ImageVerifierCode 换一换
格式:DOCX , 页数:23 ,大小:868.84KB ,
资源ID:18679085      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/18679085.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(VPN技术在局域网中的应用毕业论文1Word文档格式.docx)为本站会员(b****5)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

VPN技术在局域网中的应用毕业论文1Word文档格式.docx

1、虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网络建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的网络上,一个企业的虚拟专用网解决方案也将大幅度的减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专

2、用网。1.2 VPN的工作原理 把因特网用作专用广域网,就要克服两个主要障碍。首先,网络经常使用多种协议如IPX和NetBEUI进行通信,但因特网只能处理IP流量。所以,VPN就需要提供一种方法,将非IP的协议从一个网络传送到另一个网络。其次,网上传输的数据包以明文格式传输,因而,只要看得到因特网的流量,就能读取包内所含的数据。如果公司希望利用因特网传输重要的商业机密信息,这显然是一个问题。VPN克服这些障碍的办法就是采用了隧道技术:数据包不是公开在网上传输,而是首先进行加密以确保安全,然后由VPN封装成IP包的形式,通过隧道在网上传输,如图1-1所示:图1-1 VPN工作原理图源网络的VPN

3、隧道发起器与目标网络上的VPN隧道发起器进行通信。两者就加密方案达成一致,然后隧道发起器对包进行加密,确保安全(为了加强安全,应采用验证过程,以确保连接用户拥有进入目标网络的相应的权限。大多数现有的VPN产品支持多种验证方式)。最后,VPN发起器将整个加密包封装成IP包。现在不管原先传输的是何种协议,它都能在纯IP因特网上传输。又因为包进行了加密,所以谁也无法读取原始数据。在目标网络这头,VPN隧道终结器收到包后去掉IP信息,然后根据达成一致的加密方案对包进行解密,将随后获得的包发给远程接入服务器或本地路由器,他们在把隐藏的IPX包发到网络,最终发往相应目的地。1.3 VPN的研究背景和意义随

4、着网络,尤其是网络经济的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况促使了企业的效益日益增长,另一方面也越来越凸现传统企业网的功能缺陷:传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下,VPN以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。虽然VPN在理解和应用方面都是高度复杂的技术,甚至确定其是否适用于本公司也一件复杂的事件,但在大多数情况下VPN的各种实现方法都可以应用于

5、每个公司。即使不需要使用加密数据,也可节省开支。因此,在未来几年里,客户和厂商很可能会使用VPN,从而使电子商务重又获得生机,毕竟全球化、信息化、电子化是大势所趋。 2 VPN的应用领域和目标2.1 VPN的主要应用领域利用VPN技术几乎可以解决所有利用公共通信网络进行通信的虚拟专用网络连接的问题。归纳起来,有以下几种主要应用领域。(1)远程访问远程移动用户通过VPN技术可以在任何时间、任何地点采用拨号、ISDN、DSL、移动IP和电缆技术与公司总部、公司内联网的VPN设备建立起隧道或密道信,实现访问连接,此时的远程用户终端设备上必须加装相应的VPN软件。推而广之,远程用户可与任何一台主机或网

6、络在相同策略下利用公共通信网络设施实现远程VPN访问。这种应用类型也叫Access VPN(或访问型VPN),这是基本的VPN应用类型。不难证明,其他类型的VPN都是Access VPN的组合、延伸和扩展。(2)组建内联网一个组织机构的总部或中心网络与跨地域的分支机构网络在公共通信基础设施上采用的隧道技术等VPN技术构成组织机构“内部”的虚拟专用网络,当其将公司所有权的VPN设备配置在各个公司网络与公共网络之间(即连接边界处)时,这样的内联网还具有管理上的自主可控、策略集中配置和分布式安全控制的安全特性。利用VPN组建的内联网也叫Intranet VPN。Intranet VPN是解决内联网结

7、构安全和连接安全、传输安全的主要方法。(3)组建外联网 使用虚拟专用网络技术在公共通信基础设施上将合作伙伴和有共同利益的主机或网络与内联网连接起来,根据安全策略、资源共享约定规则实施内联网内的特定主机和网络资源与外部特定的主机和网络资源相互共享,这在业务机构和具有相互协作关系的内联网之间具有广泛的应用价值。这样组建的外联网也叫Extranet VPN。Extranet VPN是解决外联网结构安全和连接安全、传输安全的主要方法。若外联网VPN的连接和传输中使用了加密技术,必须解决其中的密码分发、管理的一致性问题。2.2 VPN的设计目标在实际应用中,一般来说一个高效、成功的VPN应具备以下几个特

8、点:(1)安全保障 虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。 (2)服务质

9、量保证(QoS)VPN网络应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要

10、求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。(3)可扩充性和灵活性VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。(4)可管理性从用户角度和运营商的角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务

11、交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。3 实现VPN的关键技术和主要协议3.1 实现VPN的关键技术(1)隧道技术隧道技术(Tunneling)是VPN的底层支撑技术,所谓隧道,实际上是一种封装,就是将一种协议(协议X)封装在另一种协议(协议Y)中传输,从而实现协议X对公用网络的透明性。这里协议X被称为被封装协议,协议Y被称为封装协议,封装时一般还要加上特定的隧道控制信

12、息,因此隧道协议的一般形式为(协议Y)隧道头(协议X)。在公用网络(一般指因特网)上传输过程中,只有VPN端口或网关的IP地址暴露在外边。隧道解决了专网与公网的兼容问题,其优点是能够隐藏发送者、接受者的IP地址以及其它协议信息。VPN采用隧道技术向用户提供了无缝的、安全的、端到端的连接服务,以确保信息资源的安全。隧道是由隧道协议形成的。隧道协议分为第二、第三层隧道协议,第二层隧道协议如L2TP、PPTP、L2F等,他们工作在OSI体系结构的第二层(即数据链路层);第三层隧道协议如IPSec,GRE等,工作在OSI体系结构的第三层(即网络层)。第二层隧道和第三层隧道的本质区别在于:用户的IP数据

13、包被封装在不同的数据包中在隧道中传输。第二层隧道协议是建立在点对点协议PPP的基础上,充分利用PPP协议支持多协议的特点,先把各种网络协议(如IP、IPX等)封装到PPP帧中,再把整个数据包装入隧道协议。PPTP和L2TP协议主要用于远程访问虚拟专用网。第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠网络层协议进行传输。无论从可扩充性,还是安全性、可靠性方面,第三层隧道协议均优于第二层隧道协议。IPSec即IP安全协议是目前实现VPN功能的最佳选择。(2)加解密认证技术加解密技术是VPN的另一核心技术。为了保证数据在传输过程中的安全性,不被非法的用户窃取或篡改,一般都在传输之

14、前进行加密,在接受方再对其进行解密密码技术是保证数据安全传输的关键技术,以密钥为标准,可将密码系统分为单钥密码(又称为对称密码或私钥密码)和双钥密码(又称为非对称密码或公钥密码)。单钥密码的特点是加密和解密都使用同一个密钥,因此,单钥密码体制的安全性就是密钥的安全。其优点是加解密速度快。最有影响的单钥密码就是美国国家标准局颁布的DES算法(56比特密钥)。而3DES(112比特密钥)被认为是目前不可破译的。双钥密码体制下,加密密钥与解密密钥不同,加密密钥公开,而解密密钥保密,相比单钥体制,其算法复杂且加密速度慢。所以现在的VPN大都采用单钥的DES和3DES作为加解密的主要技术,而以公钥和单钥

15、的混合加密体制(即加解密采用单钥密码,而密钥传送采用双钥密码)来进行网络上密钥交换和管理,不但可以提高了传输速度,还具有良好的保密功能。认证技术可以防止来自第三方的主动攻击。一般用户和设备双方在交换数据之前,先核对证书,如果准确无误,双方才开始交换数据。用户身份认证最常用的技术是用户名和密码方式。而设备认证则需要依赖由CA所颁发的电子证书。 目前主要有的认证方式有:简单口令如质询握手验证协议CHAP和密码身份验证协议PAP等;动态口令如动态令牌和X.509数字证书等。简单口令认证方式的优点是实施简单、技术成熟、互操作性好,且支持动态地加载VPN设备,可扩展性强。(3)密钥管理技术密钥管理的主要

16、任务就是保证在开放的网络环境中安全地传递密钥,而不被窃取。目前密钥管理的协议包括ISAKMP、SKIP、MKMP等。Internet密钥交换协议IKE是Internet安全关联和密钥管理协议ISAKMP语言来定义密钥的交换,综合了Oakley和SKEME的密钥交换方案,通过协商安全策略,形成各自的验证加密参数。IKE交换的最终目的是提供一个通过验证的密钥以及建立在双方同意基础上的安全服务。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥。IKE协议是目前首选的密钥管理标准,较SKIP而言,其主要优势在于定义更灵活,能适应不同的加密密钥。IKE协议的缺点是它虽然提供了强

17、大的主机级身份认证,但同时却只能支持有限的用户级身份认证,并且不支持非对称的用户认证。(4)访问控制技术虚拟专用网的基本功能就是不同的用户对不同的主机或服务器的访问权限是不一样的。由VPN服务的提供者与最终网络信息资源的提供者共同来协商确定特定用户对特定资源的访问权限,以此实现基于用户的细粒度访问控制,以实现对信息资源的最大限度的保护。访问控制策略可以细分为选择性访问控制和强制性访问控制。选择性访问控制是基于主体或主体所在组的身份,一般被内置于许多操作系统当中。强制性访问控制是基于被访问信息的敏感性。3.2 VPN的主要安全协议在实施信息安全的过程中,为了给通过非信任网络的私有数据提供安全保护

18、,通讯的双方首先进行身份认证,这中间要经过大量的协商,在此基础上,发送方将数据加密后发出,接受端先对数据进行完整性检查,然后解密,使用。这要求双方事先确定要使用的加密和完整性检查算法。由此可见,整个过程必须在双方共同遵守的规范( 协议) 下进行。VPN区别于一般网络互联的关键是隧道的建立,数据包经过加密后,按隧道协议进行封装、传送以保证安全性。一般,在数据链路层实现数据封装的协议叫第二层隧道协议,常用的有PPTP , L2TP 等;在网络层实现数据封装的协议叫第三层隧道协议,如IPSec。另外,SOCKSv5协议则在TCP层实现数据安全。 3.2.1 PPTP/L2TP1996年,Micros

19、oft和Ascend等在PPP 协议的基础上开发了PPTP , 它集成于Windows NT Server4.0中,Windows NT Workstation 和Windows 9.X也提供相应的客户端软件。PPP支持多种网络协议,可把IP 、IPX、AppleTalk或NetBEUI的数据包封装在PPP包中,再将整个报文封装在PPTP隧道协议包中,最后,再嵌入IP报文或帧中继或ATM中进行传输。PPTP提供流量控制,减少拥塞的可能性,避免由于包丢弃而引发包重传的数量。PPTP的加密方法采用Microsoft点对点加密(MPPE: Microsoft Point-to- Point) 算法,

20、可以选用较弱的40位密钥或强度较大的128位密钥。1996年,Cisco提出L2F(Layer 2 Forwarding)隧道协议,它也支持多协议,但其主要用于Cisco的路由器和拨号访问服务器。1997年底,Microsoft 和Cisco公司把PPTP 协议和L2F协议的优点结合在一起,形成了L2TP协议。L2TP支持多协议,利用公共网络封装PPP帧,可以实现和企业原有非IP网的兼容。还继承了PPTP的流量控制,支持MP(Multilink Protocol),把多个物理通道捆绑为单一逻辑信道。L2TP使用PPP可靠性发送(RFC 1663)实现数据包的可靠发送。L2TP隧道在两端的VPN

21、服务器之间采用口令握手协议CHAP来验证对方的身份,L2TP受到了许多大公司的支持。PPTP/L2TP协议的优点: PPTP/L2TP对用微软操作系统的 用户来说很方便,因为微软己把它作为路由软件的一部分。PPTP/ L2TP支持其它网络协议。如NOWELL的IPX,NETBEUI和APPLETALK协议,还支持流量控制。 它通过减少丢弃包来改善网络性能,这样可减少重传。PPTP/ L2TP协议的缺点:PM和L2TP 将不安全的IP包封装在安全的IP包内,它们用IP帧在两台计算机之间创建和打开数据通道,一旦通道打开,源和目的用户身份就不再需要,这样可能带来问题,它不对两个节点间的信息传输进行监

22、视或控制。PPTP和L2TP限制同时最多只能连接255个用户,端点用户需要在连接前手工建立加密信道,认证和加密受到限制,没有强加密和认证支持。PPTP/ L2TP最适合于远程访问VPN。 3.2.2 IPSec协议IPSec是IETF(Internet Engineer Task Force) 正在完善的安全标准,它把几种安全技术结合在一起形成一个较为完整的体系,受到了众多厂商的关注和支持。通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec由IP认证头AH(Authentication Header)、IP安全载荷封载ESP(Encapsulated Secur

23、ity Payload)和密钥管理协议组成。IPSec协议是一个范围广泛、开放的虚拟专用网安全协议。IPSec 适应向IPv6迁移, 它提供所有在网络层上的数据保护,提供透明的安全通信。IPSec用密码技术从三个方面来保证数据的安全。即: 认证:用于对主机和端点进行身份鉴别。 完整性检查:用于保证数据在通过网络传输时没有被修改。 加密:加密IP地址和数据以保证私有性。IPSec协议可以设置成在两种模式下运行:一种是隧道模式,一种是传输模式。 在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧 中,这样保护从一个防火墙到另一个防火墙时的安全性。在隧道模式下,信息封装是为了保护端到端的安全

24、性,即在这种模式下不会隐藏路由信息。隧道模式是最安全的,但会带来较大的系统开销。IPSec现在还不完全成熟,但它得到了一些路由器厂商和硬件厂商的大力支持。预计它今后将成为虚拟专用网的主要标准。IPSec有扩展能力以适应未来商业的需要。在1997年底,IETF安全工作组完成了IPSec 的扩展, 在IPSec协议中加上ISAKMP(Internet Security Association and Kay Management Protocol)协议,其中还包括一个密钥分配协议Oakley。ISAKMP/Oakley支持自动建立加密信道,密钥的自动安全分发和更新。IPSec也可用于连接其它层己存

25、在的通信协议,如支持安全电子交易(SET:Secure Electronic Transaction)协议和SSL(Secure Socket layer)协议。即使不用SET或SSL,IPSec 都能提供认证和加密手段以保证信息的传输。4 实例分析VPN的具体实现方案有很多,实际应用中应根据用户的需求、用户资源现状、承载网络资源现状、投资效益以及相关技术比较等多种因素综合考虑,选择一种主流的方案。在本文中就以一个中小型企业为例模拟实际环境建立一个基于ISA的企业VPN网络以满足远程办公、分公司和合作伙伴远程访问的要求。这个实验在理论的指导下实现了一种VPN的实际应用,为中小企业设计VPN网络

26、提供参考和借鉴。4.1 需求分析随着公司的发展壮大,厦门某公司在上海开办了分公司来进一步发展业务,公司希望总部和分公司、总部与合作伙伴可以随时的进行安全的信息沟通,而外出办公人员可以访问到企业内部关键数据,随时随地共享商业信息,提高工作效率。一些大型跨国公司解决这个问题的方法,就是在各个公司之间租用运营商的专用线路。这个办法虽然能解决问题,但是费用昂贵,对于中小企业来说是无法负担的,而VPN技术能解决这个问题。根据该公司用户的需求,遵循着方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则决定采用ISA Server VPN安全方案,以ISA作为网络访问的安全控制。ISA Server集成

27、了Windows server VPN服务,提供一个完善的防火墙和VPN解决方案。以 ISA VPN作为连接Internet的安全网关,并使用双网卡,隔开内外网,增加网络安全性。ISA具备了基于策略的安全性,并且能够加速和管理对Internet的访问。防火墙能对数据包层、链路层和应用层进行数据过滤、对穿过防火墙的数据进行状态检查、对访问策略进行控制并对网络通信进行路由。对于各种规模的企业来说,ISA Server 都可以增强网络安全性、贯彻一致的Internet 使用策略、加速Internet 访问并实现员工工作效率最大化。在ISA中可以使用以下三种协议来建立VPN连接: IPSEC隧道模式;

28、 L2TP over IPSec模式; PPTP;下表比较了这三种协议:表4-1 ISA中三种协议对比表协议何时使用安全等级备注IPSec隧道模式连接到第三方的VPN服务器高这是唯一一种可以连接到非微软VPN服务器的方式L2TP over IPSec连接到ISA Server 2000、ISA Server 2004或者Windows VPN服务器使用RRAS。比IPSec隧道模式更容易理解,但是要求远程VPN服务器是ISA Server或者Windows VPN服务器。PPTP中等使用RRAS,和L2TP具有同样的限制,但是更容易配置。因为使用IPSec加密,L2TP更认为更安全。三个站点都

29、采用ISA VPN作为安全网关,且L2TP over IPSec结合了L2TP 和 IPSec的优点,所以在这里采用L2TP over IPSec作为VPN实施方案。4.2 方案达到的目的1) 厦门总部和分公司之间以及厦门总部和合作伙伴之间透过VPN联机采用IPSec协定,确保传输数据的安全;2) 在外出差或想要连回总部或分公司的用户也可使用IPSec方式连回企业网路;3) 对总部内网实施上网的访问控制,通过VPN设备的访问控制策略,对访问的PC进行严格的访问控制;4) 对外网可以抵御黑客的入侵,起到Firewall作用。具有控制和限制的安全机制和措施,具备防火墙和抗攻击等功能;5) 部署灵活

30、,维护方便,提供强大的管理功能,以减少系统的维护量以适应大规模组网需要。4.3 VPN组建方案网络拓扑图图4-1 VPN组建网络拓扑图5 各部分VPN设备的配置 公司总部和分支机构之间与公司总部和合作伙伴之间的VPN通信,都是站点对站点的方式,只是权限设置不一样,公司总部和分支机构要实现的公司分支机构共享总部的资源,公司总部和合作伙伴要实现是资源共享和互访。两者之间的差别是合作伙伴的VPN接入上设置了可以总部可以访问的操作。因为三个站点都采用ISA VPN作为安全网关,所以以下站点对站点的VPN配置就以公司总部到分支机构为例,说明在ISA上实现VPN的具体操作。模拟基本拓扑图:图5-1 实验模拟网络拓扑图5.1 公司总部到分支机构的ISA VPN配置各主机的TCP/IP为:厦门总部外部网络

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1