完整word版VPN在企业网中的规划与实现.docx
《完整word版VPN在企业网中的规划与实现.docx》由会员分享,可在线阅读,更多相关《完整word版VPN在企业网中的规划与实现.docx(50页珍藏版)》请在冰豆网上搜索。
完整word版VPN在企业网中的规划与实现
本科毕业论文
题目:
VPN在企业网中的规划与实现
学院:
班级:
姓名:
吉九学
指导教师:
职称:
完成日期:
2016年5月23日
摘要
当前互联网技术快速而高效的发展,通过电子商务进行办公成为各级单位和企业的办公方式,各个企业和政府都允许各自的分支机构访问自己的内部资源,以此来加强了解和方便办公。
但是这一种信息交流使网络更加复杂,而且安全性也非常差,管理也不方便。
目前比较主流且昂贵的组网方式有专线组网方式.它是通过同步数字体系将企业和政府单位连接到公用网络来实现点到点的通信。
虽然这一种组网方式它的保密性比较强,独享带宽,传输快,不被其他信号干扰。
但是花费太大,许多企业不能负担起这么高的费用,但是花费太大,许多企业不能负担起这么高的费用,
VPN技术是通过在互联网上建立自己的私有网络,换言之,就是在公网上虚拟出一条专网,这样既让服务质量得到保证,也提高了安全性和专用性,同时也节省了公司的开支。
组建虚拟专用网是利用互联网的大量资源,为企业和政府的重要数据提供可用带宽传输数据.VPN的组网方式有两种可以分为点到点的虚拟网络和远程访问方式。
当前比较主流的接入方式有IPSEC.
在本论文中,通过对VPN技术的基本了解和配置,比较了几种不同的虚拟专用网配置方式和优缺点。
对加密认证,密钥管理,身份认证技术加以实现和验证。
当前配置环境是在微软2003操作系统上配置服务器.通过在服务器添加用户名和密码,实现远程VPN访问。
论文中也涉及了一部分电力系统中组建VPN的相关知识。
当然本论文只是对企业中的VPN进行了简单的规划与实现,这与实际中的企业VPN来说,是远远不够的。
但是通过在模拟环境下配置VPN,对企业VPN组网有了深入的了解。
这对于以后在实际情况中组建VPN网络起到了很大的作用.
关键词:
企业;IPsec VPN;安全;数据加密
Abstract
Atpresent,andhighspeedandrapiddevelopmentofInternettechnologyinChina.Officebecomeunitsatalllevelsandenterprisesthroughtheelectroniccommerceintheoffice。
Branchcompaniesandthegovernmentwillallowtheiraccesstotheirinternalresources。
Inordertostrengthentheunderstandingandconvenienceofoffice。
Butthiskindofinformationexchangemakesthenetworkmorecomplex,andthesecurityisalsoverypoor,themanagementisnotconvenient。
Atpresent,therearemoremainstreamandcheaperwayofnetworking。
Itisthecommunicationenterprisesandgovernmentunitsconnectedtothepublicnetworktoachievepoint—to-pointthroughsynchronousdigitalsystem
Whilethiskindofnetworkmodeitsconfidentiality,exclusivebandwidth,transmissionisfast,withouttheinterferencebyothersignals。
Butcoststoomuch,manycompaniescan’taffordsuchahighcost.
VPNtechnologyisthroughtheInternettobuildtheirownprivatenetwork,inotherwords,ItisavirtualprivatenetworkbulidedontheInternet,suchalreadylettheservicequalityguaranteed,alsoimprovesthesecurityandspecificity,butalsosavethecompany'sexpenses。
SetupavirtualprivatenetworkistousealargenumberofdatatousetheInternetandvideoresources,fortheenterpriseandthegovernment’simportantdataprovidetheavailablebandwidthtotransmitdata.TherearetwomainwaysofVPNnetworkcanbedividedintothepoint-to—pointvirtualnetworkandremoteaccess.ComparingthecurrentmainstreamwayofaccessingaIPSEC。
Inthispaper,throughthebasicunderstandingofVPNtechnologyandconfiguration,comparedwithseveraldifferentvirtualprivatenetworkconfigurationandadvantagesanddisadvantages.Encryptionandauthentication,keymanagement,identityauthenticationtechnologytoachieveandverify.ThecurrentconfigurationenvironmentisconfiguredontheMicrosoft2003operatingsystem.ByaddingausernameandpasswordontheservertoachieveremoteVPNaccess。
PaperalsocoveredpartofthepowersystemintheformofVPN。
ofcourse,thispapercarriedonthesimpletotheenterpriseVPNplanningandimplementation,ithastodowiththeenterpriseactualVPN,itisnotenough.ButthroughtheVPNconfigurationinasimulatedenvironment,totheenterpriseVPNnetworkhavein-depthunderstanding。
ForthelatersetupVPNnetworkinpracticehasplayedabigrole。
KeyWords:
company;IPsecVPN;security;dataencryption
引言
随着企业和政府对业务拓展的需求,各国和企业为了加强了解和互动,建立了海外分支机构,这样就导致通信量急剧扩大,相互之间的资源共享和信息交流成为非常重要的手段,鉴于以上这些情况,我们急需一种技术,需要很快速,非常安全,且稳定的实现内部网络和外部网络的连接。
虚拟专用网络是可以很好的解决这些问题.
VPN通过互联网建立私有隧道,允许远程办公人员接入公司内网,并且提供端到端的通信安全。
VPN组网是对企业内部网络的扩展,通过它可以让企业分支机构和总部建立可信任的安全连接。
当前企业VPN采用的大多都是IPsecVPN,这种组网比较简单,也很方便在现有设备上即可配置。
本论文主要是对企业VPN规划和如何实现,在实验中我们采用的是思科的路由器来配置VPN的相关服务,这些服务包括加密,配置交换集,感兴趣流等服务。
这是在设备这一层次上,创建的虚拟专用网,除了它之外还有一种是在操作系统上实现虚拟专网。
主要是在微软2003上配置虚拟专用网服务器。
需要解决的是保证两台主机之间的网络是互通的,可以通过将两台主机的地址配置成同一网段来实现。
通过思科模拟器创建了一个仿真平台,实现总公司与分支机构的VPN网络连接。
VPN技术加快了企业信息化建设的步伐,使得公司可以将分布在全国各地的分公司零距离连接。
实现虚拟现场办公.VPN技术推动了企业的快速发展。
第一章
综述
1。
1VPN技术概述
VPN(虚拟专用网)技术是一种建立在公共网络上的一条隧道,我们可以把它想象成一条公路上划分了多条车道,每条车道是不会相互影响各自运行的。
它实现了不同网络组件之间资源的相互连接.
VPN(虚拟专用网)是在互联网的基础之上建立连接,而且它在逻辑上等同与在广域网上建立连接.虚拟专用网是一种在物理上虚拟出的一条线路,对于使用者来说就像是一条专线上网,使用者的感觉就好比是使用了一条专线连接到了企业总部网络,来进行数据传输。
VPN允许远程用户,企业分支机构使用互联网等公共网络设施建立数据传输通道,以便更加安全的通信。
当前远程接入通信量越来越大,企业全球化日益扩大,公司员工需要访问企业内部资源,企业之间也要进行有效且安全的通讯,VPN技术可以很好的解决以上问题。
它建立在公共互联网上,用户体验也是极佳。
1.1。
1VPN的产生背景
随着当今社会信息化的高速发展,IT技术越来越多的影响现代企业和政府的办事流程,例如企业视频会议,政府远程电话会议,IP语音电话等,为企业和政府的自动化办公和获取信息提供了方便。
每一个大公司的合作伙伴也逐渐增多,公司员工在外办公也渐渐增多.这就使得企业需要借助互联网连接总部和分公司,组件自己的私有网络,同时也为移动办公人员在外办公提供方便。
由于传统专网建设时间偏长,建设成本太高,难以管理和控制,虽然一些新技术也应用在网络中,但由于网络建设成本高,已经不能满足当前互联网对于速率的要求,而且部署过于复杂,由于以上这些原因,VPN技术应运而生,原有传统网络不能满足企业和政府的需要,尤其是在经济性和安全方面远远不能满足,以促使企业效益日益增长,VPN是依靠互联网服务提供商和网络提供商在公共网络上建立虚拟专用通道。
1。
1。
2VPN的特点
VPN特点:
安全方面,VPN(虚拟专用网)在互联网上建立一条企业专用隧道,对发送的数据采取加密方式,来保证数据完整性。
虚拟性:
VPN网络不是一条实际存在的线路,而是在现有网络的基础上通过配置而形成的一种逻辑上的网络。
灵活性:
互联网和私有网的任何类型的数据都可以通过。
保证服务质量:
VPN可以为不同的服务提供专属于该服务的质量保障。
易管理性:
VPN管理角度有用户和运营商。
专用性:
对VPN的使用者来说,它与专用网没有任何的差别.VPN网络与底部的网络之间始终是独立关系,也就是说,非法用户不能获取企业资源,它能够保障数据安全和完整性.VPN技术是一种将公用网络逻辑划分出一条虚拟通道的路由策略,这一种逻辑划分的网络应用是非常丰富的,不仅可以解决企业内部的互联,不同办事部门的互联,也可以提供新的业务需求。
1。
2VPN的分类
1。
2.1按VPN的业务类型划分
我们依据虚拟专网的服务体系来划分可以分为三大类:
(1)接入VPN:
它是一种远程访问网络模型,是企业员工通过公用网来访问企业内部网络的方式.
(2)内联网:
这是公司总部与分支机构通过公用网络搭建的虚拟网,它是一种点到点的方式连接起来所组成的虚拟专用网。
(3)外联网:
这是不同的企业建立的虚拟网.它是一种不对等的网络连接方式。
1.2。
2按所用设备类型划分
网络设备提供商根据客户不同的需要来制造与客户相符合的设备,其主要分为思科路由器,思科防火墙,和思科交换机。
(1)路由式:
主要是在路由器上配置VPN的相关服务即可。
(2)交换机式:
主要是为不同用户所设计。
(3)防火墙式:
这是一种非常常见的实现方式,许多网络设备制造厂商都提供这种配置.
1.2.3按VPN的业务类型划分
当前,主流的VPN技术主要有IPsecVPN,MPLSVPN,SSLVPN等技术。
网络层的VPN技术是一个非常安全,开放的安全协议,他提供了如何在开放式的网络环境下如何保证数据传输安全。
它是工作在网络层,为数据传输提供了安全机制,它采取的方式是对发送的数据进行机密,并且在接收方进行身份认证,网络层VPN技术有两种模式,一是传输模式,它隐藏了路由信息,并期望提供端到端的网络安全.另一种是隧道模式,主要是将数据包封装在IP帧传输数据。
SSLVPN通过TCP传输协议为上层的数据提供封装,加密等功能。
它是一种在互联网上保障信息安全收发是技术。
它为客户提供了服务器的认证方式,客户认证,数据传输完整性保证,SSLVPN技术处于TCP协议与各种应用层协议之间。
当前,SSLVPN也被广泛应用在各种浏览器中,用户通过利用浏览器内部的SSL封装包处理数据,用浏览器连接公司内网的VPN服务器,通过网络封包转向方式,让客户计算机读取公司内网上的资源.
MPLSVPN(多协议标签交换)主干有两个组成部分:
存储在提供商边缘路由器中的客户路由选择和转发以及用于传输客户数据流的底层机制.客户的数据分组到达入口服务提供商边缘路由器时,使用一个MPLS(VPN)标签对其进行封装,该标签对应于相应路由选择和转发表中的最佳路由。
然而他通过一条标签交换路径被转发到一台出口服务提供商的边缘路由器.另外,也可以使用IP,GRE,以隧道方式通过非MPLS来传输MPLSVPN数据流。
MPLS的优点,其中包括更紧密地集成IP和ATM,无需在核心路由器上使用BGP配置,支持VPN和流量工程等。
1。
3VPN的相关技术及协议
1.3。
1VPN关键技术
(1)隧道技术。
在企业构建自己的VPN专用网络时,它的核心技术是如何在服务商提供的公用网络上构建适合于本企业的连接线路。
企业虚拟专用网的建立基于隧道技术原理的,利用它是在网络层建立属于企业的数据传输隧道。
当前虚拟专用网的连接方式主要是点到点的连接方式,这一种隧道是便于建立和维护的,对于用户来说是非常有用的.但对于企业用户来说数据传输是非常保密和严格的,这就使得VPN的另外一层隧道技术产生,即IPinIP技术.相对于前一层隧道技术来讲,它的可容性和保障性有了明显的优化和提高,缺点是操作太过复杂、比较难理解。
(2)身份认证技术。
随着数据传输的安全性提高,数据的完整性要求越来越高,为了保证数据不被篡改,认证技术应运而生,它就是要保证用户是否合法,数据是否完整,认证安全技术是通过散列函数作为基础,用它来实现数据报文格式的转变.由于散列函数的特性,在使用完这一媒介后没有同样的内容。
在VPN中使用它就是对用户认证和数据完整性验证。
(3)加密技术。
各个企业之间传输数据需要保证数据的安全性,安全对于企业来说是非常重要的,采用VPN技术可以方便的解决这个问题,不需要重新购买其他与安全相关的设备,不仅节省了企业的开支,也保证了被传输数据的安全.VPN所采用的加密技术主要可以分为高级加密标准DES和三重高级加密标准3DES,加密基本思路是对传输的信息加密,,这样就使得非法用户不能访问相关信息,以此对企业的敏感数据进行保护。
DES加密方式对于加密要求不高的个人用户来说已经足够但对于对安全级别相对高的企业来说是远远不够的,三重高级加密标准是最好的选择,它的加密强度更高,可以传输企业敏感数据,此加密方案可以有效的保护用户的权益。
(4)密钥管理技术。
它的任务是保障用户密钥不被非法盗取。
给用户分配密钥时要保证安全并且合理的分配密钥。
1.3.2VPN的基本协议
VPN方案可以支持的基本协议有PPTP(点对点隧道协议)和L2TP(第二层隧道协议),这些协议可以满足各种需求,又能够更大范围的利用国际互联网.
点对点隧道协议是工作在第二层的支持多协议虚拟专用网络的技术,远程用户可以通过WINDOWS2003,WINDOWS7等操作系统通过互联网连接到公司网络。
由于思科的设备不支持强制隧道模式的PPTP,因此我们只讨论自发隧道模式。
与强制隧道模式不同的是,自发模式是由远程接入用户发起的。
在这种运行模式下,远程接入客户充当了PNS,他建立了一条直接到PAC的隧道。
PPTP提供了不同的通信通道,主要是为远程访问客户机提供服务.
(1)控制连接/信道:
控制连接用于在远程接入客户/PAS和PAC之间交换控制信息.这些控制消息用于建立并且终止与客户的会话,还有存活期,错误报告和一些配置参数.
(2)用户隧道模式:
它的主要作用是在客户机之间发送点对点的数据帧。
在强制隧道模式下,可以通过该隧道多路复用多个用户PPP会话;然而,在自发隧道模式下,只允许有一个会话在隧道里通信.主要是通过隧道在PNS和PAC之间建立用户的点对点会话,必须要建立控制信道。
控制信道的建立是由远程接入客户通过一个目标端口1723的TCP连接发起的。
根据RFC2637,该端口可以为任何未使用的端口.在远程接入客户/PNS和PAC之间建立控制信道后,远程接入客户/PNS便指出自己想建立一个客户会话。
这是通过控制信道发送一条呼出请求(OCRQ)消息实现的。
最初OCRQ被设计为在强制隧道模式下由PNS发送给PAC.顾名思义,其用途是命令PAC呼叫终端用户。
在自发隧道模式下,远程客户机向PAC发送一条消息,提出想要在隧道里建立一个会话在远程用户和PAC之间交换OCRQ和OCRP消息后,便进行PPP协商。
(2)第二层隧道协议使用两种消息.
控制消息:
通信所需要的隧道和一些会话被创建,控制消息通过控制连接可靠的传输。
相对于第二层隧道,只需要一条控制连接会话,而不管其包含多少个数据会话。
数据消息:
它用于在LAC和LNS之间传输PPP帧。
每条PPP帧都是通过L2TP(第二层隧道传输)隧道当中一个独立的会话传输的。
LAC和LNS之间的单条L2TP隧道可支持多条PPP连接,理论上为65535条。
图1。
1说明了LAC和LNS之间的控制连接和数据会话。
图1。
1
根据RFC2661,L2TP消息可以通过很多方式进行传输,包括UDP,帧中继等。
第二层隧道协议需要远程接收系统,并且建立控制连接,为了方便客户机之间转发数据帧。
建立隧道的第一步就是要接收远程客户机的呼叫。
之后通过验证机制对客户机的合法性进行验证,如果验证通过,则允许接入,反之,不允许连接.会话建立期间将有关协商和验证的信息传递给LNS。
LAC将依据客户机的名称,和一些识别字符串或用户名,将这些信息建立连接。
在隧道里建立会话的第一步是要建立连接,连接成功后所有的数据都通过该隧道发送。
会话建立初始,首先就是要允许接入消息呼入,如果有足够的硬件资源,并且允许建立连接LNS将利用呼入应答来接受请求消息。
然后发送一条消息来响应当前的操作,这一条消息说明正在处理会话的建立过程,如果一直没有别的消息发送,则发送一条确认消息。
建立会话的时候交换的消息不包括会话序号,呼号和主叫号以及验证消息.1。
4VPN的实现原理
在网络安全中,保证网络层的数据安全一直是一个非常关注的领域。
不管是在互联网还是在企业局域网,都有一些网络攻击是不能抵御的,对于一个企业局域网来说,这一种攻击可能是来自于外部非法用户的入侵,也可能来自内部人员的入侵。
但是不管是哪一种入侵方式,都将使企业受到很大的损失。
单单依靠口令来防止非法用户访问已经不能满足当前的需要。
首先列举几种常用的攻击方式,正常情况下,大多数网络传输数据都是以明文的方式传输。
这样的话就很容易受到攻击,只要是有一种方式能够获取该数据流,就很容易解读该数据流所包含的信息。
不能更改和破坏数据,但是很容易导致用户的信息外泄,导致数据安全问题不断。
对于大多数企业和政府来说一种窃听行为已经成为很大的安全问题。
攻击者得到数据后,首先想到的就是要修改数据,这一种方式不会让发送者和接受者感觉到。
作为通信的客户,他所拥有的数据时非常机密的的,没有人想让自己的数据被破坏.
身份欺骗方式是一种修改本地主机网络地址的方式。
这样的话可以获取正常的数据。
口令攻击方式是通过非法手段获取用户的用户名和密码。
然后通过这些信息进入客户内部网络。
IPSEC是一种安全协议,它是为了避免网络层的数据遭到窃听,可以有效的抵抗攻击。
它的主要方向是保护网络层的数据安全,提供网络攻击防御.
IPSEC防护是基于特定的数据流来实现加密传输这一种加密方法的接收端和发送端都负责相应的数据加解密.
我们都知道,网络攻击很容易使系统遭到破坏,导致数据外泄,所以数据必须加强保护,以防止被修改,窃听。
常用的保护方式主要是在外部的网管设备上配置保护策略,但这一种方式只是防护外部的攻击,它并不能防范内部的攻击。
IPsec采用的是点到点的加密模式,工作原理是.用户的数据都是通过加密传输的,数据包通过加密函数对数据重新编码。
在接收端对加密数据解码。
IPsec对数据流加密,这种方式非常方便和灵活,也提高了数据包的安全。
通过这种方式可以有效的防止网络攻击。
IPsec加密的数据很难破解,根据不同级别的保密要求,在它的策略中可以根据不同的等级配置不同的密码强度.使用它可以明显的减少网络攻击.第三层的保护方式几乎不需要其他额外的支出就可以实现安全方式。
在现有的操作系统上无需要做更改,安全策略就可以在主机上实现管理。
IPsec策略在ISO/OSI参考模型的第三层上实施安全策略,它的范围包括了所有IP协议和上层协议,还有网络层发送的自定义协议。
这一层的安全防护不需要对系统本身做相关的修改。
IPsec协议基本类型
IPsec包含数据加密和用户认证两种机制.认证机制是为了确认发送方的真实身份。
加密数据的最终原因是保证数据的安全性,防止非法用户将数据篡改,将数据多次编码,ESP协议定义了加密和可选择的认证方式。
在实际的通信过程中,AH的解密和认证强度要高于ESP。
(1)AH认证头协议结构
AH协议是为数据通信提供了源地址认证,数据完整性检测,以及重放校验,它的目的是保证数据不被非法修改,如果有非法接入者窃听是不能防止的。
它只是适合传输一些保密要求较低的数据,原理很简单,只是在数据包头部添加一个报头,但它是带了一个密钥,所发送和接收的数据包计算,如果有一个字母被修改,它将变为无效数据包,
这样做的目的就是要保障数据完整性,认证报头的位置处于报头和传输层协议中间。
认证头处于报头和传输层协议之间,如图1.2所示。
图1.2
AH报头字段包含:
下一个报头:
它的作用是标识出下一个协议的数据报头文件。
长度:
主要描述AH报头的长度。
安全索引参数:
它的作用是给数据包提供一种方法
如图1。
3所示,AH报头的位置处于IP数据报头的后边,它的目的是为了保证数据完整性不被破坏。
如果一些可变的值发生变化,就在完整性检查时去掉这些字段的值。
图1。
3
(2)ESP安