網(wǎng)絡(luò)安全協(xié)議課程設(shè)計

1、網(wǎng)絡(luò)安全協(xié)議課 程 設(shè) 計題 目 IPsec隧道協(xié)議的安全分析與改進 班 級 學(xué) 號 姓 名 指導(dǎo)老師 2015年 7 月 4 日目 錄一、概述21.1課程設(shè)計的目的21.2課程設(shè)計的內(nèi)容21.3課程設(shè)計的要求3二、問題分析32.1系統(tǒng)需求32.2 GRE協(xié)議分析32.3 IPsec協(xié)議分析4三、協(xié)議漏洞53.1協(xié)議漏洞解決措施53.2協(xié)議漏洞解決詳解5四、協(xié)議完善具體實現(xiàn)64.1實現(xiàn)分析64.2 GRE實現(xiàn)流程分析84.3簡單設(shè)備設(shè)置10五、案安全性分析11六、程設(shè)計心得、總結(jié)11七、參考文獻12一、概述網(wǎng)絡(luò)如若想實現(xiàn)交流傳輸，必須以網(wǎng)絡(luò)協(xié)議為載體進行。而網(wǎng)絡(luò)協(xié)議（NetworkProtco

2、l）是控制計算機在網(wǎng)絡(luò)介質(zhì)上進行信息交換的規(guī)則和約定。網(wǎng)絡(luò)協(xié)議通常會被按OSI參考模型的層次進行劃分。OSI參考模型是國際標(biāo)準(zhǔn)化組織制定的網(wǎng)絡(luò)體系結(jié)構(gòu)參考模型，提供各種網(wǎng)絡(luò)互聯(lián)的標(biāo)準(zhǔn)，共分七層：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層，會話層、表示層和應(yīng)用層往往被合并稱為高層。當(dāng)前的計算機網(wǎng)絡(luò)的體系結(jié)構(gòu)是以TCP/IP協(xié)議為主的Internet結(jié)構(gòu)。伴隨著網(wǎng)絡(luò)的誕生近幾年頻繁出現(xiàn)的安全事故引起了各國計算機安全界的高度重視，計算機網(wǎng)絡(luò)安全技術(shù)也因此出現(xiàn)了日新月異的變化。安全核心系統(tǒng)、VPN安全隧道、身份認(rèn)證、網(wǎng)絡(luò)底層數(shù)據(jù)加密和網(wǎng)絡(luò)入侵主動監(jiān)測等越來越高深復(fù)雜的安全技術(shù)極大地從不

3、同層次加強了計算機網(wǎng)絡(luò)的整體安全性。網(wǎng)絡(luò)安全的實現(xiàn)首先需要網(wǎng)絡(luò)協(xié)議的安全，但是網(wǎng)絡(luò)協(xié)議都是人為寫的，存在先天的不足與缺陷，以至于只能慢慢實踐發(fā)現(xiàn)并給與補充。這里先談一下VPN中的GRE協(xié)議。GRE（Generic Routing Encapsulation，通用路由封裝）協(xié)議是由Cisco和Net-smiths等公司于1994年提交給IETF（Internet Engineering Task Force，網(wǎng)絡(luò)工程工作小組）的，標(biāo)號為RFC1701和RFC1702。GRE協(xié)議規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法，是一種最簡單的隧道封裝技術(shù)，它提供了將一種協(xié)議的報文在另一種協(xié)議組成

4、的網(wǎng)絡(luò)中傳輸?shù)哪芰?。GRE協(xié)議就是一種應(yīng)用非常廣泛的第三層VPN隧道協(xié)議。GRE隧道使用GRE協(xié)議封裝原始數(shù)據(jù)報文，基于公共IP網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)的透明傳輸。GRE隧道不能配置二層信息，但可以配置IP地址。本文從GRE協(xié)議的工作原理入手，從安全性角度出發(fā)，詳細(xì)分析了GRE隧道協(xié)議的不足與缺陷，最后提出了相關(guān)的安全防護方案。1.1課程設(shè)計的目的詳細(xì)分析IPsec隧道協(xié)議不支持對多播和廣播的加密的不足，并針對其漏洞設(shè)計實施完善可行的策略。1.2課程設(shè)計的內(nèi)容將GRE與IPsec結(jié)合使用，彌補IPsec不能保護組播數(shù)據(jù)的缺陷。因為GRE可以封裝組播數(shù)據(jù)并在GRE隧道中傳輸，所以對于諸如路由協(xié)議、語音、視頻

5、等組播數(shù)據(jù)需要在IPsec隧道中傳輸?shù)那闆r，可以通過建立GRE隧道，并對組播數(shù)據(jù)進行GRE封裝，然后再對封裝后的報文進行IPSec的加密處理，就實現(xiàn)了組播數(shù)據(jù)在IPsec隧道中的加密傳輸。1.3課程設(shè)計的要求GRE是傳統(tǒng)IP網(wǎng)絡(luò)中最常用的VPN技術(shù);IPSec是比較常用的數(shù)據(jù)加密技術(shù),本文要求詳細(xì)介紹GRE的原理和報文封裝，并且進行有效可行的GRE與IPsec的組合應(yīng)用，解決組播業(yè)務(wù)在跨廣域網(wǎng)的VPN中部署的問題，最后深刻理解GRE協(xié)議和IPsec協(xié)議的原理與作用 , 以及兩者一起使用時的功能與利弊。二、問題分析2.1系統(tǒng)需求實現(xiàn)這個需求首先要知道IPSEC協(xié)議只能對單播數(shù)據(jù)報文進行加密，我們

6、可以設(shè)想把組播源或者組播客戶端發(fā)出的組播報文，采用某種技術(shù)或者協(xié)議在組播報文的前面封裝一個單播的IP報文頭，構(gòu)造一個普通的單播IP數(shù)據(jù)報文，組播報文可以看作是它的數(shù)據(jù)凈荷，那么這個構(gòu)造的報文在傳輸過程中，就可以使用IPsec協(xié)議對其進行加密了，這也意味著組播報文作為構(gòu)造的單播IP數(shù)據(jù)報文里“數(shù)據(jù)凈荷”被加密了. 2.2 GRE協(xié)議分析(1) GRE協(xié)議廣泛應(yīng)用于建立VPN網(wǎng)絡(luò)隧道，例如有一個大型企業(yè)需要利用VPN將分布在兩地的總部和辦事處網(wǎng)絡(luò)連接起來，在辦事處網(wǎng)絡(luò)路由器A與總部網(wǎng)絡(luò)路由器B之間建立一個GRE隧道，則辦事處網(wǎng)絡(luò)中的主機A和總部網(wǎng)絡(luò)中的主機B可以通過該隧道進行網(wǎng)絡(luò)通信。如圖1所示，

7、這就是一個非常典型的利用GRE隧道協(xié)議來實現(xiàn)VPN網(wǎng)絡(luò)的模型，本文中所描述的各種情況均以該網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為基礎(chǔ)。(2) GRE協(xié)議數(shù)據(jù)包結(jié)構(gòu)GRE 協(xié)議可以實現(xiàn)對IP、IPX、AppleTalk 等協(xié)議數(shù)據(jù)包的封裝，本文以使用最為廣泛的IP 協(xié)議為例。通過 GRE 協(xié)議封裝過的數(shù)據(jù)包格式如圖2 所示：在 GRE 數(shù)據(jù)包結(jié)構(gòu)中，前面的IP 包頭部結(jié)構(gòu)是傳送數(shù)據(jù)報頭部，用于將其他被封裝的數(shù)據(jù)包封裝成IP 包并在IP 網(wǎng)絡(luò)中傳輸，在本文中稱之為外部IP 報頭。GRE 報頭部用來傳送與有效負(fù)載數(shù)據(jù)包有關(guān)的控制信息，用來在控制GRE 數(shù)據(jù)包在隧道中的傳輸以及GRE報文加封裝和解封裝過程，其結(jié)構(gòu)如圖3所示。

8、有效載荷數(shù)據(jù)包是被封裝的其他協(xié)議的數(shù)據(jù)包，若被封裝的協(xié)議為IP 數(shù)據(jù)包，則有效載荷數(shù)據(jù)包就是一個IP數(shù)據(jù)包。(3) GRE協(xié)議報文處理過程GRE 協(xié)議報文在隧道中傳輸時，必須要經(jīng)過加封裝與解封裝兩個過程。在圖1 所描述的網(wǎng)絡(luò)中，辦事處網(wǎng)絡(luò)中主機A 與總部網(wǎng)絡(luò)中主機B 的通信過程如下所述：1、A 發(fā)送的IP 報文首先到達路由器A，路由器A 連接內(nèi)部網(wǎng)絡(luò)的接口收到該IP 報文后首先交由IP 報文處理進程處理，其檢查IP 報頭中的目的地址域來確定如何路由該IP 報文。由于其目的地址為總部網(wǎng)絡(luò)中的IP 地址，則開始進行數(shù)據(jù)包的加封裝，即在該IP報文前加上新的IP 報頭即外部IP 報頭和GRE 報頭。之

9、后將封裝好的報文通過GRE 隧道接口發(fā)送出去。2、器B從GRE 隧道接口收到路由器A發(fā)送的經(jīng)過封裝的GRE報文后，檢查目的地址，發(fā)現(xiàn)目的地就是此路由器時，先去掉外部IP 報頭，將剩下的報文交由GRE 協(xié)議處理。GRE 協(xié)議進行檢查校驗和、序列號等處理，之后進行GRE 解封裝，即將GRE 報頭部去掉。再將解封裝之后的IP 報文交由IP 報文處理進程象對待一般IP 報文一樣對此報文進行處理，即將該IP 數(shù)據(jù)包交給連接內(nèi)部網(wǎng)絡(luò)的接口，按照目的地址發(fā)送給主機B。由上述的 GRE 協(xié)議處理過程可以看出，GRE 協(xié)議只提供了數(shù)據(jù)包的封裝，并沒有提供增強安全性的加密功能。2.3 IPsec協(xié)議分析IPsec

10、協(xié)議是目前用于所有Internet_通信的唯一的一種安全協(xié)議。IPSec保護IP數(shù)據(jù)包的安全，主要包括:數(shù)據(jù)起源地驗證、無連接數(shù)據(jù)的完整性驗證、保證數(shù)據(jù)內(nèi)容機密性、抗重播保護和保護有限數(shù)據(jù)流的機密性等。提供了一種標(biāo)準(zhǔn)的、健壯的以及包容廣泛的機制，為運行于IP頂部的任何一種協(xié)議(如 TCP,U DP,IC MP等)提供保護。IPSec確保端到端的數(shù)據(jù)安全。IPSe。在網(wǎng)絡(luò)內(nèi)部實施時，即構(gòu)成了虛擬專用網(wǎng)。IPSe。運行在網(wǎng)絡(luò)層上，所以屬于第三層隧道協(xié)議。IPSec是一組協(xié)議套件，包括 AH(驗證頭),ESP(封裝安全載荷)、IKE (Internet密鑰交換)、ISAKMP/Oakley以及轉(zhuǎn)碼。

11、各組件之間的交互方式如圖1所示:IPSec策略由安全策略數(shù)據(jù)庫(SecurityPolicyD atabase,SP D)加以維護。在SPD數(shù)據(jù)庫中，每個條目都定義了所要保護的通信類別、保護方法以及與誰共享這種保護。進人或離開IP堆棧的每個數(shù)據(jù)包都必須檢索SPD數(shù)據(jù)庫，調(diào)查可能的安全應(yīng)用。每一個SPD條目定義的行為是丟棄、繞過或應(yīng)用中的一種。行為是“應(yīng)用的”PD條目，會指向一個或一套安全聯(lián)盟(Security AssociationSA)，表示對數(shù)據(jù)包實施應(yīng)用安全保護。實施方案都要構(gòu)建一個安全聯(lián)盟數(shù)據(jù)庫(Security Association Database,SADB)來維護SA記錄。SA

12、是兩個通信實體經(jīng)協(xié)商建立起來的一種協(xié)定，該協(xié)定決定了用來保護數(shù)據(jù)包安全的IPSec協(xié)議、轉(zhuǎn)碼方式、密鑰及密鑰的有效存活時間等。SA是單向的，對于一個主機分別有SA (in)和SA(out)處理進人和外出的數(shù)據(jù)包。SA具有協(xié)議相關(guān)性，若某一主機同時使用AH和ESP兩種協(xié)議進行安全通信，那么該主機會針對每一個協(xié)議構(gòu)建一個獨立的SA, SA是以成對的形式存在的，既可人工創(chuàng)建，也可動態(tài)創(chuàng)建。在進人通信時，若SA不存在，則丟棄數(shù)據(jù)包;對于外出通信，若SA不存在，則通過Internet密鑰交換動態(tài)創(chuàng)建。三、協(xié)議漏洞3.1協(xié)議漏洞解決措施GRE over IPsec，是將整個已經(jīng)封裝過的GRE數(shù)據(jù)包進行加密

13、，于IPsec不支持對多播和廣播數(shù)據(jù)包的加密，這樣的話，使用IPsec的隧道中，動態(tài)路由協(xié)議等依靠多播和廣播的協(xié)議就不能進行正常通告，所以，這時候要配合GRE隧道，GRE隧道會將多播和廣播數(shù)據(jù)包封裝到單播包中，再經(jīng)過IPsec加密。3.2協(xié)議漏洞解決詳解我們知道，最初，某大客戶的總部網(wǎng)絡(luò)和分支機構(gòu)網(wǎng)絡(luò)之間的業(yè)務(wù)主要局限于一些傳統(tǒng)的FTP，HTTP等，網(wǎng)絡(luò)結(jié)構(gòu)如下： 使用IPsec協(xié)議，對總部和分支機構(gòu)之間傳送的數(shù)據(jù)報文進行加密，客戶已經(jīng)成功部署了這方面的業(yè)務(wù)。隨著企業(yè)規(guī)模的擴大，現(xiàn)在需要開啟大量新業(yè)務(wù)，比如：語音、視頻等組播業(yè)務(wù)，組播服務(wù)器放在公司總部，組播客戶端位于分支機構(gòu)，網(wǎng)絡(luò)結(jié)構(gòu)如下:

14、當(dāng)總部向分支機構(gòu)提供語音、視頻等組播業(yè)務(wù)時，組播數(shù)據(jù)流要通過Internet進行傳輸，出于安全的需要，也要求使用IPSEC技術(shù)對客戶在Internet上傳送的語音、視頻等組播數(shù)據(jù)包進行加密，保證組播數(shù)據(jù)報文在Internet上傳輸時的私有性、完整性和真實性。但是由于IPSEC協(xié)議目前只能對單播報文進行加密和保護，不能對組播報文進行加密和保護，所以人么迫切希望能不能采用其他的方法來實現(xiàn)這方面的需求。四、協(xié)議完善具體實現(xiàn)4.1實現(xiàn)分析既然IPSEC協(xié)議只能對單播數(shù)據(jù)報文進行加密，我們可以設(shè)想把組播源或者組播客戶端發(fā)出的組播報文，采用某種技術(shù)或者協(xié)議在組播報文的前面封裝一個單播的IP報文頭，構(gòu)造一個

15、普通的單播IP數(shù)據(jù)報文，組播報文可以看作是它的數(shù)據(jù)凈荷，那么這個構(gòu)造的報文在傳輸過程中，就可以使用IPsec協(xié)議對其進行加密了，這也意味著組播報文作為構(gòu)造的單播IP數(shù)據(jù)報文里“數(shù)據(jù)凈荷”被加密了。如圖所示： (1) 組播客戶端發(fā)出一個組播報文，在NE16A上使用上面提到的某種技術(shù)，在組播報文前面封裝一個單播IP頭，目的地址是NE16B；(2) 在NE08A和NE08B之間建立一條IPSEC隧道，當(dāng)構(gòu)造的IP單播報文進入到隧道時，在NE08上A對其數(shù)據(jù)凈荷進行加密；在NE08B上對其數(shù)據(jù)凈荷進行解密；(3) 當(dāng)這個報文到達NE16B時，去掉封裝的IP頭，還原出組播報文，這樣組播報文就可以到達組播

16、服務(wù)器了。組播報文本身就是一個IP報文，采用上面的設(shè)想就等同于在一個IP報文前面再加上或者可以說是再封裝一個單播的IP報文頭，能夠?qū)崿F(xiàn)這種IP內(nèi)封裝IP的協(xié)議或者技術(shù)，我們可以采用GRE。一個封裝好的報文的形式如下： 舉例來說，一個封裝在IP Tunnel中的IP傳輸報文的格式如下： 一個封裝好的報文的形式如下： 舉例來說，一個封裝在IP Tunnel中的IP傳輸報文的格式如下： 4.2 GRE實現(xiàn)流程分析 通過上面的分析，解決的方案就很清晰了：將GRE與IPsec結(jié)合使用，彌補IPsec不能保護組播數(shù)據(jù)的缺陷。因為GRE可以封裝組播數(shù)據(jù)并在GRE隧道中傳輸，所以對于諸如路由協(xié)議、語音、視頻等

17、組播數(shù)據(jù)需要在IPSec隧道中傳輸?shù)那闆r，可以通過建立GRE隧道，并對組播數(shù)據(jù)進行GRE封裝，然后再對封裝后的報文進行IPsec的加密處理，就實現(xiàn)了組播數(shù)據(jù)在IPsec隧道中的加密傳輸。我們根據(jù)下面這個圖例進行詳細(xì)的分析： 具體組網(wǎng)描述如下： 總部有兩臺路由器，分別是NE08B和NE16B，組播服務(wù)器直接下掛在NE16B下。組播服務(wù)器的IP地址和網(wǎng)關(guān)分別為/24和/24；NE08B和NE16B的互連IP地址為/30和/30，NE08B連接Internet的接口IP地址為/30。分支機構(gòu)也有兩臺路由器，分別是NE16

18、A和NE08A，組播客戶端下掛在NE16A下。組播客戶端的IP地址和網(wǎng)關(guān)分別為/24和/24；NE16A和NE08A的互連IP地址為/30和/30；NE08A連接Internet的接口IP地址為/30。在NE16A和NE16B之間建立GRE隧道tunnel，tunnel兩端IP地址分別為/30和/30 ，NE08A和NE08B之間建立IPSEC tunnel。 我們以組播客戶端訪問組播服務(wù)器為例，即數(shù)據(jù)報文的傳輸方向是從NE16A路由器到NE16B路由器 ，對GRE的實現(xiàn)流程進行說明

19、： (1) 在NE16A上，GRE tunnel接口的source IP address為，destination IP address為。 (2) 組播客戶端發(fā)出的組播報文，到達NE16A后，進入GRE tunnel前，分別要封裝兩個報文頭：GRE和IP報文頭。特別注意的是：封裝IP報文頭的source IP address和destination IP address就是GRE tunnel接口的source IP address和destination IP address，即和，出GRE隧道之前，始終不變。封裝前組播報文格

20、式： (3) 當(dāng)封裝后的組播報文即將進入IPSEC隧道時，NE08A會對報文的凈荷或者整個報文進行加密。假如對報文的凈荷加密，那么報文格式如下： (4) 當(dāng)報文即將出IPSEC隧道時，NE08B會對報文的加密凈荷進行解密。還原出一個加密前的報文，格式如下：(5) 當(dāng)報文到達NE16B時，即將出GRE tunnel接口時，NE16B會將單播的IP包頭和GRE頭去掉，還原出一個組播報文，格式如下：(6) NE16B將還原出來的組播報文，轉(zhuǎn)發(fā)給組播源。整個過程可以用下圖進行表示：4.3簡單設(shè)備設(shè)置本文提供的數(shù)據(jù)配置只涉及GRE和IPSEC，命令行的含義參考Quidway NetEngine16E/0

21、8E/05路由器 命令手冊，其他基礎(chǔ)配置也可以參考Quidway NetEngine16E/08E/05路由器 命令手冊。 NE16A的數(shù)據(jù)配置： interface tunnel 1/0/0 ip address 52 source destination NE16B的數(shù)據(jù)配置： interface tunnel 1/0/0 ip address 52 source destination NE08A的數(shù)據(jù)配置： ike peer f

22、enzhi pre-shared-key 123 remote-address ipsec proposal fenzhi ipsec policy fenzhi 1 isakmp security acl 2100 pfs dh-group1 ike-peer fenzhi proposal fenzhi sa duration time-based 86400 acl number 2100 rule 0 permit ip source 0 destination 0 rule 1 deny ip NE08A的數(shù)據(jù)配置： ike pee

23、r zongbu pre-shared-key 123 remote-address ipsec proposal zongb ipsec policy zongbu 1 isakmp security acl 2100 pfs dh-group1ike-peer zongbu proposal zongbu sa duration time-based 86400 acl number 2100 rule 0 permit ip source 0 destination 0 rule 1 deny ip五、案安全性分析本文通過IPsec和

24、GRE的結(jié)合應(yīng)用，實現(xiàn)了客戶在通過廣域網(wǎng)以VPN的形式部署業(yè)務(wù)，又能很好的保證安全性的需求，而且通過GRE巧妙的解決了穿透廣域網(wǎng)實現(xiàn)組播業(yè)務(wù)部署的問題。IPsec是一種比較常用的加密技術(shù)，而且本身具備構(gòu)建VPN的能力，所以在跨廣域網(wǎng)部署私有業(yè)務(wù)時，被廣泛的應(yīng)用。IPsec在安全加密方面應(yīng)用比較廣泛，而且不同的產(chǎn)品為了適應(yīng)客戶大量的安全加密需求，將IPsec的安全加密功能進行硬件實現(xiàn)，很好的緩解了加密/解密對轉(zhuǎn)發(fā)性能的影響。但是IPsec在構(gòu)建VPN方面存在一定的不足，通過IPSEC建立的VPN拓?fù)涫恰包c到點”的，如果實現(xiàn)“網(wǎng)狀”拓?fù)?，必須手工逐點配置，而且IPsec本身不具備拓?fù)浒l(fā)現(xiàn)能力，必須

25、依賴路由協(xié)議為其保證網(wǎng)絡(luò)層可達性。IPsec在適應(yīng)上層應(yīng)用的能力上也存在一定的不足，本方案中就有IPSEC與組播結(jié)合應(yīng)用的需求，因為目前IPSEC通道內(nèi)部還不能直接承載組播數(shù)據(jù)，所以才引出了IPsec與GRE結(jié)合應(yīng)用的方案。 GRE可以說是傳統(tǒng)IP網(wǎng)絡(luò)中應(yīng)用最為廣泛的VPN技術(shù)，部署簡單，配置復(fù)雜度不高，當(dāng)然GRE也有不能發(fā)現(xiàn)拓?fù)涞娜秉c，但是在“點到點”業(yè)務(wù)接入點的網(wǎng)絡(luò)結(jié)構(gòu)中，完全可以滿足要求。本文對GRE從原理到報文封裝都進行了詳細(xì)的介紹，并且給出了相關(guān)配置。另外，目前的GRE雖然可以比較方便的靜態(tài)部署“點到點”VPN，但是在適應(yīng)多業(yè)務(wù)承載方面存在一定的不足，在目前的GRE封裝里，除了應(yīng)用t

26、unnel的“destination”和“source”以外，沒有其他手段來區(qū)分不同的隧道，這對于兩個接入點有多種業(yè)務(wù)互通需求，但是出口設(shè)備又只有一對“公網(wǎng)”IP地址的小型網(wǎng)絡(luò)來說，就無法很好的解決。我們知道，GRE會在封裝的IP報文前再封裝以GRE報文頭和“destination”對應(yīng)的IP頭，所以GRE嵌套層數(shù)越多，轉(zhuǎn)發(fā)效率也就越低，并且對于不允許分片的報文來說，可能還會面臨MTU值的問題。六、程設(shè)計心得、總結(jié)要做好一個課程設(shè)計，就必須做到：在設(shè)計程序之前，對所用網(wǎng)絡(luò)協(xié)議的結(jié)構(gòu)有一個系統(tǒng)的了解，而且要有一個清晰的思路和一個完整的的流程圖；在設(shè)計程序時，不能妄想一次就將整個方案設(shè)計好，反復(fù)修改、不斷改進是完善設(shè)計的必經(jīng)之路；要養(yǎng)成細(xì)心的好習(xí)慣，一個方案的完美與否不僅僅是實現(xiàn)功能，而應(yīng)該讓人一看就能明白你的思路，這樣也為資料的保存和交流提供了方便；在設(shè)計課程過程中遇到問題是很正常的，但我們應(yīng)該將每次遇到的問題記錄下來，并分析清楚，以免下次再碰到同樣的問題的課程設(shè)計結(jié)束了，但是從中學(xué)到的知識會讓我受益終身。發(fā)現(xiàn)、提出、分析、解決問題和實踐能力的提高都會受益于我在以后的學(xué)習(xí)、工作和生活中。設(shè)計過程，好比是我們?nèi)祟惓砷L的歷程，常有一些不如意，但畢竟這是第一次做，難免會遇