ImageVerifierCode 换一换
格式:DOCX , 页数:51 ,大小:709.94KB ,
资源ID:2776633      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bingdoc.com/d-2776633.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(vpn在企业网中的规划与实现学位论文.docx)为本站会员(b****1)主动上传,冰点文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰点文库(发送邮件至service@bingdoc.com或直接QQ联系客服),我们立即给予删除!

vpn在企业网中的规划与实现学位论文.docx

1、vpn在企业网中的规划与实现学位论文本 科 毕 业 论 文题目: VPN在企业网中的规划与实现 学院: 班级: 姓名: 吉九学 指导教师: 职称: 完成日期: 2016 年 5 月 23 日摘 要当前互联网技术快速而高效的发展,通过电子商务进行办公成为各级单位和企业的办公方式,各个企业和政府都允许各自的分支机构访问自己的内部资源,以此来加强了解和方便办公。但是这一种信息交流使网络更加复杂,而且安全性也非常差,管理也不方便。目前比较主流且昂贵的组网方式有专线组网方式。它是通过同步数字体系将企业和政府单位连接到公用网络来实现点到点的通信。虽然这一种组网方式它的保密性比较强,独享带宽,传输快,不被其

2、他信号干扰。但是花费太大,许多企业不能负担起这么高的费用,但是花费太大,许多企业不能负担起这么高的费用,VPN技术是通过在互联网上建立自己的私有网络,换言之,就是在公网上虚拟出一条专网,这样既让服务质量得到保证,也提高了安全性和专用性,同时也节省了公司的开支。组建虚拟专用网是利用互联网的大量资源,为企业和政府的重要数据提供可用带宽传输数据。VPN的组网方式有两种可以分为点到点的虚拟网络和远程访问方式。当前比较主流的接入方式有IPSEC。在本论文中,通过对VPN技术的基本了解和配置,比较了几种不同的虚拟专用网配置方式和优缺点。对加密认证,密钥管理,身份认证技术加以实现和验证。当前配置环境是在微软

3、2003操作系统上配置服务器。通过在服务器添加用户名和密码,实现远程VPN访问。论文中也涉及了一部分电力系统中组建VPN的相关知识。当然本论文只是对企业中的VPN进行了简单的规划与实现,这与实际中的企业VPN来说,是远远不够的。但是通过在模拟环境下配置VPN,对企业VPN组网有了深入的了解。这对于以后在实际情况中组建VPN网络起到了很大的作用。关键词:企业;IPsecVPN;安全;数据加密AbstractAt present, and high speed and rapid development of Internet technology in China. Office become

4、units at all levels and enterprises through the electronic commerce in the office. Branch companies and the government will allow their access to their internal resources. In order to strengthen the understanding and convenience of office.But this kind of information exchange makes the network more

5、complex, and the security is also very poor, the management is not convenient. At present, there are more mainstream and cheaper way of networking. It is the communication enterprises and government units connected to the public network to achieve point-to-point through synchronous digital systemWhi

6、le this kind of network mode its confidentiality, exclusive bandwidth, transmission is fast, without the interference by other signals. But costs too much, many companies cant afford such a high cost.VPN technology is through the Internet to build their own private network, in other words, It is a v

7、irtual private network bulided on the Internet, such already let the service quality guaranteed, also improves the security and specificity, but also save the companys expenses. Set up a virtual private network is to use a large number of data to use the Internet and video resources, for the enterpr

8、ise and the governments important data provide the available bandwidth to transmit data. There are two main ways of VPN network can be divided into the point-to-point virtual network and remote access. Comparing the current mainstream way of accessing a IPSEC. In this paper, through the basic unders

9、tanding of VPN technology and configuration, compared with several different virtual private network configuration and advantages and disadvantages. Encryption and authentication, key management, identity authentication technology to achieve and verify. The current configuration environment is confi

10、gured on the Microsoft 2003 operating system. By adding a user name and password on the server to achieve remote VPN access. Paper also covered part of the power system in the form of VPN.of course, this paper carried on the simple to the enterprise VPN planning and implementation, it has to do with

11、 the enterprise actual VPN, it is not enough. But through the VPN configuration in a simulated environment, to the enterprise VPN network have in-depth understanding. For the later set up VPN network in practice has played a big role.Key Words: company;IPsec VPN; security; data encryption目 录摘 要 IAbs

12、tract II引 言 1第一章 综 述 21.1 VPN技术概述 21.1.1 VPN的产生背景 21.1.2 VPN的特点 21.2 VPN的分类 31.2.1 按VPN的业务类型划分 31.2.2 按所用设备类型划分 31.2.3 按VPN的业务类型划分 31.3 VPN的相关技术及协议 41.3.1 VPN关键技术 41.3.2 VPN的基本协议 5第二章 VPN方案设计 112.1 IPsec VPN与SSL VPN的比较 112.2 IPsec VPN简述 112.2.1 IPsec VPN加密算法 112.2.2 IPsec VPN安全服务 132.3 IPsec VPN配置方式

13、 132.3.1 IPsec VPN端到端 132.3.2 IPsec VPN远程访问 14第三章 VPN网络设计方案与实现 153.1 项目背景 153.2 需求分析 153.3 解决方案 153.4 网络设计图 163.5 拓扑图设计 163.5.1 设备描述 173.5.2地址规划 173.5.3VLAN规划 183.5.4VTP协议规划 183.5.5拓扑图配置 18第四章 WindowsServer2003下VPN的配置 264.1启动服务 264.2配置服务 264.3测试配置 29第五章 VPN在电力系统中的应用简述 32结论. 34致谢 35参考文献 36附录A设备配置代码 3

14、7引 言随着企业和政府对业务拓展的需求,各国和企业为了加强了解和互动,建立了海外分支机构,这样就导致通信量急剧扩大,相互之间的资源共享和信息交流成为非常重要的手段,鉴于以上这些情况, 我们急需一种技术,需要很快速,非常安全,且稳定的实现内部网络和外部网络的连接。虚拟专用网络是可以很好的解决这些问题。VPN通过互联网建立私有隧道,允许远程办公人员接入公司内网,并且提供端到端的通信安全。VPN组网是对企业内部网络的扩展,通过它可以让企业分支机构和总部建立可信任的安全连接。当前企业VPN采用的大多都是IPsec VPN,这种组网比较简单,也很方便在现有设备上即可配置。本论文主要是对企业VPN规划和如

15、何实现,在实验中我们采用的是思科的路由器来配置VPN的相关服务,这些服务包括加密,配置交换集,感兴趣流等服务。这是在设备这一层次上,创建的虚拟专用网,除了它之外还有一种是在操作系统上实现虚拟专网。主要是在微软2003上配置虚拟专用网服务器。需要解决的是保证两台主机之间的网络是互通的,可以通过将两台主机的地址配置成同一网段来实现。通过思科模拟器创建了一个仿真平台,实现总公司与分支机构的VPN网络连接。VPN技术加快了企业信息化建设的步伐,使得公司可以将分布在全国各地的分公司零距离连接。实现虚拟现场办公。VPN技术推动了企业的快速发展。第一章 综 述1.1 VPN技术概述 VPN(虚拟专用网)技术

16、是一种建立在公共网络上的一条隧道,我们可以把它想象成一条公路上划分了多条车道,每条车道是不会相互影响各自运行的。它实现了不同网络组件之间资源的相互连接。VPN(虚拟专用网)是在互联网的基础之上建立连接,而且它在逻辑上等同与在广域网上建立连接。虚拟专用网是一种在物理上虚拟出的一条线路,对于使用者来说就像是一条专线上网,使用者的感觉就好比是使用了一条专线连接到了企业总部网络,来进行数据传输。VPN允许远程用户,企业分支机构使用互联网等公共网络设施建立数据传输通道,以便更加安全的通信。当前远程接入通信量越来越大,企业全球化日益扩大,公司员工需要访问企业内部资源,企业之间也要进行有效且安全的通讯,VP

17、N技术可以很好的解决以上问题。它建立在公共互联网上,用户体验也是极佳。1.1.1 VPN的产生背景 随着当今社会信息化的高速发展,IT技术越来越多的影响现代企业和政府的办事流程,例如企业视频会议,政府远程电话会议,IP语音电话等,为企业和政府的自动化办公和获取信息提供了方便。每一个大公司的合作伙伴也逐渐增多,公司员工在外办公也渐渐增多。这就使得企业需要借助互联网连接总部和分公司,组件自己的私有网络,同时也为移动办公人员在外办公提供方便。由于传统专网建设时间偏长,建设成本太高,难以管理和控制,虽然一些新技术也应用在网络中,但由于网络建设成本高,已经不能满足当前互联网对于速率的要求,而且部署过于复

18、杂,由于以上这些原因,VPN技术应运而生,原有传统网络不能满足企业和政府的需要,尤其是在经济性和安全方面远远不能满足,以促使企业效益日益增长,VPN是依靠互联网服务提供商和网络提供商在公共网络上建立虚拟专用通道。1.1.2 VPN的特点VPN特点:安全方面,VPN(虚拟专用网)在互联网上建立一条企业专用隧道,对发送的数据采取加密方式,来保证数据完整性。虚拟性:VPN网络不是一条实际存在的线路,而是在现有网络的基础上通过配置而形成的一种逻辑上的网络。 灵活性:互联网和私有网的任何类型的数据都可以通过。保证服务质量:VPN可以为不同的服务提供专属于该服务的质量保障。易管理性:VPN管理角度有用户和

19、运营商。 专用性:对VPN的使用者来说,它与专用网没有任何的差别。VPN网络与底部的网络之间始终是独立关系,也就是说,非法用户不能获取企业资源,它能够保障数据安全和完整性。 VPN技术是一种将公用网络逻辑划分出一条虚拟通道的路由策略,这一种逻辑划分的网络应用是非常丰富的,不仅可以解决企业内部的互联,不同办事部门的互联,也可以提供新的业务需求。1.2 VPN的分类1.2.1 按VPN的业务类型划分我们依据虚拟专网的服务体系来划分可以分为三大类:(1)接入VPN:它是一种远程访问网络模型,是企业员工通过公用网来访问企业内部网络的方式。(2)内联网:这是公司总部与分支机构通过公用网络搭建的虚拟网,它

20、是一种点到点的方式连接起来所组成的虚拟专用网。(3)外联网:这是不同的企业建立的虚拟网。它是一种不对等的网络连接方式。1.2.2 按所用设备类型划分网络设备提供商根据客户不同的需要来制造与客户相符合的设备,其主要分为思科路由器,思科防火墙,和思科交换机。(1) 路由式:主要是在路由器上配置VPN的相关服务即可。(2) 交换机式:主要是为不同用户所设计。(3) 防火墙式:这是一种非常常见的实现方式,许多网络设备制造厂商都提供这种配置。1.2.3 按VPN的业务类型划分 当前,主流的VPN技术主要有IPsecVPN,MPLSVPN,SSLVPN等技术。网络层的VPN技术是一个非常安全,开放的安全协

21、议,他提供了如何在开放式的网络环境下如何保证数据传输安全。它是工作在网络层,为数据传输提供了安全机制,它采取的方式是对发送的数据进行机密,并且在接收方进行身份认证,网络层VPN技术有两种模式,一是传输模式,它隐藏了路由信息,并期望提供端到端的网络安全。另一种是隧道模式,主要是将数据包封装在IP帧传输数据。 SSL VPN通过TCP传输协议为上层的数据提供封装,加密等功能。它是一种在互联网上保障信息安全收发是技术。它为客户提供了服务器的认证方式,客户认证,数据传输完整性保证,SSL VPN技术处于TCP协议与各种应用层协议之间。当前,SSL VPN也被广泛应用在各种浏览器中,用户通过利用浏览器内

22、部的SSL封装包处理数据,用浏览器连接公司内网的VPN服务器,通过网络封包转向方式,让客户计算机读取公司内网上的资源。 MPLS VPN(多协议标签交换)主干有两个组成部分:存储在提供商边缘路由器中的客户路由选择和转发以及用于传输客户数据流的底层机制。客户的数据分组到达入口服务提供商边缘路由器时,使用一个MPLS(VPN)标签对其进行封装,该标签对应于相应路由选择和转发表中的最佳路由。然而他通过一条标签交换路径被转发到一台出口服务提供商的边缘路由器。另外,也可以使用IP,GRE,以隧道方式通过非MPLS来传输MPLS VPN数据流。MPLS的优点,其中包括更紧密地集成IP和ATM,无需在核心路

23、由器上使用BGP配置,支持VPN和流量工程等。1.3 VPN的相关技术及协议1.3.1 VPN关键技术(1)隧道技术。在企业构建自己的VPN专用网络时,它的核心技术是如何在服务商提供的公用网络上构建适合于本企业的连接线路。企业虚拟专用网的建立基于隧道技术原理的,利用它是在网络层建立属于企业的数据传输隧道。当前虚拟专用网的连接方式主要是点到点的连接方式,这一种隧道是便于建立和维护的,对于用户来说是非常有用的。但对于企业用户来说数据传输是非常保密和严格的,这就使得的另外一层隧道技术产生,即IPinIP技术。相对于前一层隧道技术来讲,它的可容性和保障性有了明显的优化和提高,缺点是操作太过复杂、比较难

24、理解。(2)身份认证技术。随着数据传输的安全性提高,数据的完整性要求越来越高,为了保证数据不被篡改,认证技术应运而生,它就是要保证用户是否合法,数据是否完整,认证安全技术是通过散列函数作为基础,用它来实现数据报文格式的转变。由于散列函数的特性,在使用完这一媒介后没有同样的内容。在VPN中使用它就是对用户认证和数据完整性验证。(3)加密技术。各个企业之间传输数据需要保证数据的安全性,安全对于企业来说是非常重要的,采用VPN技术可以方便的解决这个问题,不需要重新购买其他与安全相关的设备,不仅节省了企业的开支,也保证了被传输数据的安全。VPN所采用的加密技术主要可以分为高级加密标准DES和三重高级加

25、密标准3DES,加密基本思路是对传输的信息加密,,这样就使得非法用户不能访问相关信息,以此对企业的敏感数据进行保护。DES加密方式对于加密要求不高的个人用户来说已经足够但对于对安全级别相对高的企业来说是远远不够的,三重高级加密标准是最好的选择,它的加密强度更高,可以传输企业敏感数据,此加密方案可以有效的保护用户的权益。(4)密钥管理技术。它的任务是保障用户密钥不被非法盗取。给用户分配密钥时要保证安全并且合理的分配密钥。1.3.2 VPN的基本协议VPN方案可以支持的基本协议有PPTP(点对点隧道协议)和L2TP(第二层隧道协议),这些协议可以满足各种需求,又能够更大范围的利用国际互联网。点对点

26、隧道协议是工作在第二层的支持多协议虚拟专用网络的技术,远程用户可以通过WINDOWS2003,WINDOWS7等操作系统通过互联网连接到公司网络。由于思科的设备不支持强制隧道模式的PPTP,因此我们只讨论自发隧道模式。与强制隧道模式不同的是,自发模式是由远程接入用户发起的。在这种运行模式下,远程接入客户充当了PNS,他建立了一条直接到PAC的隧道。PPTP提供了不同的通信通道,主要是为远程访问客户机提供服务。(1)控制连接/信道:控制连接用于在远程接入客户/PAS和PAC之间交换控制信息。这些控制消息用于建立并且终止与客户的会话,还有存活期,错误报告和一些配置参数。(2)用户隧道模式:它的主要

27、作用是在客户机之间发送点对点的数据帧。在强制隧道模式下,可以通过该隧道多路复用多个用户PPP会话;然而,在自发隧道模式下,只允许有一个会话在隧道里通信。主要是通过隧道在PNS和PAC之间建立用户的点对点会话,必须要建立控制信道。控制信道的建立是由远程接入客户通过一个目标端口1723的TCP连接发起的。根据RFC2637,该端口可以为任何未使用的端口。在远程接入客户/PNS和PAC之间建立控制信道后,远程接入客户/PNS便指出自己想建立一个客户会话。这是通过控制信道发送一条呼出请求(OCRQ)消息实现的。最初OCRQ被设计为在强制隧道模式下由PNS发送给PAC。顾名思义,其用途是命令PAC呼叫终

28、端用户。在自发隧道模式下,远程客户机向PAC发送一条消息,提出想要在隧道里建立一个会话在远程用户和PAC之间交换OCRQ和OCRP消息后,便进行PPP协商。(2)第二层隧道协议使用两种消息。控制消息:通信所需要的隧道和一些会话被创建,控制消息通过控制连接可靠的传输。相对于第二层隧道,只需要一条控制连接会话,而不管其包含多少个数据会话。数据消息:它用于在LAC和LNS之间传输PPP帧。每条PPP帧都是通过L2TP(第二层隧道传输)隧道当中一个独立的会话传输的。LAC和LNS之间的单条L2TP隧道可支持多条PPP连接,理论上为65535条。图1.1说明了LAC和LNS之间的控制连接和数据会话。图1

29、.1 根据RFC2661,L2TP消息可以通过很多方式进行传输,包括UDP,帧中继等。第二层隧道协议需要远程接收系统,并且建立控制连接,为了方便客户机之间转发数据帧。建立隧道的第一步就是要接收远程客户机的呼叫。之后通过验证机制对客户机的合法性进行验证,如果验证通过,则允许接入,反之,不允许连接。会话建立期间将有关协商和验证的信息传递给LNS。LAC将依据客户机的名称,和一些识别字符串或用户名,将这些信息建立连接。在隧道里建立会话的第一步是要建立连接,连接成功后所有的数据都通过该隧道发送。会话建立初始,首先就是要允许接入消息呼入,如果有足够的硬件资源,并且允许建立连接LNS将利用呼入应答来接受请

30、求消息。然后发送一条消息来响应当前的操作,这一条消息说明正在处理会话的建立过程,如果一直没有别的消息发送,则发送一条确认消息。建立会话的时候交换的消息不包括会话序号,呼号和主叫号以及验证消息。1.4 VPN的实现原理在网络安全中,保证网络层的数据安全一直是一个非常关注的领域。不管是在互联网还是在企业局域网,都有一些网络攻击是不能抵御的,对于一个企业局域网来说,这一种攻击可能是来自于外部非法用户的入侵,也可能来自内部人员的入侵。但是不管是哪一种入侵方式,都将使企业受到很大的损失。单单依靠口令来防止非法用户访问已经不能满足当前的需要。首先列举几种常用的攻击方式,正常情况下,大多数网络传输数据都是以

31、明文的方式传输。这样的话就很容易受到攻击,只要是有一种方式能够获取该数据流,就很容易解读该数据流所包含的信息。不能更改和破坏数据,但是很容易导致用户的信息外泄,导致数据安全问题不断。对于大多数企业和政府来说一种窃听行为已经成为很大的安全问题。攻击者得到数据后,首先想到的就是要修改数据,这一种方式不会让发送者和接受者感觉到。作为通信的客户,他所拥有的数据时非常机密的的,没有人想让自己的数据被破坏。身份欺骗方式是一种修改本地主机网络地址的方式。这样的话可以获取正常的数据。口令攻击方式是通过非法手段获取用户的用户名和密码。然后通过这些信息进入客户内部网络。IPSEC是一种安全协议,它是为了避免网络层

32、的数据遭到窃听,可以有效的抵抗攻击。它的主要方向是保护网络层的数据安全,提供网络攻击防御。IPSEC防护是基于特定的数据流来实现加密传输这一种加密方法的接收端和发送端都负责相应的数据加解密。我们都知道,网络攻击很容易使系统遭到破坏,导致数据外泄,所以数据必须加强保护,以防止被修改,窃听。常用的保护方式主要是在外部的网管设备上配置保护策略,但这一种方式只是防护外部的攻击,它并不能防范内部的攻击。IPsec采用的是点到点的加密模式,工作原理是。用户的数据都是通过加密传输的,数据包通过加密函数对数据重新编码。在接收端对加密数据解码。IPsec对数据流加密,这种方式非常方便和灵活,也提高了数据包的安全。通过这种方式可以有效的防止网络攻击。IPsec加密的数据很难破解,根据不同级别的保密要求,在它的策略中可以根据不同的等级配置不同的密码

copyright@ 2008-2023 冰点文库 网站版权所有

经营许可证编号:鄂ICP备19020893号-2