校园网VPN的规划与设计论文文档格式.docx
《校园网VPN的规划与设计论文文档格式.docx》由会员分享,可在线阅读,更多相关《校园网VPN的规划与设计论文文档格式.docx(33页珍藏版)》请在冰豆网上搜索。
最后,本文介绍了校区网络中的VPN实施步骤,提供了VPN通信和VPN访问的方式,并详细介绍了SSLVPN验证机制。
经过测试以验证VPN系统的有效性。
关键词:
虚拟专用网;
校园网;
安全性;
解决方案
第一章绪论
近年来,随着信息产业的飞速发展,计算机技术和通信技术的结合已经宣告了21世纪已经进入了信息时代,通信手段非常丰富,通信质量不断提高。
后者发展迅速,为基础信息的传播提供了更加完善的通信,互联网已经进入人们的日常生活,人们的生活方式也在发生变化,政府,在线购物,远程学习视频,在线视频会议也是如此。
许多人改善了人们的生活。
这给人们带来了极大的安慰的同时,信息技术革命也正在触及人们。
随着人们生活和信息的联系越来越紧密,网络变得越来越重要,网络安全问题也逐渐凸显。
诸如盗窃,截取之类的信息安全问题持续存在,网络攻击等行为时有发生,如何建立一个安全,稳定,快速的网络环境显得尤为重要。
当网络安全性概念浮出水面时,它会影响网络中的每个人,就像网络给人们带来的惊喜一样,威胁就在我们身边。
病毒,特洛伊木马和黑客的类型是越来越多的未知攻击。
影响最多的是业务网络或公共网络,它导致大量私人或敏感信息暴露。
更重要的是,它对网络产生了影响。
因此,由于网络安全问题,有些公司或个人已经为此造成了严重的损失。
另外,随着主要基于通信技术和计算机技术的互联网和信息产业的飞速发展,数据通信量增加并且长途通信量迅速增加。
用户对数据的及时性和安全性提出了更高的要求,越来越多的公司,个人和公司以及公司的分支机构都必须实现网络化,一般来说,这种通信方式通常是采用租赁经营者或建立运营商的方式。
通过公司本身的专用网络,以及通过公用拨号连接来实现专用网络的长途通信,但伴随着设施成本的昂贵,很可能导致网络投资的反复建立;
而远程用户,由于当前的某些协议是开放的,因此他们无法将通信信息保密,这将导致安全风险和信息漏洞上升到一个新的水平。
公司和机构越来越追求网络安全,灵活性,经济性,简单扩展和简单管理的原则,在这种背景和技术发展的情况下,存在一种通过公共网络(虚拟网络)创建自己的专用网络的技术。
即建立的专用网络(VPN),近年来,随着信息量的增加,网络带宽迅速增加,网络传输过程中的数据越来越平滑。
同时,人们也非常重视数据安全性,这将极大地促进VPN技术的使用,VPN技术的使用已经越来越成熟。
在使用过程中,对管理,可靠性,安全性和可行性的追求已成为VPN技术的研究对象,同时,从最初开始,构建具有增值,可管理,授权和认证的校园网络已深入人心。
1.1课题背景
作为互联网的一部分,校园网络是开放的。
它使教师和学生可以通过其连接获取学校内外的大量信息。
它还使世界各地的人们都可以通过网络,电子邮件和其他方式来了解学校,另一方面,由于用户的独特性,校园网络也有其独特之处。
教学,研究,项目合作和文化交流使越来越多的师生进入社会,但与此同时,他们得利用校园中的巨大资源。
为了弥补私有网络的缺点,例如昂贵,速度慢和不安全,本文结合校区网络的具体情况,对VPN技术进行了研究,并探讨了将VPN技术应用于校区网络的实现系统。
1.2国内外研究现状
随着信息和通信技术的飞速发展以及互联网的普及,公司和机构中的信息水平逐渐提高,我们的工作和生活方式不断变化。
通信技术可以改变业务模式和管理模式,开展业务并提高业务效率,VPN技术也是推动这种变化的动力。
公司和机构通过建立满足自己要求的VPN网络,改变了不同地理区域或行业的公司和机构传输数据的方式。
同时,VPN还具有使用灵活,组网更大,节省成本的特点。
VPN是一种远程网络访问技术,并不是一项新技术。
它是由IETF(InternetEngineerTaskForce,IETF,Internet工程任务组)于1990年代中期正式提出的,并发布了两个标准化文件rfic1700和rfc1701,VPN技术近年来发展并不迅速,并且由VPN技术发展。
该行业尚未得到认可,但是通过不断的努力和技术发展,近年来,它已得到用户和技术人员的广泛解决和支持。
VPN是解决网络安全性的良药。
在经历了技术开发,标准实施和产品营销三个阶段之后,产品形式和应用方式发生了很大变化,其中商用VPN类型最多,目前有基于IP层的IPSecVPN和MPLSVPN三种应用。
SSLVPN和SSLVPN是基于应用层的,当然,这三种类型的VPN的应用特性是不同的。
SSLVPN和IPSecVPN主要用于移动办公和远程访问领域,而MPLSVPN主要用于核心网络的构建。
随着VPN技术的逐渐成熟和广泛应用,VPN接入技术的网络体系结构已被越来越多的公司和机构所接受,用于解决公司的远程访问需求,从而使公司的分支机构或企业员工在互联网可以访问公司的内部资源,不仅可以提高公司和机构的办公效率,而且可以带来便利和好处。
在1990年代中期,国外开始研究IPSecVPN。
IETF开始研究IPSec安全协议族以保护IP通信。
在1990年代末,制定并发布了IP安全框架,提出了IPSec可以在IPv4和IPv6中使用的安全机制。
它是IPv4的可选扩展协议,但是IPv6的必要组成部分,通过实施和扩展IPSec协议族,国内外网络设备公司已经推出了自己的VPN设备,并且不仅具有基本的加密功能,身份验证等功能,而且还与IDS,防火墙等设备集成在一起,创建了具有VPN功能的网络安全设备。
其中包括3Com,Cisco,F5等国外的国际设备制造商。
D-Link,Suncom等中国的制造商。
随着人们对信息技术水平的要求不断提高,满足用户需求的网络技术的飞速发展,网络的拓扑结构发生了巨大的变化,日趋复杂。
随着VPN技术的飞速发展,用户对VPN系统的安全性,效率和管理要求不断提高,近年来,随着IPSecVPN技术的不断改进和SSLVPN系统的出现,满足了一些新的要求和应用。
持续完善现有的IPSecVPN系统,构建高速有效的SSLVPN系统都是研究方向。
同时,各大厂商发布了具有独特功能的IPSecVPN,以满足不同用户的需求,使IPSecVPN技术的发展更加成熟。
为了降低用户成本,国外率先引入了基于软件,测试的开源IPSecVPN,当然在此期间,国内IPSecVPN也如火如荼。
通过学习和研究国外的开源VPN软件,本地制造商已经开发出了具有自主知识产权和独特功能的产品,这些产品更适合家庭网络环境,特别是在NAT入侵,身份验证模式,加密和解密算法的优势促进了该领域的快速发展,在IPSecVPN的安全性研究领域中,主要侧重于安全策略配置的冲突问题,而早期的VPN产品则主要侧重于IPSec安全策略的配置。
通过一个或多个要点来实施安全策略的规则,这会导致问题。
在每个设备的人工输入之后,管理员必须被动地确保网络的相对安全性。
结果,安全策略和安全要求可能会过时,从而导致安全性;
整个策略的配置会延迟或导致不必要的矛盾配置。
次年,来自韩国等地的计算机安全技术专家GeonWooKim提出了统一数据库计划和通过控制网络进程来同步安全策略的设计思想。
SSLVPN是在IPSecVPN和L2TPVPN之后引入的。
近年来,国内外的研究已经开始。
它是VPN的一项新技术,但由于SSL协议的广泛使用,对SSLVPN的技术要求不是很高,同时,随着网络的发展,主要制造商逐渐意识到远程访问产品将在市场中增长。
不论是在国内还是在国外,大型制造商都非常积极地进行研发。
国外已经有基于软件的SSLVPN,其中,在SSLVPN的性能和可扩展性方面,一些专家已经进行了有关如何在安全通信协议中测试数据压缩算法对VPN性能的影响的研究。
McGregor等人建立了用于测试的测试模型,主要用于获得各种压缩算法和压缩率对运行中的系统性能的影响。
ErichNahum,DavidJ.Yates等人认为IPSec,HTTPS,SSL和其他网络安全协议都是标准的使用可以在对称多处理器系统中同时实现的加密和哈希算法(例如DES,RSA,Sha和MD5)。
2004年,Shashankkhanvilkar和AshfaqKhokhar评估并比较了15种最受欢迎的开源VPN解决方案在Linux操作系统平台上。
测试首先对不同软件的系统性能,支持的功能和特性进行了比较,并在可用性方面比较了它们的安全性和可伸缩性。
与IPSecVPN相比,SSLVPN在远程访问方面具有更多优势,这使其在当前网络开发中的功能越来越强大。
国外知名厂商都已拥有强大的产品,SSLVPN像大多数新的IT技术一样,是一种从国外传播到中国的新技术,目前,SSLVPN产品仍主要来自国外厂商。
国内自主开发的SSLVPN产品很少,技术上也没有普遍突破,这是SSLVPN价格高的主要原因。
由于技术成熟,推广时间长和国内厂商进步所致,IPSecVPN的价格已从市场拉至适当水平,目前,国内外网络设备公司纷纷陆续推出了自己的IPSecVPN产品。
同时,为进一步推动SSLVPN应用的普及,DigitalChinaNetwork和ShexinTechnology等制造商VPN产品中默认配置的SSLVPN模块。
同时,用户只需要以相同的价格购买IPSecVPN,他们就可以同时拥有支持两种协议的VPN产品。
MPLSVPN是基于MPLS的VPN,MPLS是一种短标签快速交换网络。
通常是由同一公司或具有特定关系的公司的不同分支机构建立的一系列通信站点,在MPLSVPN的总体概念中,网络中的所有路由都分为三类:
用户,网络边缘路和网络背景路由。
其中,网络边缘路作为VPN的访问路由,MPLSVPN采用点对线的方式扩展网络边缘路由器之间的BGP协议,以帮助VPN成员之间相互通信,相互之间的关联性和可访问性。
为了确保运行MPLS协议的VPN网络具有良好的可扩展性,灵活性和可靠性,目前我国对MPLS技术的研究还很少,相关领域的理论和实践也处于发展阶段。
北京邮电大学通信网络国家重点实验室的一个小组目前正在跟踪和研究MPLS技术,主要研究MPLS中的QoS路由,并且已经进行了一些研究。
从VPN在我国的推广应用现状来看,中国仍处于发展的初期。
与成熟的欧洲和北美市场相比,VPN的使用还远远不够,根据CCID报告的统计,2002年上半年中国VPN市场的总营业额仅为3300万元人民币。
工业信息化建设的应用,以及对信息安全的越来越关注,在未来几年中,电信,金融,政府,能源,教育,交通等重点行业已经开始为公司配置VPN,尤其是其他公司使用VPN应用服务。
当局对电子政务服务的实施和深化对信息资源和信息数据的安全性和保密性提出了更高的要求,电子政务市场将刺激VPN产品的快速发展。
未来几年,各个行业对VPN产品的市场需求将快速增长,对我们来说,结合国家的发展状况,研究具有独立版权的VPN和现代VPN产品的关键技术具有深远的现实意义和紧迫的市场需求。
至于在大学中使用VPN,从最初的等待到现在的大力实施,特别是在本科院校中,自2003年以来就大力实施了校园网络VPN解决方案,以满足用户的需求。
要执行系统服务,最常用的是SSLVPN和AccessVPN,这两种技术不仅投资少,而且在性能和收益方面都可以达到预期的目标。
由于资金相对较少和校园相对集中的因素,使用并不广泛。
但是,一些具有显着的办学效果和分校区,以及更高的信息技术水平的职业学校为自己设置了校园网络VPN计划。
第二章VPN技术介绍
VPN是VirtualPrivateNetwork的缩写,即虚拟专用网。
它是电信运营商在公共基本数据网络(Internet)中使用的一种网络。
VPN可以建立临时的,安全的点对点连接,该VPN在通过公共网络的安全,稳定的隧道中;
从逻辑上讲,它可以实现专用网络的功能,但从物理意义上讲,VPN不是专用的专用网络。
像SDH和ATM.VPN取决于NSP(网络服务提供商)和ISP(互联网服务提供商)。
流行的解释是在公共网络中使用隧道和加密技术来执行数据包和加密数据传输,私有在公共网络上上传和传输数据,并建立一个逻辑上专用的虚拟数据通信网络,虚拟专用网络负责连接地理上分散的用户的所有节点,以形成具有不同地理位置但逻辑相同的网络。
从中可以看出,它本身并不是一个独立的物理网络,而是为用户提供了通用专用网络的类似功能,可以为用户创建基于公用网络基础结构的隧道,以提供与专用网络相同的数据安全性和功能保证。
传输数据的节点之间没有端到端的物理连接,其逻辑连接是基于公共网络资源的动态组成的,以实现不同网络组件和资源之间的连接,这也是虚拟专用网的基本功能。
这里提到的公共网络包括Internet,帧中继,ATM等。
由于Internet当前是世界上最大和最广泛的网络,因此采用的IP技术具有良好的兼容性,并且是业界比较流行的通信机制。
因此,基于IP的VPN被认为是业界最有前途的VPN.IPVPN是指通过在IP网络中建立专用数据传输通道,连接远处的分支机构而在开放IP网络(Internet)上构建的VPN。
,商务旅行者,商业伙伴等,以确保安全的端到端数据传输虚拟专用网(VPN)旨在在公共网络中建立专用网络,并且数据通过安全的“加密通道”在公共网络中传输VPN技术允许单位用户通过家庭内部或外部的公共网络与远程单位的服务器进行端到端连接,以形成用于网络办公室的虚拟网络;
同时,VPN还支持下属子公司或合作单位在不同位置通过公共网络网络连接到公司总部的网络。
这些分散的子网分布在不同的位置,它们像覆盖范围广的专用网络一样相互连接,在这两种情况下,尽管通信数据都通过公共网络,但它们的安全性就像专线网络甚至更好。
2.1VPN的功能
VPN为用户提供如下基本功能:
(1)身份认证:
确保信息的完整性和合法性,并识别用户的身份。
(2)数据加密:
对网络上传输的数据进行加密,以确保通过公共网络传输的信息即使被截取也不会泄漏。
(3)多协议传输:
它可以支持多种上层协议,并为用户提供多种应用。
(4)私有IP地址的传输:
调用私有IP地址后,可以在公共网络中进行传输,从而可以将内部网络扩展到更广阔的领域,如图2.1所示:
图2.1VPN工作示意图
为了能够实现以上这些功能,VPN釆用了如下技术:
(1)隧道技术
隧道技术主要是封装,封装和路由,最重要的工作过程是:
首先,对原始数据进行打包封装,将原始数据隐藏在新的数据包中,新的包可以包含新的地址和路由信息,如果将数据的机密性与隧道结合使用,则侦听网络的人将无法获取原始的数据包数据(以及原始的源和目标)。
当新的数据包到达目的地时,将有一个解包过程,原始数据包的数据包头信息包含到最终目的地的路由数据包的路由信息。
对于要连接的隧道本身,数据路径是加载数据的接触点,但是对于实际的源和数据包信息,这对于隧道是隐藏的。
链接双方不关心传输的物理途径。
在网络中封装的数据包通过隧道发送,该VPN在Internet上可用并已连接,Internet与专用网络之间的边界可以是网关,边界网关可以是防火墙,代理提供程序或其他安全环境。
可以在特定网络中使用两种未提供保护的环境。
隧道技术是一项重要技术,用于私有IP地址关联以及将预订协议传输到PPTP,L2TP和IPSec。
(2)认证技术
使用VPN用户认证技术来保证用户数据安全性。
如PPP(PointToPointProtocol)协议中采用了口令验证协议PAP(PasswordAuthenticationProtocol,PAP)和挑战握手协议(ChallengeHandshakeAuthenticationProtocol,CHAP)来进行认证。
PPTP及L2TP等隧道协议就采用了PPP的认证协议。
此外,在VPN中还经常采用微软挑战握手协议MS-CHAP、可扩展认证协议EAP(PPPExtensibleAuthenticationProtocol)等认证协议。
创建VPN连接后,VPN提供程序将标识要建立连接的提供程序,并检查其是否合法用户以方式伪装服务端进行欺骗。
(3)加密技术
在VPN中,ESP(封装安全性)使用加密技术,通常在两类中使用加密技术:
“对称”(加密和加密按钮相同,作为公共密钥模式)和“非对称”(加密和加密密钥不同,称为公钥模式)。
当加密和解密使用相同的密钥时,我们称其为对称加密(也称为sesionkey),对称加密目前被广泛使用。
这是一个典型的程序。
例如。
美国政府采用的DES加密标准是一种典型的“对称”加密方法。
它的会话密钥为56位。
相反,当加密和解密使用不同的密钥时,简而言之,加密和解密必须使用两个密钥,我们将它们称为“公钥”和“私钥”,我们将其称为非对称加密。
“公钥”和“私钥”使用时应成对使用。
此处,“公钥”是指公共,可以在需要时找到,而“私钥”则不能。
它是秘密存在的,只有拥有者知道,它的特征就体现在这方面。
如果采用对称加密,则很难在不被截取的情况下将秘密密钥告知在网络上发送给另一方的加密文件。
如果采用非对称加密,则会有一些秘密密钥,可以公开的公共密钥和可以公开的公共密钥。
显然,不怕被盗。
监听,接收者在解密时只需要使用自己的私钥,可以有效地保证传输消息的安全性。
为了确保数据在实际传输过程中不会失真,通常需要使用编码算法来保证数据的完整性和一致性。
该算法是防止失真的有效方法,该函数使用的称为摘要函数。
此功能可以将具有不同长度的不同数据用作具有固定长度的输入和抽象输出。
最重要的品质之一是,如果输入数据甚至更改一点,输出的抽象数据就会改变。
另外,可以从指定的数据区域中随机生成数字签名,如果任何人想要通过签名检查获取信息或使数字签名信息失真,就会阻止签名和签名的发生。
数字签名的原理也广泛用于算法总结中,常见的算法有MD5数字和TEA。
2.2VPN的分类
VPN技术存在不长时间,但它的卓越优势在很短的时间内就得到了制造商和用户的支持。
各种VPN技术层出不穷,甚至VPN的技术也多种多样。
结果,VPN的类型非常混乱。
为了强调产品的优势和效率,本地互联网服务提供商在争夺客户的同时,也为不同的用户群体发起不同类型的VPN接入,主要针对的对象和不同的用户将根据自己的需求选择最合适的访问方式,通常将取决于自己的业务需求。
下面简要介绍如何对VPN进行分类。
2.2.1按应用范围划分
这是对不同VPN模式进行分类的最常用方法,适用于不同应用程序,以满足不同环境中用户的需求。
VPN应用可以分为三种模式:
AccessVPN(接入VPN)、IntranetVPN(内联网VPN)和ExtranetVPN(外联网VPN)。
一般来说,专线的VPN模式就是VPN内网络。
(1)AccessVPN:
此方法通常用于通过公用网络访问VPN内局域网上的小型远程用户访问总部情况下,例如组织的移动工作人员或公司。
此处的远程用户倾向于引用终端而不是网络,因此,创建VPN是一种类似于终端的结构,用于承载总部网络。
重要的是要注意,VPN访问与以前的拨号VPN不同,并且此位置容易造成混淆,因为可以为专线接入或拨号接入。
图2.2AccessVPN连接
(2)IntranetVPN:
内联网的VPN就像是由公司总部及其分支机构之间的公共网络创建的网络。
是一种对等的网络。
其基本框架机构如图2.3所示:
(3)ExtranetVPN:
大多数外联网VPN发生在企业通过公共网络进行的收购或并购以及组织之间的战略联盟中,由它们创建的各种组织都是VPN,它们以这种方式连接到网络不相等,其主要特征是安全策略的差异。
图2.4ExtranetVPN连接
但是对于大型公司,更多使用这三种类型的VPN。
2.2.2按接入方式划分
按照介入形式划分是常见的划分形式,一般来说,Internet用户有两种方法连接网络:
一种是专线上网,一种是拨号上网。
那么在相应IP网络上创建的VPN便有了两种接入形式:
拨号以及专线。
(1)拨号VPN(又称VPDN)
拨号VPN连接主要基于PPTP和L2TP协议为移动电话用户和远程办公室用户提供对网络单元的远程访问,其中包含用于通过PSTN或ISDN电话访问ISP的对象。
此ADSL是按需连接VPN,可帮助用户节省电话费用。
需要注意的是,由于用户通常都在漫游,因此用户可以根据需要进行连接并且是用于不稳定呼叫的VPN.vpdn通常需要身份验证,例如使用CHAP和RADRJS。
这种VPN连接最大的优点是速度,特别是当用户通过电话,调制解调器通过PSTN进行连接时,但其优点是易于使用。
并有建立连接的灵活性,VPN连接是非常适合移动办公用户和远程办公室。
(2)专线VPN
专线VPN解决方案为Internet服务提供商的路由设备提供了特殊的访问权限,用户无需创建拨号连接,而是连接到Internet服务提供商。
此连接通常具有静态IP地址,与VPN通话相比,最大的特点是:
可以支持多个用户同时访问,并且比拨号用户更快,从而使用户有上网时间的感觉,节省了传统长途拨号的费用,并降低了业务成本。
2.2.3按协议实现类型划分
VPN设备的主要制造商和Internet服务提供商更加关注OSI模型进行划分,VPN层模型可以在第二层或第三层或更高层创建。
大多数的两层隧道协议包括L2TP和PPTP协议,它们是早期的VPN协议,这两层都是基于OSI/ISO格式构建的,即使在
今天,它们也得到了广泛的使用,L2TP协议本质上已经达成协议。
由Microsoft和Cisco发行,标准rfc22661在1999年的第8个月发布。
我们称支持PPTP多点协议为协议隧道点的VPN网络技术。
网络用户签署此协议后,手机用户和分支机构可以通过安装了操作系统访问点的操作系统(例如Microsoft),市场上主要的操作系统和操作系统来访问公司的本地网络。
L2TP链路扩展了PPP模型,该格式允许第二层和目标PPP通过L2TP连接到不同的分组交换设备,从而可以访问诸如ADSLDSLAM之类的集中器。
当请求传输到第二层时,AM和调制解调器池使头接收到PPP隧道到NAS框架。
将允许分离PPP数据包的传输和处理与L2设备连接。
PPTP和L2TF的优点是简单,但是它的缺点非常明显,因为它没有提供真正的安全机制,并且不支持外部客户或其供应商之间的对话请求。
因此不支持用于连接以及Extranet网络外部的供应商概念。
因此,这是pptp-l2tfVPN的最大弱点。
因此PPTP和L2TP适用于访问客户的虚拟专用网,但不适用于公司数据,在安全性要求较高的情况下,pptp-l2TP和明文之间存在细微差别,此外,pptpl2tp样本不适合传输到IPv6的。
(2)第三层隧道协议适用于OSI/ISO格式的第三层,例如网络层隧道协议,它们形成各种网络协议的数据包并将它们直接放入协
升级会员 