基于IPSec技術的VLAN系統(tǒng)的研究和實現(xiàn).pdf

1、隨著網(wǎng)絡的不斷發(fā)展，很多機關、企事業(yè)單位的LAN規(guī)模不斷擴大，VLAN技術是解決整個LAN內(nèi)部廣播及提高網(wǎng)絡安全的一個非常有效的辦法。但是隨之而來的問題也日益突出，因為實際應用中往往需要VLAN之間的交叉訪問。而且，對保密性要求較高的VLAN部門來說，希望在VLAN之間訪問時，信息不被其它的LAN內(nèi)部用戶竊取或修改。 IPSec協(xié)議是為了解決網(wǎng)絡安全問題的產(chǎn)物，它通過對數(shù)據(jù)包進行加密，為數(shù)據(jù)源提供了身份驗證以及數(shù)據(jù)的完整性檢查、

2、機密性保證機制，可以防范數(shù)據(jù)包受到來歷不明的攻擊。 本文所要研究和實現(xiàn)的基于IPSec技術的VLAN系統(tǒng)可以支持VLAN之間的交叉訪問，并在數(shù)據(jù)包傳輸過程中依據(jù)IPSec協(xié)議進行認證和加解密處理，以保證其安全性。整個系統(tǒng)可以透明的接入原有的LAN內(nèi)部網(wǎng)絡，而不需要進行額外的網(wǎng)絡設置。 論文首先對LAN及VLAN技術進行了論述，分析了現(xiàn)有技術存在的不足，并提出了自己的見解和解決方法，即根據(jù)IPSec協(xié)議的SA來進行VLAN

3、功能的實現(xiàn)。 接著，對IPSec協(xié)議體系結構作了總體性介紹，其中包括了IPSec協(xié)議體系的各個組件，如SPD、SADB、AH、ESP、IKE及IPSec進入和外出處理流程，并總結了IPSec協(xié)議的優(yōu)點及其應用。 然后，對Linux操作系統(tǒng)的網(wǎng)橋模式和Netfilter機制進行了簡要介紹和分析，其中涉及到Linux中提供的與它們相關的一些編程技術。從而提出了VLAN系統(tǒng)的實現(xiàn)方法：在Linux以太網(wǎng)橋模式下通過Netfil

4、ter來實現(xiàn)IPSec協(xié)議，并指出了網(wǎng)橋模式下實現(xiàn)IPSec協(xié)議來進行數(shù)據(jù)包處理的特點。 在對IPSec協(xié)議與Linux網(wǎng)橋模式結合的研究基礎上，論文重點進行了基于Netfilter技術的Linux平臺下的IPSec協(xié)議的實現(xiàn)。實現(xiàn)的部分包括網(wǎng)橋下AH協(xié)議和ESP協(xié)議的封裝；SA、SP的設計以及SADB數(shù)據(jù)庫的實現(xiàn)；HMAC-SHA-1-96認證算法的實現(xiàn)；進入和外出的數(shù)據(jù)包處理的實現(xiàn)。由于系統(tǒng)的實現(xiàn)還比較粗糙，因此對系統(tǒng)中存在