小型企业网组网方案VPN搭建与配置.docx

1、小型企业网组网方案VPN搭建与配置附件3：课程设计报告正文 小型企业网组网方案-VPN的搭建与配置学生姓名：XXX指导老师：吴佳英摘 要 本文要实现小型企业网组网的VPN的搭建与配置。VPN技术定义为虚拟专用网技术，意思就是虚拟的专用隧道，为了达到这个结果，在配置过程中，我应用了隧道技术。不过为了实现两个不同局域网终端的通信，需要两个路由器，还需要对两个路由器设置物理端口配置封装方式为des,散列方式为md5,在对端也做相应的配置，实现总公司和分公司的互连。对于网络中可能存在的安全威胁，在做VPN配置时，设置了密钥管理策略，以求构建一个安全、高效、可靠的企业网络,并在GNS3中模拟实现。最后测

2、试时，总公司跟驻外办事处ping通，说明VPN连接正常，本次课程设计是成功的。关键词 虚拟专用网，隧道技术，密钥管理策略，VPN技术，GNS3 1 引 言 VPN（Virtual Private Network）是指利用密码技术和访问控制技术在公共网络（如Internet）中建立的专用通信网络。在虚拟专用网中，任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成，虚拟专用网络对用户端透明，用户好像使用一条专用线路进行通信。 虚拟专用网是网络互联技术和通信需求迅猛发展的产物。互联网技术的快速发展及其应用领域的不断推广，使得许多部门（如政府、外交、军队、跨

3、国公司）越来越多地考虑利用廉价的公用基础通信设施构建自己的专用广域网络，进行本部门数据的安全传输，它们客观上促进了VPN在理论研究和实现技术上的发展。VPN 作为一种新型的网络技术,为企业建设计算机网络提供了一种新的思路,可以通过在公共网络上建立虚拟的连接来传输私有数据,再用认证、加密等技术来保证数据的安全,这样不仅极大的降低了企业用于网络建设的费用,也提高了网络的安全性。 随着新一代光网络将朝着智能化的方向发展，OVPN是新一代光网络发展模式之一，它提供了一个安全、高效、灵活、可管理的途径，可使运营商通过现有传输网络与其银行、公司企业、ISP等用户实现(双赢)，轻松获益。 加解密技术是数据通

4、信中较成熟的技术，VPN可以直接利用现有的技术。用于VPN上的加密技术由IP Sec的ESP(Encapsulating Security Paylcad)实现。主要是发送者在发送数据以前对数据加密，当数据到达接收者时由接收者对数据进行解密处理，算法主要种类包括：对称加密算法、不对称加密算法等，如DES、IDEA、RSA。 本文主要内容本文第二节介绍了小型企业网中VPN技术，VPN技术的搭建与配置基本原理，第三小节详细描述了VPN的搭建与配置过程，第四小节主要是总结全文所写主要内容、设计过程中遇到的问题及其解决办法、对所设计的成果进行评价。首先是对VPN技术有根本性的了解，知道VPN技术的搭建

5、主要问题是安全性问题，为了解决这个问题，在搭建VPN网络时，主要运用了加密技术，隧道技术等来保证VPN的安全性。本次课程设计的平台是GNS3，在此平台上完成小型企业网的VPN搭建与配置，完成了对VPN的搭建，然后就是进行配置，配置主要考虑的问题是，如何在两个路由器之间建立连接，对于不同局域网， VPN接入网关子系统部署：在总部局域网Internet边界防火墙后面配置一台专用的高性能的VPN网关，在分支机构Internet边界防火墙后面配置一台专用VPN网关，由此两端的VPN网关建立IPSec VPN隧道，进行数据封装、加密和传输。设计平台GNS3是一款优秀的具有图形化界面可以运行在多平台（包括

6、Windows, Linux, and MacOS等）的网络虚拟软件。Cisco网络设备管理员或是想要通过CCNA,CCNP,CCIE等Cisco认证考试的相关人士可以通过它来完成相关的实验模拟操作。同时它也可以用于虚拟体验Cisco网际操作系统IOS或者是检验将要在真实的路由器上部署实施的相关配置。操作界面如图1-1所示：#图1-1 GNS3实验平台界面2 设计原理 VPN优势VPN（ Virtual Private Network）被定义为通过一个公共网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公共网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮

7、助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网络建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的网络上，一个企业的虚拟专用网解决方案也将大幅度的减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。(1)和传

8、统的数据专网相比，从客户角度看，VPN具有如下优势： 安全：在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接，保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。 廉价：利用公共网络进行信息通讯，企业可以以更低的成本连接远程办事机构、出差人员和业务伙伴。 支持移动业务：支持驻外VPN用户在任何时间、任何地点的移动接入，能够满足不断增长的移动业务需求。 服务质量保证：构建具有服务质量保证的VPN（如MPLS VPN），可为VPN用户提供不同等级的服务质量保证。(2) 从运营商角度看，VPN具有如下优势： 可运营：提高网络资源利用率，有助于增加ISP的收益

9、。 灵活：通过软件配置就可以增加、删除VPN用户，无需改动硬件设施。在应用上具有很大灵活性。 多业务：SP在提供VPN互连的基础上，可以承揽网络外包、业务外包、客户化专业服务的多业务经营。! VPN以其独具特色的优势赢得了越来越多的企业的青睐，使企业可以较少地关注网络的运行与维护，从而更多地致力于企业的商业目标的实现。另外，运营商可以只管理、运行一个网络，并在一个网络上同时提供多种服务，如Best-effort IP服务、VPN、流量工程、差分服务(Diffserv)，从而减少运营商的建设、维护和运行费用。VPN在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性。在全球任何一个

10、角落，只要能够接入到Internet，即可开展VPN。 VPN安全加解密技术16是数据通信中较成熟的技术，VPN可以直接利用现有的技术。用于VPN上的加密技术由IP Sec的ESP(Encapsulating Security Paylcad)实现。主要是发送者在发送数据以前对数据加密，当数据到达接收者时由接收者对数据进行解密处理，算法主要种类包括：对称加密算法、不对称加密算法等，如DES、IDEA、RSA。对称加密算法，通信双方共享一个密钥。发送方使用该密钥将明文加密成密文。接收方使用相同的密钥将密文还原成明文，对称加密算法运算速度快。不对称加密算法是通信双方各使两个不同的密钥，一个是只有发

11、送方知道的密钥，另一个则是与之对应的公开密钥，公开密钥不需保密。在通信过程中，发送方用接收方的公开密钥加密信息，并且可以用发送方的秘密密钥对消息的某一部分或全部加密，进行数字签名。接收方收到消息后，用自己的秘密密钥解密消息，并使用发送方的公开密钥解密数字签名，验证发送方身份。密钥管理技术的主要任务是如何在公网上传递密钥而不被窃取。对称加密是基于共同保守秘密来实现的。这样，对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全，同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。 VPN的配置方法 现在通常有两种方法实现

12、局域网的VPN连接：一种是在局域网中的客户机上可以进行单个VPN连接，通过计算机的VPN功能或客户端软件建立PPTP或IPSEC的VPN连接；另一种是在ADSL路由器上建立B2B（Branch to Branch，网对网的连接）的VPN连接。这两种方法各有利弊，如果实现单个计算机的VPN连接，好处是局域网中的计算机建立VPN连接的时候不会影响其它计算机连接公网，缺点是同时只能有一台计算机建立连接，适合于企业用户，尤其是当企业计算机比较多的时候。 而建立B2B的VPN连接以后，局域网中的计算机都连接VPN了，所有的连接都是建立在VPN之上的，影响了连接INTERNET的速度，因为VPN连接以后建

13、立隧道，数据是加密的，所有的连接都要通过VPN服务器来转接，适合于经常需要连接外网以及局域网中的计算机比较少的情况。隧道技术简单的说就是：原始报文在A地进行封装，到达B地后把封装去掉还原成原始报文，这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装（Generic Routing Encapsulation，GRE）L2TP和PPTP。因为在VPN隧道中通信能确保通信通道的专用性，并且传输的数据是经过压缩、加密的，所以VPN通信同样具有专用网络的通信安全性。整个VPN通信过程可以简化为以下4个通用步骤:% (1)客户机向VPN服务器发出请求; (2) VPN服务器响应请求并向

14、客户机发出身份质询，客户机将加密的用户身份验证响应信息发送到VPN服务器; (3) VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问权限;如果该用户拥有远程访问的权限，VPN服务器接受此连接; (4)最后VPN服务器将在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密，然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。3设计步骤 VPN的规划 小型企业网的组网顺序，首先是画出一个网络拓扑图，然后是IP的规划和路由的配置，我们是四个人为一个小组，总的网络拓扑图是由同组同学完成的，然后是另一同学对整个拓扑图的IP规划和配置.还有路由

15、的配置，我主要是完成R_Uni路由器和R_Part路由器之间的搭建与配置。依据同组同学的小型企业网组网方案-拓扑规划及设备选型的拓扑图，如图3-1所示：图31网络总体拓扑.按照设计要求所设计出的VPN网络拓扑如图3-2所示：图3-2 VPN网络拓扑图 VPN的配置步骤第一步：VPN技术是一种虚拟专用网技术，但是也是需要在两个路由器的终端，建立物理端口，路由器R_Uni的IP 地址是 子网掩码是，路由器R_Part的IP地址是 子网掩码是.配置路由器R_Uni物理端口S1/0和路由器R_Part物理端口S1/0的IP地址，如图3-3、3-4所示：图3-3 配置路由器R_Uni物理端口S1/0图3

16、-4 配置路由器R_Part物理端口S1/0)第二步：为了网络中VPN连接的安全，两个路由器都设置了序号为10的密钥管理策略，密钥管理密码都是1002，认证方式为域共享，R_Uni路由器可由自己本身的IP 到R_Part路由器的IP ，这样就保证了VPN连接的安全性，总公司和驻外办事处的联通性。具体配置命令如下：路由器R_Uni的配置：crypto isakmp policy 10 VPN的连通性结果如图3-5所示：图35VPN连通性测试驻外办事处PC (VPCS9)能够ping 通总公司PC (VPCS1)，说明VPN连接正常。；Ping通后使用命令 show crypto isakmp p

17、eers查看建立的对等体连接。 结果如图36所示：图3-6对等体连接的建立从图3-6可以看出，路由器R_Uni（IP：）和R_Part（IP：）已经建立起对等体连接，VPN的连接是正常的。4结束语 IPSECVPN在企业局域网中的成功应用，充分发挥了VPN技术的优势，在很大程度上提高了网络的可扩展性和可用性，为我们企业的业务平台，做了有力的保障。但是，拥有良好的硬件和软件环境还远远不够，高质量的日常运维保障仍然是必不可少的。只有将两者有机的结合到一起，才能保证公司信息系统长期、可靠的运行。在VPN的配置上，让我们明白不能光从书本中生搬硬套，生搬硬套而来的东西往往有可能不符实际，并且好多参考书为

18、了好叙述问题，往往简化了一些实际当中因该考虑的问题，所以我们还应该结合实际情况，做出具体的改变，通过学习，我们知道引入Tunnel口来解决OSPF邻居的问题。在这次组网实验中使我认识到很多的不足，以前总觉得网络很单调，那潜台词也就是简单没新意，认为只需要记得那些命令就没问题，可实际在这次组网实验中发现原来根本不是我所想象的那样。虽然命令还是那些命令，但是技术的组合搭配是有要求的，不是随便混乱的组合上去就能配通，有些技术根本就不能同时使用，所以在失败好几次后我才静下心来认真分析和请教网络学的好的同学。不可否认，对于网络知识我确实是学的不好，因为经常在配置的时候会磕磕绊绊遇到很多问题，没有达到那种

19、精通于一门专业做事行云流水的程度。虽然这次实验做的不是非常满意，但还是从中学到好多东西，例如从全局和整体出发来考虑问题，要联系实际情况，将技术、资金和环境统一考虑，不能一味的追求最新的技术最好的设备。最重要的是感受到团队的力量，很幸运我们有一个好组长，一个好的组织者，在整体网络规划和任务分配上起到至关重要的作用！这次组网实验，我们组的人都熬了通宵，很累，但是收获也很大，不过我们一致认为设备数量和人数不协调，时间很短，我们每个人能占用到设备的时间很少，所以我们希望以后能将组网实验的时间拉长，这样我们就有充足的时间来调试和验证。参考文献1 Martin ,et al. 著,孔雷、刘云新译. 虚拟私

20、用网络技术M . 北京:清华大学出版社,2000. 2 Steven Brown 著,董晓宇、魏鸿、马洁等译. 构建虚拟专用网M . 北京:人民邮电出版社,2000. 3 Casey Wilson、Peter Doak 著,钟鸣、魏允韬等译. 虚拟专用网的创建与实现M . 北京:机械工业出版社,2000. 8. 4 Alcatel Shanghai Bell Co1, Ltd1 Alcatel 1355 VPNOPTINEXTM Virtual Private Network Manager Z. 2002 5 Alcatel Shanghai Bell Co1, Ltd1 The Busin

21、ess Case Behind Deploying Layer 1 Virtual Private Networks Z. 2002 附录：VPN路由器详细配置R_Unicom：upgrade fpd autoversion service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname R_Unicom!boot-start-markerboot-end-marker!logging message-counter syslog!

22、no aaa new-modelip source-routeip cef!no ip domain lookupip domain name no ipv6 cef!multilink bundle-name authenticated!memory-size iomem 0archive log config hidekeys! !crypto isakmp policy 10 hash md5 authentication pre-sharecrypto isakmp key 1002 address !crypto ipsec transform-set Tran esp-des !c

23、rypto map Map 100 ipsec-isakmp set peer set transform-set Tran match address 111!class-map match-all 1 match access-group 11class-map match-all 2 match access-group 22class-map match-all 3 match access-group 33!policy-map FlowControl class 1 bandwidth 2000 class 2 bandwidth 4000 class 3 bandwidth 80

24、00!interface Tunnel0 ip address tunnel source Serial1/0 tunnel destination !interface FastEthernet0/0 ip address ip nat inside ip virtual-reassembly duplex auto speed auto!interface FastEthernet0/1 ip address duplex auto speed auto!interface Serial1/0 ip address ip nat outside ip virtual-reassembly

25、serial restart-delay 0 crypto map Map!interface Serial1/1 no ip address shutdown serial restart-delay 0!interface Serial1/2 no ip address shutdown serial restart-delay 0interface Serial1/3 no ip address shutdown serial restart-delay 0!interface Serial1/4 no ip address shutdown serial restart-delay 0

26、interface Serial1/5 no ip address shutdown serial restart-delay 0!interface Serial1/6 no ip address shutdown serial restart-delay 0interface Serial1/7 no ip address shutdown serial restart-delay 0router ospf 1 router-id log-adjacency-changes network area 0 network area 0ip forward-protocol ndip rout

27、e ip route no ip http serverno ip http secure-server!ip nat pool Out_pool netmask ip nat inside source list 100 pool Out_pool overload!access-list 11 permit access-list 22 permit access-list 33 permit access-list 100 permit ip anyaccess-list 111 permit gre host host control-plane!mgcp fax t38 ecm!ga

28、tekeeper shutdownline con 0 exec-timeout 0 0 privilege level 15 logging synchronous stopbits 1line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous stopbits 1line vty 0 4 loginendR_Part：version service timestamps debug datetime msecservice timestamps log datetime msecno service password

29、-encryption!hostname R_Part!boot-start-markerboot-end-marker!no aaa new-model!ip cefno ip domain lookupip domain name !crypto isakmp policy 10 hash md5 authentication pre-sharecrypto isakmp key 1002 address !crypto ipsec transform-set Tran esp-des !crypto map Map 100 ipsec-isakmp set peer set transf

30、orm-set Tran match address 100!interface Tunnel0 ip address tunnel source Serial1/0 tunnel destination !interface FastEthernet0/0 ip address duplex half!interface Serial1/0 ip address serial restart-delay 0 crypto map Map!interface Serial1/1 no ip address shutdown serial restart-delay 0!interface Serial1/2 no ip address shutdown serial restart-delay 0!interface Serial1/3 no ip address shutdown serial restart-delay 0!interface Serial1/4 no ip address shutdown serial restart-delay 0!interface Serial1/5 no ip address shutdown serial restart-delay 0!interfa