網(wǎng)絡(luò)安全協(xié)議課程設(shè)計-IPsec隧道協(xié)議的安全分析與改進

《網(wǎng)絡(luò)安全協(xié)議》課程設(shè)計題目班級學(xué)號姓名指導(dǎo)老師2015年7月4日目錄TOC\o"1-4"\h\z\u一、概述 21.1課程設(shè)計的目的 21.2課程設(shè)計的內(nèi)容 21.3課程設(shè)計的要求 3二、問題分析 32.1系統(tǒng)需求 32.2GRE協(xié)議分析 32.3IPsec協(xié)議分析 4三、協(xié)議漏洞 53.1協(xié)議漏洞解決措施 53.2協(xié)議漏洞解決詳解 5四、協(xié)議完善具體實現(xiàn) 64.1實現(xiàn)分析 64.2GRE實現(xiàn)流程分析 84.3簡單設(shè)備設(shè)置 10五、案安全性分析 11六、程設(shè)計心得、總結(jié) 11七、參考文獻 12一、概述網(wǎng)絡(luò)如若想實現(xiàn)交流傳輸，必須以網(wǎng)絡(luò)協(xié)議為載體進行。而網(wǎng)絡(luò)協(xié)議（Network

Protcol）是控制計算機在網(wǎng)絡(luò)介質(zhì)上進行信息交換的規(guī)則和約定。網(wǎng)絡(luò)協(xié)議通常會被按OSI參考模型的層次進行劃分。OSI參考模型是國際標準化組織制定的網(wǎng)絡(luò)體系結(jié)構(gòu)參考模型，提供各種網(wǎng)絡(luò)互聯(lián)的標準，共分七層：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層，會話層、表示層和應(yīng)用層往往被合并稱為高層。當前的計算機網(wǎng)絡(luò)的體系結(jié)構(gòu)是以TCP/IP協(xié)議為主的Internet結(jié)構(gòu)。伴隨著網(wǎng)絡(luò)的誕生近幾年頻繁出現(xiàn)的安全事故引起了各國計算機安全界的高度重視，計算機網(wǎng)絡(luò)安全技術(shù)也因此出現(xiàn)了日新月異的變化。安全核心系統(tǒng)、VPN安全隧道、身份認證、網(wǎng)絡(luò)底層數(shù)據(jù)加密和網(wǎng)絡(luò)入侵主動監(jiān)測等越來越高深復(fù)雜的安全技術(shù)極大地從不同層次加強了計算機網(wǎng)絡(luò)的整體安全性。網(wǎng)絡(luò)安全的實現(xiàn)首先需要網(wǎng)絡(luò)協(xié)議的安全，但是網(wǎng)絡(luò)協(xié)議都是人為寫的，存在先天的不足與缺陷，以至于只能慢慢實踐發(fā)現(xiàn)并給與補充。這里先談一下VPN中的GRE協(xié)議。GRE（GenericRoutingEncapsulation，通用路由封裝）協(xié)議是由Cisco和Net-smiths等公司于1994年提交給IETF（InternetEngineeringTaskForce，網(wǎng)絡(luò)工程工作小組）的，標號為RFC1701和RFC1702。GRE協(xié)議規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法，是一種最簡單的隧道封裝技術(shù)，它提供了將一種協(xié)議的報文在另一種協(xié)議組成的網(wǎng)絡(luò)中傳輸?shù)哪芰?。GRE協(xié)議就是一種應(yīng)用非常廣泛的第三層VPN隧道協(xié)議。

GRE隧道使用GRE協(xié)議封裝原始數(shù)據(jù)報文，基于公共IP網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)的透明傳輸。GRE隧道不能配置二層信息，但可以配置IP地址。本文從GRE協(xié)議的工作原理入手，從安全性角度出發(fā)，詳細分析了GRE隧道協(xié)議的不足與缺陷，最后提出了相關(guān)的安全防護方案。1.1課程設(shè)計的目的詳細分析IPsec隧道協(xié)議不支持對多播和廣播的加密的不足，并針對其漏洞設(shè)計實施完善可行的策略。1.2課程設(shè)計的內(nèi)容將GRE與IPsec結(jié)合使用，彌補IPsec不能保護組播數(shù)據(jù)的缺陷。因為GRE可以封裝組播數(shù)據(jù)并在GRE隧道中傳輸，所以對于諸如路由協(xié)議、語音、視頻等組播數(shù)據(jù)需要在IPsec隧道中傳輸?shù)那闆r，可以通過建立GRE隧道，并對組播數(shù)據(jù)進行GRE封裝，然后再對封裝后的報文進行IPSec的加密處理，就實現(xiàn)了組播數(shù)據(jù)在IPsec隧道中的加密傳輸。1.3課程設(shè)計的要求GRE是傳統(tǒng)IP網(wǎng)絡(luò)中最常用的VPN技術(shù);IPSec是比較常用的數(shù)據(jù)加密技術(shù),本文要求詳細介紹GRE的原理和報文封裝，并且進行有效可行的GRE與IPsec的組合應(yīng)用，解決組播業(yè)務(wù)在跨廣域網(wǎng)的VPN中部署的問題，最后深刻理解GRE協(xié)議和IPsec協(xié)議的原理與作用,以及兩者一起使用時的功能與利弊。二、問題分析2.1系統(tǒng)需求實現(xiàn)這個需求首先要知道IPSEC協(xié)議只能對單播數(shù)據(jù)報文進行加密，我們可以設(shè)想把組播源或者組播客戶端發(fā)出的組播報文，采用某種技術(shù)或者協(xié)議在組播報文的前面封裝一個單播的IP報文頭，構(gòu)造一個普通的單播IP數(shù)據(jù)報文，組播報文可以看作是它的數(shù)據(jù)凈荷，那么這個構(gòu)造的報文在傳輸過程中，就可以使用IPsec協(xié)議對其進行加密了，這也意味著組播報文作為構(gòu)造的單播IP數(shù)據(jù)報文里“數(shù)據(jù)凈荷”被加密了.2.2GRE協(xié)議分析(1)GRE協(xié)議廣泛應(yīng)用于建立VPN網(wǎng)絡(luò)隧道，例如有一個大型企業(yè)需要利用VPN將分布在兩地的總部和辦事處網(wǎng)絡(luò)連接起來，在辦事處網(wǎng)絡(luò)路由器A與總部網(wǎng)絡(luò)路由器B之間建立一個GRE隧道，則辦事處網(wǎng)絡(luò)中的主機A和總部網(wǎng)絡(luò)中的主機B可以通過該隧道進行網(wǎng)絡(luò)通信。如圖1所示，這就是一個非常典型的利用GRE隧道協(xié)議來實現(xiàn)VPN網(wǎng)絡(luò)的模型，本文中所描述的各種情況均以該網(wǎng)絡(luò)拓撲結(jié)構(gòu)為基礎(chǔ)。(2)GRE協(xié)議數(shù)據(jù)包結(jié)構(gòu)GRE協(xié)議可以實現(xiàn)對IP、IPX、AppleTalk等協(xié)議數(shù)據(jù)包的封裝，本文以使用最為廣泛的IP協(xié)議為例。通過GRE協(xié)議封裝過的數(shù)據(jù)包格式如圖2所示：在GRE數(shù)據(jù)包結(jié)構(gòu)中，前面的IP包頭部結(jié)構(gòu)是傳送數(shù)據(jù)報頭部，用于將其他被封裝的數(shù)據(jù)包封裝成IP包并在IP網(wǎng)絡(luò)中傳輸，在本文中稱之為外部IP報頭。GRE報頭部用來傳送與有效負載數(shù)據(jù)包有關(guān)的控制信息，用來在控制GRE數(shù)據(jù)包在隧道中的傳輸以及GRE報文加封裝和解封裝過程，其結(jié)構(gòu)如圖3所示。有效載荷數(shù)據(jù)包是被封裝的其他協(xié)議的數(shù)據(jù)包，若被封裝的協(xié)議為IP數(shù)據(jù)包，則有效載荷數(shù)據(jù)包就是一個IP數(shù)據(jù)包。(3)GRE協(xié)議報文處理過程GRE協(xié)議報文在隧道中傳輸時，必須要經(jīng)過加封裝與解封裝兩個過程。在圖1所描述的網(wǎng)絡(luò)中，辦事處網(wǎng)絡(luò)中主機A與總部網(wǎng)絡(luò)中主機B的通信過程如下所述：1、A發(fā)送的IP報文首先到達路由器A，路由器A連接內(nèi)部網(wǎng)絡(luò)的接口收到該IP報文后首先交由IP報文處理進程處理，其檢查IP報頭中的目的地址域來確定如何路由該IP報文。由于其目的地址為總部網(wǎng)絡(luò)中的IP地址，則開始進行數(shù)據(jù)包的加封裝，即在該IP報文前加上新的IP報頭即外部IP報頭和GRE報頭。之后將封裝好的報文通過GRE隧道接口發(fā)送出去。2、器B從GRE隧道接口收到路由器A發(fā)送的經(jīng)過封裝的GRE報文后，檢查目的地址，發(fā)現(xiàn)目的地就是此路由器時，先去掉外部IP報頭，將剩下的報文交由GRE協(xié)議處理。GRE協(xié)議進行檢查校驗和、序列號等處理，之后進行GRE解封裝，即將GRE報頭部去掉。再將解封裝之后的IP報文交由IP報文處理進程象對待一般IP報文一樣對此報文進行處理，即將該IP數(shù)據(jù)包交給連接內(nèi)部網(wǎng)絡(luò)的接口，按照目的地址發(fā)送給主機B。由上述的GRE協(xié)議處理過程可以看出，GRE協(xié)議只提供了數(shù)據(jù)包的封裝，并沒有提供增強安全性的加密功能。2.3IPsec協(xié)議分析IPsec協(xié)議是目前用于所有Internet_通信的唯一的一種安全協(xié)議。IPSec保護IP數(shù)據(jù)包的安全，主要包括:數(shù)據(jù)起源地驗證、無連接數(shù)據(jù)的完整性驗證、保證數(shù)據(jù)內(nèi)容機密性、抗重播保護和保護有限數(shù)據(jù)流的機密性等。提供了一種標準的、健壯的以及包容廣泛的機制，為運行于IP頂部的任何一種協(xié)議(如TCP,UDP,ICMP等)提供保護。IPSec確保端到端的數(shù)據(jù)安全。IPSe。在網(wǎng)絡(luò)內(nèi)部實施時，即構(gòu)成了虛擬專用網(wǎng)。IPSe。運行在網(wǎng)絡(luò)層上，所以屬于第三層隧道協(xié)議。IPSec是一組協(xié)議套件，包括AH(驗證頭),ESP(封裝安全載荷)、IKE(Internet密鑰交換)、ISAKMP/Oakley以及轉(zhuǎn)碼。各組件之間的交互方式如圖1所示:IPSec策略由安全策略數(shù)據(jù)庫(SecurityPolicyDatabase,SPD)加以維護。在SPD數(shù)據(jù)庫中，每個條目都定義了所要保護的通信類別、保護方法以及與誰共享這種保護。進人或離開IP堆棧的每個數(shù)據(jù)包都必須檢索SPD數(shù)據(jù)庫，調(diào)查可能的安全應(yīng)用。每一個SPD條目定義的行為是丟棄、繞過或應(yīng)用中的一種。行為是“應(yīng)用的”PD條目，會指向一個或一套安全聯(lián)盟(SecurityAssociationSA)，表示對數(shù)據(jù)包實施應(yīng)用安全保護。實施方案都要構(gòu)建一個安全聯(lián)盟數(shù)據(jù)庫(SecurityAssociationDatabase,SADB)來維護SA記錄。SA是兩個通信實體經(jīng)協(xié)商建立起來的一種協(xié)定，該協(xié)定決定了用來保護數(shù)據(jù)包安全的IPSec協(xié)議、轉(zhuǎn)碼方式、密鑰及密鑰的有效存活時間等。SA是單向的，對于一個主機分別有SA(in)和SA(out)處理進人和外出的數(shù)據(jù)包。SA具有協(xié)議相關(guān)性，若某一主機同時使用AH和ESP兩種協(xié)議進行安全通信，那么該主機會針對每一個協(xié)議構(gòu)建一個獨立的SA,SA是以成對的形式存在的，既可人工創(chuàng)建，也可動態(tài)創(chuàng)建。在進人通信時，若SA不存在，則丟棄數(shù)據(jù)包;對于外出通信，若SA不存在，則通過Internet密鑰交換動態(tài)創(chuàng)建。三、協(xié)議漏洞3.1協(xié)議漏洞解決措施GREoverIPsec，是將整個已經(jīng)封裝過的GRE數(shù)據(jù)包進行加密，于IPsec不支持對多播和廣播數(shù)據(jù)包的加密，這樣的話，使用IPsec的隧道中，動態(tài)路由協(xié)議等依靠多播和廣播的協(xié)議就不能進行正常通告，所以，這時候要配合GRE隧道，GRE隧道會將多播和廣播數(shù)據(jù)包封裝到單播包中，再經(jīng)過IPsec加密。3.2協(xié)議漏洞解決詳解我們知道，最初，某大客戶的總部網(wǎng)絡(luò)和分支機構(gòu)網(wǎng)絡(luò)之間的業(yè)務(wù)主要局限于一些傳統(tǒng)的FTP，HTTP等，網(wǎng)絡(luò)結(jié)構(gòu)如下：使用IPsec協(xié)議，對總部和分支機構(gòu)之間傳送的數(shù)據(jù)報文進行加密，客戶已經(jīng)成功部署了這方面的業(yè)務(wù)。隨著企業(yè)規(guī)模的擴大，現(xiàn)在需要開啟大量新業(yè)務(wù)，比如：語音、視頻等組播業(yè)務(wù)，組播服務(wù)器放在公司總部，組播客戶端位于分支機構(gòu)，網(wǎng)絡(luò)結(jié)構(gòu)如下:當總部向分支機構(gòu)提供語音、視頻等組播業(yè)務(wù)時，組播數(shù)據(jù)流要通過Internet進行傳輸，出于安全的需要，也要求使用IPSEC技術(shù)對客戶在Internet上傳送的語音、視頻等組播數(shù)據(jù)包進行加密，保證組播數(shù)據(jù)報文在Internet上傳輸時的私有性、完整性和真實性。但是由于IPSEC協(xié)議目前只能對單播報文進行加密和保護，不能對組播報文進行加密和保護，所以人么迫切希望能不能采用其他的方法來實現(xiàn)這方面的需求。四、協(xié)議完善具體實現(xiàn)4.1實現(xiàn)分析既然IPSEC協(xié)議只能對單播數(shù)據(jù)報文進行加密，我們可以設(shè)想把組播源或者組播客戶端發(fā)出的組播報文，采用某種技術(shù)或者協(xié)議在組播報文的前面封裝一個單播的IP報文頭，構(gòu)造一個普通的單播IP數(shù)據(jù)報文，組播報文可以看作是它的數(shù)據(jù)凈荷，那么這個構(gòu)造的報文在傳輸過程中，就可以使用IPsec協(xié)議對其進行加密了，這也意味著組播報文作為構(gòu)造的單播IP數(shù)據(jù)報文里“數(shù)據(jù)凈荷”被加密了。如圖所示：(1)組播客戶端發(fā)出一個組播報文，在NE16A上使用上面提到的某種技術(shù)，在組播報文前面封裝一個單播IP頭，目的地址是NE16B；(2)在NE08A和NE08B之間建立一條IPSEC隧道，當構(gòu)造的IP單播報文進入到隧道時，在NE08上A對其數(shù)據(jù)凈荷進行加密；在NE08B上對其數(shù)據(jù)凈荷進行解密；(3)當這個報文到達NE16B時，去掉封裝的IP頭，還原出組播報文，這樣組播報文就可以到達組播服務(wù)器了。組播報文本身就是一個IP報文，采用上面的設(shè)想就等同于在一個IP報文前面再加上或者可以說是再封裝一個單播的IP報文頭，能夠?qū)崿F(xiàn)這種IP內(nèi)封裝IP的協(xié)議或者技術(shù)，我們可以采用GRE。一個封裝好的報文的形式如下：舉例來說，一個封裝在IPTunnel中的IP傳輸報文的格式如下：一個封裝好的報文的形式如下：舉例來說，一個封裝在IPTunnel中的IP傳輸報文的格式如下：4.2GRE實現(xiàn)流程分析通過上面的分析，解決的方案就很清晰了：將GRE與IPsec結(jié)合使用，彌補IPsec不能保護組播數(shù)據(jù)的缺陷。因為GRE可以封裝組播數(shù)據(jù)并在GRE隧道中傳輸，所以對于諸如路由協(xié)議、語音、視頻等組播數(shù)據(jù)需要在IPSec隧道中傳輸?shù)那闆r，可以通過建立GRE隧道，并對組播數(shù)據(jù)進行GRE封裝，然后再對封裝后的報文進行IPsec的加密處理，就實現(xiàn)了組播數(shù)據(jù)在IPsec隧道中的加密傳輸。我們根據(jù)下面這個圖例進行詳細的分析：具體組網(wǎng)描述如下：總部有兩臺路由器，分別是NE08B和NE16B，組播服務(wù)器直接下掛在NE16B下。組播服務(wù)器的IP地址和網(wǎng)關(guān)分別為/24和/24；NE08B和NE16B的互連IP地址為/30和/30，NE08B連接Internet的接口IP地址為/30。分支機構(gòu)也有兩臺路由器，分別是NE16A和NE08A，組播客戶端下掛在NE16A下。組播客戶端的IP地址和網(wǎng)關(guān)分別為/24和/24；NE16A和NE08A的互連IP地址為/30和/30；NE08A連接Internet的接口IP地址為/30。在NE16A和NE16B之間建立GRE隧道tunnel，tunnel兩端IP地址分別為/30和/30，NE08A和NE08B之間建立IPSECtunnel。我們以組播客戶端訪問組播服務(wù)器為例，即數(shù)據(jù)報文的傳輸方向是從NE16A路由器到NE16B路由器，對GRE的實現(xiàn)流程進行說明：(1)在NE16A上，GREtunnel接口的sourceIPaddress為，destinationIPaddress為。(2)組播客戶端發(fā)出的組播報文，到達NE16A后，進入GREtunnel前，分別要封裝兩個報文頭：GRE和IP報文頭。特別注意的是：封裝IP報文頭的sourceIPaddress和destinationIPaddress就是GREtunnel接口的sourceIPaddress和destinationIPaddress，即和，出GRE隧道之前，始終不變。封裝前組播報文格式：(3)當封裝后的組播報文即將進入IPSEC隧道時，NE08A會對報文的凈荷或者整個報文進行加密。假如對報文的凈荷加密，那么報文格式如下：(4)當報文即將出IPSEC隧道時，NE08B會對報文的加密凈荷進行解密。還原出一個加密前的報文，格式如下：(5)當報文到達NE16B時，即將出GREtunnel接口時，NE16B會將單播的IP包頭和GRE頭去掉，還原出一個組播報文，格式如下：(6)NE16B將還原出來的組播報文，轉(zhuǎn)發(fā)給組播源。整個過程可以用下圖進行表示：4.3簡單設(shè)備設(shè)置本文提供的數(shù)據(jù)配置只涉及GRE和IPSEC，命令行的含義參考《QuidwayNetEngine16E/08E/05路由器命令手冊》，其他基礎(chǔ)配置也可以參考《QuidwayNetEngine16E/08E/05路由器命令手冊》。NE16A的數(shù)據(jù)配置：interfacetunnel1/0/0ipaddress52sourcedestinationNE16B的數(shù)據(jù)配置：interfacetunnel1/0/0ipaddress52sourcedestinationNE08A的數(shù)據(jù)配置：ikepeerfenzhipre-shared-key123remote-addressipsecproposalfenzhiipsecpolicyfenzhi1isakmpsecurityacl2100pfsdh-group1ike-peerfenzhiproposalfenzhisadurationtime-based86400aclnumber2100rule0permitipsource0destination0rule1denyipNE08A的數(shù)據(jù)配置：ikepeerzongbupre-shared-key123remote-addressipsecproposalzongbipsecpolicyzongbu1isakmpsecurityacl2100pfsdh-group1ike-peerzongbuproposalzongbusadurationtime-based86400aclnumber2100rule0permitipsource0destination0rule1denyip五、案安全性分析本文通過IPsec和GRE的結(jié)合應(yīng)用，實現(xiàn)了客戶在通過廣域網(wǎng)以VPN的形式部署業(yè)務(wù)，又能很好的保證安全性的需求，而且通過GRE巧妙的解決了穿透廣域網(wǎng)實現(xiàn)組播業(yè)務(wù)部署的問題。IPsec是一種比較常用的加密技術(shù)，而且本身具備構(gòu)建VPN的能力，所以在跨廣域網(wǎng)部署私有業(yè)務(wù)時，被廣泛的應(yīng)用。IPsec在安全加密方面應(yīng)用比較廣泛，而且不同的產(chǎn)品為了適應(yīng)客戶大量的安全加密需求，將IPsec的安全加密功能進行硬件實現(xiàn)，很好的緩解了加密/解密對轉(zhuǎn)發(fā)性能的影響。但是IPsec在構(gòu)建VPN方面存在一定的不足，通過IPSEC建立的VPN拓撲是“點到點”的，如果實現(xiàn)“網(wǎng)狀”拓撲，必須手工逐點配置，而且IPsec本身不具備拓撲發(fā)現(xiàn)能力，必須依賴路由協(xié)議為其保證網(wǎng)絡(luò)層可達性。IPsec在適應(yīng)上層應(yīng)用的能力上也存在一定的不足，本方案中就有IPSEC與組播結(jié)合應(yīng)用的需求，因為目前IPSEC通道內(nèi)部還不能直接承載組播數(shù)據(jù)，所以才引出了IPsec與GRE結(jié)合應(yīng)用的方案。GRE可以說是傳統(tǒng)IP網(wǎng)絡(luò)中應(yīng)用最為廣泛的VPN技術(shù)，部署簡單，配置復(fù)雜度不高，當然GRE也有不能發(fā)現(xiàn)拓撲的缺點，但是在“點到點”業(yè)務(wù)接入點的網(wǎng)絡(luò)結(jié)構(gòu)中，完全可以滿足要求。本文對GRE從原理到報文封裝都進行了詳細的介紹，并且給出了相關(guān)配置。另外，目前的GRE雖然可以比較方便的靜態(tài)部署“點到點”VPN，但是在適應(yīng)多業(yè)務(wù)承載方面存在一定的不足，在目前的GRE封裝里，除了應(yīng)用tunnel的“destination”和“source”以外，沒有其他手段來區(qū)分不同的隧道，這對于兩個接入點有多種業(yè)務(wù)互通需求，但是出口設(shè)備又只有一對“公網(wǎng)”IP地址的小型網(wǎng)絡(luò)來說，就無法很好的解決。我們知道，GRE會在封裝的IP報文前再封裝以GRE報文頭和“destination”對應(yīng)的IP頭，所以GRE嵌套層數(shù)越多，轉(zhuǎn)發(fā)效率也就越低，并且對于不允許分片的報文來說，可能還會面臨MTU值的問題。六、程設(shè)計心得、總結(jié)要做好一個課程設(shè)計，就必須做到：在設(shè)計程序之前，對所用網(wǎng)絡(luò)協(xié)議的結(jié)構(gòu)有一個系統(tǒng)的了解，而且要有一個清晰的思路和一個完整的的流程圖；在設(shè)計程序時，不能妄想一次就將整個方案設(shè)計好，反復(fù)修改、不斷改進是完善設(shè)計的必經(jīng)之路；要養(yǎng)成細心的好習(xí)慣，一個方案的完美與否不僅僅是實現(xiàn)功能，而應(yīng)該讓人一看就能明白你的思路，這樣也為資料的保存和交流提供了方便；在設(shè)計課程過程中遇到問題是很正常的，但我們應(yīng)該將每次遇到的問題記錄下來，并分析清楚，以免下次再碰到同樣的問題的課程設(shè)計結(jié)束了，但是從中學(xué)到的知識會讓我受益終身。發(fā)現(xiàn)、提出、分析、解決問題和實踐能力的提高都會受益于我在以后的學(xué)習(xí)、工作和生活中。設(shè)計過程，好比是我們?nèi)祟惓砷L的歷程，常有一些不如意，但畢竟這是第一次做，難免會遇到各種各樣的問題。在設(shè)計的過程中發(fā)現(xiàn)了自己的不足之處，對以前所學(xué)過的知識理解得不夠深刻，掌握得不夠牢固。我通過查閱大量有關(guān)資料，并與同學(xué)交流經(jīng)驗和自學(xué)，若遇到實在搞不明白的問題就會及時請教老師，使自己學(xué)到了不少知識，也經(jīng)歷了不少艱辛，但收獲同樣巨大。通過這次課程設(shè)計我也發(fā)現(xiàn)了自身存在的不足之處，雖然感覺理論上已經(jīng)掌握，但在運用到實踐的過程中仍有意想不到的困惑，經(jīng)過一番努力才得以解決。這也激發(fā)了我今后努力學(xué)習(xí)的興趣，我想這將對我以后的學(xué)習(xí)產(chǎn)生積極的影響。通過這次設(shè)計，我懂得了學(xué)習(xí)的重要性，了解到理論知識與實踐相結(jié)合的重要意義，學(xué)會了堅持、耐心和努力，這將為自己今后的學(xué)習(xí)和工作做出了最好的榜樣。覺得課程設(shè)計反映的是一個從理論到實際應(yīng)用的過程，但是更遠一點可以聯(lián)系到以后畢業(yè)之后從學(xué)校轉(zhuǎn)到踏上社會的一個過程。小組人員的配合﹑相處，以及自身的動腦和努力，都是以后工作中需要的。七、參考文獻【1】 IETF.RFC1701.GenericRoutingEncapsulation(GRE).1994【2】IETF.RFC1702.GenericRoutingEncapsulationoverIPv4networks.1994【2】 Gauis.ThingstodoinCiscoLandwhenyouaredead.PhrackMagazine,總第56期,第10卷.2000【3】 JoshuaWright.RedTeamAssessmentofParliamentHillFirewall.SANSGIACGCIHPracticalAssignment.2001【4】 CiscoSecurityResponse.CiscoIOSGREDecapsulationVulnerability.2006【6】徐崢.基于三層隧道技術(shù)的IPSec－VPN技術(shù)[J].微計算機信息，2006，3-3：98-99課程設(shè)計評價課程設(shè)計教師評語及成績指導(dǎo)教師：日期：基于C8051F單片機直流電動機反饋控制系統(tǒng)的設(shè)計與研究基于單片機的嵌入式Web服務(wù)器的研究MOTOROLA單片機MC68HC（8）05PV8/A內(nèi)嵌EEPROM的工藝和制程方法及對良率的影響研究基于模糊控制的電阻釬焊單片機溫度控制系統(tǒng)的研制基于MCS-51系列單片機的通用控制模塊的研究基于單片機實現(xiàn)的供暖系統(tǒng)最佳啟停自校正（STR）調(diào)節(jié)器單片機控制的二級倒立擺系統(tǒng)的研究基于增強型51系列單片機的TCP/IP協(xié)議棧的實現(xiàn)基于單片機的蓄電池自動監(jiān)測系統(tǒng)基于32位嵌入式單片機系統(tǒng)的圖像采集與處理技術(shù)的研究基于單片機的作物營養(yǎng)診斷專家系統(tǒng)的研究基于單片機的交流伺服電機運動控制系統(tǒng)研究與開發(fā)基于單片機的泵管內(nèi)壁硬度測試儀的研制基于單片機的自動找平控制系統(tǒng)研究基于C8051F040單片機的嵌入式系統(tǒng)開發(fā)基于單片機的液壓動力系統(tǒng)狀態(tài)監(jiān)測儀開發(fā)模糊Smith智能控制方法的研究及其單片機實現(xiàn)一種基于單片機的軸快流CO〈,2〉激光器的手持控制面板的研制基于雙單片機沖床數(shù)控系統(tǒng)的研究基于CYGNAL單片機的在線間歇式濁度儀的研制基于單片機的噴油泵試驗臺控制器的研制基于單片機的軟起動器的研究和設(shè)計基于單片機控制的高速快走絲電火花線切割機床短循環(huán)走絲方式研究基于單片機的機電產(chǎn)品控制系統(tǒng)開發(fā)基于PIC單片機的智能手機充電器基于單片機的實時內(nèi)核設(shè)計及其應(yīng)用研究基于單片機的遠程抄表系統(tǒng)的設(shè)計與研究基于單片機的煙氣二氧化硫濃度檢測儀的研制基于微型光譜儀的單片機系統(tǒng)單片機系統(tǒng)軟件構(gòu)件開發(fā)的技術(shù)研究基于單片機的液體點滴速度自動檢測儀的研制基于單片機系統(tǒng)的多功能溫度測量儀的研制基于PIC單片機的電能采集終端的設(shè)計和應(yīng)用基于單片機的光纖光柵解調(diào)儀的研制氣壓式線性摩擦焊機單片機控制系統(tǒng)的研制基于單片機的數(shù)字磁通門傳感器基于單片機的旋轉(zhuǎn)變壓器-數(shù)字轉(zhuǎn)換器的研究基于單片機的光纖Bragg光柵解調(diào)系統(tǒng)的研究單片機控制的便攜式多功能乳腺治療儀的研制基于C8051F020單片機的多生理信號檢測儀基于單片機的電機運動控制系統(tǒng)設(shè)計Pico專用單片機核的可測性設(shè)計研究基于MCS-51單片機的熱量計基于雙單片機的智能遙測微型氣象站MCS-51單片機構(gòu)建機器人的實踐研究基于單片機的輪軌力檢測基于單片機的GPS定位儀的研究與實現(xiàn)基于單片機的電液伺服控制系統(tǒng)用于單片機系統(tǒng)的MMC卡文件系統(tǒng)研制基于單片機的時控和計數(shù)系統(tǒng)性能優(yōu)化的研究基于單片機和CPLD的粗光柵位移測量系統(tǒng)研究單片機控制的后備式方波UPS提升高職學(xué)生單片機應(yīng)用能力的探究基于單片機控制的自動低頻減載裝置研究基于單片機控制的水下焊接電源的研究基于單片機的多通道數(shù)據(jù)采集系統(tǒng)基于uPSD3234單片機的氚表面污染測量儀的研制基于單片機的紅外測油儀的研究96系列單片機仿真器研究與設(shè)計基于單片機的單晶金剛石刀具刃磨設(shè)備的數(shù)控改造基于單片機的溫度智能控制系統(tǒng)的設(shè)計與實現(xiàn)基于MSP430單片機的電梯門機控制器的研制基于單片機的氣體測漏儀的研究基于三菱M16C/6N系列單片機的CAN/USB協(xié)議轉(zhuǎn)換器基于單片機和DSP的變壓器油色譜在線監(jiān)測技術(shù)研究基于單片機的膛壁溫度報警系統(tǒng)設(shè)計基于AVR單片機的低壓無功補償控制器的設(shè)計基于單片機船舶電力推進電機監(jiān)測系統(tǒng)基于單片機網(wǎng)絡(luò)的振動信號的采集系統(tǒng)基于單片機的大容量數(shù)據(jù)存儲技術(shù)的應(yīng)用研究基于單片機的疊圖機研究與教學(xué)方法實踐基于單片機嵌入式Web服務(wù)器技術(shù)的研究及實現(xiàn)基于AT89S52單片機的通用數(shù)據(jù)采集系統(tǒng)基于單片機的多道脈沖幅度分析儀研究機器人旋轉(zhuǎn)電弧傳感角焊縫跟蹤單片機控制系統(tǒng)基于單片機的控制系統(tǒng)在PLC虛擬教學(xué)實驗中的應(yīng)用研究基于單片機系統(tǒng)的網(wǎng)絡(luò)通信研究與應(yīng)用基于PIC16F877單片機的莫爾斯碼自動譯碼系統(tǒng)設(shè)計與研究基于單片機的模糊控制器在工業(yè)電阻爐上的應(yīng)用研究基于雙單片機沖床數(shù)控系統(tǒng)的研究與開發(fā)基于Cygnal單片機的μC/OS-Ⅱ的研究基于單片機的一體化智能差示掃描量熱儀系統(tǒng)研究基于TCP/IP協(xié)議的單片機與Internet互聯(lián)的研究與實現(xiàn)變頻調(diào)速液壓電梯單片機控制器的研究基于單片機γ-免疫計數(shù)器自動換樣功能的研究與實現(xiàn)基于單片機的倒立擺控制系統(tǒng)設(shè)計與實現(xiàn)單片機嵌入式以太網(wǎng)防盜報警系統(tǒng)基于51單片機的嵌入式Internet系統(tǒng)的設(shè)計與實現(xiàn)單片機監(jiān)測系統(tǒng)在擠壓機上的應(yīng)用MSP430單片機在智能水表系統(tǒng)上的研究與應(yīng)用基于單片機的嵌入式系統(tǒng)中TCP/IP協(xié)議棧的實現(xiàn)與應(yīng)用HYPERLIN