基于VPN的企业网设计论文Word文档下载推荐.docx
《基于VPN的企业网设计论文Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《基于VPN的企业网设计论文Word文档下载推荐.docx(13页珍藏版)》请在冰豆网上搜索。
首先,论文在理论概述与分析上,从技术层面IPSec、SSL和MPLS技术阐述了应用在VPN技术之中的几种常见协议,并列举了几种技术手段的优势和不足,并尝试研究各种技术的最适宜的应用环境。
其次,论文通过对VPN技术的安全保障以及服务质量保证两个方面详细分析了VPN技术的优点。
最后,论文设计了组建基于VPN的远程办公网络的组网方案,并详细列出了设计步骤、网络拓扑图、设备配置、网络模拟实验结果等。
关键词:
虚拟专用网络;
隧道技术;
IPSecVPN
1VPN技术理论概述
虚拟专用网VPN(VirtualPrivateNetwork)是一种利用公共网络构建的专用网络技术,“虚拟”的概念是相对传统私网络的构建方式而言的,VPN通过公网实现远程广域连接,以低廉的成本连接企业远程分支机构,或者在公共骨干网络承载不同的专网。
下面我们从技术层面和业务层面对VPN技术进行分析,因为所有的技术都是因为有了应用才变得有分析和研究的意义。
VPN是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商)在公用网络中利用隧道、加密等技术,构建一个专门给企业使用的虚拟网络。
该虚拟专用网负责将地理上分布的用户的各个网络结点连接起来。
在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
通过虚拟专用网络的连接,用户可以根据自己的意愿,分配各个结点上的地址空间,可以自己安排各个结点之间的路由关系,它给用户一种直接连接到私人局域网的感觉。
因此虚拟专用网,顾名思义,不是真的专用网络,但却能够实现专用网络的功能。
从网络空间来看,虚拟专用网络在中间,用户的网络结点在边缘。
所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。
所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
与虚拟专用网相对应的,传统专用线路(如DDN)的高昂成本和长期的使用费用,使企业承担了很大的负担,很多企业无法利用这种方式来建立自己的专网。
越来越多的用户认识到,Internet和电子商务的蓬勃发展,经济全球化的最佳途径是发展基于Internet的商务应用。
随着商务活动的日益频繁,各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网,从而大大简化信息交流的途径,增加信息交换的速度。
这些合作和联系是动态的,并依靠网络来维持和加强,于是各企业发现,这样的信息交流,不但带来了网络的复杂性,而且还带来了管理和安全性的问题,因为Internet是一个全球性和开放性的、基于TCP/IP技术的、难以管理的国际互联网络,因此,基于Internet的商务活动就面临着信息威胁和安全隐患。
还有一类用户,随着自身的发展壮大,以及跨国企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容也更为普遍。
因此,用户的信息技术部门,在连接分支机构方面也感到日益棘手。
虚拟专用网技术能很好地解决上述难题,而且无需高昂的专用网络及设备,大大降低了成本。
这使得虚拟专用网技术,不但成为了近来网络界的新热点,更成为了一种不可抗拒的趋势。
1.1VPN技术的理论概述与分析
IPVPN是当今VPN发展的主流,也是主要的应用技术。
在此,我们将按照IPVPN技术的发展过程,将VPN技术分为五个层面分别进行讨论。
1.1.1IPSec技术浅析
IPSec是一组开放协议的总称,它是在特定的通信方之间通过在IP层加密和数据源验证等手段,保证数据包在Internet网上的私有性、完整性和真实性。
IPSec采用AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)安全协议,不会对用户、主机或其它Internet组件造成影响,用户可以选择不同的硬件或软件加密算法,不影响其它部分的实现。
IPSec提供以下网络安全服务:
私有性:
在传输数据包之前进行加密,保证数据的私有性;
完整性:
在目的地验证数据包,保证数据包在传输过程中不被修改;
真实性:
IPSec端验证所有受IPSec保护的数据包;
防重放:
防止数据包被捕捉后重新投放上网,即目的地拒绝旧的或重复的数据包,这一过程是通过报文的序列号来实现的。
IPSec在两个端点之间通过建立安全联盟(SA,SecurityAssociation)进行数据传输,该安全联盟定义了数据保护使用的协议、算法和安全联盟的有效时间等属性。
IPSec在转发加密数据时新产生的All和/或ESP附加报头,可用于保证IP数据包的安全性。
IPSec包括隧道和传输两种工作方式:
在隧道方式,用户的整个IP数据包用于计算附加报头且被加密,附加报头和加密用户数据封装在一个新的IP数据包中;
在传输方式,仅传输层(如TCP、UDP)数据用于计算附加报头,附加报头和被加密的传输层数据放置在原口报头的后面。
通过IPSec协议,数据可安全地在公网传输,不必担心数据被监视、修改或伪造。
IPSec提供两个主机间、两个安全网关间或主机与安全网关之间的数据保护。
1.1.2SSL技术浅析
近年来,移动办公已成为趋势,移动用户接入公司内部专网的需求不断增加,使得IPSecVPN的使用也逐渐增加。
但由于IPSecVPN的维护困难,造成企业IT成本过高;
另一方面,企业对于内网资源的保护的要求也不断提高,IPSecVPN由于开放了整网的资源给接入用户,企业内网安全方面的问题逐渐暴露。
鉴于IPSecVPN应用中存在的不足,基于应用层的SSLVPN开始迅速兴起。
SSL的英文全称是“SecureSocketsLayer”,中文名为“安全套接层协议层”,它是网景(Netscape)公司提出的基于WEB应用的安全协议。
是一种基于应用层的虚拟专网技术,它利用SSL技术和代理技术,向终端用户提供安全访问HTTP限资源、C/S资源,以及文件共享资源等的功能,同时可以实现不同方式的用户认证,以及细粒度的访问控制。
通过该技术的应用,我们可真正实现“在任何时候、任何地点、通过任何设备安全地接入公司内部网”的目标。
SSLVPN技术应用具有以下优势和特点:
通过点到应用的保护,对每一个应用都可以设定安全策略;
无需手动安装任何VPN客户端软件;
兼容性好,支持各种操作系统和终端(如PDA、SmartPhone等)。
在远程访问领域,SSLVPN正逐步取代IPSecVPN。
但是,作为传统的站点到站点安全联接的主流技术,IPSecVPN仍然是不可取代的。
当前,VPN领域的共识是:
IPSecVPN更适合于站点到站点安全联接,SSLVPN是实现安全远程访问的最佳技术。
就目前的技术而言,VPN的发展到现在没有所谓最佳的选择,到底选择那种VPN必须根据远程访问的需求与目标而定。
当企业需要安全的点对点连接时,IPSec可能是最适合的解决方案,即IPSec更加适合用来解决网到网的互联问题。
SSLVPN则更适合下述情况:
移动用户通过互联网来访问企业内部获取广泛而全面性的信息,管理员希望精确的了解接入用户的访问情况,SSLVPN在这方面更胜一筹。
如果一个企业会同时存在网间互联和点到网的互联需求,我们就需要的是一台设备同时支持这两种VPN技术,在需要网到网互联的时候使用IPSec、在需要点到网互联的时候使用SSL,用最合适的技术来满足用户的需求。
综合的说,以上两种技术有如下差异:
1、IPSecVPN多用于“网——网”连接,SSLVPN用于“移动客户——网”连接。
SSLVPN的移动用户使用标准的浏览器,无需安装客户端程序,即可通过SSLVPN隧道接入内部网络;
而IPSecVPN的移动用户需要安装专门的IPSec客户端软件。
2、SSLVPN是基于应用层的VPN,而IPSecVPN是基于网络层的VPN。
IPSecVPN对所有的IP应用均透明;
而SSLVPN保护基于Web的应用更有优势,当然好的产品也支持TCP/UDP的C/S应用,例如文件共享、网络邻居、Ftp、Telnet、Oracle等。
3、SSLVPN用户不受上网方式限制,SSLVPN隧道可以穿透Firewall;
而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall,而且需要Firewall打开UDP500端口。
4、SSLVPN只需要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用。
而IPSecVPN需要管理通讯的每个节点,网管专业性较强。
5、SSLVPN更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制,与第三方认证系统(如:
radius、AD等)结合更加便捷。
而IPSecVPN主要基于IP五元组对用户进行访问控制。
正是出于SSLVPN的这些独特优势,SSLVPN越来越被一些客户所接受。
1.1.3多协议标签交换MPLS
MPLS(MultiprotocolLabelSwitch)最初是用来提高路由器的转发速度而提出的一个协议,但是由于MPLS在流量工程和VPN这一在目前IP网络中非常关键的两项技术中表现,MPLS已日益成为扩大IP网络规模的重要标准。
MPLS协议的关键是引入了标签(Label)的概念。
它是一种短的、易于处理的、不包含拓扑信息、只具有局部意义的信息内容。
Label短是为了易于处理,通常可以用索引直接引用。
只具有局部意义是为了便于分配。
熟悉ATM的人可能很自然的想到ATM中的VPI/VCI。
可以这么说,ATM中的VPI/VCI就是一种标签,所以说ATM实际上就是一种标签交换。
一个MPLS标签是一个长度固定的数值,由报文的头部携带,不含拓扑信息,只有局部意义。
在MPLS网络中,IP包在进入第一个MPLS设备时,MPLS边缘路由器就用标签封装起来。
MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签,相对于传统的IP路由分析,MPLS不仅分析IP包头中的目的地址信息。
它还分析IP包头中的其他信息,如TOS等。
之后所有MPLS网络中节点都是依据这个简短标签来作为转发判决依据。
当该IP包最终离开MPLS网络时,标签被边缘路由器分离。
IP+ATM怎样不同于简单地在ATM骨干上运行IP呢?
答案就是MPLS。
MPLS是商业IP网络关键技术,它允许服务提供商首次在单一网络上获得IP,ATM,FR的综合利润。
因为MPLS提供IP的灵活连接和可扩展性,以及FR和ATM的私有性和QOS,它已变成广泛被接收的标准。
运用MPLS,IP服务能通过以下的过程在具有选路和多业务的交换网络上进行传送:
网络决定包的选路和QOS需求;
标记被分配给每个包,告诉交换机或路由器哪儿、怎样去发送这个包,每个包的特定的服务属性:
QOS,私有性等等;
包在没有额外的选路的情况下,在网络骨干上被交换。
基于MPLS的解决方案使得新的网络世界的服务成为可能,如具有QOS的VPN。
MPLS标记的主要好处是能够为单个数据流区别服务类。
1.2VPN技术的优点
1.2.1安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。
在非面向连接的公用IP网络上建立一个逻辑的、点对点的