遠程接入IPsec VPN的增強型設(shè)計方案與實現(xiàn).pdf

1、本文對遠程接入IPscc VPN進行了深入研究分析，針對實際的應(yīng)用場景，實現(xiàn)了一種更具可用性、健壯性和安全性的遠程接入方案，論文的具體研究和實現(xiàn)工作包括以下幾個方面： ◇分析了現(xiàn)有IPsec VPN體系結(jié)構(gòu)中存在的不足，基于新的IPsecv2框架，提出了PAD增強型設(shè)計方案，并在此基礎(chǔ)上提出了擴展設(shè)計，增設(shè)PAD服務(wù)器以進行集中式管理，從安全和管理的角度對原有的體系結(jié)構(gòu)進行了增強； ◇分析了IKEv1下遠程自動配置方案的

2、不足，本文提出了一種新的改進型自動配置方案，在IPsec VPN網(wǎng)關(guān)中實現(xiàn)了DHCP客戶端的功能，能夠根據(jù)用戶及其所在組的信息發(fā)起DHCP請求，DHCP服務(wù)器端配置了用戶組的匹配規(guī)則和建立地址池，能根據(jù)DHCP請求選擇合適的地址池分配內(nèi)部IP地址和其他內(nèi)部配置信息； ◇基于課題組實現(xiàn)的IPsecv2框架下的一體化防火墻和本課題完成的基于用戶組的遠程自動配置方案，實現(xiàn)了對遠程用戶的訪問控制，提高了系統(tǒng)的效率和安全性： ◇針

3、對遠程用戶和IPsec VPN網(wǎng)關(guān)之間可能存在NAT設(shè)備的情況，研究了IKEv2協(xié)議中NAT探測和穿越的方案，實現(xiàn)NAT探測功能，當(dāng)探測到NAT設(shè)備的存在后，通過NETLINK套接口通知IPsec內(nèi)核啟用NAT穿越功能，提高了系統(tǒng)的通用性； ◇將DPD協(xié)議應(yīng)用在IPsec VPN系統(tǒng)中，彌補了IKE協(xié)議本身對狀態(tài)檢測的不足，提高了系統(tǒng)的健壯性； ◇在設(shè)計中，充分考慮到IKEv1和IKEv2的融合，支持IKEv1和IKEv