VPN在大型企业网络中的应用研究毕业论文.docx
《VPN在大型企业网络中的应用研究毕业论文.docx》由会员分享,可在线阅读,更多相关《VPN在大型企业网络中的应用研究毕业论文.docx(50页珍藏版)》请在冰豆网上搜索。
VPN在大型企业网络中的应用研究毕业论文
VPN在大型企业网络中的应用研究
摘要:
随着信息技术的高速发展,大型企业对计算机网络的需求越来越高,促进了VPN技术快速的发展和应用。
VPN有着租用专线的安全的和因特网廉价的优点。
本文具体分析了VPN技术的现状和发展趋势,介绍了VPN的产生、特征和优势。
详细分析了大型企业对VPN的需求,结合实际应用背景给出两个解决方案,即基于IPSecVPN和MPLSVPN在大型企业中的部署方案,并详细地给出了它们的设计和实现方法。
最后对IPSecVPN与MPLSVPN二种方案的进行了对比分析,给出了它们各自的适用的场景。
关键词:
VPN;大型企业网络;IPSecVPN;MPLSVPN
ResearchofApplicationofVPN
inLargeEnterpriseNetwork
Abstract:
WiththerapiddevelopmentoftheInformationTechnology,demandonnetworkfromlargeenterprisesbecomeslargerandlarger.AllofthispromotestherapiddevelopmentandapplicationofVPNtechnology.VPNhastheadvantageofsecuritywhichleasedlinepossessesandtheadvantageofinexpensivenesswhichInternetpossesses.
ThispaperanalyzesthepresentsituationanddevelopmenttrendofVPNtechnology,introducestheproduction,characteristics,advantagesoftheVPN.ThenthepaperanalyzestherequirementoftheVPNnetworkconstructionoflargeenterprises.Afterward,twoschemesaregivenaccordingtopracticalbackground.OneusesIPSecVPN,andtheotherusesMPLSVPN.Thedesignandrealizationprocessesofthetwoschemesaregivenindetail.Atlast,thispapercomparestheIPSecVPNandtheMPLSVPN,andpointsoutthescenarioswhereeachschemeisapplicable.
Keywords:
VPN;Enterprisenetwork;IPSecVPN;MPLSVPN
1绪论
1.1研究背景
进入二十一世纪后,传统语音业务的年增长率较低,只有5-10%,与之相比较,数据业务(如Internet等)的年增长率很高,为20-30%.Internet业务量持续的指数增长是数据通信业务量如此高速、持续增长的最直接动力。
这对整个网络的技术模式、整体架构乃至当今知识经济的涵来说,都有着深远的影响。
随着网络经济的不断发展,各个企业对建设自己的网络,提出的要求也不断变高,要求网络具备更好灵活性、经济性、扩展性等是其主要表现。
VPN具有独有的优势,在通信技术大发展的背景下,对它密切关注的企业数量也不断增多了。
虚拟私有网络(VirtualPrivateNetwork,VPN)简单来说,就是利用公共网络来完成私有专用网络的构建。
组建VPN,使得在公共网络也能提供安全性和可管理性等,就像是企业自己的私有网络一样。
随着企业网与政府网应用的日益广泛,网络围也在不断扩大,跨地区跨城市,甚至是跨国家的网络日益增多,这导致了对网络要求也越来越高。
采用传统广域网建立跨区域的企业或政府专网,往往需要租用昂贵的数字专线。
而在此同时,Internet日益普与,已经遍布世界各地,并且都是联通的,但由于Internet是开放的网络,如果企业或政府的信息要通过Internet进行传输,肯定存在着许多安全问题。
因此如何利用现有的Internet网络来安全地建立企业或政府的专有网络,就成了现在网络应用上的最急需解决的问题。
如今,企业信息化是所有企业发展的必经之路,特别是大型企业。
企业信息化,可以大大提高企业的工作效率,减少企业的运营成本。
大型企业的特点是规模很大,有多个分部或者分公司,它们之间需要信息的交流,这些信息一般都是一些敏感的信息,有的涉与到企业的商业秘密,若不小心被泄露,被截获,后果不堪设想。
如何将企业的总部和分部连接起来,并且保证它们之间交换的数据的性、完整性,以与使连接成本不像专线那么高?
为了解决这个问题,VPN(VirtualPrivateNetwork,虚拟专用网)就应运而生了。
因特网有廉价的优点,但是不安全;专线安全,但比较昂贵。
VPN结合了因特网和专用网的优点,同时也弥补了两者的缺点。
1.2技术发展现状
近十年,VPN已从公司仅仅提供语音业务发展到了提供数据/语音混合,甚至多媒体业务。
相应的技术也从基于DDN,帧中继(FrameRelay),ATM发展到了IPVPN,直至现在的MPLSVPN。
SSLVPN市场近些年来一直保持着快速增长的势头,在今年4月IT调研公司Frost&Sullivan发布的2010年中国SSLVPN市场分析报告中可以看到,中国SSLVPN市场在过去的一年里保持了10.3%的健康增长。
这其中,对于安全接入的需求增长起到了非常重要的促进作用。
SSLVPN市场现状:
政府和大中型企业等需求显著
近几年来,各级政府对于信息化建设的投入一直在大幅度增加,这其中,无论是社保医疗网络的建设,还是财务税收信息化的建设,每个垂直分支都在大踏步地迈进信息化时代,在此背景之下,各级政府对其网络的稳定具有非常高的要求,SSLVPN在这些方面具有较强的先天优势,从而获得了政府行业更多的政策性支持;另外一方面,对于性质较高的政府网络来说,防黑防盗是一个长期的课题,SSLVPN产品突出的安全性能也更容易受到用户的青睐。
大型企业和中型企业方面,其往往具有信息化程度高、跨地域业务多和外包合作多的特点。
这与政府行业更多是单纯跨地域的网络连通具有一定的差异。
为了保证在不同网络、不同地域机构之间的业务连续性,相当数量的用户都选择了比较安全稳定的SSLVPN产品。
从未来市场增长的角度来看,移动终端和私有云的大规模发展也会对SSLVPN市场的增长起到一个巨大的促进作用。
国外研究IPsecVPN较早,从1995年开始,IETF着手研究制定了一套用于保护IP通信的IPsec安全协议族,1998年制订了IP安全框架.IPsec提供既可用于IPv4也可用于IPv6的安全性机制,它是工Pv6的一个组成部分,也是IPv4的一个可选扩展协议。
通过实现和扩展工Psec协议族,国外厂商纷纷推出了面向不同市场的IPsecVPN产品。
除拥有IPsecVPN基本的加密、认证等功能外,还和防火墙、IDS等设备融合,形成了具有VPN功能的网络安全设备。
为满足不同的用户需求,各厂商还推出了拥有独特功能的IPsecVPN,例如Cisco支持其专有Hub-and-Spoke技术的VPN。
IPsecVPN技术的长足发展,还促使产生了许多开放源代码的IPsecVPN软件。
国IPsecVPN已有数年的研究发展历史。
初期主要是通过研究、分析国外开源VPN软件,模仿国外大公司软件功能的做法推出产品.随着技术积累沉淀,国网络安全公司也开始研发具有自主知识产权、独特功能的IPsecVPN产品.特别是在加密算法、认证方式、NAT穿越等适应国网络发展现状的技术领域中获得了长足进步。
MPLSVPN业务近几年引起了全球运营业的普遍关注。
国外大的运营商如AT&T,sprint,Verizon,Bellsouth,NTT都己经开始应用MPLS网络。
我国运营商中最早推出MPLSVPN业务的是中国网通,推出时间为2002年6月。
随着市场前景的日益看好,中国电信、中国铁通也开始提供这项服务。
此外,一些跨国运营商也开始关注中国市场,围绕MPLSVPN业务的竞争正在中国市场上逐渐升温。
作为网络之国的美国,美国政府非常重视MPLSVPN技术的发展。
2004年初,美国全国性运营商sprint推出针对企业用户的MPLSVPN业务。
至此,sprint己经拥有了数据网互联方面所有的服务产品,包括旧有的传统专用线、帧中继、ATM,IP接入等等。
在接下来的两年里,sprint希望在自己的专有IP网和全球IP平台上都采用MPLSVPN技术,并且集成以前的Internet接入和远程接入服务。
MPLSVPN在我国己经进入市场成长期,越来越多的运营商会提供相应的产品,有两个方面的经验可以借鉴:
一是国外同行的运营经验,二是国同行和自己的经验教训。
总的来说,首先,运营商一定要结合其他的VPN技术,如租用线、IPVPN、帧中继、ATM来提供满足不同用户不同需求的整体解决方案;二是要确保运营质量,如可靠性、QoS等;三是要努力降低网络操作维护的复杂度,提高网络的利用率,优化网络资源的使用;四是要加强和容提供商的合作,特别注意与时引入新业务吸引用户。
运营商相继推出MPLSVPN服务,可能产生的最主要问题是特殊安全需求和互联互通问题。
在我国,因为在公共信息基础平台上发展专有网络已是大势所趋,唯一让用户担心的是安全性。
实际上,MPLSVPN针对一般用户,己经可以提供虚电路级的安全性。
但是在特殊要求的场合,比如公安、国防领域、电子交易、传送敏感信息、商业文件时,用户需要更加安全的保障措施。
所以在吸引此类传统的专网用户时,运营商应该着力应对,提出更值得信赖的解决方案,比如IPSec加MPLSVPN。
MPLSVPN应是未来VPN实现技术的趋势与主流。
1.3本文主要研究的容
本文主要研究怎么对大型企业网络中使用的VPN的应用方案进行规划、设计与实现。
本文也分析研究了VPN技术原理,深入地探讨了MPLSVPN技术的原理和它的优点。
1.4本文的结构安排
本论文分为四个部分。
第一部分绪论部分,对VPN技术的研究背景与现状做了个简单的介绍。
第二部分介绍了VPN的技术概要,和VPN的分类。
第三部分讲述了大型企业的VPN需求分析。
第四部分详细IPSecVPN和MPLSVPN这两种解决方案,包括组网背景、网络拓扑、IP地址规划和关键配置代码。
第五部分是IPSecVPN实现方案与MPLSVPN实现方案的比较。
第六部分是对本论文的总结。
2VPN的分类和技术概要
本章主要介绍了VPN的分类和基本概念和原理。
2.1VPN概述
2.1.1VPN的产生
随着社会的发展,IT技术越来越多地影响现代企业的业务流程,如企业资源规划、基于IP网络的语音、基于IP网络的会议和教学活动等IT技术,为企业的自动化办公和信息的获取提供了构架。
随着网络经济的发展,越来越多的企业的分布围日益扩大,合作伙伴日益增多,公司员工的移动性也不断增加。
这使得企业迫切需要借助电信运营商网络连接企业总部和分支机构,组成自己的企业网,同时使移动办公人员能在企业以外的地方方便地接入企业部网络。
最初,电信运营商是以租赁专线(LeasedLine)的方式为企业提供二层链路,这种方式的主要缺点是:
1.建设时间长
2.价格昂贵
3.难于管理
此后,随着ATM(AsynchronousTransferMode)和帧中继(FrameRelay)技术的兴起,电信运营商转而使用虚电路方式为客户提供点到点的二层连接,客户再在其上建立自己的三层网络以承载IP等数据流。
虚电路方式与租赁专线相比,运营商网络建设时间短、价格低,能在不同专网之间共享运营商的网络结构。
这种传统专网的不足在于:
1.依赖于专用的介质(如ATM或FR):
为提供基于ATM的VPN服务,运营商需要建立覆盖全部服务围的ATM网络:
为提供基于FR的VPN服务,又需要建立覆盖全部服务围的FR网络。
网络建设成本高。
2.速率较慢:
不能满足当前Internet应用对于速率的要求。
3.部署复杂:
向已有的私有网络加入新的站点时,需要同时修改所有接入此站点的边缘节点的配置。
传统专网的应用,促使了企业效益的日益增长,但传统专网难以满足企业对网络的灵活性、安全性、经济性、扩展性等方面的要求。
这促使了一种新的替代方案的产生—在现有IP网络上模拟传统专网:
这种新的解决方案就是虚拟专用网VPN(VirtualPrivateNetwork)。
VPN是依靠Internet服务提供商ISP(InternetServiceProvider)和网络服务提供商NSP(NetworkServiceProvider)在公共网络中建立的虚拟专用通信网络。
2.1.2VPN的特征
VPN具有以下两个基本特征:
1.专用(Private):
对于VPN用户,使用VPN与使用传统专网没有区别。
VPN与底层承载网络之间保持资源独立,即VPN资源不被网络中非该VPN的用户所使用;且VPN能够提供足够的安全保证,确保VPN部信息不受外部侵扰。
2.虚拟(Virtual):
VPN用户部的通信是通过公共网络进行的,而这个公共网络同时也可以被其他非VPN用户使用,VPN用户获得的只是一个逻辑意义上的专网。
这个公共网络称为VPN骨干网(VPNBackbone)。
利用VPN的专用和虚拟的特征,可以把现有的IP网络分解成逻辑上隔离的网络。
这种逻辑隔离的网络应用丰富:
可以用在解决企业部的互连、一样或不同办事部门的互连:
也可以用来提供新的业务,如为IP业务专门开辟一个VPN,以此解决IP网络地址不足、QoS保证、以与开展新的增值服务等问题。
在解决企业互连和提供各种新业务方面,VPN,尤其是MPLSVPN,越来越被运营商看好,成为运营商在IP网络提供增值业务的重要手段。
2.1.3VPN的优势
从客户角度看,VPN和传统的数据专网相比具有如下优势:
1.安全:
在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接,保证数据传输的安全性。
这对于实现电子商务或金融网络与通讯网络的融合特别重要。
2.廉价:
利用公共网络进行信息通讯,企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。
3.支持移动业务:
支持驻外VPN用户在任何时间、任何地点的移动接入,能够满足不断增长的移动业务需求。
4.服务质量保证:
构建具有服务质量保证的VPN(如MPLSVPN),可为VPN用户提供不同等级的服务质量保证。
从运营商角度看,VPN具有如下优势:
5.可运营:
提高网络资源利用率,有助于增加ISP的收益。
6.灵活:
通过软件配置就可以增加、删除VPN用户,无需改动硬件设施。
在应用上具有很大灵活性。
7.多业务:
SP在提供VPN互连的基础上,可以承揽网络外包、业务外包、客户化专业服务的多业务经营。
VPN以其独具特色的优势赢得了越来越多的企业的青睐,使企业可以较少地关注网络的运行与维护,从而更多地致力于企业的商业目标的实现。
另外,运营商可以只管理、运行一个网络,并在一个网络上同时提供多种服务,如Best-effortIP服务、VPN、流量工程、差分服务(Diffserv),从而减少运营商的建设、维护和运行费用。
VPN在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性。
在全球任何一个角落,只要能够接入到Internet,即可使用VPN。
2.2VPN的分类
VPN可按业务类型和实现技术两个角度进行分类。
2.2.1按VPN的业务类型划分
根据服务类型,VPN业务大致分为三类:
接入VPN(AccessVPN)、联网VPN(IntranetVPN)和外联网VPN(ExtranetVPN)。
通常情况下联网VPN是专线VPN。
(1)接入VPN:
这是企业出差员工通过公网远程访问企业部网络的VPN方式。
远程用户一般是一台计算机,而不是网络,因此组成的VPN是一种主机到网络的拓扑模型。
(2)联网VPN:
这是企业的总部与分支机构之间通过公网构筑的虚拟网,这是一种网络到网络以对等的方式连接起来所组成的VPN。
(3)外联网VPN:
这是企业在发生收购、兼并或企业间建立战略联盟后,使不同企业间通过公网来构筑的虚拟网。
这是一种网络到网络以不对等的方式连接起来所组成的VPN(主要在安全策略上有所不同)。
2.2.2按VPN的实现技术划分
目前,主流的VPN技术有IPSecVPN、SSLVPN、MPLSVPN。
IPSecVPN是一个应用广泛、开放的VPN安全协议技术,它提供了如何让性强的数据在开放的网络中传输的安全机制。
它工作在网络层,为数据传输过程提供安全保护,主要手段是对数据进行加密和对数据收发方进行身份认证。
IPSecVPN技术可以设置成在两种模式下运行,一种是隧道模式,把IPv4数据包封装在安全的IP帧中进行传输,但这种方式系统开销比较大;另一种模式是传输模式,隐藏路由信息,提供端到端的安全保护。
SSLVPN也是一种在Internet上确保信息安全收发的通用协议技术,位于TCP/IP协议与各种应用层协议之间,以可靠的传输协议(如TCP)为根基,为高层协议提供数据封装、压缩、加密等基本功能的支持,为网络的连接提供服务器认证、可选的客户认证、SSL链路上的数据完整性保证、性保证。
目前,SSLVPN也广泛被应用于各种浏览器中,使用者利用浏览器的SSL封装包处理功能,用浏览器连接单位网的SSLVPN服务器,通过网络封包转向的方式,从而让远程计算机执行任务,读取单位网上的信息。
多协议标签交换MPLSVPN是一种面向连接的技术,通过MPLS信令建立好MPLS标记交换通道LSP,数据转发时在网络的入口处对信息进行分类,网络设备中根据分类选择相应的交换通道LSP,并打上相应的标签,再转发时直接根据报头的标签转发,不再通过IP地址查找,在LSP出口处,卸掉标签,还原为原来的IP数据包。
它是一种快速数据包交换和路由的体系,通过标签交换路径将私有的网络的不同分支联系起来,从而形成一套虚拟的统一的网络。
基于这种交换和路由的特点,它的路由工作在网络的第三层,而核心任务工作在第二层。
3大型企业网络的VPN需求分析
随着经济全球化步伐的加快,跨国、跨地区的企业收购和合并日益增多。
每家公司的分支机构的分布也越来越广,公司各分支机构之间为了共享商业数据,需要将各分支机构之间联网,在保证数据存储和传输安全的前提下共享数据,同时解决方案尽可能的要减少投入和降低使用成本。
分析这些需要联网的企业用户的需求特点,可以归纳为以下几点:
1)分支机构彼此分布不同地点
2)需要共享大量的商业数据,对接入带宽有一定的要求
3)必须保证数据在传输过程中的安全性。
过去的企业网络,多以封闭式的专线连接为主,其主要原因就是考虑数据传输的安全性。
若在安全性不能被保障的状况下,一旦企业重要资料被他人所窃取,将对企业造成难以弥补的损失
4)解决方案低成本
VPN技术就是在这个背景下应运而生的,VPN的出现满足了企业用户的需求。
VPN的基本思路就是充分利用现有的公共IP网,通过隧道技术,将公网虚拟成专用网,同时免除了昂贵的专线租用费用。
4大型企业VPN方案设计与实现
4.1IPSecVPN方案的设计与实现
4.1.1组网背景
有一公司的总部在,在有一分部,总部部采用私有IP地址,但要接入Internet,且对外的Web服务器Server0,要让一般用户可以从Internet访问。
总部与分部之间,要求建立站点间的VPN。
即通过私有IP地址可以互相访问。
总部有多个公用IP(200.0.0.0--200.0.0.15,Server0对外的IP地址为200.0.0.8,即从公网的一台电脑上ping200.0.0.8可以ping通server0)。
实现总部各部门间的网络的广播流量相互隔离,网络互通。
在路由器上配置路由协议,使用网络可以互通。
分部部也使用私有IP地址,通过NAT访问Internet。
总部与分部之间,要求建立站点间的VPN。
即通过私有IP地址可以互相访问。
4.1.2网络拓扑
图4.1IPSecVPN网络拓扑图
4.1.3IP地址规划
在总部的交换机上划分5个VLAN
表4.1总部VLAN划分
项目
VLAN
IP围
与F0/1相连的交换机
10
192.168.1.0/24
与F0/2相连的交换机
20
192.168.2.0/24
与F0/3相连的交换机
30
192.168.3.0/24
与F0/4相连的交换机
40
192.168.4.0/24
Server0
77
192.168.77.1
分部Server2IP:
172.16.1.1
某一外网PCIP:
202.202.202.1
4.1.4关键配置代码
1)总部部采用私有IP地址,但要接入Internet,且对外的Web服务器Server0,要让一般用户可以从Internet访问。
设分配给总部有多个公用IP(假设为200.0.0.0---200.0.0.15,Server0对外的IP地址为200.0.0.8,即从公网IP地址的PC2上ping200.0.0.8可以ping通server0)。
这要用到两条NAT
①使网机子可以访问外网
access-list101denyip192.168.0.00.0.255.255172.16.0.00.0.255.255
access-list101permitip192.168.0.00.0.255.255any
ipnatinsidesourcelist101interfaceFastEthernet0/1overload
②使网络可以访问Server0
ipnatinsidesourcestatic192.168.77.1200.0.0.8
2)实现总部各部门间的网络的广播流量相互隔离,网络互通,但同时要求各技术部、销售部的计算机不能主动访问财务部的服务器与计算机。
这要利用VLAN来进行广播流量的分隔,并通过三层交换机来实现VALN间的互连
①用vlan命令建立vlan
②用intrangeswitchportaccessvlan把接口加入vlan
③再intvlan
④ipaddr给vlan分配IP地址。
3)上配置路由协议,使用网络可以互通。
在路由器用OSPF
routerospf1
network0.0.0.0255.255.255.255area0
4)分部部也使用私有IP地址,通过NAT访问Internet。
但总部与分部之间,要求建立站点间的VPN。
即通过私有IP地址可以互相访问。
(1)Router0上的VPN配置
access-list111permitip192.168.0.00.0.255.255172.16.0.00.0.255.255
cryptoisakmppolicy10
encr3des
hashmd5
authenticationpre-sha
升级会员 