企业VPN的接入规划与设计毕业设计.docx

1、企业VPN的接入规划与设计毕业设计企业VPN的接入规划与设计毕业设计南 阳 理 工 学 院本科生毕业设计(论文)企业VPN的接入规划与设计The Planning and design ofThe corporate VPN access System总 计：毕业设计(论文) 25页表 格： 1个图 片： 36个企业VPN的接入规划与设计1摘 要随着互联网的发展，网上交流与交易已经成为人们工作的重要方式，如何保证网络中传输的敏感信息的安全成了迫在眉睫的问题。VPN作为新一代Internet安全技术，能够提供简单、廉价、安全、可靠的Internet访问通道，通过公共网络实现异地的内部网络互联或开

2、通专用的业务通道。VPN在公网上建立隧道，让数据包通过隧道进行传输。这样就可以实现异地局域网之间的资源共享，而且不需要很高的费用来建立专线连接。VPN是基于不可靠的Internet的，对于中、小型企业的异地数据交换就必须考虑到数据安全性问题。出于安全性考虑基于IPSec（IP Security）隧道协议才能够满足中、小型企业建立VPN的需求。IP安全协议集IPSec（IP security）是提供这种安全的核心技术。本文介绍了基于IPSec的VPN的设计与实现的工作。关键词IP安全协议；虚拟专用网；安全传输The Planning and design ofThe corporate VPN

3、access SystemNet Engineering Major Shi Shan ming1Abstract:With the development of Internet， online communication and trading have become an essential part in the workplace， where heavy emphasis will be placed on keeping information and data transferred across Internet secured。 As a new-generation se

4、curity technology， VPN (Virtual Private Networks)can provide easy to use， low cost， secure and reliable Internet accesses， and create private network connections over public networks。VPN build a tunnel on the public networks， so that packets can be transmitted through the tunnel。 By doing this we ca

5、n achieve sharing resources between the local area networks different places without a high cost to build special connection。 achieve medium and small enterprises are necessary to concern the issue of data security as VPN is based on unreliable Internet connection。 For security reasons only based on

6、 IPSec tunnel protocols are able to meet the needs of achieve medium and small enterprises to establish VPN。 IPSec (IP Security)is a core technology that provides this protection。1Key words:IPSEC；VPN；Security Transmission1. 绪论 11.1 引言 11.2 VPN技术发展的前提和背景 11.3 VPN在国内外的发展 11.4 研究内容 22. 虚拟专用网 22.1 VPN概述

7、 22.1.1 VPN功能 32.1.2 VPN的分类 32.2 VPN的特点 43. IPSec技术 43.1 IPSec简介 43.2 IPSec体系结构 53.2.1 ESP(封装安全载荷) 53.2.2 AH（验证头） 53.2.3 SA（安全联盟） 63.2.4 IKE（Internet密钥交换） 73.3 IPSec的两种模式 73.3.1 传送模式 73.3.2 通道模式 83.3.3 IPSec VPN两个阶段的协商过程 84. 基于IPSec的VPN设计与实现 94.1 IPSec基本协议与目标 94.2 IPSec VPN的实现 104.2.1 企业网络背景分析 104.2

8、.2 IP规划： 114.3 VPN服务器配置 114.3.1 环境 114.3.2 活动目录 124.3.3 配置服务器之间的VPN连接 124.3.4 申请证书设置 164.3.5 客户端与服务器连接 195. 实验测试 205.1 安装网络监视工具 205.2 南阳服务器与郑州服务器和许昌服务器间的设置测试如下图所示 215.3 在南阳服务器中可以看到的连接和活动端口 225.4 证明连接的安全性 23结束语 23参考文献 23致谢 251. 绪论1.1 引言VPN是Virtual Private Network的缩写，中文译为虚拟专用网。Virtual Network的含义有两个，一是

9、VPN是建立在现有物理网络之上，与物理网络具体的网络结构无关，用户一般无需关心物理网络和设备；二是VPN用户使用VPN时看到的是一个可预先设定义的动态的网络。Private Network的含义也有两个，一是表明VPN建立在所有用户能到达的公共网络上，特别是Internet，也包括PSTN、帧中继、ATM等，当在一个由专线组成的专网内构建VPN时，相对VPN这也是一个“公网”；二是VPN将建立专用网络或者称为私有网络，确保提供安全的网络连接，它必须具备几个关键功能：认证、访问控制、加密和数据完整。1.2 VPN技术发展的前提和背景目前稍具规模的企业都不会只有一个办公场所，而是具有总部，分公司，

10、办事处，工厂等多个业务点。既然越来越多的应用计算机和各类软件系统来处理企业业务，如何将位于不同地点的分支机构的网络互联互通，就成了现代企业必须解决的问题。同时，伴随着笔记本电脑的逐渐普及，大量的出差员工，移动办公人员，合作伙伴等迫切需要通过无处不在的Internet网络，安全，方便地介入公司内部网络，使用各项应用系统。因而，伴随着互联网间以及远程安全的计入需求，VPN技术在近几年迅速走红并得到广泛应用，也正是基于这样的前提和背景。1.3 VPN在国内外的发展计算机的广泛应用把人类带入了一个全新的时代，特别是计算机网络的社会化，已经成为信息时代的主要推动力。随着计算机网络技术的飞速发展。尤其是互

11、联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性，网络信息的安全性变得日益重要起来，已被信息社会的各个领域所重视。目前，全世界的军事，经济，社会，文化各个方面都有越来越依赖于计算机网络，人类社会对计算机的依赖程度达到了空前的记录。另外，随着企业规模日益扩大，客户分布日益广泛，合作伙伴日益增多，传统企业基于固定地点的专线连接方式，已难以适应现代企业的需求，虚拟专用网（VPN）满足了企业对于网络的灵活性，安全性，经济型，扩展性等多方面的要求，赢得了越来越多企业的青睐，使企业可以较少地关注网络的运行与维护，更多地致力于企业商业

12、目标的实现。对于企业网用户来说，IPSec VPN 是一个公认的理想的解决方案，IPS是业界标准的网络安全协议，可以为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，从而有效抵御网络攻击。1.4 研究内容(1)IPSec体系结构:包括ESP(封装安全载荷)、AH(验证头)、 SA(安全联盟)、IKE(Internet密钥交换)(2) IPSec的两种模式:包括传送模式和通道模式(3) IPSec包的处理过程:包括外出处理和进入处理(4)VPN的类型包括Access VPN(远程访问虚拟专用网)、Internet VPN(企业内部虚拟专用网)、Extranet VPN(外连虚

13、拟专用网)(5)IPSec的组件的设计包括IPSec基本协议、SPD和SADB、IKE(6) VPN使用的安全协议包括SOCKSv5协议、IPSec协议、PPTP/L2TP协议(7) 基于IPSec的VPN设计与实现包括企业原网络分析、企业对网络的新需求、企业新网络设计原则、企业新网络实现方案(8) IPSec VPN的测试包括IKE方式建立IPSec隧道、预共享方式建立隧道、数字证书方式建立隧道、IKE自动协商、VPN备份隧道功能、VPN客户端测试2. 虚拟专用网2.1 VPN概述为了使远程的企业员工可以与总部实时的交换数据信息，企业得向ISP租用网络提供服务。但公用网容易遭受各种安全攻击（

14、比如拒绝服务攻击来阻塞正常的网络服务，或窃取重要的企业内部信息）。VPN这个概念的引进就是用来解决这个问题。它是利用公用网络来连接到企业私有网络。但在VPN中，用安全机制来保障机密性，真实可靠性、完整性严格的访问控制。这样就建立了一个逻辑上虚拟的私有网络。虚拟局域网提供了一个经济有效的手段来解决通过公用网络安全的交换私有信息。2.1.1 VPN功能VPN可以提供的功能： 防火墙功能、认证、加密、隧道化。VPN可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线

15、路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，在交换机，防火墙设备或Windows 2000/2003/2008等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。2.1.2 VPN的分类Access VPN(远程访问虚拟专用网)Access VPN是通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问，使用户随时、随地以其所需的方式访问企业资源。它包括模拟、拨号、ISDN、数字用户线路(XDSL)、移动IP和电缆技术，可以安全地连接移动用户、远程工作者或分支

16、机构。它适合于内部有人员移动或远程办公需要的企业。Intranet VPN(企业内部虚拟专用网)如果要进行企业内部各分支机构的互联，使用Intranet VPN是很好的方式。越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。Intranet VPN通过

17、一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。Extranet VPN(外连虚拟专用网)1如果是提供B2B之间的安全访问服务，则可以考虑Extranet VPN。随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础，而如何利用Internet进行有效的信息管理，是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安

18、全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。Extranet VPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。12.2 VPN的特点VPN技术除了可以节省费用外，还具有其它特点：（1）伸缩性：能够随着网络的扩张，很灵活的加以扩展。Internet对于用户来说，可以以任何技术、任何地点访问。当增加新的用户或者子网时，只需修改已有网络软件配置，在新增客户机或者网关上安装相应软件并接入Internet后，新的VPn即可工作，对

19、于最终用户来说完全感觉不到任何变化。（2）灵活性：Internet的容量完全可以随着需求的增长而增长，除了能够方便地将新的子网扩充到企业的网络中外，由于Internet的全球连通性，VPN可以使企业随时安全地将信息存取到全球的商贸伙伴和顾客。（3）易于管理：用专线将企业的各个子网连接起来时，随着子网数量的增加，需要的专线数以几何级数增长。而使用VPN时Internet的作用类似一个HUB，只需将各个子网接入Internet即可，不需要进行各个线路的管理。23. IPSec技术3.1 IPSec简介“Internet协议安全性（IPSec）”是一种开放标准的框架结构，通过使用加密的安全服务以确保

20、在Internet协议(IP)网络上进行保密而安全的通讯。Microsoft® Windows®；2000 、Windows XP和Windows Server 2003家族实施IPSec是基于“Internet工程任务组(IETF)”IPSec工作组开发的标准。 IPSec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows XP 和 Windows Server 2003 家族中，IPSec 提供了一种能力，以保护工作组、局域网计算机、

21、域客户端和服务器、分支机构（物理上为远程机构）、Extranet 以及漫游客户端之间的通信。IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内多种应用程序的安全。IPSec在传输层之下，对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时，无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec，应用程序一类的上层软件也不会被影响。IPSec对终端用户来说是透明的，因此不必对用户进行安全机制的培训。如果需要的话，IPSec可以为个体用户提供安全保障，这样做就可以保护

22、企业内部的敏感信息。IPSec正向Internet靠拢。已经有一些机构部分或全部执行了IPSec。IAB的前任总裁Christian Huitema认为，关于如何保证Internet安全的讨论是他所见过的最激烈的讨论之一。讨论的话题之一就是安全是否在恰当的协议层上被使用。想要提供IP级的安全，IPSec必须成为配置在所有相关平台（包括Windows NT，Unix和Macintosh系统）的网络代码中的一部分。实际上，现在发行的许多Internet应用软件中已包含了安全特征。例如，Netscape Navigator和Microsoft Internet EXPlorer支持保护互联网通信的安

23、全套层协议（SSL），还有一部分产品支持保护Internet上信用卡交易的安全电子交易协议（SET）。然而，VPN需要的是网络级的功能，这也正是IPSec所提供的。3.2 IPSec体系结构3.2.1 ESP(封装安全载荷)IPSec 封装安全负载（IPSec ESP）是 IPSec 体系结构中的一种主要协议，其主要设计来在 IPv4 和 IPv6 中提供安全服务的混合应用。IPSec ESP 通过加密需要保护的数据以及在 IPSec ESP 的数据部分放置这些加密的数据来提供机密性和完整性。根据用户安全要求，这个机制既可以用于加密一个传输层的段（如：TCP、UDP、ICMP、IGMP），也可

24、以用于加密整个的 IP 数据报。封装受保护数据是非常必要的，这样就可以为整个原始数据报提供机密性。ESP头可以放置在IP头之后、上层协议头之前（传送层），或者在被封装的IP头之前（隧道模式）。IANA分配给ESP一个协议数值50，在ESP头前的协议头总是在“next head”字段（IPv6）或“协议”（IP v4）字段里包含该值50。ESP包含一个非加密协议头，后面是加密数据。该加密数据既包括了受保护的 ESP 头字段也包括了受保护的用户数据，这个用户数据可以是整个IP数据报，也可以是IP的上层协议帧（如：TCP 或 UDP）。ESP 提供机密性、数据源认证、无连接的完整性、抗重播服务（一种

25、部分序列完整性的形式） 和有限信息流机密性。所提供服务集由安全连接（SA）建立时选择的选项和实施的布置来决定，机密性的选择与所有其他服务相独立。但是，使用机密性服务而不带有完整性/认证服务（在 ESP 或者单独在 AH 中）可能使传输受到某种形式的攻击以破坏机密性服务。数据源验证和无连接的完整性是相互关联的服务，它们作为一个选项与机密性 （可选择的）结合提供给用户。只有选择数据源认证时才可以选择抗重播服务，由接收方单独决定抗重播服务的选择。33.2.2 AH（验证头）验证头（AH）协议用于为IP数据包提供数据完整性、数据包源地址验证和一些有限的抗重播服务，AH不提供对通信数据的加密服务，与ES

26、P协议相比，AH不提供对通信数据的加密服务，但能比ESP提供更加广的数据验证服务。AH是另一个IP协议，它分配到的数是51。在IPv6的情况下，下一个头字段的值由扩展头的存在来决定。如果没有扩展头，IPv6头中的下一个头字段将是51。如果AH头之前有扩展头，紧靠在AH头前面的扩展头中的下一个头字段就会被设成51。将AH头插入IPv6的规则与ESP插入规则类似。AH和ESP保护的数据相同时，AH头会一直插在ESP头之后。AH头比ESP头简单得多，因为它没有提供机密性。由于不需要填充和一个填充长度指示器，因此也不存在尾。另外，也不需要一个初始化向量。3.2.3 SA（安全联盟）SA是一种安全关联，

27、SA 对两台计算机之间的策略协议进行编码，指定它们将使用哪些算法和什么样的密钥长度，以及实际的密钥本身。安全关联SA（Security Association）是单向的，在两个使用 IPSec的实体（主机或路由器）间建立的逻辑连接，定义了实体间如何使用安全服务（如加密）进行通信。它由下列元素组成：安全参数索引SPI；IP目的地址；安全协议。（1）SA是一个单向的逻辑连接，也就是说，在一次通信中，IPSec 需要建立两个SA，一个用于入站通信，另一个用于出站通信。若某台主机，如文件服务器或远程访问服务器，需要同时与多台客户机通信，则该服务器需要与每台客户机分别建立不同的SA。每个SA用唯一的SP

28、I索引标识，当处理接收数据包时，服务器根据SPI值来决定该使用哪种SA。 （2）第一阶段SA（主模式SA，为建立信道而进行的安全关联）IKE建立SA分两个阶段。第一阶段，协商创建一个通信信道（IKE SA），并对该信道进行认证，为双方进一步的IKE通信提供机密性、数据完整性以及数据源认证服务；第二阶段，使用已建立的IKE SA建立IPSec SA。分两个阶段来完成这些服务有助于提高密钥交换的速度。 第一阶段协商（主模式协商）步骤：策略协商，在这一步中，就四个强制性参数值进行协商：1）加密算法：选择DES或3DES；2）hash算法：选择MD5或SHA；3）认证方法：选择证书认证、预置共享密钥认

29、证或Kerberos v5认证；4）Diffie-Hellman组的选择DH交换虽然名为“密钥交换”，但事实上在任何时候，两台通信主机之间都不会交换真正的密钥，它们之间交换的只是一些DH算法生成共享密钥所需要的基本材料信息。DH交换，可以是公开的，也可以受保护。在彼此交换过密钥生成材料后，两端主机可以各自生成出完全一样的共享“主密钥”，保护紧接其后的认证过程。认证 DH交换需要得到进一步认证，如果认证不成功，通信将无法继续下去。“主密钥”结合在第一步中确定的协商算法，对通信实体和通信信道进行认证。在这一步中，整个待认证的实体载荷，包括实体类型、端口号和协议，均由前一步生成的“主密钥”提供机密性

30、和完整性保证。（3）第二阶段SA（快速模式SA，为数据传输而建立的安全关联）这一阶段协商建立IPSec SA，为数据交换提供IPSec服务。第二阶段协商消息受第一阶段SA保护，任何没有第一阶段SA保护的消息将被拒收。第二阶段协商（快速模式协商）步骤：策略协商，双方交换保护需求：使用哪种IPSec协议：AH或ESP 使用哪种hash算法：MD5或SHA 是否要求加密，若是，选择加密算法：3DES或DES 在上述三方面达成一致后，将建立起两个SA，分别用于入站和出站通信。会话密钥材料刷新或交换 在这一步中，将生成加密IP数据包的会话密钥。生成会话密钥所使用的材料可以和生成第一阶段SA中主密钥的相同

31、，也可以不同。如果不做特殊要求，只需要刷新材料后，生成新密钥即可。若要求使用不同的材料，则在密钥生成之前，首先进行第二轮的DH交换。SA和密钥连同SPI，递交给IPSec驱动程序。 第二阶段协商过程与第一阶段协商过程类似，不同之处在于：在第二阶段中，如果响应超时，则自动尝试重新进行第一阶段SA协商。 第一阶段SA建立起安全通信信道后保存在高速缓存中，在此基础上可以建立多个第二阶段SA协商，从而提高整个建立SA过程的速度。只要第一阶段SA不超时，就不必重复第一阶段的协商和认证。允许建立的第二阶段SA的个数由IPSec策略属性决定。SA生命期 第一阶段SA有一个缺省有效时间，如果SA超时，或主密钥

32、和会话密钥中任何一个生命期时间到，都要向对方发送第一阶段SA删除消息，通知对方第一阶段SA已经过期。之后需要重新进行SA协商。第二阶段SA的有效时间由IPSec驱动程序决定。43.2.4 IKE（Internet密钥交换）Internet密钥交换协议(IKE)是用于交换和管理在VPN中使用的加密密钥的，IKE属于一种混合型协议，由Internet安全关联和密钥管理协议（ISAKMP）和两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上，沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术，还定义了它自己的两种密钥交换方式：主要模式和积极模式。3.3 IPSec的两种模式3.3.1 传送模式传送模式加密的部份较少，没有额外的IP报头，工作效率相对更好，但安全性相对于隧道模式会有所降低。