毕业论文设计基于IPSEC的VPN设计与实现Word文档格式.docx
《毕业论文设计基于IPSEC的VPN设计与实现Word文档格式.docx》由会员分享,可在线阅读,更多相关《毕业论文设计基于IPSEC的VPN设计与实现Word文档格式.docx(40页珍藏版)》请在冰豆网上搜索。
2.2.1ESP(封装安全载荷)4
2.2.2AH(验证头)4
2.2.3SA(安全联盟)5
2.2.4IKE(Internet密钥交换)6
2.3IPSEC的两种模式6
2.3.1传送模式6
2.3.2通道模式7
第3章VPN技术基础9
3.1VPN的概念与安全性9
3.2VPN的类型10
3.2.1RemoteAccessVPN(远程访问虚拟专用网)10
3.2.2IntranetVPN(企业内部虚拟专用网)10
3.2.3ExtranetVPN(外连虚拟专用网)11
第4章基于IPSEC的VPN设计与实现12
4.1各组件的设计要求12
4.1.1IPSec基本协议与目标12
4.2IPSECVPN的实现12
4.2.1A某企业网络背景分析12
4.2.2A企业对网络的新需求13
4.2.3实施步骤13
第5章IPSECVPN的测试23
5.1IKE方式建立IPSEC隧道23
5.2IPSecVPN配置的查看24
第6章MPLS方案的设计与实现26
6.1组网背景26
6.2关键配置代码26
6.3IPSecVPN与MPLSVPN的对比分析31
结论35
致谢36
参考文献37
第1章绪论
1.1课题背景
在经济全球化的今天,随着网络,尤其是网络经济的发展,客户分布日益广泛,合作伙伴增多,移动办公人员也随之剧增。
传统企业网基于固定地点的专线连接方式,已难以适应现代企业的需求。
在这样的背景下,远程办公室、公司各分支机构、公司与合作伙伴、供应商、公司与客户之间都可能要建立连接通道以进行信息传送。
而在传统的企业组网方案中,要进行远程LAN到LAN互联,除了租用DDN专线或帧中继之外,并没有更好的解决方法。
对于移动用户与远端用户而言,只能通过拨号线路进入企业各自独立的局域网。
这样的方案必然导致高昂的长途线路租用费及长途电话费。
于是,虚拟专用网VPN(VirtualPrivateNetwork)的概念与市场随之出现。
利用VPN网络能够获得语音、视频方面的服务,如IP电话业务、电视会议、远程教学,甚至证券行业的网上路演、网上交易等等。
IPSec协议是由因特网工程任务组(IETF)提出的IP安全标准,是VPN系统实现的主要技术之一。
近年来IPSecVPN技术以其独具特色的优势赢得人们越来越多的青睐,并成为网络安全领域的热点。
IPSEC即“Internet协议安全性”是一种开放标准的框架协议,通过使用加密的安全服务以确保在Internet协议(IP)网络(internet就是全球最大的IP网络)上进行保密而安全的通讯。
IPSec协议本不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AuthenticationHeader(AH)、封装安全载荷协议EncapsulatingSecurityPayload(ESP)、密钥管理协议InternetKeyExchange(IKE)和用于网络认证及加密的一些算法等。
IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。
怎样理解IPSEC框架协议呢?
IETF开发IPSEC协议时,这时候已经有许多其他优秀的安全协议或算法诞生并得到很好的应用,IPSEC并没有再开发一种全新的算法,而是定义了一个框架,吸纳其他优秀的协议或算法加入,完成最终的加密和认证功能。
IPSEC就如同武林盟主,许多绿林好汉都加入进来,盟主定义盟规用来约束各个帮派及势力,各帮派必须遵守盟约才可以。
1.2研究内容
本文主要研究怎么对大型企业网络中使用的VPN的应用方案进行规划、设计与实现。
本文也分析研究了VPN技术原理,深入地探讨了MPLSVPN技术的原理和它的优点。
首先我们先来了解一下IPSEC。
IPSEC体系结构:
包括ESP(封装安全载荷)、AH(验证头)、SA(安全联盟)、IKE(Internet密钥交换)。
IPSEC的两种模式:
包括传送模式和通道模式。
IPSEC包的处理过程:
包括外出处理和进入处理。
VPN的类型:
包括RemoteAccessVPN(远程访问虚拟专用)、IntranetVPN(企业内部虚拟专用网)、ExtranetVPN(外连虚拟专用网)。
IPSEC的组件的设计:
包括IPSec基本协议、SPD和SADB、IKE。
VPN使用的安全协议:
包括SOCKSv5协议、IPSec协议、PPTP/L2TP协议。
基于IPSEC的VPN设计与实现:
包括企业原网络分析、企业对网络的新需求、企业新网络设计原则、企业新网络实现方案。
IPSECVPN的测试:
包括IKE方式建立IPSEC隧道、预共享方式建立隧道、数字证书方式建立隧道、IKE自动协商、VPN备份隧道功能、VPN客户端测试。
1.3论文的主要内容和结构安排
本论文主要基于下面四大部分的研究,由浅入深细致地剖析了IPsecvpn的原理及应用,并给出实例讲解了现实中应用的IPsecvpn,使这一技术层次分明,既IPSEC技术基础、VPN技术基础、基于IPSEC的VPN设计与实现、IPSECVPN的测试。
第2章IPSEC技术基础
2.1IPSEC技术简介
“Internet协议安全性(IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。
Microsoft&
reg;
Windows&
2000、WindowsXP和WindowsServer2003家族实施IPSec是基于“Internet工程任务组(IETF)”IPSec工作组开发的标准。
IPSec是安全联网的长期方向。
它通过端对端的安全性来提供主动的保护以防止专用网络与Internet的攻击。
在通信中,只有发送方和接收方才是唯一必须了解IPSec保护的计算机。
在WindowsXP和WindowsServer2003家族中,IPSec提供了一种能力,以保护工作组、局域网计算机、域客户端和服务器、分支机构(物理上为远程机构)、Extranet以及漫游客户端之间的通信。
IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内多种应用程序的安全。
IPSec在传输层之下,对于应用程序来说是透明的。
当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置。
即使在终端系统中执行IPSec,应用程序一类的上层软件也不会被影响。
IPSec对终端用户来说是透明的,因此不必对用户进行安全机制的培训。
如果需要的话,IPSec可以为个体用户提供安全保障,这样做就可以保护企业内部的敏感信息。
IPSec正向Internet靠拢。
已经有一些机构部分或全部执行了IPSec。
IAB的前任总裁ChristianHuitema认为,关于如何保证Internet安全的讨论是他所见过的最激烈的讨论之一。
讨论的话题之一就是安全是否在恰当的协议层上被使用。
想要提供IP级的安全,IPSec必须成为配置在所有相关平台(包括WindowsNT,Unix和Macintosh系统)的网络代码中的一部分。
实际上,现在发行的许多Internet应用软件中已包含了安全特征。
例如,NetscapeNavigator和MicrosoftInternetEXPlorer支持保护互联网通信的安全套层协议(SSL),还有一部分产品支持保护Internet上信用卡交易的安全电子交易协议(SET)。
然而,VPN需要的是网络级的功能,这也正是IPSec所提供的。
2.2IPSec体系结构
2.2.1ESP(封装安全载荷)
IPsec封装安全负载(IPsecESP)是IPsec体系结构中的一种主要协议,其主要设计来在IPv4和IPv6中提供安全服务的混合应用。
IPsecESP通过加密需要保护的数据以及在IPsecESP的数据部分放置这些加密的数据来提供机密性和完整性。
根据用户安全要求,这个机制既可以用于加密一个传输层的段(如:
TCP、UDP、ICMP、IGMP),也可以用于加密一整个的IP数据报。
封装受保护数据是非常必要的,这样就可以为整个原始数据报提供机密性。
ESP头可以放置在IP头之后、上层协议头之前(传送层),或者在被封装的IP头之前(隧道模式)。
IANA分配给ESP一个协议数值50,在ESP头前的协议头总是在“nexthead”字段(IPv6)或“协议”(IPv4)字段里包含该值50。
ESP包含一个非加密协议头,后面是加密数据。
该加密数据既包括了受保护的ESP头字段也包括了受保护的用户数据,这个用户数据可以是整个IP数据报,也可以是IP的上层协议帧(如:
TCP或UDP)。
ESP提供机密性、数据源认证、无连接的完整性、抗重播服务(一种部分序列完整性的形式)和有限信息流机密性。
所提供服务集由安全连接(SA)建立时选择的选项和实施的布置来决定,机密性的选择与所有其他服务相独立。
但是,使用机密性服务而不带有完整性/认证服务(在ESP或者单独在AH中)可能使传输受到某种形式的攻击以破坏机密性服务。
数据源验证和无连接的完整性是相互关联的服务,它们作为一个选项与机密性(可选择的)结合提供给用户。
只有选择数据源认证时才可以选择抗重播服务,由接收方单独决定抗重播服务的选择。
2.2.2AH(验证头)
验证头(AH)协议用于为IP数据包提供数据完整性、数据包源地址验证和一些有限的抗重播服务,AH不提供对通信数据的加密服务,与ESP协议相比,AH不提供对通信数据的加密服务,但能比ESP提供更加广的数据验证服务。
AH是另一个IP协议,它分配到的数是51。
在IPv6的情况下,下一个头字段的值由扩展头的存在来决定。
如果没有扩展头,IPv6头中的下一个头字段将是51。
如果AH头之前有扩展头,紧靠在AH头前面的扩展头中的下一个头字段就会被设成51。
将AH头插入IPv6的规则与ESP插入规则类似。
AH和ESP保护的数据相同时,AH头会一直插在ESP头之后。
AH头比ESP头简单得多,因为它没有提供机密性。
由于不需要填充和一个填充长度指示器,因此也不存在尾。
另外,也不需要一个初始化向量。
2.2.3SA(安全联盟)
SA是一种安全关联,SA对两台计算机之间的策略协议进行编码,指定它们将使用哪些算法和什么样的密钥长度,以及实际的密钥本身。
安全关联SA(SecurityAssociation)是单向的,在两个使用IPSec的实体(主机或路由器)间建立的逻辑连接,定义了实体间如何使用安全服务(如加密)进行通信。
它由下列元素组成:
(1)安全参数索引SPI;
(2)IP目的地址;
(3)安全协议。
SA是一个单向的逻辑连接,也就是说,在一次通信中,IPSec需要建立两个SA,一个用于入站通信,另一个用于出站通信。
若某台主机,如文件服务器或远程访问服务器,需要同时与多台客户机通信,则该服务器需要与每台客户机分别建立不同的SA。
每个SA用唯一的SPI索引标识,当处理接收数据包时,服务器根据SPI值来决定该使用哪种SA。
二、第一阶段SA(主模式SA,为建立信道而进行的安全关联)IKE建立SA分两个阶段。
第一阶段,协商创建一个通信信道(IKESA),并对该信道进行认证,为双方进一步的IKE通信提供机密性、数据完整性以及数据源认证服务;
第二阶段,使用已建立的IKESA建立IPsecSA。
分两个阶段来完成这些服务有助于提高密钥交换的速度。
第一阶段协商(主模式协商)步骤:
1.策略协商,在这一步中,就四个强制性参数值进行协商:
(1)加密算法:
选择DES或3DES
(2)hash算法:
选择MD5或SHA(3)认证方法:
选择证书认证、预置共享密钥认证或Kerberosv5认证(4)Diffie-Hellman组的选择2.DH交换虽然名为"
密钥交换"
,但事实上在任何时候,两台通信主机之间都不会交换真正的密钥,它们之间交换的只是一些DH算法生成共享密钥所需要的基本材料信息。
DH交换,可以是公开的,也可以受保护。
在彼此交换过密钥生成"
材料"
后,两端主机可以各自生成出完全一样的共享"
主密钥"
,保护紧接其后的认证过程。
3.认证DH交换需要得到进一步认证,如果认证不成功,通信将无法继续下去。
"
结合在第一步中确定的协商算法,对通信实体和通信信道进行认证。
在这一步中,整个待认证的实体载荷,包括实体类型、端口号和协议,均由前一步生成的"
提供机密性和完整性保证。
三、第二阶段SA(快速模式SA,为数据传输而建立的安全关联)这一阶段协商建立IPsecSA,为数据交换提供IPSec服务。
第二阶段协商消息受第一阶段SA保护,任何没有第一阶段SA保护的消息将被拒收。
第二阶段协商(快速模式协商)步骤:
1.策略协商,双方交换保护需求:
•使用哪种IPSec协议:
AH或ESP•使用哪种hash算法:
MD5或SHA•是否要求加密,若是,选择加密算法:
3DES或DES在上述三方面达成一致后,将建立起两个SA,分别用于入站和出站通信。
2.会话密钥"
刷新或交换在这一步中,将生成加密IP数据包的"
会话密钥"
。
生成"
所使用的"
可以和生成第一阶段SA中"
的相同,也可以不同。
如果不做特殊要求,只需要刷新"
后,生成新密钥即可。
若要求使用不同的"
,则在密钥生成之前,首先进行第二轮的DH交换。
3.SA和密钥连同SPI,递交给IPSec驱动程序。
第二阶段协商过程与第一阶段协商过程类似,不同之处在于:
在第二阶段中,如果响应超时,则自动尝试重新进行第一阶段SA协商。
第一阶段SA建立起安全通信信道后保存在高速缓存中,在此基础上可以建立多个第二阶段SA协商,从而提高整个建立SA过程的速度。
只要第一阶段SA不超时,就不必重复第一阶段的协商和认证。
允许建立的第二阶段SA的个数由IPSec策略属性决定。
2.2.4IKE(Internet密钥交换)
Internet密钥交换协议(IKE)是用于交换和管理在vpn中使用的加密密钥的,IKE属于一种混合型协议,由Internet安全关联和密钥管理协议(ISAKMP)和两种密钥交换协议OAKLEY与SKEME组成。
IKE创建在由ISAKMP定义的框架上,沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术,还定义了它自己的两种密钥交换方式:
主要模式和积极模式。
2.3IPSEC的两种模式
2.3.1传送模式
传送模式加密的部份较少,没有额外的IP报头,工作效率相对更好,但安全性相对于隧道模式会有所降低。
传送模式下,源主机和目的地主机必须直接执行所有密码操作。
加密数据是通过使用L2TP(第二层隧道协议)而生成的单一隧道来发送的。
数据(密码文件)则是由源主机生成并由目的地主机检索的。
传送模式可表示为:
|IP头|IPsec头|TCP头|数据|,如图2-1所示。
图2-1传送模式图
2.3.2通道模式
通道模式可以在两个SecurityGateway间建立一个安全"
隧道"
,经由这两个GatewayProxy的传送均在这个通道中进行。
通道模式下的IPSec报文要进行分段和重组操作,并且可能要再经过多个安全网关才能到达安全网关后面的目的主机。
通道模式下,除了源主机和目的地主机之外,特殊的网关也将执行密码操作。
在这种模式里,许多隧道在网关之间是以系列的形式生成的,从而可以实现网关对网关安全。
通道模式可表示为:
|新IP头|IPsec头|IP头|TCP头|数据|,如图2-2所示。
图2-2通道模式图
第3章VPN技术基础
3.1VPN的概念与安全性
VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。
顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。
它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
针对不同的用户要求,VPN有三种解决方案:
远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。
VPN网关是实现局域网(LAN)到局域网连接的设备。
从字面上我们就能够知道它可以实现两大功能:
VPN和网关。
广义上讲,支持VPN(虚拟专用网)的路由器和防火墙等设备都可以算作VPN网关。
目前常见的VPN网关产品可以包括单纯的VPN网关、VPN路由器、VPN防火墙、VPN服务器等产品。
典型的VPN网关产品应该具有以下性能:
它应集成包过滤防火墙和应用代理防火墙的功能。
企业级VPN产品是从防火墙产品发展而来,防火墙的功能特性己经成为它的基本功能集中的一部分。
如果是一个独立的产品,VPN与防火墙的协同工作会遇到很多难以解决的问题,有可能不同厂家的防火墙和VPN不能协同工作,防火墙的安全策略无法制定(这是由于VPN把IP数据包加密封装的缘故)或者带来性能的损失,如防火墙无法使用NAT功能等等。
而如果采用功能整合的产品,则上述问题不存在或很容易解决,VPN应有一个开放的架构。
VPN部署在企业接入因特网的路由器之后,或者它本身就具有路由器的功能,因此,它己经成为保护企业内部资产安全最重要的门户。
阻止黑客入侵、检查病毒、身份认证与权限检查等很多安全功能需要VPN完成或在同VPN与相关产品协同完成。
因此,VPN必须