返回
用Openswan组建Linux IPSec

用Openswan组建Linux IPSec

ID:37480976

大小:58.00 KB

页数:16页

时间:2019-05-24

用Openswan组建Linux IPSec_第1页
用Openswan组建Linux IPSec_第2页
用Openswan组建Linux IPSec_第3页
用Openswan组建Linux IPSec_第4页
用Openswan组建Linux IPSec_第5页
资源描述:

《用Openswan组建Linux IPSec》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、用Openswan组建LinuxIPSec1.概述2.安装Openswan3.认证和配置  3.1RSAsig认证方式的配置  3.2x.509证书认证的配置  3.3RoadWarrior模式的配置5.Windows客户端的配置*****1.概述  LInux上的VPN支持主要有三种:    1)IPSec'sVPN其主要代表有FreeS/WAN、KAME  IPSec在Linux上支持主要有两个主要的分类,一为FreeS/WAN,现在已经停止开发,其分裂为两个项目,Openswan与Strongswan。其可以用自身的IPsec内核堆栈(Ker

2、nelstack),称为KLIPS,也可以用2.6内核中的堆栈代码(下面我们称其为26sec),可以说是非常的灵活。还有就是来自BSD世界的KAME。KAME只能用内核堆栈。  IPSec差不多是最老的VPN标准了,她的依然很安全,当然是在配置好以后。言下之意,她的配置比较麻烦。本文下面将做说明。  2)SSL-BasedVPN其主要代表有OpenVPN  SSL只要跑在应用层,所以理所当然的配置简单,只要机子能跑TCP或UDP就行,也可以穿过大多的防火墙。  3)PPTP-BasedVPN有(PoPTop)  PoPTop可以说是PPTP在Lin

3、ux下的实现。不过,IPSec上跑L2TP更安全。2.安装Openswan    因为FreeS/WAN已经在2004年三月停止开发,所以我们使用她的后继项目Openswan来做我们的IPSec实验。其相比FreeS/WAN有个好处,如果使用26sec的时候,Openswan不用打补丁,就可以用nat。  因为IPSec工作在网络层,所以需要系统内核态的支持,上面说过,有两个选择,用自带(26sec)的或用Openswan(KLIPS)的,为了方便(如何打补丁和编译内核不是本文讨论的重点),本文使用2.6自带的实现代码。同时本文使用RHELAS4.

4、0作为实验系统,在RHELAS4.0上安装。从http://www.openswan.org/code下载软件包,然后按照包中的说明安装。由于我们使用26sec,所以只要makeprograms;makeinstall就可以搞定。值得注意的是,现在的Openswan已经内建些个好用的补丁,比如x.509和NATTraversal的支持,使用起来非常的方便。#tar–zxvfopenswan-2.4.9.tar.gz  #makeKERNELSRC=/lib/modules/`uname-r`/buildmoduleminstall#makeprog

5、ramsinstall  你也可以用  #ipsecverify来检验你的安装3.认证和配置一、RSASignature(RSA数字签名)认证的配制  Openswan支持许多不同的认证方式,包括RSAkeys、pre-sharedkeys或x.509证书方式。RSASignature比较简单,我先介绍下所要使用的命令  生成一个新的RSA密钥对  #ipsecnewhostkey  --output/etc/ipsec.secert  按left或right格式生成RSASig  #ipsecshowhostkey--left(或--right)

6、  知道了上面的命令,我们就可以配置一个net-to-net,就是网关对网关的通讯。所在的Linux主机为通讯的网关,作为其子网的出口,对于子网的用户来所是透明的,远程的子网在通讯后可以像自己的局域网一样的访问。    本文使用VMWare架设起一个四台虚拟Linux主机来进行试验。因为要在不同的机子上进行配置,所以请读者认清主机名。        172.16.40.18(子网客户机,计算机名RA)  <->  192.168.32.30(right网关主机,计算机名VPN,同时eth1配

7、置为172.16.40.254)  <->  192.168.32.29(left网关主机,计算机名ora92,同时eth1配置为172.16.50.254)  <->  172.16.50.18(子网客户机,计算机名RB)  两个网关主机当然要安装好Openswan。  然后我们运行下面的命令  //ora92----left    #ipsecnewhostkey--output/etc/ipsec.secert  #ipsecshowhostkey--left>>/etc/ipsec.conf  #vi/etc/ipsec.conf     

8、             //编辑ipsec.conf配置文件  #scp/etc/ipsec.confroot@righ

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。