.254/24两个网关,速度很稳定,可以实现预期效果

　　# echo "200 DIANXIN" >;>; /etc/iproute2/rt_table(这个是添加到文件，执行一次即可)

　　# ip route replace default via 222.168.1.2 table DIANXIN

　　# ip rule add fwmark 1 table DIANXIN(这个注意顺序，用ip rule可以查看)

　　# iptables -t nat -F

　　# iptables -t mangle -F

　　# iptables -t mangle -A PREROUTING -i eth0 -s 192.168.0.0/24 -d 222.222.5.0/15 -j MARK --set-mark 1

　　# iptables -t mangle -A PREROUTING -i eth0 -s 192.168.0.0/24 -d 222.240.0.0/13 -j MARK --set-mark 1

　　# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 222.222.5.0/15 -j SNAT --to $DIANXIN

　　# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 222.240.0.0/13 -j SNAT --to $DIANXIN

　　# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to $接网通线路网卡的地址

　　# ip route flush cache

　　这样的结果，是访问222.222.5.0/15和222.240.0.0/13走电信网卡、电信路由，伪装成电信出口地址，其他默认网通

公司 250平米 70终端座位  机房2个  办公室1个  会议室木有

强电  6人

开槽   电负荷计算   PVC走线   强电资格证   墙插

弱电 8人

网络、电话、门禁都用5类线   标记所有线头    无线AP分布    机柜配架网络、分机跳线

网络 1人

无线AP调试    路由器、三层交换机、VLAN调试      外网调试    终端调试

程控  1人

外线进出线     分机号    语音话务员   程控特殊要求

电信电话 1人

PBX    直线   ISDN   

电信光纤 1人

局端到点物理连通

宽带 2人

代理商   线路质量     附加功能     备份、冗余   技术支持

IP电话 1人

IP电话前端设备 调试

门禁 2人

大门、机房门禁   数据库平台 

家具 3人

客户端桌椅 BOSS桌椅 机柜、机架 屏风 装修粉饰  空调   静电地板

物业 2人

装修备案   用电    电话局端     消防   有无特殊要求   午餐

打印机 1人

打印机 复印机 传真机故障保养

····················

流程

宽带代理商 电信局电话移机联系                     确定价格及方案                                                    （1周）

强电、弱电、家具、门禁 项目招标                  出方案书、平面图、报价                                          （2-3周）

平面图最终修改                                         内部决定最佳方案   施工及各类附属工程进行时间确定       （1周）

宽带、电话线路、门禁等外部设施进入现场时间通知

装修图报物业备案   提消防备案检查                 增减烟感及喷淋  修改通风管口                                   （4-5天）

强、弱电进入施工  开槽  走线  计算用电负荷       办公室分割 隔墙 到位                                            （2-4周）

机房用电  UPS   静电地板   机柜到位                                                                                      （2天）

内部网络、程控设备进入   连接、调试                外部宽带、电话线路进入  连接、调试                           （2-4天）

门禁、IP电话到位                                                                                                               （1天）

墙面粉饰     地毯铺设    办公家具  局部地区空调   计算机及周边设备进入                                             （3-5天）

强、弱电最后验收                                                                                                               （正常使用后1周）

·······················

固定资产记录

所有台式机 笔记本 服务器 打印机 网络设备  周边设备 机房设备  报废设备

························

日常管理

信息安全                             系统、项目需要软件调查（apache weblogic svn 各类数据库 delphi PB）
宽带线路监察                        内部网络交换机按需修改、备份
邮件服务器保证                     所有服务器备份、资料更新、权限控制
公司主页维护                        分公司VPN网络联络活动（数据服务器 视频会议  远程访问）
电话、电源线路保证                耗材、新设备采购意见
管理表格维持                        人员流动、项目需求引起的各类设备使用变更情况跟踪
各类硬件保养  

参数terminal,memory和network的区别:
　　1.configure terminal:配置router的running-config,所谓running-config即为当前运行在动态RAM(DRAM)的配置文件
　　2.configure memory: 配置router的startup-config,所谓startup-config即为存储在router的NVRAM里的配置文件
　　3.configure network:配置存储在TFTP主机的配置文件

将路由器的CONSOLE口和计算机串口相连，启动计算机超级终端，开启路由器电源，在开机60秒内按ctlr+break 使路由器进入rom monitor 状态，提示符 rommon1>

　　a）rommon1>confreg 0x2142

        reset

         copy start tftp

      conft

      line console 0

       login

       password xxx

      line vty 0 4 ( telnet)

      password xxxx

      login

   外线接入全部转入847分机，847上接着语音话务员的设备，理论上也可以接在TD88上的话务员面板

   话务员设置

接待语设置
0->2->001->{1，2，3} 上班时间接待语音录制 对应的可以设置下班接待语、等待语、忙线、无人、空号、挂断语等

总机设置
0->4->1 设置总机号码

分机设置
1->01->{1,2} 设置分机号码起始、结束范围

    以上设置大致可以让话务员设备正常使用了

   程控交换机设置

设置拨号路由

  312打开路由
  313设好时间段.一般只设A时间段.
  314设路由计划一的前置数字0
  322设走路由一(也就是长途)所使用的外线群 G1M1
  331设走路由增加的号码,如17951等
  401将外线1-4分进第一群.

  再设置一条路由，第二个路由前置数字是1.2.3.4.5.6.7.8.9。走电信的路由，或者是在322中设置所有的都走第电信的路由，0例外，323中设置0走17951。

控制拨出权限

  003确定分机插口

  TRS限制代码：
      TRS限制代码的作用就是限制分机抓取外线的内容。分为两个内容，一个是输入的限制代码，一个是例外的
      限制代码。输入的限制代码在300-305里面设置，例外的限制代码在306-310里面设置

  500，501 COS等级

  601 分机权限的分配
       
 

  例子：设置分机101无限制，分机102可拨打国内长途，分机103可以拨打市话，分机104只可以拨打内线
    1：TRS设置：
      由于TRS等级1（对应300）是最高的，无法进行设置，所以300里面是不能进行限制的，我们都是从301-305
      来设置的，分别对应的等级是2-6，我们在301里面设置成00，意思就是说限制拨打国际长途（国际长途以
      00开头）。302里面设置0，013，015，意思是说限制拨打国内长途。这里看来我们的实际应用就已经达到了。
      但是，由于我们在302里面限制了以0开头的电话，那么我们的市话也就不可以打了，所以我们要在对应的例外
      限制码307里面添加021，允许拨打市话.
      注：TRS等级7默认不可更改，就是只能拨打内线。把其他的都限制了，是在是太好了！
   2：COS等级设置：（这里的等级就是我们电话的权限了）
      设置COS1对应1（这个1就是TRS限制等级，1就是300没有任何限制，就是可以拨打任何电话的等级了）；
      COS2对应2（这个2就是我们设置的301，里面限制拨打国际长途，那就可以拨打除此以外的任何电话了，
      也就是国内长途了），COS3对应3（这个就不说了，和前面两个一样的）,COS4对应7（7就TRS等级7，前面做
      了说明了）
      这样的话我们的权限就设置好了，记住500和501都要设置的。做到白天夜晚一样。
   3：分机权限分配
      601分配权限，101对应COS1等级，102对应COS2等级....依此类推...

之前的一些TD88的问题忘记了 ～蛮好那时候就记下来的 放着吧 慢慢更新

　　本文所提到的攻击和欺骗行为主要针对链路层和网络层。在网络实际环境中，其来源可概括为两个途径：人为实施；病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探，获取管理帐户和相关密码，在网络上中安插木马，从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静，但对于信息安全要求高的企业危害是极大的。而来自木马或者病毒及蠕虫的攻击和往往会偏离攻击和欺骗本身的目的，现象有时非常直接，会带来网络流量加大、设备 CPU 利用率过高、二层生成树环路直至网络瘫痪。

　　目前这类攻击和欺骗工具已经非常成熟和易用，而目前企业在部署这方面的防范还存在很多不足，有很多工作要做。思科针对这类攻击已有较为成熟的解决方案，主要基于下面的几个关键的技术：

• Port Security feature
• DHCP Snooping
• Dynamic ARP Inspection (DAI)
• IP Source Guard

　　下面部分主要针对目前非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用和部署上述技术，从而实现防止在交换环境中实施“中间人”攻击、 MAC/CAM 攻击、 DHCP 攻击、地址欺骗等，更具意义的是通过上面技术的部署可以简化地址管理，直接跟踪用户 IP 和对应的交换机端口；防止 IP 地址冲突。同时对于大多数对二层网络造成很大危害的具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。

一． MAC/CAM攻击的防范

　1.1 MAC/CAM攻击的原理和危害

　　交换机主动学习客户端的 MAC 地址，并建立和维护端口和 MAC 地址的对应表以此建立交换路径，这个表就是通常我们所说的 CAM 表。 CAM 表的大小是固定的，不同的交换机的 CAM 表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC ，快速填满 CAM 表，交换机 CAM 表被填满后，交换机以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探攻击获取网络信息。 CAM 表满了后，流量以洪泛方式发送到所有接口，也就代表 TRUNK 接口上的流量也会发给所有接口和邻接交换机，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。

 

　1.2 典型的病毒利用MAC/CAM攻击案例

　　曾经对网络照成非常大威胁的 SQL 蠕虫病毒就利用组播目标地址，构造假目标 MAC 来填满交换机 CAM 表。

 

　1.3 使用 Port Security feature 防范MAC/CAM攻击

思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻击。通过配置 Port Security 可以控制：

• 端口上最大可以通过的 MAC 地址数量
• 端口上学习或通过哪些 MAC 地址
• 对于超过规定数量的 MAC 处理进行违背处理

　　端口上学习或通过哪些 MAC 地址，可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口 MAC ，直到指定的 MAC 地址数量，交换机关机后重新学习。目前较新的技术是 Sticky Port Security ，交换机将学到的 mac 地址写到端口配置中，交换机重启后配置仍然存在。

对于超过规定数量的 MAC 处理进行处理一般有三种方式（针对交换机型号会有所不同）：

• Shutdown    这种方式保护能力最强，但是对于一些情况可能会为管理带来麻烦，
　　　　　　　 如某台设备中了病毒，病毒间断性伪造源 MAC 在网络中发送报文。
• Protect      丢弃非法流量，不报警。
• Restrict     丢弃非法流量，报警，对比上面会是交换机 CPU 利用率上升但是不影响交换机的正常使用。
              推荐使用这种方式。

 

　1.4 配置 port-security 配置选项：

Switch(config-if)# switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode

配置 port-security 最大 mac 数目，违背处理方式，恢复方法

Cat4507(config)#int fastEthernet 3/48
Cat4507 (config-if)#switchport port-security
Cat4507 (config-if)#switchport port-security maximum 2
Cat4507 (config-if)#switchport port-security violation shutdown
Cat4507 (config)#errdisable recovery cause psecure-violation
Cat4507 (config)#errdisable recovery interval 30

通过配置 sticky port-security学得的MAC

interface FastEthernet3/29
switchport mode access
switchport port-security
switchport port-security maximum 5
switchport port-security mac-address sticky
switchport port-security mac-address sticky 000b.db1d.6ccd
switchport port-security mac-address sticky 000b.db1d.6cce
switchport port-security mac-address sticky 000d.6078.2d95
switchport port-security mac-address sticky 000e.848e.ea01

 

　1.5 使用 其它技术 防范MAC/CAM攻击

除了 Port Security 采用 DAI 技术也可以防范 MAC 地址欺骗。

二． DHCP攻击的防范

　2.1　采用DHCP管理的常见问题：

　　采用 DHCP server 可以自动为用户设置网络 IP 地址、掩码、网关、 DNS 、 WINS 等网络参数，简化了用户网络设置，提高了管理效率。但在 DHCP 管理使用上也存在着一些另网管人员比较问题，常见的有：

• DHCP server 的冒充。
• DHCP server 的 Dos 攻击。
• 有些用户随便指定地址，造成网络地址冲突。

　　由于 DHCP 的运作机制，通常服务器和客户端没有认证机制，如果网络上存在多台 DHCP 服务器将会给网络照成混乱。由于用户不小心配置了 DHCP 服务器引起的网络混乱非常常见，足可见故意人为破坏的简单性。通常黑客攻击是首先将正常的 DHCP 服务器所能分配的 IP 地址耗尽，然后冒充合法的 DHCP 服务器。最为隐蔽和危险的方法是黑客利用冒充的 DHCP 服务器，为用户分配一个经过修改的 DNS server ，在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站，骗取用户帐户和密码，这种攻击是非常恶劣的。

　　对于 DHCP server 的 Dos 攻击可以利用前面将的 Port Security 和后面提到的 DAI 技术，对于有些用户随便指定地址，造成网络地址冲突也可以利用后面提到的 DAI 和 IP Source Guard 技术。这部分着重介绍 DHCP 冒用的方法技术。

 

　2.2　DHCP Snooping技术概况

　　DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息，如下表所示：

cat4507#sh ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100
GigabitEthernet1/0/7

　　这张表不仅解决了 DHCP用户的IP和端口跟踪定位问题，为用户管理提供方便，而且还供给动态ARP检测DA）和IP Source Guard使用。

 

　2.3　基本防范

　　首先定义交换机上的信任端口和不信任端口，对于不信任端口的 DHCP 报文进行截获和嗅探， DROP 掉来自这些端口的非正常 DHCP 报文

基本配置示例如下表： IOS 全局命令：

ip dhcp snooping vlan 100,200 /* 定义哪些 VLAN 启用 DHCP 嗅探
ip dhcp snooping

接口命令
ip dhcp snooping trust
no ip dhcp snooping trust (Default)
ip dhcp snooping limit rate 10 (pps) /* 一定程度上防止 DHCP 拒绝服 /* 务攻击

手工添加 DHCP 绑定表
ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi1/1 expiry 1000

导出 DHCP 绑定表到 TFTP 服务器
ip dhcp snooping database tftp:// 10.1.1 .1/directory/file

　　需要注意的是 DHCP 绑定表要存在本地存贮器 (Bootfalsh 、 slot0 、 ftp 、 tftp) 或导出到指定 TFTP 服务器上，否则交换机重启后 DHCP 绑定表丢失，对于已经申请到 IP 地址的设备在租用期内，不会再次发起 DHCP 请求，如果此时交换机己经配置了下面所讲到的 DAI 和 IP Source Guard 技术，这些用户将不能访问网络。

　2.4　高级防范

　　通过交换机的端口安全性设置每个 DHCP 请求指定端口上使用唯一的 MAC 地址，通常 DHCP 服务器通过 DHCP 请求的报文中的 CHADDR 段判断客户端 MAC 地址，通常这个地址和客户端的真是 IP 相同，但是如果攻击者不修改客户端的 MAC 而修改 DHCP 报文中 CHADDR ，实施 Dos 攻击， Port Security 就不起作用了， DHCP 嗅探技术可以检查 DHCP 请求报文中的 CHADDR 字段，判断该字段是否和 DHCP 嗅探表相匹配。这项功能在有些交换机是缺省配置的，有些交换机需要配置，具体需要参考相关交换机的配置文档。

三 ARP欺骗/ MITM(Man-In-The-Middle)攻击原理和防范

　3.1 MITM(Man-In-The-Middle) 攻击原理

　　按照 ARP 协议的设计，为了减少网络上过多的 ARP 数据通信，一个主机，即使收到的 ARP 应答并非自己请求得到的，它也会将其插入到自己的 ARP 缓存表中，这样，就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个 ARP 应答包，让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客所在主机是不需要设置网卡的混杂模式的，因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。

　　这里举个例子，假定同一个局域网内，有 3 台主机通过交换机相连：
　　　A 主机： IP 地址为 192.168.0.1 ， MAC 地址为 01:01:01:01:01:01 ；
　　　B 主机： IP 地址为 192.168.0.2 ， MAC 地址为 02:02:02:02:02:02 ；
　　　C 主机： IP 地址为 192.168.0.3 ， MAC 地址为 03:03:03:03:03:03 。

　　B 主机对 A 和 C 进行欺骗的前奏就是发送假的 ARP 应答包

　　在收到 B主机发来的ARP应答后，A主机应知道，到 192.168.0.3 的数据包应该发到 MAC 地址为 020202020202 的主机； C 主机也知道：到 192.168.0.1 的数据包应该发到 MAC 地址为 020202020202 的主机。这样， A 和 C 都认为对方的 MAC 地址是 020202020202 ，实际上这就是 B 主机所需得到的结果。当然，因为 ARP 缓存表项是动态更新的，其中动态生成的映射有个生命期，一般是两分钟，如果再没有新的信息更新， ARP 映射项会自动去除。所以， B 还有一个“任务”，那就是一直连续不断地向 A 和 C 发送这种虚假的 ARP 响应包，让其 ARP缓存中一直保持被毒害了的映射表项。

　　现在，如果 A 和 C 要进行通信，实际上彼此发送的数据包都会先到达 B 主机，这时，如果 B 不做进一步处理， A 和 C 之间的通信就无法正常建立， B 也就达不到“嗅探”通信内容的目的，因此， B 要对“错误”收到的数据包进行一番修改，然后转发到正确的目的地，而修改的内容，无非是将目的 MAC 和源 MAC 地址进行替换。如此一来，在 A 和 C 看来，彼此发送的数据包都是直接到达对方的，但在 B 来看，自己担当的就是“第三者”的角色。这种嗅探方法，也被称作“ Man-In-The-Middle ”的方法。

 

　3.2　攻击实例

　　目前利用 ARP原理编制的工具十分简单易用，这些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码和传输内容。 下面是测试时利用工具捕获的 TELNET 过程，捕获内容包含了 TELNET 密码和全部所传的内容 ：

　　不仅仅是以上特定应用的数据，利用中间人攻击者可将监控到数据直接发给 SNIFFER等嗅探器，这样就可以监控所有被欺骗用户的数据。

还有些人利用 ARP原理 开发出网管工具，随时切断指定用户的连接。这些工具流传到捣乱者手里极易使网络变得不稳定，通常这些故障很难排查。

 

　3.3　防范方法

思科 Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定， 并动态建立绑定关系。DAI 以 DHCP Snooping绑定表为基础，对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN，对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”攻击。

 

　3.3　配置示例

IOS 全局命令：
ip dhcp snooping vlan 100,200
no ip dhcp snooping information option
ip dhcp snooping
ip arp inspection vlan 100,200 /* 定义对哪些 VLAN 进行 ARP 报文检测
ip arp inspection log-buffer entries 1024
ip arp inspection log-buffer logs 1024 interval 10

IOS 接口命令：
ip dhcp snooping trust
ip arp inspection trust /* 定义哪些接口是信任接口，通常是网络设备接口， TRUNK 接口等
ip arp inspection limit rate 15 (pps) /* 定义接口每秒 ARP 报文数量

对于没有使用 DHCP 设备可以采用下面办法：
arp access-list static-arp
permit ip host 10.66.227.5 mac host 0009.6b88.d387
ip arp inspection filter static-arp vlan 201

 

　3.3　配置DAI后的效果：

• 在配置 DAI技术的接口上，用户端不能采用指定地址地址将接入网络。
• 由于 DAI检查 DHCP snooping绑定表中的IP和MAC对应关系，无法实施中间人攻击，攻击工具失效。
　　下表为实施中间人攻击是交换机的警告：
　　3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16,vlan 1．
　　([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2
• 由于对 ARP请求报文做了速度限制，客户端无法进行认为或者病毒进行的IP扫描、探测等行为，如果发生这些行为，交换机马上报警或直接切断扫描机器。
　　如下表所示：
　　3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED:
　　16 packets received in 184 milliseconds on Fa5/30. ******报警
　　3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30,
　　putting Fa5/ 30 in err-disable state ******切断端口
　　I49-4500-1#.....sh int f.5/30
　　FastEthernet5/30 is down, line protocol is down (err-disabled)
　　Hardware is Fast Ethernet Port , address is 0002.b90e
　　.3f 4d (bia 0002.b90e .3f 4d)
　　MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
　　reliability 255/255, txload 1/255, rxload 1/255
　　I49-4500-1#......
• 用户获取 IP地址后，用户不能修改IP或MAC，如果用户同时修改IP和MAC必须是网络内部合法的IP和MAC才可，对于这种修改可以使用下面讲到的 IP Source Guard技术来防范。
　　下表为手动指定IP的报警：
　　3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/30, vlan 1.
　　([000d.6078.2d95/192.168.1.100/0000.0000.0000/192.168.1.100/01:52:28 UTC Fri Dec 29 2000 ])

四 IP/MAC欺骗的防范

　4．1　常见的欺骗攻击的种类和目的

　　常见的欺骗种类有 MAC欺骗、IP欺骗、IP/MAC欺骗，其目的一般为伪造身份或者获取针对IP/MAC的特权。当目前较多的是攻击行为：如Ping Of Death、syn flood、ICMP unreacheable Storm，另外病毒和木马的攻击也具有典型性，下面是木马攻击的一个例子。

 

　4.2　攻击实例

　　下图攻击为伪造源地址攻击，其目标地址为公网上的 DNS服务器，直接目的是希望通使DNS服务器对伪造源地址的响应和等待，造成DDOS攻击，并以此扩大攻击效果。该攻击每秒钟上万个报文，中档交换机2分钟就瘫痪，照成的间接后果非常大。

4.3  IP/MAC欺骗的防范

IP Source Guard 技术配置在交换机上仅支持在 2 层端口上的配置，通过下面机制可以防范 IP/MAC 欺骗：

• IP Source Guard 使用 DHCP sooping 绑定表信息。
• 配置在交换机端口上，并对该端口生效。
• 运作机制类似 DAI，但是  IP Source Guard 不仅仅检查ARP报文，
                 所有经过定义 IP Source Guard 检查的端口的报文都要检测。
• IP Source Guard 检查接口，所通过的流量的IP地址和MAC地址是否在DHCP sooping绑定表，
                 如果不在绑定表中则阻塞这些流量。
                 注意如果需要检查MAC需要DHCP服务器支持Option 82，同时使路由器支持Option 82信息。

通过在交换机上配置 IP Source Guard：

• 可以过滤掉非法的 IP地址，包含用户故意修改的和病毒、攻击等造成的。
• 解决 IP地址冲突问题。
• 提供了动态的建立 IP＋MAC＋PORT的对应表和绑定关系，
   对于不使用DHCP的服务器和一些特殊情况机器可以采用利用全局命令静态手工添加对应关系到绑定表中。
• 配置 IP Source Guard的接口初始阻塞所有非DHCP流量。
• 不能防止“中间人攻击”。

对于 IP欺骗在路由器上也可以使用urpf技术。

 

　4.4　配置示例：

检测接口上的 IP+MAC

IOS 全局配置命令：
ip dhcp snooping vlan 12,200
ip dhcp snooping information option
ip dhcp snooping

接口配置命令：
ip verify source vlan dhcp-snooping port-security
switchport mode access
switchport port-security
switchport port-security limit rate invalid-source-mac N
/* 控制端口上所能学习源 MAC 的速率，仅当 IP+MAC 同时检测时有意义。

 

检测接口上的 IP

IOS 全局配置命令
ip dhcp snooping vlan 12,200
no ip dhcp snooping information option
ip dhcp snooping

接口配置命令：
ip verify source vlan dhcp-snooping

 

不使用 DHCP 的静态配置

IOS 全局配置命令：
ip dhcp snooping vlan 12,200
ip dhcp snooping information option
ip dhcp snooping
ip source binding 0009.6b88.d387 vlan 212 10.66.227.5 interface Gi4/5

五 IP地址管理和病毒防范的新思路

　5.1　IP地址管理

　　综上所述通过配置思科交换机的上述特征，不仅解决了一些典型攻击和病毒的防范问题，也为传统 IP地址管理提供了新的思路。

通过上面的几项技术解决了传统的利用DHCP服务器管理客户端IP地址的问题：
• 故意不使用手工指定静态 IP地址和DHCP分配地址冲突
• 配置 DHCP server
• 使用静态指定 IP遇到的问题
• 不使用分配的 IP地址和服务器或其他地址冲突
• 不容易定位 IP地址和具体交换机端口对应表

　　使用静态地址的重要服务器和计算机，可以进行静态绑定 IP+MAC、IP+MAC+PORT，手工配置DAI和 IP Source Guard绑定表项， 来保护这些设备，同时也防止来自这些设备的攻击。

　　目前对于网络病毒的不断爆发，越来越多的用户开始重视对 PC的管理，用户关注谁能访问网络、访问以后能做什么、做了哪些事情、这就是我们常说的AAA认证，除了这些用户希望能够很快定位到用户在哪台交换机、哪个端口、以哪个IP和MAC登陆，这样有有了”AAA+A”( Authenticate, Authorize,Account , Address )的概念。

　　通过上面的配置我们在网络层面已经可以定位用户了，加上 802.1X认证我们可以在网络层面根据用户的身份为用户授权，从而实现”AAA+A”。

　　更进一步要审计用户所使用电脑具备的条件，如系统补丁、所装杀毒软件及补丁、等条件可以考虑采用思科网络准入控制 NAC。

 

　5.2　使用DHCP Snooping 、DAI、IP Source Guard技术能解决的有关病毒问题

　　由于大多数对局域网危害较大的网络病毒都具有典型的欺骗和扫描，快速发包，大量 ARP 请求等特征，采用上述技术一定程度上可以自动切断病毒源，及时告警，准确定位病毒源。

     前几天在看怎么通过网络抓包来监控打印机的问题。

        折腾着发现无线网络的密码突破还真是容易 通过抓包和加密分析 很容易就能得到。

          于是特地花时间研究了一下 现把报告记录下来。

原理

      无线　顾名思义就是只要在AP（信号接入点）无线信号顾及到的范围内，所有的无线网卡都是能够收到数据的。

      问题在于如果是加密数据 则对于不知道密码的人来说数据看上去就是乱码 于是我们要做的就是找到这个密钥。

　　　找到这个密钥　也能连进对方的无线网络　使用对方的网络资源。

实施

1.   首先是收集周围AP的数据

      使用Network Stumbler软件，记录下附近无线AP的SSID、Channel、MAC地址

2.   抓包

      这一步就是关键了。

       特地找了一下，网上有几种抓包的软件可以支持无线网卡

       WinAircrackPack自带的airodump.exe、Sniffer4.9、WildPackets OmniPeek Personal
              可以支持的无线网卡型号 http://www.wildpackets.com/support/product_support/airopeek/hardware

       BackTrack 3
              这个软件可以支持Intel 2200BG，也就是我们公司用的这个。嘿嘿

Airodump

     一个命令行工具
     DOS下运行airodump进行抓包
     －＞9（相应无线网卡前的序号）
     －＞a（输入o或者a选择网卡模式）
     －＞11（无线信号的频道）
     －＞03（抓包生成文件名，可以随便输入）  
     －＞N（是否只检测WEP加密数据包）

        Sniffer

             这是很大牌的嗅探工具，操作和有线的一样抓。
             因为本身不是专门对应无线数据的抓包 只是在最新的版本4.9中增加了对无线网卡的支持，所以没有专门的使用向导。
             但由于本身功能强大 所以能做到的事情还是很多的，就看自己怎么配置。

        OmniPeek

             和Sniffer功能差不多，但专攻的方向就是无线网络数据的嗅探，
             所以用来抓无线数据还是蛮顺手的。
             在过滤器里添加一个策略，protocol filter中选择802.11 wep data并打勾protocol filter。

        BackTrack 3

     这个由于也支持很多无线网卡的型号（也包括我这次使用的2200BG），所以也有很多用户群

     也是一个命令行工具
        用光盘启动，打下面那些命令

          rmmod ipw2200
          modprobe ipw2200 rtap_iface=1

          iwconfig eth1 ap <AP的MAC>
          iwconfig eth1 key s:fakekey
          iwconfig eth1 mode managed

          ifconfig eth1 up
          ifconfig rtap0 up

     以上是配置了一些环境

           airodump-ng --channel <1或6> --bssid <AP MAC> -w dumpfile rtap0
            **观察station下面是不是有对方的机器，如果客户端有在上网，那么station下面就会有对方的MAC,记下来。
           aireplay-ng --arpreplay -b <AP MAC> -h <客户机的 MAC> -i rtap0 eth1
            **开始抓包。

 

另外 如果网卡支持，直接

      ifconfig eth1 up
　　airodump-ng --ivs -w /tmp/1.pcap --channel 6 eth1

也可以监听到该频道的所有内容 甚至不加频道也可以记录所有网络内容

 

3.   数据分析

           这个不难，基本之前抓到20-30万个包左右(Packets列）的流量就可以了，记录保存为DMP或者CAP格式

           然后用WinAircrackPack 文件夹里面的WinAircrack工具，
                在Capture Files 那里把刚才保存的文件添加进去，点击Aircrack the key开始～

                BT3用aircrack-ng -z -b <AP MAC> dumpfile*.cap 命令～
                        aircrack-ng -a 1 -w /tmp/1.pcap*.ivs -b 00:06:d3:07:00:18  -s -n 64

                   就可以分析了，等个几分钟，密码就能解出来。

小结

     有一个能破解Wep加密的软件还是很汗的，有这种软件 那还要加密干嘛～

       不过有道是有加密就能破解 任何加密的手段都是可逆的，所以也不足为奇。

         而现在加密的程度 就是让你解密的成本提到无限高 比如破解一下要几十年之类的 那就还算能确实加密成功了

            但是技术总是在无限发展 今天一个看似无法破解的算法 过段时间之后或许就变得不值一提了

              所以加密和解密真是一个旷日持久、无休无止的战争。

     BSSID是指单独一个AP的网络号；ESSID是多个AP同时管理一个网络号。 

     网络嗅探工具还真是蛮无敌的。整个网络里面发送接受的数据全都能截取下来，关于这个要多研究研究，还要更多地用于实战。

     如果笔记本能多根出口线还真是不错。

        家里可以做负载均衡 如果多拉几根附近的线路 来个叠加～10m、20m的线路又有何难～

     而另一方面来说 你出门在外 或许有些附近的AP能够使用 如此借用一下也是很方便的

     更绝的是～ 这样子家里不用装宽带 就只用别人的上网了～ 

     网上看到有好多人 说是自己的网卡没有被那些软件支持 决定干脆去换个无线网卡的说～

         实在是受不了这些人。。。

￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥

反无线网络突破

    上面说了这么多，其实我主要还是为了搞清楚到底是如何突破密码防线，这样能提供比较好的防御策略

1.  能用有线就用有线。

     当然这是废话，但是无线有辐射、费电、速度没有线快、而且人家要突破一定要接线进交换机～

       所以如果笔记本能固定位置的话 还是尽量用有线的吧

2.  关闭SSID广播

    这个其实算是最基本的防接入手段

       不过如果人家没有网络嗅探工具的话还真是很好的防御手段。

       而且没了加密部分的数据，必然能提高有效数据的传输率
         （他每个包都要加密么 加密的控制数据、校验码等数据肯定都是多余的）

       如果人家有了嗅探工具 就算加了wep不一样被突破么：）

3.  加密

      呵呵，这个么就不说了 +了=白+。
      要不会弄的 设个1就好了，要会弄的 设个再复杂的密码也照样能破出来。

      如此 只有加大强度 比如选择128位 设的复杂一点×＆……（＠＃￥全加进去，

         或是干脆换一个加密方式 不要用WEP。用WPA方式，这个我找了一下，破解起来还是非常蛮麻烦的

      虽然这样的话 传输开销又大了～不过这也是一个办法。
      

4.  MAC地址绑定

     这个也是我家里现在使用的，就是只有指定的MAC地址能通过路由器。

         设了这个就算无线网络没有密码，别人也无法通过路由上网的。

            或者加个密 让别人破了，结果发觉竟然还要MAC绑定 郁闷一下那人：）

     不过这个其实也是有办法针对，就是接入者修改自己的MAC地址成客户端一样的地址～

       虽然这样子2台电脑同时就只能有一台上网，

         但你不上的时候别人上也是可以咯，或者开一根线路在你家这边通宵下下东西之类的 都是不错的选择。

5.   关闭DHCP

      由于抓包的内容就是主机和客户机之间的通信，所以尽量降低自己的通信量就很重要了。

      降低流量很好的一个办法就是关闭DHCP

      另外固定每台电脑的IP地址对加快电脑启动的速度也是很有帮助

6.  降低信号

     我看我家的路由器上有一项设置是调整发送信号的强弱

       一般家用的无线路由器 穿透一堵墙基本没啥问题 穿2堵墙就有些困难了 3堵基本不太可能

         所以就看一下 家里电脑摆放的位置～ 适当调整自己的无线信号咯

           辐射也低了 费电也少了 安全性也提高了 我真是觉得是一个不错的办法 嘿

      唯一的问题就是信号差了 对自己而言也同时有可能会丢包 相应的传输率就低了。

         要路由器发送信号强度降低 又要笔记本接受信号好 那就放的离AP近点就好了 最好在一间房间内。

其实一般的防御手段就是加上WPA 关闭无线SSID广播

     可行的话就把无线信号降低 这样子就已经很安全了

        不怕麻烦的话就加上MAC的过滤表 就是每台要用的笔记本都要绑定
                                关闭DHCP服务 手工固定每台电脑的IP地址

       这样子基本没啥问题了。

嘿嘿 http和ftp的外网工作到昨天为止都完成了

http的访问路径

http://magiczz.3322.org:8080/

现在暂时只是文件传输，可以权且用来当作blog放歌的地方。

ftp的路径

ftp://magiczz.3322.org/

需要使用主动模式 （PORT模式） 进行连接，否则List不通过

   要使用ftp工具。

     如果想用IE访问， 需要在IE的Internet选项-》“高级” 页面中-》 把“使用被动FTP”的钩去掉 就可以List了

           匿名用户现在只有List、Download权限

以上，

   只要家里的电脑 爸爸妈妈没有关掉，就应该可以访问～

将来打算做个个人主页放上去～里面放点推荐的歌啊、片子啊之类的 找一些好玩的链接 开发个工作平台 哈 好多事情可以做

不过想想哈复杂呀 用VS2005算了 一整套开发网站的东西都有集成在里面 方便～

     看来有空的时候要学习一些复杂的网页制作了 现在还只会简单的静态网页～

         还有后台数据库的搭建～

       自己也要朝软件方向稍微拓展一下～

哎~~一个RHCE竟然要读4个月～～我惨啊～～空闲的一些时间可以做什么呢～～

     去学急救，决定了～就趁这个空档吧

心目中的家庭网络拓扑～

     路由器

        路由器由一台普通性能低功耗的服务器担任，这样的好处就是缘于7层的平台～开设各种服务可以很便捷
          HTTP、FTP、SMTP、VPN、SQL等

          问题是直接暴露在外面的服务器很危险，所以考虑用Linux或CentOS操作系统

             里面也可以安装VM虚拟机搭建Windows2003服务器平台，作一般服务的应用～

        外网部分采用百兆网卡，内网部分采用千兆网卡

          24小时开机～

     中心交换机

         找一个千兆的交换机，和路由服务器一起塞到小机房去～不知道家里以后小机房设在哪里好～要么放在门廊里？

     客厅媒体中心兼内网文件服务器

         这个就是放在客厅和大屏幕电视配合用的媒体中心了，还要配合7.1的HiFi功放，可以用来听音乐和看高清电影

            然后这台电脑对配置要求不是最高，要能流畅跑高清就好了。关键硬盘要大 所有的片子和歌曲都放在里面
                 弄3个500G做RAID5～

               顺便其他内网的电脑就都能连到这里来看片子， 反正千兆网络 咯～

                  嘿嘿 所以就变成内部的文件服务器 所有内网共享的资料、文档 都可以统一放在这个服务器上。

                           省得这里编辑完到另一台机器又找不到了，干脆就直接放在服务器上编辑。

                      下载机，所有的资源下载都在这台机器上完成～片子、音乐、游戏～BT、电驴 给我上～

                         也可以考虑在这台机器上跑一些不重要的应用服务 通过路由器映射过来。

                            设置成可以远程开机，方便晚上卧室里看片子。

                               就不要24小时开机了～

          不用显示器，无线键盘鼠标～如果实在需要控制 那就把轻薄的笔记本拿过来做远程控制 就OK了～恩恩～

     书房高性能娱乐媒体电脑

          这一台就是性能最好的电脑了 能跑所有的游戏～声卡也要配好 书房还是要听音乐的～2.1就好了
             也可以上上网，不过上网用笔记本更方便些～

      卧室高性能笔记本

          不关注便携性，就是家庭内部移动使用，主要是用于卧室

            在床上 上上网、看看片子，也可以跑到客厅接大电视机打打游戏都OK。

              也要千兆网口，平时在卧室时用有线网络～速度快嘛～

      超便携笔记本

          可以方便带出去的本本，而且轻薄型的也更适合女人使用～在家里移动也更适合

             装修时在每个地方设两个网口方便朋友带笔记本过来交流～

               这台主要还是无线应用为主  

     无线AP

          这个东东就专门给家里内部无线网络使用了，不开路由和DHCP功能~只用来AP

               平时不用无线网络的话甚至可以关闭这个无线设备～辐射哇辐射：）

                  现在802.11g的无线协议才54M～百兆网口也不到～在家还是用有线的千兆口吧～呵呵

      最近发生了几件事，
               blog上放的歌不稳定、时断时续；
                 和村考照片需要网络传输大量数据不方便；
                    公会的网页服务器也不稳定 一会报错

      所以决定想帮自己弄一个台能担任多任务应用的服务器平台，就放在家里。管理起来也方便

      前期调研了一段时间 最近着手开始落实部分功能。

DNS

      第一步，当然是要让自己的IP地址放到公网上，让大家能够方便访问。

      如果是有线通、铁通、FTTB+Lan的就没办法做了，因为没有公网地址。

      查了一下，没有免费的一级域名，免费二级的2个地方貌似比较好～

           花生壳  http://www.oray.cn/ 

               这个一直有听说  还很有名 应该服务会做得比较好 而且功能也多

          希网      http://www.3322.org/

               这个貌似还比较大 关键是他的名字好记。。所以我就选择他了

          网站上注册帐号～确定自己的域名 他会要求你帐号激活 然后就ok了

       我申请的域名：

          http://magiczz.3322.org/

          OK了，这个域名就指向我路由器的IP地址了。

        当然 这还没完。虽然我是路由器aDSL拨号的，难得会更换IP
          不过还是有可能的，如果地址改变 则这个域名就指错了。

        所以要在那个网站下一个客户端软件安装，它会把当前的公网IP地址发送给域名解析服务器进行修改。

        好了，都搞定了。

        http://magiczz.3322.org/

        这个就是我现在用的域名了。

FTP（21）

      先从容易的入手，接着我们来搭建FTP服务器。～

         FTP服务端软件有好几种 最常用的就是Server-U和IIS里面自带的了

         我贪方便 于是就用了IIS的FTP

         把默认的路径改成指定的目录就可以了。

         等我真弄了一台服务器就装ServerU

        路径ftp://magiczz.3322.org/

HTTP（80）

       这个其实也是一样的，用IIS做。

         开目录访问，就能暂时访问了，效果还不错。等以后在真的服务器上就装Apache试试。

        http://magiczz.3322.org/

远程桌面共享（3389）

       方便控制，所以用windows自带的软件 这样子以后远端可以很容易地控制一下。

       这个已经放到公网上了 应该可以连接了～～

VPN

      这个是现在需要攻坚的问题，2端都在NAT后的情况下如何建立起穿透网关的VPN连接。

      看了一下我自家的路由器 原来是可以让IPsec数据包穿透的，不错～好东西

（未完待续）

=====================

这样子上面说到的一些功能倒是都可以实现了，

       可以在HTTP协议下面开一个公共FTP目录，大家可以自己把东西上传进去，方便blog使用

                                开一个BBS目录，这样子可以有一个自己的论坛，有个地方可以随便涂涂

                                开一个共享软件的目录，所有的工具软件都在里面可以找到

                                电影和歌的目录要做么～一开估计我的adsl要撑满了～要么以后设置个权限～

                                要做一个自己的主页么？感觉还是MSN的blog好看一点 可以做个主页 把一些这个那个的链接都放在里面

       现在HTTP和FTP都没有公开，权限都是可以匿名访问
         今天回去把这些放上来， 先还是匿名登录吧 等有时间搞一下访问权限的问题

       还是哈想搞一台专业服务器呀～超低功耗的那种～我要24小时开机～～还能开电驴和BT在上面下东西

       还能做什么服务呢 在线流媒体视频貌似对带宽要求太高了～我这512kb的上行估计不够看～怎么也要折腾根不限速的aDSL～

          要么开个游戏私服私服？～～哈哈，以后都到我这来打RO2吧 哈哈～～

          对了 还能自己开一个邮件服务器 呵呵 不过貌似木有什么好处～～还是用用别人免费的好了。。。

CentOS平台的各种服务应用搭建～

http://www.centospub.com/make.html

如何建立穿越NAT的IPSec VPN连接

问题：nat不能和IPSec VPN 很好的配合。

    考虑最复杂的情况：两端都位于NAT的后面。采用 NAT-T 技术，可以使 VPN 网络能够透明跨越 NAT 设备。网络地址转换 (NAT)技术最大的优点在于能够允许多个内部地址使用一个公共地址访问Internet，该技术目前被广泛应用在小区宽带接入、GPRS接入等Internet接入方案。 IPSec 协议是目前使用最广泛的网络安全协议之一， 具备高度的安全性、灵活的扩展性、良好的互通性，成为多数厂商在开发 VPN产品时采用的基本技术标准。
    由于 IPSec协议不支持NAT技术，所以仅仅采用标准IPSec协议的VPN系统在支持远程用户方面，只能支持使用拨号设备接入Internet的用户，即该用户能够动态得到一个合法的IP地址，而无法支持通过NAT设备接入Internet的用户，这不但地限制了VPN系统的应用灵活性，也限制了远程用户能够利用的网络带宽。NAT-T技术是解决IPSec与NAT设备冲突问题的一种先进的技术标准，使用NAT-T技术不需要对VPN链路中间的网络设备作任何改变，可兼容现有的标准IPsec设备，同时对最终用户是完全透明的。

解决：

支持NAT-T的客户端：

win2000+818043或者XP+SP2
http://download.windowsupdate.com/msdownload/update/v3-19990518/cabpool/Q818043_W2K_SP5_x86_CN_17a7cdd30ad09a819672ad2085b5485.EXE

    如果虚拟专用网络 (VPN) 服务器位于网络地址转换器的后面，则在默认情况下，基于 Windows XP SP2 的 VPN 客户端不与 VPN 服务器进行 L2TP/IPSec 连接。此方案包括运行 Microsoft Windows Server 2003 的 VPN 服务器。这种默认行为还可以阻止运行 Windows XP SP2 的计算机在目标计算机位于网络地址转换器后面时使用 L2TP/IPsec 进行远程桌面连接。由于网络地址转换器转换网络流量的方式的原因，您在将服务器放在网络地址转换器后面并使用 IPSec NAT-T 时，可能会遇到意外的结果。因此，如果需要 IPSec 进行通讯，我们建议您对可以直接从 Internet 连接到的所有服务器使用公共 IP 地址。

要创建并配置 AssumeUDPEncapsulationContextOnSendRule 注册表值（HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec ）
其中0（默认。将 Windows 配置为无法建立与位于网络地址转换器后面的服务器的安全关联）
1（将 Windows 配置为可以建立与位于网络地址转换器后面的服务器的安全关联）
2（将 Windows 配置为可以在服务器和基于 Windows XP SP2 的客户机都位于网络地址转换器后面时建立安全关联）

服务器端

WINDOWS2003
特别注意：WIN2000目前还不能作为IPSec VPN 服务器

NAT-T 和防火墙规则

由于新的 NAT-T 规范是围绕 IETF RFC 3193 和 IETF NAT-T 规范第 02 稿设计的，因此对于通过防火墙运行的这些服务，您可能需要在防火墙规则中打开下列端口和协议：

L2TP：用户数据报协议 (UDP) 500、UDP 1701
NAT-T：UDP 4500
ESP：Internet 协议 (IP) 协议 50

IPSec穿越NAT后有哪些变化？

NAT 无法更新上层校验和：TCP 和 UDP 报头包含一个校验和，它整合了源和目标 IP 地址和端口号的值。 当 NAT 改变了某个包的 IP 地址和（或）端口号时，它通常要更新 TCP 或 UDP 校验和。 当 TCP 或 UDP 校验和使用了 ESP 来加密时，它就无法更新这个校验和。 由于地址或端口已经被 NAT 更改，目的地的校验和检验就会失败。 虽然 UDP 校验和是可选的，但是 TCP 校验和却是必需的。
NAT 无法多路传输 IPSec 数据流：ESP 保护的 IPSec 流量没有包含可见的 TCP 或 UDP 报头。 ESP 报头位于 IP 报头和加密的 TCP 或 UDP 报头之间，并且使用 IP 协议号 50。 因此，TCP 或 UDP 端口号就无法将流量多路传输到不同的专用网主机。 ESP 报头包含一个名为 Security Parameters Index（安全参数索引，SPI）的字段。 SPI 与明文（plaintext）IP报头中的目标 IP 地址和 IPSec 安全协议（ESP 或 AH）结合起来用于识别 IPSec 安全关联（SA）。对于到 NAT 的传入流量，目标 IP 地址必须映射到一个专用 IP 地址。 对于 NAT 专用端的多个 IPSec 对话方，多个 IPSec ESP 数据流的传入流量的目标 IP 地址是同一个地址。 为了将一个 IPSec ESP 数据流与另一个区分开，目标 IP 地址和 SPI 必须得到跟踪并映射到某个专用目标 IP 地址和 SPI。由于 SPI 是一个 32 位的数字，多个专用网客户端使用相同 SPI 值的概率很低。 问题在于，您很难确定哪个传出 SPI 值对应于哪个传入 SPI 值。NAT 无法映射 SPI，因为ESP尾部包含一个消息验证散列码（hashed message authentication code，HMAC），它检验 ESP 协议数据单元（PDU）的完整性（ESP PDU 包含 ESP 报头、ESP 有效载荷和 ESP 尾部），SPI 无法在 HMAC 值失效之前改变。
法改变 IKE UDP 端口号：IPSec 的某些实现同时使用 UDP 端口 500 来作为源和目标 UDP 端口号。 然而，对于一个位于 NAT 之后的 IPSec 对话方，NAT 会改变初始 IKE 主模式包的源地址。根据具体的实现方式，来自 500 之外的其他端口的 IKE 流量可能会被丢弃。
IKE UDP 端口映射的 NAT 超时可能导致问题：NAT 中的 UDP 映射通常会很快被删除。 发起者的 IKE 流量在 NAT 中创建了一个 UDP 端口映射，它在初始主模式和快速模式 IKE 协商期间使用。 然而，如果响应者随后向发起者发送 IKE 消息却没有提供 UDP 端口映射，那么这些消息将被 NAT 丢弃。
Identification IKE 有效载荷包含嵌入的 IP 地址：对于主模式和快速模式协商，每个 IPSec 对话方发送一个 Identification IKE 有效载荷，其中包括发送对话方的嵌入 IP 地址。 由于发送节点的源地址已经被 NAT 改变，该嵌入地址和 IKE 包中的 IP 地址不匹配。 验证 Identification IKE 有效载荷的 IP 地址的 IPSec 对话方将丢弃该包，并放弃 IKE 协商。

NAT-T 对 IPSec 的做了哪些修改？

ESP 的 UDP 封装：UDP 报头置于外层 IP 报头和 ESP 报头之间，用于封装 ESP PDU。 用于 UDP 封装的 ESP 流量的端口和用于 IKE 的端口相同。
修改过的 IKE 报头格式：IPSec NAT-T IKE 报头包含一个新的 Non-ESP Marker 字段，它允许接收方区分 UDP 封装的 ESP PDU 和 IKE 消息。 在确定存在一个中间 NAT 之后，支持 IPSec NAT-T 的对话方开始使用新的 IKE 报头。
新的 NAT-Keepalive 包：这是一个和 IKE 流量使用相同端口的 UDP 消息，它包含单个字节（0xFF），用于为发送到某个专用网主机的 IKE 和 UDP 封装的 ESP 流量刷新 NAT 中的 UDP 端口映射。
新的 Vendor ID IKE 有效载荷：这个新的有效载荷包含一个众所周知的散列值，它表明这个对话方能够执行 IPSec NAT-T。
新的 NAT-Discovery (NAT-D) IKE 有效载荷：这个新的有效载荷包含一个散列值，它整合了一个地址和端口号。 在主模式协商期间，IPSec 对话方包括两个 NAT-Discovery 有效载荷——一个用于目标地址和端口，另一个用于源地址和端口。 接收方使用 NAT-Discovery 有效载荷来发现 NAT 之后是否存在一个经 NAT 转换过的地址或端口号，并基于被改变的地址和端口号来确定是否有对话方位于NAT之后。
用于UDP封装的ESP传输模式和隧道模式的新的封装模式：这两种新的封装模式是在快速模式协商期间指定的，用于通知 IPSec 对话方应该对 ESP PDU 使用 UDP 封装。
新的NAT-Original Address (NAT-OA) IKE 有效载荷：这个新的有效载荷包含 IPSec 对话方的原始（未转换的）地址。 对于 UDP 封装的 ESP 传输模式，每个对话方在快速模式协商期间发送 NAT-OA IKE 有效载荷。 接收方将这个地址存储在用于 SA 的参数中。

附加资料

普遍使用的NAT技术

     NAT技术完成的基本功能就是IP数据包网络地址的转换，如将一个内网的在Internet 上不可路数据由地址192.168.1.200 转换成Internet 上的可以路由的地址202.124.23.65。很多的网关设备都有NAT功能，如路由器、防火墙，我们可以把它们统一称为NAT 设备。当NAT设备转换的是源地址时，我们通称称其为SNAT（源地址NAT）。事实上我们大多数人在公司上Internet 网时都是利用这种方法，简单过程如下当一个内网外出的数据包经过这些NAT设备时，数据包的源地址就会被NAT设备的公网地址所替代，同时NAT 设备会记录地址的映射信息，这样这个数据包就可以被路由从而在Internet 上传输。当数据包返回到NAT 设备时，有通过记录下的地址映射信息源地址转为原来的数据包地址。同理也有DNAT（目标地址NAT），这种情况下NAT设备转换的是数据包的目的地址。

叫好又叫座的IPSec VPN

     因为在Internet 早期，安全的需求非常少，因此在IP 协议设计之初并没有考虑安全性，因此标准的IP 协议是不安全的。随着Internet 上的商业发展，安全问题日益突出，必须建立新的安全协议标准来满足这种需求。IPSec（IP Security）协议应运而生。

IPSec在3个方面保证了网络数据包的安全：机密性、完整性、认证性。机密性就是保证数据包的原始内容不被看到；完整性即保证数据包的内容不会被修改；认证性保证数据来自被信任的客户端。因此不可避免地需要使用多种的加密算法来修改数据包的内容。修改后的数据包有2种主要的封装形式： AH (Authentication Header) 和ESP (Encapsulating SecurityPayload)。 AH在IP数据包中插入了一个包头，其中包含对整个数据包内容的校验值。AH只用于对IP 数据包的认证，而并不对数据包认证作任何修改。ESP用户加密整个数据包内容，同时也可以对数据包进行认证。AH和ESP 即可以同时使用也可以分开使用。

IPSec 在传输数据的时候也有2 种不同的模式：传输模式和隧道模式。传输模式主要用于主机到主机之间的直接通信；而隧道模式主要用于主机到网关或网关到网关之间。传输模式和隧道模式主要在数据包封装时有所不同（如图1 所示）。

在传输模式中，只有IP包的传输层部分被修改（认证或者加密）。 而在隧道模式中，整个数据包包括IP头都被加密或认证（如图2）。

NAT 与IPSec VPN 的裂痕

     在多数情况下NAT 的处理对用户使用是完全透明的，但是当希望使用IPSec 技术组建VPN 网络时，NAT 却带来了很大的麻烦。IPSec协议的主要目标是保护IP数据包的完整性，这意味着IPSec会禁止任何对数据包的修改。但是NAT 处理过程是需要修改IP 数据包的IP 头数据、传输层报文头数据甚至传输数据的内容（如FTP 应用），才能够正常工作。所以一旦经过IPSec 处理的IP 包穿过NAT设备时，包内容被NAT 设备所改动，修改后的数据包到达目的主机后其解密或完整性认证处理就会失败，于是这个报文被认为是非法数据而被丢弃。这就是组建VPN 网关最常见的“IPSec 与NAT 协调工作”的问题。那么我们在什么时候会遇到这个问题呢？如果我们的VPN 设备在NAT设备的后面，如果我们在外地上网需要通过VPN客户端访问公司内网，如果我们没有合法的公网地址，只能通过服务商接入Internet 等等，都会遇到这个问题。

无论传输模式还是隧道模式，AH都会认证整个数据包。不同于ESP 的是，AH还会认证位于AH头之前的IP 头。当NAT 设备修改了IP 头之后，IPSec 就会认为这是对数据包完整性的破坏，从而丢弃数据包。因此AH 是绝对不可能和NAT 在一起工作的。

我们再来看看使用ESP时的情况。ESP在传输模式时会保护TCP/UDP头，但是并不保护IP 头，因此修改IP 地址并不会破坏整个数据包的完整性。但是如果数据包是TCP/UDP数据包，NAT设备就需要修改数据包的校验值，而这个校验值是被ESP 所保护的，这样却会导致完整性校验失败。 所以最终可能和NAT一起工作的只能是隧道模式下的ESP。但是IKE和NAT工作时却有存在着冲突。

缝合旧创伤

现在有许多的解决方案来解决NAT 和IPSec 共存问题，这里我们主要讨论一种最主要的解决方法：NAT-T和NAT穿越。NAT-T设计简单，不需要改动已有的设备或者协议，只需要边界设备支持即可。这个技术的基本思路是在IPSec 封装好的数据包外再进行一次UDP 的数据封装。这样，当此数据包穿过NAT 网关时，被修改的只是最外层的IP/UDP 数据，而对其内部真正的IPSec 数据没有进行改动；在目的主机处再把外层的IP/UDP 封装去掉，就可以获得完整的IPSec 数据包。NAT-T在实际运作时，第一步是判断通信的双方是否支持NAT-T，这主要通过IKE协商时彼此发送的第一个数据包来判断。在判断双方均支持NAT-T后，进入到第二步，去发现在上方的链路中间是否存在NAT设备，这一步通常成为NAT发现。NAT发现的原理实际上就是判断通信双发的IP 地址或者端口是否发生了改变。当发现NAT 设备以后，NAT-T 双方开始协商所采用的数据包封装方式，至此完成协商过程。

      随着Internet的快速发展，人们逐渐把技术的焦点从网络的可用性、信息的获取性转移到网络的安全性、应用的简易性上来。建立在IP技术基础上的虚拟专用网（Virtual Private Network，VPN）正快速成为新一代网络服务的基础，许多服务供应商推出了基于VPN的各种业务。与此相应，Internet的安全问题也日益受到重视。Internet 是一个建立在TCP/IP协议基础上的开放的分组交换网，由于其在最初设计时缺乏安全考虑，导致目前Internet的安全性能严重不足。网络上的IP数据包几乎都是用明文传输的，非常容易遭到窃听、篡改等攻击。在各种网络安全的解决方案中，IETF于1998年推出的IPSec协议有着独特的优势，占据着重要的基础地位。IPSec协议是现在VPN开发中使用的最广泛的一种协议，它有可能在将来成为IPVPN的标准。但是IPSec协议是一个比较新的安全协议，而且非常复杂，作为一个还没有完全成熟的协议，IPSec 在理论上和实践上都有一些问题有待改进。鉴于它的重要作用，很有必要对IPSec协议及其VPN做相关的探讨及研究。

1　VPN虚拟专用网

1.1　VPN的定义

VPN（Virtual Private Network），即虚拟专用网，是利用开放的公众网络资源建立私有数据传输通道，将远程的分支机构、商业伙伴、移动办公人员等连接起来，并且提供安全的端到端的数据通信的一种广域网技术。VPN有两层含义：它是“虚拟的”，即建立隧道或虚电路把不同的物理网络或设备连接起来，不再使用物理的专线建立专用网，而是将其建立在分布广泛的公共网络上，如Internet；它是“专用的”，对基于IPSec的VPN而言，是一组连接的闭合用户群（CVC），它不仅具有服务质量（QoS）的保证，而且更多地强调安全服务。VPN是企业网在公共网络上的无缝延伸，VPN可将位于不同地点的远程用户、分支机构和合作伙伴等连接起来。

1.2　VPN的应用

VPN按照应用大致可分为Intranet VPN及Extranet VPN以及Remote accessVPN三种。其基本用途就是提供企业分支机构和企业，企业客户和企业以及企业内部的，远端企业员工与企业安全的点对点通信。

· Intranet VPN是指在一个组织内部如何安全地连接两个相互信任的内联网，要求在公司与分支机构之间建立安全的通信连接。这种应用模式需要做的不仅是要防范外部入侵者对企业内联网的攻击，还要保护在因特网上传送的敏感数据。

· Extranet VPN是基于Internet的VPN，虚拟专用网络支持远程访问客户以安全的方式通过公共互联网络远程访问企业资源。Extranet VPN是Intranet VPN的一个扩展，即通过因特网连接两台分别属于两个互不信任的内部网络的主机。它要求一个开放的基于标准的解决方案，以便解决企业与各种合作伙伴和客户网络的协同工作问题。

· Remote  Access  VPN是指企业员工通过因特网远程拨号的方式访问企业内联网而构筑的VPN，通常也叫做远程拨号VPN。VPN技术的这种应用代替了传统的直接拨入内联网的远程访问方式，这样可以大大降低远程访问的费用。

1.3　目前几种主要的VPN技术及其比较

目前已经投入实际当中使用的VPN技术包括IPSec VPN、SSL VPN、MPLS VPN。这三种VPN技术各有特色、各有所长。目前国外主要厂商对SSL VPN技术、MPLS VPN技术发展相对比较重视发展较快，但是目前应用最为广泛，技术最为成熟的仍然是IPSec VPN技术。

· IPSec协议是网络层协议, 是为保障IP通信而提供的一系列协议族。SSL是套接层协议，它是保障在Internet上基于Web的通信的安全而提供的协议。以标签交换是作为底层转发机制的MPLS（MultiProtocol Label Switching，多协议标记交换）VPN。

· IPSec针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计了一整套隧道、加密和认证方案。IPSec能为IPv4/IPv6网络提供能共同操作/使用的、高品质的、基于加密的安全机制。提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。

· SSL用公钥加密通过SSL连接传输的数据来工作。SSL是一种高层安全协议，建立在应用层上。SSL VPN使用SSL协议和代理为终端用户提供HrrP、客户机/服务器和共享的文件资源的访问认证和访问安全SSL VPN传递用户层的认证。确保只有通过安全策略认证的用户可以访问指定的资源。

· MPLS是一个可以在多种第二层媒质上进行标记交换的网络技术。不论什么格式的数据均可以第三层的路由在网络的边缘实施，而在MPLS的网络核心采用第二层交换，因此可以用一句话概括MPLS的特点：“边缘路由，核心交换”。

2　IPSec的应用研究

2.1　IPSec的定义

IPSec（Internet Protocol Security）即Intenet安全协议，是IETF提供Internet安全通信的一系列规范，它提供私有信息通过公用网的安全保障。IPSec适用于目前的版本IPv4和下一代IPv6。IPSec规范相当复杂，规范中包含大量的文档。由于IPSec在TCP/IP协议的核心层——IP层实现，因此可以有效地保护各种上层协议，并为各种安全服务提供一个统一的平台。IPSec 也是被下一代Internet 所采用的网络安全协议。IPSec协议是现在VPN开发中使用的最广泛的一种协议，它有可能在将来成为IPVPN的标准。

IPSec的基本目的是把密码学的安全机制引入 IP协议，通过使用现代密码学方法支持保密和认证服务，使用户能有选择地使用，并得到所期望的安全服务。IPSec是随着IPv6的制定而产生的，鉴于IPv4的应用仍然很广泛，所以后来在IPSec的制定中也增加了对IPv4的支持。IPSec在IPv6中是必须支持的。

2.2　IPSec协议体系结构

IPSec将几种安全技术结合形成一个完整的安全体系，它包括安全协议部分和密钥协商部分。可用图1进行表示。

（1）安全关联和安全策略：安全关联（Security Association，SA）是构成IPSec的基础，是两个通信实体经协商建立起来的一种协定，它们决定了用来保护数据包安全的安全协议（AH协议或者ESP协议）、转码方式、密钥及密钥的有效存在时间等。

（2）IPSec 协议的运行模式：IPSec协议的运行模式有两种，IPSec隧道模式及IPSec传输模式。隧道模式的特点是数据包最终目的地不是安全终点。通常情况下，只要IPSec双方有一方是安全网关或路由器，就必须使用隧道模式。传输模式下，IPSec 主要对上层协议即IP包的载荷进行封装保护，通常情况下，传输模式只用于两台主机之间的安全通信。

（3）AH（Authentication Header，认证头）协议：设计AH认证协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完整性、数据源认证和抗重放保护服务，但是AH不提供任何保密性服务。IPSec验证报头AH是个用于提供IP数据报完整性、身份认证和可选的抗重传攻击的机制，但是不提供数据机密性保护。 验证报头的认证算法有两种： 一种是基于对称加密算法（如DES），另一种是基于单向哈希算法（如MD5或SHA-1）。 验证报头的工作方式有传输模式和隧道模式。传输模式只对上层协议数据（传输层数据）和IP头中的固定字段提供认证保护，把AH插在IP报头的后面，主要适合于主机实现。隧道模式把需要保护的IP包封装在新的IP包中，作为新报文的载荷， 然后把AH插在新的IP报头的后面。隧道模式对整个IP数据报提供认证保护。

（4）ESP（Encapsulate Security Payload，封装安全载荷）协议：封装安全载荷（ESP）用于提高Internet协议（IP）协议的安全性。它可为IP提供机密性、数据源验证、抗重放以及数据完整性等安全服务。ESP属于IPSec的机密性服务。其中，数据机密性是ESP的基本功能，而数据源身份认证、数据完整性检验以及抗重传保护都是可选的。ESP主要支持IP数据包的机密性，它将需要保护的用户数据进行加密后再重新封装到新的IP数据包中。

（5）Internet 密钥交换协议（IKE）：Internet密钥交换协议（IKE）是IPSec默认的安全密钥协商方法。IKE通过一系列报文交换为两个实体（如网络终端或网关）进行安全通信派生会话密钥。IKE建立在Internet安全关联和密钥管理协议（ISAKMP）定义的一个框架之上。IKE是IPSec目前正式确定的密钥交换协议，IKE为IPSec的AH和ESP协议提供密钥交换管理和SA管理，同时也为ISAKMP提供密钥管理和安全管理。IKE具有两种密钥管理协议（Oakley和SKEME安全密钥交换机制）的一部分功能，并综合了Oakley和SKEME的密钥交换方案，形成了自己独一无二的受鉴别保护的加密材料生成技术。

3　结束语

虽然IPSec协议目前应用比较广泛，性能比较稳定。但是IPSec协议是一个比较新的安全协议，而且非常复杂，作为一个还没有完全成熟的协议，IPSec 在理论上和实践上都有一些问题有待改进。其不足之处主要是由其复杂性和灵活性引起的，IPSec 包括了太多的选项，提供了过多可以变通的地方。相信随着IP技术的发展，IPSec协议会日臻完善！

网络实验中，有关VPN、NAT、反向端口映射的实验一直比较难做，相关资料也比较少。由于实验时需要用到好几台电脑，实验环境不太好搭建。最近几天在图书馆看到一本讲虚拟机的书，有关于这方便的实验介绍，认真研读了一下，把三个实验进行了合并，收获很大，记录如下。

目的：
1、验证企业总部与分部通过VPN互连
2、验证企业通过NAT访问外网
3、验证企业通过反向端口映射来对外提供网络服务

说明：以下实验在vmware下验证通过。主机配置为P4-1.6G，内存1G。在虚拟机中虚拟了6台电脑进行实验（图00）。

网络拓扑：
                                     web(192.168.5.2)
                                      |
                                      |5.1
     Workstation1-----Server1(R1)----ISP-------Server2(R2)-------Workstation2
               1.1   1.2    2.1    2.2 4.1    4.2      3.1      3.2
Workstation1/2、web装XP系统，Server1/2、ISP装WIN2003。
    本实验中，Workstation1、Server1模拟公司总部；Workstation2、Server2模拟为公司分部；ISP模拟Internet环境；web模拟是Internet上的一个公共网站。配置步骤如下
1、分别为这6台电脑设置IP地址，并正确设置网关。Workstation的网关指向Server，Server的网关指向ISP，ISP上不设网关
2、Workstation1/2、web上安装WEB服务器，以便后面在验证网络服务是否可达时使用
3、Server1上启用VPN以便能访问Workstation2。
⑴ 单击“开始－管理工具－路由与远程访问”
⑵ 右击服务器名“R1”，选“配置并启用路由和远程访问”（图01）

⑶ 选“两个专用网络之间的安全连接”（图02），如果是允许单机通过VPN连接到本网络应该选“远程访问（拨号或VPN）”

⑷ 由于二个网络之间的VPN是需要拨号建立连接的，所以选“是”（图03）

⑸ 给对方VPN拨号服务器分配的IP地址。这个IP只是在对方网络与本地进行拨号连接时分配给对方VPN服务器的，只需要2个IP地址即可，一个自己的VPN服务器用，另一个分配给对方，所以一般没必须使用DHCP（图04）。

IP地址必须分配在二个网络都不用的某网段，不要与Workstation或Server的IP地址同网段。其实本质上说这儿设置的IP地址只是用于建立二个VPN之间的虚连接。本实验环境下设了192.168.6.1－2二个即可（图05）。

(6) 设置接口名称为“VPNR1”（图06）。在上面第4步中要求建立拨号连接，这儿就是在设置有关拨号的信息。虽然这儿设置的是接口名称，其实就是在设置对方向自己,即R2向R1拨号时的用户名，这个名称必须与服务器R1中的用户名相一致。本例中接口名称为“VPNR1”，所以后面就应该在自己VPN服务器中建一个名为VPNR1的用户，并允许它拨入。

⑺ 设置连接类型，一般选“使用虚拟专用网络连接VPN”（图07）

⑻ VPN连接类型一般选“自动选择”，如果是通过硬件VPN设备来互连的，则根据硬件所支持的类型来设置。（图08）

⑼ 指定对方网络的IP地址，本实验中即为R2外网口的地址，注意不是ISP的地址。（图09）

⑽ 选中（图10）中的前二项，选中第2项的意思是同意对方拨入，这样二个网络之间VPN的建立可以由任意一方提供拨号请求了。当然等一下在R2服务器上时也要设置同意对方拨入。

⑾ 设置到对方网络的静态路由（图11）。本实验环境下，需要添加的是到192.168.3.0网段的路由，由于从Workstaion1到Workstation2要经过Server1/2二个VPN设备，所以跃点数设为2。如果Workstaion2中有多个网段，则这儿还要多添加几条静态路由。

⑿ 设置拨入本VPN服务器时的帐号和口令（图12）。

⒀ 设置拨出时的帐号与口令（图13）。这个帐号口令要对对方VPN服务器中设置的相一致。

⒁ 配置完成（图14）。

并自动为系统建立了VPNR1用户帐号，设置为“允许访问”（图15）。

    在电脑R2上也进行同样设置，注意帐号、口令与R1上的设置稍有差别。
4、启用服务器ISP上的路由功能，用于连接192.168.2.0/24、192.168.4.0/24、192.168.5.0/24三个网段，用于模拟Internet环境。
⑴ 单击“开始－管理工具－路由和远程访问”，选择“自定义配置”。
⑵ 选择“LAN路由”（图16）。本实验中ISP只当路由器使用。

    至此，有关VPN的设置全部完成。在R1上可以看到，目前VPNR1接口还处在“不可可达”状态（图17）。

如果我们在Workstation1上PING一下Workstation2电脑，第一次显示PING网络不通，第二次PING就通。其实第一次PING时，Server1会向Server2进行VPN的拨号连接。再看VPNR1接口，已经显示为“已连接”（图18）。

    再在Workstation1上启动IE浏览器，访问Workstation2上的网站，可以正常访问，而且在Workstation2上看到是来自Workstation1这台电脑的IP地址在访问它（图19）。

    现在Workstation1、2之间已经可以相互PING通，也能访问对方的网站了，因为二个网段通过VPN已经连在一起了。现在Workstaion1、2能访问外网吗？即可以PING通web这台电脑吗？能访问web电脑上的网站吗？答应是不行的。因为在网络出口Server1、2上还没有启用NAT功能，现在Workstaion电脑是无法访问外网的web电脑的。
5、配置Server1上的NAT功能
⑴ 打开“路由和远程访问”，右击“NAT/基本防火墙”，选择“新增接口”（图20）

⑵ 首先添加“LAN”接口（图21）。LAN是本实验中Server1上接Workstation1的网卡，属内部网络。LAN这个名称是网卡的名称，在本实验中原来叫“本地接连”，为了便于区分Serve1上的二张网卡，我把接内网的网卡叫LAN，另一张接外网的叫WAN。

⑶ 设置LAN网卡的接口类型为“专用接口连接到专用网络”（图22）。

⑷ 同样方法添加“WAN”接口，并把接口类型设置为“公用接口连接到Internet”，一定要选中“在此接口上启用NAT”，同时为了保护该接口免受来自Internet的攻击，可以启用“在此接口上启用基本防火墙”（图23）

    完成NAT设置后，在Workstation1上就可以PING通web电脑，也能访问web电脑上的网站了。要注意的是，在web网站的日志上我们可以清楚是看到访问并不是直接来自192.168.1.1，而是在Server1上做了NAT地址转换后以192.168.2.1这个公网IP地址访问的，由于使用了NAT功能，所以端口号也比较高（图24）。

    在web电脑上是无法PING通Workstation1这台内网电脑的，也无法访问Workstation1上的网站，如果想访问，就必须在Server1上开启反向端口映射，把对Server1上80端口的访问转向到Workstation1的80端口上去，下面就来进行这方面的设置。
6、配置Server1上的反向端口映射
⑴ 打开Server1的“路由与远程访问”，打开“R1（本地）－IP路由选择－NAT/基本防火墙”，右击右边的WAN接口，选“属性”（图25）。

⑵ 选择“服务和端口－Web服务器(HTTP)”，在编辑服务对话框中的专用地址中填入Workstation1的地址（图26）。

    这样外网的电脑就可以访问内网电脑提供的网站服务了，要注意的是，这时不能直接访问内部的IP地址，而应该写Server1外网口的IP地址，即http://192.168.2.1。

VPN(Virtual Private Network，虚拟专用网络)是专用网络的延伸，它包含了类似 Internet 的共享或公共网络连接。通过VPN可以模拟点对点专用连接的方式通过共享或公共网络在两台计算机之间发送数据。它具有良好的保密和不受干扰性，使双方能进行自由而安全的点对点连接。

如果说得再通俗一点，VPN实际上是"线路中的线路"，类型于城市大道上的"公交专用线"，所不同的是，由VPN组成的"线路"并不是物理存在的，而是通过技术手段模拟出来，即是"虚拟"的。不过，这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用"通道"。通过虚拟专用网，我们在家就可以轻松安全的登录到学校（企业）的内部网络上。

配置VPN服务器的文章网络上很多，过程并不复杂。简单描述一下：

一、VPN服务器环境要求。

远程拨入服务器：Win2003、win2000 server版，推荐Win2003。服务器上至少有两块网卡，一块连接公共网络(比如Internet)，一块连接内网。

二、如何配置VPN服务器。

1. 开始配置：打开“管理工具”的“路由和远程访问”，在左边窗口中选中“VPN_SERVER”(服务器名)，在其上单击右键，选“配置并启用路由和远程访问”。如果以前已经配置过这台服务器，现在需要重新开始，则选“禁用路由和远程访问”，即可停止此服务，以便重新配置。

2. 当进入配置向导之后，在“公共设置”中，点选中“虚拟专用网络(VPN)服务器”，以便让用户能通过公共网络(比如Internet)来访问此服务器。

3. 接下来直接点选“是，所有可用的协议都在列表上”，再按“下一步”即可。之后系统会要求你再选择一个此服务器所使用的Internet连接，在其下的列表中选择所用的连接方式(比如已建立好的拨号连接或通过指定的网卡进行连接等)，再按“下一步”。

4. 接着在回答“您想如何对远程客户机分配IP地址”的询问时，除非你已在服务器端安装好了DHCP服务器，否则请在此处选“来自一个指定的IP地址范围”(推荐)。

5. 然后再根据提示输入你要分配给客户端使用的起始IP地址，“添加”进列表中，比如此处为“192.0.0.200～192.0.0.220”(请注意，此IP地址范围要同服务器本身的IP地址处在同一个网段中，即前面的“192.0.0”部分一定要相同！)。

6. 最后再选“不，我现在不想设置此服务器使用RADIUS”即可完成最后的设置。此时屏幕上将自动出现一个正在开户“路由和远程访问服务”的小窗口。当它消失之后，打开“管理工具”中的“服务”，即可以看到“Routing and Remote Access”(路由和远程访问)项“自动”处于“已启动”状态了！

　　三、如何赋予用户拨入的权限。

1. 想要给一个用户赋予拨入到此服务器的权限(默认是任何用户均被拒绝拨入到服务器上)，需打开管理工具中的用户管理器(在“计算机管理”项或“Active Directory用户和计算机”中)，选中所需要的用户，在其上单击右键，选“属性”。

2. 在该用户属性窗口中选“拨入”项，然后点击“允许访问”项，再按“确定”即可完成赋予此用户拨入权限的工作。你甚至可以直接给某个用户分配一个固定的IP，添加静态路由。

　　四、设置客户端的远程VPN连接。

win2000、win2003和xp系统可以直接在“网上邻居”中新建连接，类似建立宽带连接，太简单了，于是省略。^_^

附：Win98的计算机：需要先安装“虚拟专用网络”服务。在控制面板的“网络”下，进入“通讯”即可找到此项并添加上去。安装完成之后再根据提示重启动计算机，然后建立到VPN服务器的连接。

VPN端口映射介绍：
如果是l2tp Vpn，映射udp 1701端口。
如果是pptp Vpn，映射tcp 1723端口和gre协议。
问：如何在WINDOWS 2003环境下映射GRE协议？
防火墙和路由器同时配置为允许GRE包即可

    最近在捣腾一台Mac。版本Mac OS X 10.4.11

    原来2种不一样的操作系统要放到一起真的很难操作~~看来操作系统这种东西 还是会大者恒大埃~~

   把碰到的几个问题放在这里 方便以后回头来看看

一、关于Mail

     Mac自带一个Mail的程序 这个东东设置起来有一些麻烦

        1）一开始新建了一个帐号后 可以在 Mail 菜单中 的 预置 选项中修改其他的帐号配置

        2）他的邮件文件是保存在 硬盘-〉用户-〉Library-〉Mail 这个路径这里

        3）smtp验证 是在那个 预置 选项中的 帐户 页面内的 服务器设置，

              里面把鉴定修改为 密码 ，然后下面的用户名称和密码填入邮箱帐户

              SSL不要钩选

       4）这个是我觉得关于Mail最复杂的东西：

                        从Windows的Outlook中导入邮件。

              1.首先 需要在Windows下把其他的邮件类型转换为Outlook Express

                   在Outlook Express中 文件-〉导入-〉邮件         选择Microsoft Outlook

                   完成后进入

                   C:\Documents and Settings\[你的用户名]\Local Settings\Application Data
                   \Identities\{[随机字串]}\Microsoft\Outlook Express

                   这个目录 把里面*.dbx 拷出来放到一个目录里面

             2.然后 需要下载一个程序 http://people.freenet.de/ukrebs/dbxconv.html 

                      这里需要下载一个转换程序，名字叫 dbxconv.zip ，

                      不过这个网站中国的线路似乎访问不到~大概被别人屏蔽掉了。。奇了怪了~

                      我还是拜托琦琦才搞到手的。。大家如果有需要可以问我要。在这里也谢谢琦琦了

                  把这个程序也放到前面放dbx的目录

                  到dos环境下 进入这个目录后运行 dbxconv *.dbx  ，

                  他就会把所有dbx文件全部转换成mbx

                  然后这步是关键，要把这里面所有的文件扩展名改为 *.mbox

                       可以把这个目录拷到U盘上。

              3.进入Mac的Mail程序  文件-〉输入邮箱

                       选择 其他 ，指定那个放mbox的文件夹 导入就ok了

                  最后 所有的信都放在 输入 的目录内。

二、系统预置

        在 Mac 菜单里面的 系统预置  里面有类似控制面板的设置 有几点设置比较复杂 需要说一下。

    1）账户

        这里也能设置账户、每个账户的权限等，家长控制等这里也有设

           我要说的是 这个账户也能让windows访问自己这台Mac机时进行一定的访问权限控制 只要名字和密码一致就OK

    2）网络

        这里有一个比较好的思路 Mac能够根据位置来确定网络的连接

          比如你在一个位子同时连接有线和无线的网络 然后需要配置固定地址

          换了一个地方后还是同样的网络状态 但要求IP地址不同

          这种情况下 windows就比较复杂 而Mac只要选择一次位置 就可以改变整个网络配置。

              Mac的无线设备被称为 AirPort

三、应用程序

        应用程序没有每一个都用过 不过几个常用的还是要介绍一下

        1）Safari

            这个是Mac自带的浏览器，做得还是蛮漂亮的

        2）Mail

            前面说过了 这个是Mac自带的mail收发软件

        3）iTunes

            这个是音乐播放软件 ~用Ipod的大家应该都很熟悉了 不过肯定平时不用这个放歌的。

               在Mac系统内 这个相当于WinMediaPlay

        4)iWeb

            这个东西倒很神奇 有点类似于Windows的Blog 不过感觉他和Mac系统集成的更好些。可以美化、设置的东西也很多

                还没有仔细研究过 有空的时候做一个网站看看倒也不错

        5)iPhoto

            管理照片的 ，做的和google 的 picasa 有点像

        6)GarageBand

            这个哈嗲 可以自己创作音乐的~~哈嗲！！

        7)Photo Booth

           摄像头功能 ~~好玩的

四、实用程序

      这里面的都是一些系统维护程序了

      1)终端

         这个像dos命令行差不多 不过这个比windows的功能强很多 能够像cisco的OS一样 用tab补全命令

      2)活动监视器

         与任务管理器类似 不过可以点到每个进程查看详细~竟然还能取样。。。

         看下面内存的圆形表示图~哈详细

      3)打印机

         这个要特别提一下 添加网络打印机的时候 是使用LPD协议 不是IPP协议

      4)磁盘工具

         这个硬盘管理的界面~~RAID

      5)系统概述

         硬件管理器 超详细

      6)数码测色计

         这个功能哈强大 可以测当前鼠标指的位置的 颜色百分数

      7)网络实用程序

         这个是察看、测试网络的工具 可以看网卡的物理地址什么的
               还能做些ping、lookup、traceroute等操作，最牛的他竟然能够做port scan~~牛哇。。侦测软件都不要了

      8)目录访问

         这个功能其实很有用 完全是为了windows而去的~

             AD是加入windows域用的 进去要绑定一下

             SMB/CIFS是 工作组

             这2个都是为了进行windows访问 Mac 资源共享 用的~~

                为啥windows里面就没有为了别的操作系统而特地作的配置程序呢？唉~~

       9)ODBC

           配置ODBC的 和windows功能一样~难道有人会在Mac上作数据库的开发？。。

       10)Grapher

          这个哈好玩~~可以3D建模~~不过还没仔细研究过~~~感觉上很好玩~

    11）这个是Office 2008 for Mac的版本  界面还是很好看的