vpn在实际生活中的应用论文.docx
《vpn在实际生活中的应用论文.docx》由会员分享,可在线阅读,更多相关《vpn在实际生活中的应用论文.docx(29页珍藏版)》请在冰豆网上搜索。
vpn在实际生活中的应用论文
厚德树人 笃学致用
******************************************************************
遵义师范学院毕业论文(设计)
题目VPN技术在企业网络中的应用
类别设计
院别计算机与信息科学学院
专业计算机科学与技术
年级2011级
姓名郑金彩
学号114090102006
指导教师周铭
2015年4月12日
目录
摘要1
关键字1
1VPN技术概述1
1.1VPN概念1
1.2VPN的优点1
1.3VPN的商业价值2
2VPN中的关键技术分析3
2.1隧道技术概述3
2.2隧道技术的分类3
2.3VPN中的不同协议之间的比较4
3VPN的方案分类5
3.1企业内部虚拟网(InternetVPN)5
3.2企业扩展虚拟网(ExtranetVPN)5
3.3远程访问虚拟网(AccessVPN)6
4VPN技术在实际企业中的运用7
4.1应用需求分析7
4.2网络结构与功能描述7
4.3网络拓扑结构图8
4.4IP地址规划与划分9
4.5利用InternetVPN实现分部对总部的访问10
4.5.1InternetVPN技术的规划与设计10
4.5.2实现配置与调试11
4.5.2.1总部端路由器的配置11
4.5.2.2分部端路由器的配置12
4.6利用AccessVPN实现远程访问13
4.6.1AccessVPN技术的规划与设计13
4.6.2实现配置与调试14
4.6.2.1服务器端配置(在ISA服务器上建立远程站点)14
4.6.2.2客户端配置23
5总结27
参考文献29
VPN技术在企业网络中的应用
郑金彩
摘要:
随着经济的全球化发展,经济发展对互联网的需求越来越国际化和市场化,使大量的网络经济活动应运而生。
最主要的是,在经济不断发展的今天,企业的不断壮大,对于网络技术上的运用也随之提高,这些发展使得VPN技术在网络经济中得到前所未有的发展。
各行企业开始允许其分部以及在外出差需要远程访问人员等对企业的内部局域网进行访问,以此来减少企业内部信息传输的繁琐过程,加快信息传递的速度。
而传统的基于定点的企业网连接方式,这些企业网的连接方式不仅要依靠网络来维持,而且还需要加强其繁琐的企业分部和相互间网络基础设施互不兼容问题导致的很多信息威胁和安全隐患。
虚拟专用网(VPN)以其独特的网络连接优势,解决了企业总部、分部以及外地出差远程办公人员之间信息资源共享的安全性和密保性问题。
赢得许多企业的青睐和成为企业发展中互联网络运用的不二之选。
关键字:
VPN;关键技术分析;VPN的方案策略;VPN的现实运用
1VPN技术概述
1.1VPN概念
VPN是“Virtual Private Network”的缩写,即是指“虚拟专用网”。
虚拟是指用户不需要真正拥有现实生活中的实际网络长度的数据线路,而是可以通过使用Internet搭建的公共数据网络的虚拟长度数据线路。
专用网络则是指用户可以根据自己的需求为自己定制一个最符合自己使用的专业的专用网络[1]。
因而虚拟专用网指的是依靠在ISP(Internet服务提供商)和其他NSP(网络服务提供商)这两个主要提供商上搭建公网平台,并在其中运用了专业的的数据网络通信技术。
同时也指在公共通信基础设施上构建的虚拟专用或私有网,可以被认为是一种公共网络中隔离出来的网络[2]。
可以说虚拟专用网(VPN)是各行业企业内部网扩展中一个不可或缺的重要服务技术平台。
利用其强大的通信技术服务,能够实现外地办公需远程访问企业总部内部信息资源的用户和企业分部对公司内部网的访问搭建一条安全可信的连接隧道,并且保证数据传输中的密保性。
1.2VPN的优点
1、成本花费低:
根据调查,在LAN(局域网)连接时,用虚拟专用网(VPN)比使用专业设备连接时的成本要节省大约35%~55%,而对于远程访问用户而言,用虚拟专用网(VPN)比直接布线拨入到企业内部网络节省大约65%~85%的成本。
虚拟专用网(VPN)通过本地ISP搭建的远程VPN服务实现了这种直线拨入,只需在企业中心站和当地ISP铺设一条专线就实现了搭建应用的环境,这远比传统各个站点都需铺设长途专线要节约很大的人力和物力资源,继而成本花费就低廉得多。
2、安密保性高:
vpn利用其在专有的属性特点,在IP地址访问的连接之间搭建了一条网络连通隧道,采用专业的数据传输密钥技术对数据包进行加密,从而使其能安全的通过隧道传输,以此来确保在传输的过程中数据只被用户指定的数据接受者和发送者看到相应的协议。
以此保证了数据传输的私有性和密保性。
随着网络经济的发展,对VPN实现的技术越来越多,但这些技术都遵循一条原则,即必须保证VPN均能通过公网平台对数据传输且保证其安全性。
3、适用功能强:
由于现代信息传输时,不单单是数据的传输,还包括图片、语音、甚至是视频等的传输。
这就要求我们的VPN隧道必须能够支持同时满足以上这些信息的传输需求。
VPN通过其强大的带宽调节能力,对于不同的信息传输分配不同的带宽量,来完成各种信息传输。
4、管理柔性大:
VPN是一个使用方便,维护更加方便的网络连接平台,由于其安全的网络隧道通信技术,使其在管理方面容易适用总体设备的搭配。
企业只需网络通过局域网将管理功能完整安全的连接到公网上,甚至是只需连接上分部或是远程办公人员即可,这样会有专门针对性的管理协议来对其进行管理。
由于其管理上的柔和性,使其成为各行企业进行网络连接的不二之选。
1.3VPN的商业价值
在服务上:
VPN为企业提供了安全可靠的InternetVPN访问服务和ISAserver访问服务,使企业能方便、快捷的通过企业内部接口网络成为企业的一个子网,从而企业即可不必建立专属的访问途径,这样为企业能方便、快捷的访问内部信息资源。
对于一般用户来说,VPN的商业价值有如下几点:
1.为用户降低投资成本
企业分部要实现对总部的信息资源访问,只需先向当地的服务供应商(ISP)申请一个符合企业内部需求的VPN访问IP地址(ISP是通过向国际网络组织先预先申请有相关条件的IP地址企业申请的是符合公司规格相对应的),然后企业通过Internet搭建网络访问隧道,来实现其内部网络之间的互联。
同时对于外出办公人员,在企业申请过IP地址之后,办公人员只需建立与总部相连的远程访问连接,设置连接中的相关密码和用户名,在连接的时候输入设置的密码和用户名正确之后,就可以实现对企业内部信息的访问。
这样方便而便捷的连接方式,是企业节约了购买大批设备的投资费用。
2.用户数据传输的密保性
VPN中数据时,要保证其数据传输的安全性。
VPN在传输过程中采用了隧道加密技术,使通过Internet隧道上传输的用户只能够粗略的观察到企业外部网上的虚拟IP地址,而且还防止了VPN中传输的数据包不被其他非授权用户非法探测,然而真正的IP地址在密钥的保护下,成功的、完整的实现了数据的安全传输。
实现加密技术是由于所有要传输的流量均经过了严谨的加密和压缩后才在网络中进行传输的,这为用户进行信息共享提供了很高的安全性保护。
3.带宽及网络协议支持
在进行用户访问的时候,用户会有不同的访问需求,这时用户可以根据自己对带宽的不同需求,选择本地服务供应商所提供的任何宽带接入技术,不论在信息化覆盖面比较窄的小区或是专业的网络办公地区,只要Internet能够接入,VPN都支持这些网络协议访问。
总之,随着现代信息技术的不断发展,虚拟运营商也随之不断的进入到虚拟VPN服务领域,被更多的企业所认识和运用。
VPN可以说是现代通信技术上的一个重大的突破,它使得信息资源在裸露而又不安全的网络中,通过搭建隔离虚化的隧道来保证其安全、完整的。
现在,国内的VPN日趋发展壮大,从原来的小企业延伸向运输业、保险业、银行业、大型制造业以及连锁分店等企业,这既是一种网络通信技术上的成就和突破跟进,也是社会市场经济发展的必然要求。
从而使得虚拟专用网(VPN)的商业价值到了前所未有的发展。
2VPN中的关键技术分析
2.1隧道技术概述
在搭建虚拟局域网的时候,由于公网IP地址的不安全性,使用户的使用的时候一般会保留一部分地址来作为其内部的IP地址,但由于截取的是一些片段地址,导致这些保留下来的地址无法在信息访问的时候通过Internet被路由。
因此,为了其在公网上的IP被路由能实现,我们一般要用到VPN中的隧道技术。
2.2隧道技术的分类
VPN隧道是由各种隧道协议组成的,分为三层隧道协议,它们之间的本质区别在于用户的数据包是被封装在哪一层隧道协议中传输。
其中第二层隧道协议是先把各种网络协议封装到PPP中,然后再把整个数据包封装到隧道协议中。
这种双层封装方式就是要在第二层隧道协议中去完成。
第二层隧道协议分别有L2F、PPTP、L2TP。
而我们的第三层隧道协议则是把各种网络协议直接装入隧道协议中。
第三层主要是用来作为从网络协议中形成的数据包传输隧道。
第三层隧道协议的分类有两种,分别有GRE、VTP[5]。
1)PPTP协议:
PPTP协议又称点对点隧道协议,是一种网络协议,也是VPN的基础,PPTP支持通过公网平台搭建多协议的、需求的虚拟专用网络(VPN)。
PPTP的封装通常是在PPP/SLIP中进行的,PPTP还允许对IP地址通讯进行算法加密,然后通过搭建的通道跨越公司的内部IP网络或是绕开公共IP网络,从而实现对数据报IP头部进行安全封装。
PPTP最大的作用是,在连接的时候只需要对之前设置的PPTP的身份验证协议进行身份验证登陆就可以了。
2)L2F协议:
L2F可在多种介质中(如ATM、中帧继、IP网)上建立多协议的安全专用虚拟局域网,它将链路层的协议封装起来传送,因此,网络的链路层完全独立于用户的链路层协议[7]。
3)L2TP协议:
目前L2TP协议是IETE协议唯一的标准,是IETE协议通过融合PPTP协议与L2F协议而形成的,它结合了L2F协议与PPTP协议在运用上的一些优点,基本上能实现L2F协议与PPTP协议在运用上能实现的和可以实现的所有功能,并且使用起来比之更加的灵活多变和强大可靠。
4)IPSec协议:
IPSec协议是使用在IP地址层,为其他隧道提供安全服务的一套协议族,IPSec协议的主要功能是认证报头和完成负载ESP的封装的,因此它提供了对所有链路层上的数据传输的透明服务和安全保护。
AH是用于在通信双方验证数据传输的过程中是否被更改以及验证发送方的身份。
实现访问的控制、数据的完整性、数据源的认证等功能。
ISAKMP则是用于通信双方协商加密的密钥和加密算法,并且用户的公钥和私钥都是由共同信任的第三方产生,IPSec协议上的L2TP连接不仅需要相同用户级别身份验证,而且还必须需要使用计算机凭据进行计算机级别身份验证[8]。
2.3VPN中的不同协议之间的比较
VTP、GRE和L2F、PPTP、L2TP,它们都各自有自己的优点,但对于隧道的加密和数据的加密问题它们都是密钥的最佳方案。
与PPTP相比,L2TP能够提供差错和流量的监控,两者共同的缺点:
认证的都只是终端的实体,采取密钥对信息流进行认证,而对于地址欺骗和非法复制包却难以防范;又由于缺乏认证信息,如果向通道发送了一些错误的信息,则有可能导致服务的关闭,这也是成为常用的攻击手段[9]。
GRE协议没有真正加密技术功能,其仅仅是靠对数据包进行封装,以此来防御非授权用户对传输网络信息的侦探测以及黑客的入侵与攻击,在实际的网络运用环境中,GRE协议常和IPSec协议一起搭配使用,IPSec协议负责对用户的数据进行加密,GRE协议则进行搭建通道,从而不仅为用户数据传输提供了安全保障和而且创建了传输通道。
如果IPSec结合多种安全技术,就可以建立了一个可靠的隧道,这些隧道技术包括Diffie-Hellman密钥交换技术,DES、RC4、IDEA等数据加密技术。
IPSec不仅可以保证隧道的安全性,同时还有一整套保证用户数据传输的安全措施,由此建立的隧道更具有安全性和可靠性。
IPSec还可以和L2TP、GRE等其他隧道一起使用,提供更大的灵活性和可用性。
基于IPSec协议的特殊功能,IPSec协议可以不受任何网络的限制在网络中运行,IPSec是作为目前最满意的解决方案[10]。
3VPN的方案分类
VPN共有三个方案分类,用户在运用的时候可以根据自己的实际情况进行不同的选择。
这三种方案分类分别是:
企业内部虚拟网(InternetVPN)、企业扩展虚拟网(ExtranetVPN)和远程访问虚拟网(AccessVPN),这三种类型的虚拟网分别对应着企业内部以Internet建立访问通道的企业网和传统的远程访问网络。
3.1企业内部虚拟网(InternetVPN)
由于InternetVPN的特殊性,InternetVPN是解决企业在外出差人员对总部的访问以及各部对总部的信息访问最好的方法。
目前越来越多的企业随着规模的不断扩大和经济的不断发展,其全国甚至全世界范围内建立的各种分部和出差人员的增多,企业对InternetVPN的使用就更加迫切。
其主要的运行功能是利用Internet上的专用线路来保证网络之间的互联性,又利用VPN中的一些隧道协议和加密特性来保证信息在整个InternetVPN上的安全传输。
企业必须要达到拥有与专用网络的相同的政策,其包括安全性、服务质量保证、以及可靠性等[11]。
如图1所示:
图1InternetVPN结构图
3.2企业扩展虚拟网(ExtranetVPN)
在这个经济日益发展,科技日益创新的通信时代,对传输中信息的安全、完整越来越受各个企业的关注与重视。
而ExtranetVPN是解决企业分部对总部信息资源安全安全访问最好的方法。
因为ExtranetVPN运用各种方式去了解客户的不同需求,从而能判断出客户需要实现的是那些功能。
ExtranetVPN为用户使用访问服务提供了隧道空间和安全密钥的作用,因此其成为企业网络连接上的首选方法。
但是如何利用Internet进行有效的信息管理,则是企业发展中一个不可避免的关键性问题。
利用VPN虚拟技术可以组建安全的扩展虚拟网,这样既可以向客户、运营商提供有效的信息服务,又可以保证VPN自身的内部网络安全[3]。
如图2所示:
图2ExtranetVPN结构图
3.3远程访问虚拟网(AccessVPN)
AccessVPN是指远程办公用户可以随时随地以其所需要的方式访问企业的内部资源,并且总部也能够安全的连接到移动用户,远程工作者或分支机构。
AccessVPN是通过一个拥有与专用网络相同策略的共享基础设施,来提供对企业内部网或外部网的远程访问。
AccessVPN是用户可以不受地域、时间、空间的限制而自由的进行企业内部信息资源的访问。
AccessVPN包括ISDN、虚拟、数字线路用户(xDSL)、拨号,电缆技术和移动IP[13]。
如图3所示
图三AccessVPN结构图
4VPN技术在实际企业中的运用
VPN在实际企业中的实现方案设计有很多种,企业可以根据实际的应用需求,使用户资源能在安全、快捷的现状下进行访问和共享,能最大程度满足用户的实际需求。
而此次论文中,以一个中小型企业为例,一方面,通过构建企业内部虚拟网(InternetVPN),使得处于不同地理位置的企业总部网络与分部网络通过VPN专线连接起来,满足总公司与分公司的信息访问需求;另一方面,通过构建公司远程访问虚拟网(AccessVPN),建立一个基于PPTP技术的VPN服务,实现外网终端用户的远程接入,以满足在外出差人员远程访问公司内部网络应用的需求。
4.1应用需求分析
在经济不断发展的今天,人们的经济来源越来越多样化。
在这样的社会背景下,如何方便安全的使用网络,成为了人们日益关注的重点。
企业关注的是,依托互联网,能实现企业总部。
各分部和外地出差需进行远程办公人员能跨时空、跨地域的进行信息交流,促进信息资源安全便捷的共享,提高企业的运作效率和互联网运用的安全性。
企业的具体需求如下:
1、要实现企业总部与各分部的访问设备环境,VPN通过联机搭建基于路由器的InternetVPN连接协定,来解决用户在网络连接过程中网速因被病毒入侵、黑客攻击而受影响,确保数据的快捷、安全的传输。
2、在外出差或想要访问总部内部信息的办公人员可通过构建企业自身AccessVPN接入平台,使得外出人员和公司的内部VPNServer建立私有隧道连接或使用PPTP或IPSec方式来连回企业网路。
4.2网络结构与功能描述
网络结构:
为了使企业各个分部与总部的安全互连,需要在总部及各分部出口处部署专业VPN网关。
在企业总部部署两台专业的高速VPN网关,实现双机冗余。
总部VPN网关需要汇聚企业下的所有分部,所以在实际部署时要考虑网络带宽方面的资源足够。
根据企业对信息资源安全传输的需求,在部署设备时需要其能实现严格的边界防护和访问控制功能,应在企业的接入边界部署安全网关设备,实现企业总部和子公司之间的访问能进行数据强制访问控制,防范非授权用户的访问和攻击行为,且实现比访问控制列表(AccessControlList,ACL)和VLAN更好的处理效率。
不同的网络安全边界应该通过部署安全网关设备来实现各安全域之间的逻辑隔离和访问控制。
在企业Internet链路上,需部署一台上网行为管理系统,对企业用户的上网行为进行监控和审计;同时,要求该系统能提供硬件防毒墙的功能,对通Interne和VPN的进入企业内部的邮件、信息等进行扫描和杀毒,防止病毒感染。
实现功能如下:
1、虚拟专用网(VPN)技术可以使企业总部与分部之间以及合作伙伴之间通过VPN联机,以确保数据的安全传输。
2、可以满足公司的出差人员与总部、分公司之间的信息交流需求。
3、可以对总部内部网络信息传输实施访问控制。
VPN网络通过设备技术策略对访问的PC进行严格的访问监控机制。
4、可以抵御外网黑客、木马、病毒等外来不明物的入侵,起到防护作用。
虚拟专用网(VPN)还具有控制和限制安全机制和措施,具备防火墙和抗攻击等功能。
5、公司应用的虚拟专用网(VPN)部署灵活便捷、维护方便,还有强大的管理功能,以减少系统的维护量来适应大规模组网的需要,从而方便用户应用,商家出售。
4.3网络拓扑结构图
使用路由器作为VPN接入设备的网络连接,目前,使用安全设备作为局域网Internet接入设备已经成为企业网络经济发展中最常用的连接方式之一,路由器能提供接入设备功能,但是路由器不能同时接入VPN防护设备和Internet连接设备,所以需要在网络出口的边缘处部署分别用于Internet接入的安全设备服务器,或者只使用路由器作为VPN防护接入和Internet连接接入其中之一的设备。
这样VPN客户端同样可以通过Internet或其他公网平台,实现与公司内部网络接入的安全连接。
InternetVPN为企业提供总部与各分部和外地出差员工访问连接的机会。
通过ISA服务器提供的专用IP地址来实现公司业务上访问的需求。
ISA服务器为企业提供了多层次的企业安全防护功能,来帮助企业内部网络信息资源在共享时受到病毒的入侵、黑客的攻击以及XX用户的非法访问。
还为组织提供了在每个用户访问的基础上对其控制和监视的综合能力。
用做总部访问的VPN服务器的外部接口IP地址为58.42.32.166/26,内部接口的IP地址为172.16.0.0/22,分部VPN服务器的外部接口IP地址为119.20.4.6/24,,内部接口的IP地址为192.168.2.0/24。
企业在通信过程中,为了保证总公司与分公司、总公司与外地出差人员的信息安全访问,通过构建基于InternetVPN的隧道,使各个接口端能通过隧道服务安全的访问到公司的内部关键信息,随时随地共享公司资源,提高工作效率,减少工作量。
其主要设计图形如下图4所示:
图4vpn组建方案网络拓扑图
4.4IP地址规划与划分
要实现网络信息的安全、快捷访问,IP地址的合理规划很必要。
因此必须对IP地址的规划进行统一、规范的划分。
所以,IP地址规划必须遵循以下原则:
1、唯一性原则:
一个IP地址网络中不允许有两个主机同时采用两个相同的IP地址,这样会使其地址在跳转过程中出现差错;
2、连续性原则:
连续的地址可以缩减路由表,提高路由算法的效率;
3、扩展性原则:
在进行网络互连的时候要有足够的空间来保证在网络规模扩展时地址叠合之后所占用的大量空间地址;
4、实意性原则:
使其能达到举一反三的效果,当看到其中一个地址时,可以根据这个地址的一些特性大致判断出该地址所属的设备类型及其实际的含义。
在进行公司IP地址的规划时,通过向ISP提出申请,由ISP分配公网地址给公司的总部和分部网络使用;这样,公司总部外网接口、分部外网接口与ISAServer服务器外网接口均设置成一个公有IP地址,从而实现公司总部、分部的网络与Internet的互联。
内部网络均设置为私有IP地址,具体的IP地址划分如下:
1、企业总部
外部网络
IP:
58.42.32.166/26//路由器外网接口地址
IP:
58.42.32.167/26//ISA服务器外网卡地址
内部网络
IP:
172.16.0.0/22
2、分部
外部网络:
IP:
119.20.4.6/24
内部网络
IP:
192.168.2.0/24
3、远程PPTPVPN用户地址范围
IP:
172.16.4.0/24
4.5利用InternetVPN实现分部对总部的访问
4.5.1InternetVPN技术的规划与设计
利用VPN特性可以在Internet上组建世界范围内的InternetVPN。
其主要的运行功能是利用InternetVPN上的专用通道来保证网络之间的互联,又利用VPN中的一些隧道协议和密保特性来保证信息在整个InternetVPN平台上的安全传输。
边界网关路由器主要有三个方面的作用:
1、通过在总部和分部路由器上配置VPN,在互联网上建立一条逻辑专线,连接总部网络与分部网络,使得分部网络逻辑上成为总部网络的一个内部子网,从而实现分部网络快速、安全访问总部网络资源。
2、实施NAT网络接入,使各分部的内网用户能够高效地访问到外网和外网服务器上,且为了让外部用户能够快速地访问企业内部资源,要求该路由器具备较高的性能。
3、实施带宽管理策略,即充分保障各分部和外地出差人员对总部公网访问的公平性。
使网络出口带宽不会被单一用户独自占完,并且在公平分配带宽的同时给每个用户的同时,还要充分考虑设备能够最大限度的实施其弹性带宽的策略,即在用户对外网访问的信息点数量比较少时,使每个用户能分配到出口带宽是最大的,而在用户对外网访问的信息点数量比较多时,每个用户能尽可能平均分配出口带宽,不至于使一些急需带宽用户处于焦急等待中。
所以在实施的过程中,采用在总部和各分部之间搭建一个基于路由器的InternetVPN连接。
使各分部能实现向总部进行请求访问,从而实现网络信息资源的共享和互访。
VPN主要规划如下图5所示:
图5VPN规划图
4.5.2实现配置与调试
企业总部网络和分部网络分别通过边界网关路由器与Internet相连,通过在这两台路由器之间使用GREV
升级会员 