IPSEC VPN 的应用设计

     --IPSEC VPN 的应用设计 

                院 系：

                班 级：

                姓 名： 

                学 号：

                日 期：

摘要：

本论文分为三个部分VPN的定义与种类；VPN的协议栈与配置详解；VPN的应用现状与展望。在第一部分主要介绍了什么是VPN，VPN有什么功能。现在常见的VPN种类。第二部分为本文重点部分，阐述了IPsec协议栈及配置IPsec的完整过程与步骤，包括IKE阶段１、IKE阶段2、建立加密映射、激活VPN及VPN排错等内容。详细说明了VPN建立时数据的产生与转发过称。本文的第三部分说明了VPN的发展现状与未来展望，包括VPN的产品类型、VPN的优缺点对比。最后本文添加附件一份，详细说明实验配置过程与实现原理。

关键词：

VPN      IPsec      IPsecVPN实例

目录

摘要：    I

关键词：    I

第一章绪论    1

1.1网络与信息安全    1

1.2 课题背景    1

1.3论文主要内容    1

第二章虚拟专用网（VPN）技术    2

2.1 VPN概念    2

2.1.1 VPN的接入方式    2

2.2 VPN关键技术    2

2.2.1隧道技术    3

2.2.2加解密技术    3

2.2.3密钥管理技术    3

2.2.4使用者与设备身份认证技术    3

第三章 IPSEC技术基础    5

3.1 IPSEC技术简介    5

3.2 IPsec体系结构    5

3.2.1 ESP(封装安全载荷)    5

3.2.2 AH(验证头)    5

3.2.3 SA(安全联盟)    6

3.2.4IKE(Internet密钥交换)    6

3.3 IPSEC的两种模式    6

3.3.1 传送模式    6

3.3.2 隧道模式    6

3.3.3 IPsecVPN的优点    8

3.3.4 IPsecVPN的缺点    8

第四章IPSEC VPN实现模型的设计    10

4.1 仓库VPN设计    10

4.2 VPN的 功能    11

4.3 VPN 服务器配置    11

结束语    13

参考文献    13

第一章绪论

1.1网络与信息安全

 资源共享是支撑因特网风行全球的应用之一。公共网络的无序性、不可控性却决定了网络资源在开放共享的同时有可能遭受更改、删除等威胁。然而，彻底将所有资源保护起来不与人共享并不现实。因此有必要在共享与安全之间找到一个合适解决方案，把所有不安全因素尽量排除于真正需要共享者之外，在不受威胁的前提下实现真正的资源共享。与公共网络相比，传统专用网在物理上，可提供较好的安全保障。以往的专用网都是通过租用或专用线路实现组网，通过在物理连接上的性来确保安全。

但传统专用网的不足之处为造价较高，专用线路利用率低，对于不同的应用还必须分别提供一套线路实现，同一用户针对不同应用必须连接到不同的专用网，造成不必要的浪费。此外传统专用网最大的缺陷在于与外界互连互通性差，自我闭塞的连接方式不适合现在信息交流日益增大的需求。

VPN（Virtual Private Network，虚拟专用网络）技术将物理上分布在不同地点的网络通过公用骨干网联接成为逻辑上的虚拟专用子网。为了保障信息在公用网络上传输的安全性，VPN技术采用了认证、存取控制、机密性、数据完整性等措施。由于利用公用网络传输，费用比租用专线要低得多，所以VPN的出现使企业通过公用网既安全又经济地传输私有的机密信息成为可能。

1.2 课题背景

在经济全球化的今天，随着网络，尤其是网络经济的发展，客户分布日益广泛，合作伙伴增多，移动办公人员也随之剧增。传统企业网基于固定地点的专线连接方式，已难以适应现代企业的需求。在这样的背景下，远程办公室、公司各分支机构、公司与合作伙伴、供应商、公司与客户之间都可能要建立连接通道以进行信息传送。而在传统的企业组网方案中，要进行远程LAN 到 LAN互联，除了租用DDN专线或帧中继之外，并没有更好的解决方法。对于移动用户与远端用户而言，只能通过拨号线路进入企业各自的局域网。这样的方案必然导致高昂的长途线路租用费及长途电话费。于是，虚拟专用网VPN （Virtual Private Network）的概念与市场随之出现。利用VPN网络能够获得语音、视频方面的服务，如IP电话业务、电视会议、远程教学，甚至证券行业的网上路演、网上交易等等。IPSec协议是由因特网工程任务组(IETF)提出的IP安全标准，是VPN系统实现的主要技术之一。近年来IPSec VPN技术以其独具特色的优势赢得人们越来越多的青睐，并成为网络安全领域的热点。

1.3论文主要内容

本论文主要由四部分内容组成。第一章是绪论，主要介绍了网络与信息安全和该课题研究的背景。第二章，简要介绍了VPN技术，其中比较了多种实现VPN的方式，VPN的关键技术。并对各种技术进行了具体的解释。 第三章介绍了IPSec技术、概念、体系、工作模式、三大协议、工作原理。第四章主要基于IPSEC的VPN设计

第二章虚拟专用网（VPN）技术

2.1 VPN概念

V — Virtual；虚拟的，不用真正的铺设线路；P — Private；私有的，安全的；N — Network；网络的，互联互通。

顾名思义，VPN即虚拟专有网络。它不是真正的物理线路，但能够实现专有网络功能。这里说的虚拟专有网络VPN技术，就是利用Internet技术来组建企业自己的专有网络，实现异地组网，本地通信效果。VPN利用隧道加密技术，利用公用网络上建立专用的数据通信网络，实现企事业单位任何两个授权端点间的连接。

虚拟专用网络解决了传统专网组建中需要的费时、费钱、端对端的物理链接，而是利用Internet公网的物理链路资源，动态组成，使用户实现“不花钱的专网”效果。用户只需购买VPN设备和软件产品，向企业所在地的网络服务提供商支付一定Internet接入费用，节约租用专线的费用，即可实现不同地域的客户联系，还大大节途通信费用。

2.1.1 VPN的接入方式

典型VPN接入方式有两种：拨号方式和局域网方式，如图2-1所示。其中局域网方式主要利用公用Internet的物理网络资源，此外也可利用与Internet互联且由ISP（因特网服务提供者）提供的具有非连接特征的网络（如IP网，X.25网等）的物理资源；拨号方式则常常利用公用电话网（PSTN）和窄带综合业务数字网（N-ISDN）的物理资源。

图2.1   VPN的两种接入方式

 2.2 VPN关键技术

在公共IP网上建设虚拟专用网进行数据通信，需要满足通信安全的需要。这些安全需求主要有以下三类，认证。（确认信息源，即确认和你正在通信的人的身份）、信息保密性和数据完整性、提供访问控制。

不同的用户对不同的企业内部资源有不同的访问权限。只有建立能满足上述的三个安全需要的IP虚拟专用网，才是算是真正的安全虚拟专用网。正确配置的安全虚拟专用网使用了强大的加密技术，它对内部用户看来是一个的、使用专用线路连接的LAN或WAN。安全虚拟专用网和传统专用网络之间的主要差异是真正的安全性(并不仅仅是专用)、灵活性、可伸缩性和低成本。

 2.2.1隧道技术

 隧道技术是VPN实现采用的主要技术。隧道能实现多协议封装，在无连接的IP网上提供点到点的逻辑通道，在安全性要求较高的场合，应用加密隧道可以进一步保护数据的私有性，使数据在网上传送而不被非法窥视与篡改。

  隧道协议分为第二层隧道和第三层隧道，由传输封装形成的数据包的协议决定。第二层隧道协议主要有三种：PPTP（Point to Point Tunneling    Protocol，点对点隧道协议），L2F（Layer 2 Forwarding，第二层转发协议）和L2TP（Layer 2 Tunneling Protocol，第二层隧道协议）。第三层隧道协议也并非一种新技术，早先的通用路由封装协议（GRE，Generic Routing Encapsulation）就是一个第三层隧道协议，此外还有IPSec（IP Security）和虚拟隧道协议（VTP，Virtual Tunneling Protocol）。

 2.2.2加解密技术

  加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有的加密技术，如数据加密算法(Data Encryption Standard，DES)，Triple-DES（三重DES）等。加密后的数据包即使在传输过程中被窃取，非法获得者也只能看到一堆乱码，必须拥有相应的密钥（Encryption key）才能破译。而要破译密钥的话，其所需的设备和时间则需视加密技术和密钥长度而定。如使用56位加密的DES，现在的普通PC计算，需要几十年才能破译；而使用112位的Triple-DES加密技术目前则被视为不可破译。

2.2.3密钥管理技术

如果窃取数据包者不能获得密钥。那只能采用穷举法破译，这在目前加密技术严密情况下几乎不可能。密钥管理技术的主要任务是如何在公用数据网上安全的传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种：SKIP技术由Sun公司开发，主要是利用Diffie - Hellmail演算法则，在网络上传输密钥的一种技术。而在ISAKMP技术中，双方都有两把密钥，分别用于公用、私用场合。目前ISAKMP/OAKLEY技术逐渐整合于IPv6协议中，成为IPv6的安全标准之一。

在数据加密和密钥管理方面，VPN采用微软的点对点加密算法 MPPE协议和网际安全协议IPSec机制，对数据进行加密。并采用公、私密钥对的方法，对密钥进行管理。其中MPPE算法是Windows 95、98、XP和NT4.0终端，可以在全球任何地方进行安全通信。MPPE加密确保了数据的安全传输，并具有最小的公共密钥开销。以上的身份验证和加密手段，由远程VPN服务器强制执行。对于采用拨号方式建立VPN的连接，VPN连接可以实现双重数据加密，使网络数据传输更安全。

2.2.4使用者与设备身份认证技术

  公用网络上有众多的使用者和设备，如何正确地辨认合法的使用者与设备，使只有授权的本单位人员才能与设备互通，构成一个安全的VPN，并让未授权者无法进入系统，这就是使用者与设备身份确认技术要解决的问题。

辨认合法使用者方法很多，最常使用的是使用者名称与密码卡片式两段认证方式。设备认证则需依赖由电子证书核发单位（Certificate  Authority）颁发X.509电子证书。通信双方将此证书对比后，如果正确，双方才开始交换数据。

在用户身份验证安全技术方面，VPN通过使用点到点协议(PPP)用户级身份验证的方法来进行验证，这些验证方法包括密码身份验证协议（PAP）、质询握手身份验证协议（CHAP）、Shiva密码身份验证协议（SPAP）、Microsoft质询握手身份验证协议（MS-CHAP）和可选的可扩展身份验证协议（EAP）。

第三章 IPSEC技术基础

3.1 IPSEC技术简介

“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。Microsoft® Windows® 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发的标准。 

IPSec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows XP 和 Windows Server 2003 家族中，IPSec 提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、Extranet 以及漫游客户端之间的通信。

IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内多种应用程序的安全。IPSec在传输层之下，对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时，无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec，应用程序一类的上层软件也不会被影响。IPSec对终端用户来说是透明的，因此不必对用户进行安全机制的培训。如果需要的话，IPSec可以为个体用户提供安全保障，这样做就可以保护企业内部的敏感信息。

 3.2 IPsec体系结构    

3.2.1 ESP(封装安全载荷)

IPsec 封装安全负载（IPsec ESP）是 IPsec 体系结构中的一种主要协议，其主要设计来在 IPv4 和 IPv6 中提供安全服务的混合应用。IPsec ESP 通过加密需要保护的数据以及在 IPsec ESP 的数据部分放置这些加密的数据来提供机密性和完整性。根据用户安全要求，这个机制既可以用于加密一个传输层的段（如：TCP、UDP、ICMP、IGMP），也可以用于加密一整个的 IP 数据报。封装受保护数据是非常必要的，这样就可以为整个原始数据报提供机密性。

ESP 头可以放置在 IP 头之后、上层协议头之前 （传送层），或者在被封装的 IP 头之前 （隧道模式）。IANA 分配给 ESP 一个协议数值 50，在 ESP 头前的协议头总是在“next head”字段（IPv6）或“协议”（IPv4）字段里包含该值 50。ESP 包含一个非加密协议头，后面是加密数据。该加密数据既包括了受保护的 ESP 头字段也包括了受保护的用户数据，这个用户数据可以是整个 IP 数据报，也可以是 IP 的上层协议帧（如：TCP 或 UDP）。

  3.2.2 AH(验证头)

 验证头（AH）协议用于为IP数据包提供数据完整性、数据包源地址验证和一些有限的抗重播服务，AH不提供对通信数据的加密服务，与ESP协议相比，AH不提供对通信数据的加密服务，但能比ESP提供更加广的数据验证服务。

AH是另一个IP协议，它分配到的数是51。在IPv6的情况下，下一个头字段的值由扩展头的存在来决定。如果没有扩展头，IPv6头中的下一个头字段将是51。如果AH头之前有扩展头，紧靠在AH头前面的扩展头中的下一个头字段就会被设成51。将AH头插入IPv6的规则与ESP插入规则类似。AH和ESP保护的数据相同时，AH头会一直插在ESP头之后。AH头比ESP头简单得多，因为它没有提供机密性。由于不需要填充和一个填充长度指示器，因此也不存在尾。另外，也不需要一个初始化向量。

3.2.3 SA(安全联盟)

  安全关联SA是指由IPSec提供安全服务的数据流的发送者到接收者的一个单向逻辑关系，用来表示IPSec如何为SA所承载的数据通信提供安全服务。其方式是使用AH或ESP之一，一个SA不能同时使用AH和ESP两种保护措施。 SA决定两个主机间通信的安全特征。SA是单向定义的，即仅朝一个方向定义的安全服务，所以一个通信实体间的双向通信需要两个SA，每个方向一个。 

一个SA是由三个参数来惟一标识的：

1）安全参数索引SPI。分配给该SA的32位标识符，其位置在AH和ESP的首部，作用是使接收实体在收到数据时能够确定在哪个SA下进行处理，只具有本地意义。2）目的IP地址。即SA中接收实体的IP地址，该地址可以是终端用户系统地址，也可以是防火墙或安全网关等网络设备的地址。它同时决定了方向。目前只允许单播地址。3）安全协议标识符。说明SA使用的协议是AH协议还是ESP协议。 

3.2.4IKE(Internet密钥交换)

Internet密钥交换协议(IKE)是用于交换和管理在中使用的加密密钥的，IKE属于一种混合型协议，由Internet安全关联和密钥管理协议（ISAKMP）和两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上，沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术，还定义了它自己的两种密钥交换方式：主要模式和积极模式。

3.3 IPSEC的两种模式

3.3.1 传送模式

传送模式加密的部份较少，没有额外的IP报头，工作效率相对更好，但安全性相对于隧道模式会有所降低。 

传送模式下，源主机和目的地主机必须直接执行所有密码操作。加密数据是通过使用L2TP（第二层隧道协议）而生成的单一隧道来发送的。数据（密码文件）则是由源主机生成并由目的地主机检索的。

传送模式可表示为：| IP头 | IPsec头 | TCP头 | 数据  |

3.3.2 隧道模式

 隧道模式保护的是整个IP包，将原数据包用一个新的数据包封装，还要加上一个新的包头。原数据包头叫内部包头，新增加包头叫外部包头，内部包头由原主机创建，外部包头由提供安全设备添加。一般数据包的始发点或目的点不是安全终点的情况下，需要在隧道模式下使用IPSec。隧道模式下的IPSec还支持嵌套方式，即可对隧道化的数据包再进行隧道化处理，嵌套很难构造。安全保护服务以端到端的形式，那么传输模式比隧道模式要好，传输模式不会添加额外的IP包头。

由构建方式所决定，对传送模式所保护的数据包而言，其通信终点必个加密的终点，从某种角度来说，传送模式提供的安全属于端到端保护，两个主机之间的通信，即终端本身必须具备IPSec处理能力。IPSec隧道持一个或多个“隧道”，也就是隧道存在于两个主机之间，在两个安全设安全网关）之间或是  在一个安全网关与一个主机之间。IPSec在隧道模式构建IPSec虚拟专用网，在安全网关处实现IPSec处理，达到通过不可靠网络实现互连的目的。在这种情况下，通信终点便是由受保护的内部IP头指定即真实目的地址，而加密终点则是那些由外部IP头指定的地点，即安全址，它将真实目的地址隐藏起来。在IPSec处理结束的时候，安全网关剥离IP包，再将那个包转发到最终目的地。

图3-3： 传输模式和隧道模式的比较

图3-4： IPSec隧道模式建立VPN

3.3.3 IPsecVPN的优点

IKE使IPsecVPN配置简单

简单的讲IKE是一种安全机制，它提供端与端之间的动态认证。IKE为IPsec提供了自动协商交换密钥、建立SA的服务，这能够简化IPsec的使用和管理，大大简化IPsec的配置和维护工作。IKE不是在网络上直接传输密钥，而是通过一系列数据的交换，最终计算出双方共享的密钥，有了IKE，IPsec很多参数（如：密钥）都可以自动建立，降低了手工配置的复杂度。

IPsecVPN对应用程序的高可扩展性：

所有使用IP协议进行数据传输的应用系统和服务都可以使用IPsec，由于IPSec工作在OSI的第3层，低于应用程序直接涉及的层级，所以对于应用程序来讲，利用IPSec VPN所建立起来的隧道是完全透明的，无需修改既有的应用程序，并且，现有应用程序的安全解决方法也不会受到任何影响。且当有新的加密算法产生时可以直接移植进IPsec协议栈。

IpsecVPN加密灵活：

对数据的加密是以数据包为单位的，而不是以整个数据流为单位，这不仅灵活而且有助于进一步提高IP数据包的安全性，可以有效防范网络攻击。

IPsecVPN将网络扩展：

Ipsec完成使二个专用的网络组合成一个虚拟网络的无缝连接。将虚拟网络扩展成允许远程访问用户(也被称为road warriors)成为可信任网络的一部分。

3.3.4 IPsecVPN的缺点

IPSec在客户机/服务器模式下实现有一些问题，在实际应用中，需要公钥来完成。IPSec需要已知范围的IP地址或固定范围的IP地址，因此在动态分配IP地址时不太适合于IPSec。除了TCP/IP协议外，IPSec不支持其他协议。除了包过滤之外，它没有指定其他访问控制方法。可能它的最大缺点是微软公司对IPSec的支持不够。 IPSec在部署安全网关时要考虑拓扑排序，一旦添加新设备就要改变网络结构。

IPsec须在防火墙上开放不同的通讯埠（21、25、80、110、443等）来作为服务器和客户端之间的数据传输通道。在防火墙上，每开启一个通讯埠，就多一个黑客攻击机会。

 第四章IPSEC VPN实现模型的设计

 不管是具体选择什么实现方式，IPSec基本协议应该具有如下能力：能够在一个外出报文添加一个或多个IPSec头，可以添加在IP层和上层数据之间（传送模式），也可以添加在IP层外并另外封装一个新的IP头。能够处理隧道模式的IPSec包，并向IP转发解封的IP包。能够处理传送模式的IPSec包，再根据IPSec包内装载的传送载荷，把它们传送到恰当的传送层。

 4.1 仓库VPN设计

在新一代的市场环境下， 便利店的生命力也逐渐强大起来。作为一种新型的市场形态，在物流、采购等形态逐渐成熟的带动下，仓库连锁机构经营也是很需要的，连锁网络的便利性和集中经营形成的价格优势，使连锁机构比传统机构更具吸引力 ，能更好的统计销售数目。但是，现在因销售地点的众多，所以仓库的设置也设置在不同的地区，要做到互动的信息化，就要在其间建立一个强大的信息系统平台，这就需要依靠网络传送来达成了。 

数据的安全传输。如图3．1所示。

两个安全网关分别保护位于后面的子网。在从安全网关流向Intemet网络的数据都是经过安全网关加密和认证的，这样Intemet上的用户非法获取这些数据将对源主机或网络不会造成威胁。同样，从Intemet网络流入子网的数据也将先经过安全网关的处理，只有经过安全网关确认有效的数据包才能流入子网。两个子网之间传输的数据是经过两个安全网关协商后处理过的加密和认证的数据。

设计VPN网关，首先要考虑的就是网关的操作系统的选型问题。由于IPSec协议是在IP层实现的，需要对IP数据包进行操作。因此，操作系统最好能够支持TCP／IP协议栈源码公开。这样做的好处在于IPSec能够与IP层紧密集成在一起，更有利于诸如分片、PMTU等操作的实施，另外，可以大大减少开发所需要的工作量。

4.2 VPN的 功能

IPSec设定：考虑仓库分点机构众多，即便是专业网管也会对IPSec多达20几个步骤的设定往往感到太过繁杂，因此采用了Smart Link设定功能，将大部份的设定参数交由VPN网关自动完成，只需要输入服务器IP、使用者名称以及密码三个参数，就能立刻建立IPSec连机设定。同时，本方案具备控管的功能，当分点出现设定或其它技术的困难，可由中心端直接进行分点各项功能控管，省去网管必须来回奔波的麻烦。 

强大防火墙安全功能：多半网络面对来自的诸多病毒、财务账号意外泄露、计算机被非法使用、恶意的内网攻击等带来安全隐患，都不容小觊。目前来说，最多的攻击形式仍以ARP攻击居多， VPN防火墙设备都具有内建的防制ARP功能，搭配IP /MAC双向绑定，在路由器端以内网PC端进行IP/MAC绑定，即可达到防堵ARP无漏洞的效果。  

多WAN保证联机质量：仓库在总部与分点机构所采用的侠诺VPN设备，都是多WAN口的设计，在接入双线的前提之下，同时也成就了VPN带宽保证，更加稳定VPN的连机质量。此外， VPN设备可通过协议绑定，将VPN所有应用服务绑定在指定的端口，让一般上网的应用服务只能从VPN指定之外的端口进出，而不能占用VPN指定端口的带宽，进一步保障了VPN连机的优先权与稳定度。 

支持动态IP环境：为了让连机质量不会随着动态IP而不稳定，必须采用动态DNS域名解析服务，才可解读并将要求转送到对应的服务器。此外，为了避免某个动态DNS发生问题，VPN会随之断线的可能性，侠诺也在单一WAN口上设计多种动态DNS相互备援的功能，这样下来即使某个动态DNS产生问题，也可以自动立即采用其它的动态DNS继续进行服务，进一步增强了VPN连机在动态IP环境下的稳定性。 

4.3 VPN 服务器配置

如何在Windows7下架设VPN服务器。看看架设VPN服务器的具体步骤：

1、点击右下角的网络图标，然后选择“打开网络和共享中心”，再选择“更改适配器设置”

2、然后在“菜单栏”(如果没有看到菜单栏，请按下键盘上的Alt按键，即可显示菜单栏)点击“文件”，选择“新建传入连接”。

3、勾选选择允许使用VPN连接到本机的用户，如果用户还未创建，请点击“添加用户”

4、选择其他用户连接VPN的方式，这里选择“通过Internet”，如果你的显示多项，请选择正确的方式。

5、接着设置网络参数，如果对方连接后可以使用本地网络的DHCP服务器，那么可以跳过此设置。如果本地网络没有DHCP服务器，必须就必须设置一下，请点击“Internet协议版本4(TCP/IP)”，点“属性”按钮，选择“指定IP地址”，比如从192.168.1.100到192.168.1.199。设置后请按确定，然后点击“允许访问”。

6、按照上述设置之后，其他用户就可以利用上面的帐号以及你的IP地址利用VPN连接到你的网络了。

客户端的拔入方法：

这里以windows2003做为VPN客户拔测试。

第一步：打开网上邻居“属性”，新建一个连接。

第二步：选择连接方式“使用拔号或VPN”连接。

第三步：选择“虚拟专用网络连接”，即VPN。

第四步：输入一个连接的名称，任意写。

第五步：选择“不拔初始连接”

第六步：输入VPN服务器的IP地址，这个IP地址就是刚才安装“传入连接”电脑的IP。 

第七步：由于该VPN用户比较多，所以选择允许任何人使用，VPN用户用自己的账户登录服务器即可。

第八步：输入用户名和密码，请确定该用户是否有拔入权限，没有拔入权限，请根据图4-4选择允许拔入的用户

结束语

在本次论文的制作中 ，我通过对查阅大量的资料，关于技术方面我还有很多的不足之处，我已经更正了很多的错误并且对于网络也有了更深的认识。 在今后的工作生活中，我依然会 认真的工作，去研究技术方面的知识。

参考文献

[1]  VPN虚拟专用网络安全实践教程/金汗均等编著。— 北京：清华大学出版社，2010.1 

[2]   IPSec VPN设计/（美）博兰普拉格德,(美) 肯哈利德,(美) 韦恩纳著； 袁国忠译， —北京；人民邮电大学出版社，2009.5

[3]Carlton R. Davis 著.周永彬，冯登国等译.IPSEC:VPN的安全实施.北京.清华大学出版社.2010

[4]李文俊等.网络硬件搭建与配置实践.第一版.北京.电子工业出版社.2009.

[5]李莉，童小林译.网络互联技术手册.第四版.北京.人民邮电出版社.2008.