SUSE Linux Enterprise Server 10 安全与入侵检测全解析
1. VPN 连接测试
在连接两个站点时,仅网关背后网络中主机之间的连接在网关之间进行加密。从一个网关直接连接到另一个网关(例如使用 ping 命令)是可行的,但此连接不会通过隧道。从一个网关连接到另一个网关背后的主机也是不可能的。若数据包能在互联网上路由(若本地网络使用私有地址范围则无法实现),发往另一侧网络的数据包不会通过隧道,而返回的数据包会。不过,隧道中的数据包会被 IPSec 栈丢弃,因为它不属于任何 IPSec 连接。
要测试连接,需建立从一个网关背后的主机到另一个网关背后主机的连接。若此连接成功,下一步要确保网关之间的数据包确实已加密。
- 2.4.x 内核:启动 ipsec 时会有一个 ipsec0 接口。在 ipsec0 上使用 tcpdump 显示明文数据包,而在网络接口(如 eth0、eth1 等)上使用 tcpdump 显示加密(ESP)数据包。
- 2.6.x 内核:不会创建 ipsec0 接口。在网络接口上使用 tcpdump 会同时显示加密和未加密的数据包。
若要确保线路上没有不必要的明文数据包,只能将另一台计算机通过集线器连接到该接口,并在该计算机上运行 tcpdump,以查看实际离开网卡的数据包类型。
2. 建立 VPN 连接练习
此练习旨在让你熟悉建立 VPN 连接所需的步骤,具体练习内容可在工作手册中找到。
)
