企业校园VPN的规划与实现VPN毕业设计.docx

1、企业校园VPN的规划与实现VPN毕业设计 本科毕业论文（设计）企业VPN的规划与实现The Design and Implementation Of Enterprise VPN毕业设计（论文）原创性声明和使用授权说明原创性声明本人郑重承诺：所呈交的毕业设计（论文），是我个人在指导教师的指导下进行的研究工作及取得的成果。尽我所知，除文中特别加以标注和致谢的地方外，不包含其他人或组织已经发表或公布过的研究成果，也不包含我为获得 及其它教育机构的学位或学历而使用过的材料。对本研究提供过帮助和做出过贡献的个人或集体，均已在文中作了明确的说明并表示了谢意。作 者 签 名： 日 期： 指导教师签名： 日

2、期： 使用授权说明本人完全了解 大学关于收集、保存、使用毕业设计（论文）的规定，即：按照学校要求提交毕业设计（论文）的印刷本和电子版本；学校有权保存毕业设计（论文）的印刷本和电子版，并提供目录检索与阅览服务；学校可以采用影印、缩印、数字化或其它复制手段保存论文；在不以赢利为目的前提下，学校可以公布论文的部分或全部内容。作者签名： 日 期： 学位论文原创性声明本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意

3、识到本声明的法律后果由本人承担。作者签名： 日期： 年 月 日学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权 大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。涉密论文按学校规定处理。作者签名： 日期： 年 月 日导师签名： 日期： 年 月 日本科毕业设计（论文）任务申请书承担指导任务单位导师姓名导师职称带教学生人数专 业年级2008论文题目企业VPN的规划与实现题目分类1应用与非应用类：工程科研 教学建设

4、理论分析 模拟2软件与软硬结合类：软件硬件软硬结合非软硬件（1、2类中必须各选一项适合自己题目的类型在内打）主要内容VPN在企业网中的重要性，VPN的核心技术，实现IPSec的过程和测试主要技术指标通过网络模拟器Cisco Packet Tracer5.3，搭建网络环境，利用VPN技术实现企业VPN的通信实施要求要求熟练掌握模拟器Cisco Packet Tracer5.3的使用，熟练搭建企业的网络拓扑，熟悉企业VPN的隧道和加密技术。主要参考文献：1 防火墙策略与VPN配置 （美）卢卡斯等编著，谢琳 等译/2008-01-01/水利水电出版社 2 CCNP ROUTE(642-902)学习指

5、南（美）蒂尔 著，袁国忠 等译/2011-1-1/人民邮电出版社 开题时间2011.10完成时间2012.3系所（单位）审定意见： 系所（单位）主官签字： 年 月 日教学指导委员会审定意见：教学指导委员主任委员签字：年 月 日摘 要在当今世界，随着企业网应用的日益广泛，企业网的范围也在不断扩大，从本地网络，发展到跨地区跨城市，甚至是跨国家的网络。但目前，TCP/IP几乎是所有网络通信的基础，而IP本身是没有提供安全的，在传输过程中，IP 包可以被伪造、篡改或者窥视。比如，在某些特殊需求下，两个分公司需要直接通过对方私有地址来访问对方网络，而不希望通过NAT映射后的地址来访问，比如银行的业务系统

6、，某银行在全国都有分行，而所有的分行都需要访问总行的业务主机系统，但这些业务主机地址并不希望被NAT转换成公网地址，因为银行的主机不可能愿意暴露在公网之中，所以分行都需要直接通过私网地址访问总行业务主机。在此类需求的网络环境中，我们就必须要解决跨越Internet的网络与网络之间直接通过私有地址互访的问题。因此，人们尝试着使用网络技术让跨越Internet的网络模拟出专线连接的效果，这种技术，就是隧道技术（Tunnel），也是当前很常见的VPN（Virtual Private Network）技术。目前许多电信运营商采用 IPSec 隧道加密技术，为商用客户既提供了高带宽低资费的企业网络联网服

7、务，又提供了在公用网络上拥有私有VPN 网络的数据传输安全保障服务，赢得了广大商用客户的青睐。本文将研究 IPSec 体系结构,技术原理和 VPN 基本技术,分析了 IPSec VPN 的主要实现方式,本论文主要介绍了VPN的应用现状与展望、VPN的定义与种类、VPN的协议栈原理与配置详解。其中，重点阐述了VPN的协议栈原理与配置详解，包括如何在网络思科模拟器Cisco Packet Tracer5.3中模拟真实企业环境中的VPN等。设计并创建了一个实用的 IPSec VPN 网络,并对该网络进行了实际测试。关键词：企业网； VPN； 安全； IPSec； 模拟器Cisco Packet Tr

8、acer5.3ABSTRACTNowadays, along with the enterprise nets wide application, enterprise nets range is expanding continually, from local network, development to cross area across the city, and even across countries network.But at present, the TCP/IP is almost all network communication foundation, and IP

9、 is itself did not provide safe, the transfer of the process, the IP packets can be forged, falsify or the life. For example, in some special requirements, the two branches need directly through each other private address to visit each other network, and do not wish to mapping the address after by N

10、AT to visit, such as bank service system, one bank has branches all over the country, and all of the branch is need access to the head office business host system, but these business host addresses do not want to be converted into public network address by NAT. Because the bank may be willing to exp

11、ose the hosts in the public network, so branch all need directly through private web address head office visit business host. In such requirements of the network environment, we must solve the problems between the network and the network across the Internet directly through the private address excha

12、nge of visits. So, people try to use the network technology across the Internet to simulate the special line of network connection effect, this technology, is channel technology, but also the present very common VPN technology. At present many telecommunications operator IPSec with tunnel encryption

13、 technology for commercial customers not only provides high bandwidth charges low of enterprise network networking services, and provides the public network have private data transmission of VPN network security service, has won the general commercial customers of all ages. This paper will research

14、IPSec system structure, technical principle and basic VPN technology, analyzes the IPSec VPN main implementation. This paper mainly introduced the definition and classification of VPN, VPN protocol stacks principle and configuration of the present situation of the application of mass media and the p

15、rospect of VPN. Among them, the paper expounds the principle and the protocol stack VPN configuration explanation, including how in the network Cisco simulator Cisco Packet Tracer5.2 simulate real enterprise environment in the VPN. Design and create a practical IPSec VPN network, and the network to

16、practical test.Keywords: Enterprise nets； VPN； Security； IPSec； Cisco Packet Tracer5.31 绪论1.1 VPN虚拟专用网的产生背景和研究意义在经济全球化的今天，随着网络经济的发展，客户分布日益广泛，合作伙伴增多，移动办公人员也随之剧增。传统企业网基于固定地点的专线连接方式，已难以适应现代企业的需求。在这样的背景下，远程办公室、公司各分支机构、公司与合作伙伴、供应商、公司与客户之间都可能要建立连接通道以进行信息传送。而在传统的企业组网方案中，要进行远程 LAN 到 LAN 互联，除了租用 DDN 专线或帧中继之外

17、，并没有更好的解决方法。对于移动用户与远端用户而言，只能通过拨号线路进入企业各自独立的局域网。这样的方案必然导致高昂的长途线路租用费及长途电话费。于是，虚拟专用网 VPN (Virtual Private Network)的概念与市场随之出现。为什么会有VPN这种技术？主要有一下四点原因:（1）信息在传输中可能泄密,这时需要数据机密性保护。（如图1-1）图1-1 信息传输中泄密（2）信息在传输中可能失真，这时需要数据完整性保护。（如图1-2）图1-2 信息传输失真(3)信息的来源可能伪造的，这时需要数据源发性保护。（如图1-3）图1-3 信息的来源不可靠（4）信息传输的成本可能过高，这时需要降

18、低远程传输成本。1.2 VPN研究的目的和内容 VPN相对于专线而言，在价格上有着绝对的优势；相对于普通PSTN拨号连接，VPN在安全性、保密性上更胜一筹。企业通过使用VPN技术组建网络，可以保证数据在传输过程中的安全性和QOS(服务质量保证)。VPN具有很好的扩展性，当网络扩充与远程办公室、国际区域、远程计算机、漫游的移动用户以及由于商务要求的商务伙伴等连接或是变更网络结构时，企业只需依靠提供VPN服务的ISP就可以随时扩大VPN的容量和覆盖范围，因此可以大幅度降低数据通信的费用。根据VPN的服务类型，可以将VPN分为Access VPN、Intranet VPN和Extranet VPN三

19、类。 远程访问虚拟网（Access VPN）：减少用于相关的调制解调器和终端服务设备的资金及费用，简化企业网络结构； 实现本地拨号接入VPN的功能来取代长途接入或800电话接入，减少企业在长话费上的支出；简便地对加入网络的新用户进行控制和调动，提高了网络的扩展能力； 远端验证拨入用户服务，企业可以自主的控制认证信息；节省了企业在自主维护拨号接入方面的人员和设备的投入。（如图1-4）图1-4 Access VPN企业内部虚拟网（Intranet VPN）：减少企业租用运营商WAN带宽的费用；能使用灵活的拓扑结构，包括全网状连接； 可以减小网络业务提供的周期；通过设备供应商WAN的连接冗余，提高网

20、络的可用性。（如图1-5）图1-5 Intranet VPN企业扩展虚拟网（Extranet VPN）：能容易地对外部网进行部署和管理；外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。利用VPN 网络能够获得语音、视频方面的服务， IP 电话业务，如电视会议、远程教学、甚至证券行业的网上路演、网上交易等等。（如图1-6）图1-6 Extranet VPN 而在此同时，国内公众信息网(China NET与Internet)在近几年来得到高速发展，已经遍布全国各地，在物理上，各地的公众信息网都是连通的，但由于公众信息网是对社会开放的，如果企业的信息要通过公众信息网进行传输

21、，在安全性上会存在着很多问题。因此如何能够利用现有的公众信息网，来安全地建立企业的专有网络，就成为了现今网络应用上最迫切需要解决的一个重要课题。VPN技术的出现，为问题的解决带来了新的方向。 2 VPN的协议栈原理2.1 隧道技术（Tunnel） 存在多种隧道协议，隧道可以实现远程网络之间通过私有IP地址互访，隧道技术，就是VPN技术，要实现VPN，就是实现隧道，不能实现隧道，就不叫VPN。 隧道技术通过对数据进行封装，在公共网络上建立一条数据通道（隧道），让数据包通过这条隧道传输。由于在某些环境下，通过Internet连接的远程网络之间，双方需要直接使用对方私有IP地址来互访，而私有IP网段

22、是不能传递到Internet上进行路由的，在数据包封装为私有IP发到Internet之后，由于Internet的路由器没有私有IP网段，所以最终数据包将全部被丢弃而不能到达真正目的地。无论何种隧道技术，其数据包格式都是由乘客协议、封装协议和传输协议3部分组成的。下面 以L2TP为例，如图所示，看一下隧道协议的组成。（如图2-1）图2-1 隧道协议的封装（1） 乘客协议：乘客协议是指用户要传输的数据，也就是被封装的数据，它们可以是IP、PPP、SLIP等。这是用户真正要传输的数据，如果是IP协议，其中包含的地址有可能是保留IP地址。（2） 封装协议：封装协议用于建立、保持和拆卸隧道。即将讨论的L

23、2F、PPTP、L2TP、GRE、 IPSec、就属于封装协议。（3） 传输协议：乘客协议被封装之后应用传输协议，上图中使用UDP协议对L2TP协议数据包进行了封装。通过在目标IP为私有IP的数据包外面封装公网IP，从而实现远程网络之间使用私有IP通信的技术，称为隧道技术，由此可见，在隧道中传递的数据包至少包含着两个IP包头（两个IP地址），最外面的IP地址肯定是公网IP，以用作在Internet中路由该数据包，里面的IP应该是私有IP，就是目标主机的真实IP。通过隧道连接的两个远程网络就如同直连，隧道达到的效果，就是网络直连的效果。隧道就像一辆汽车，原本为私有IP的数据包就像是乘客，路途中只

24、看汽车不看乘客，只要汽车能去哪个地方，汽车里的乘客就可以被送到哪个地方，在行驶过程中，车内的乘客不受干扰。被隧道再次封装公网IP的数据包协议称为乘客协议（Passenger protocol），不是所有类型协议的数据包能被隧道封装，所以对于隧道来说，乘客协议（Passenger protocol）是有范围限制的，本文只以IP协议为例。隧道中传输的数据包格式如下图（图1-1）：图 2-1 数据包格式就隧道技术有多种实现方式，也就存在多种隧道协议，隧道可以实现远程网络之间通过私有IP地址互访，隧道技术，就是VPN技术，要实现VPN，就是实现隧道，不能实现隧道，就不叫VPN。2.2 GRE（Gene

25、ric Routing Encapsulation）GRE是一种最传统的隧道协议，其根本功能就是要实现隧道功能，通过隧道连接的两个远程网络就如同直连，GRE在两个远程网络之间模拟出直连链路，从而使网络间达到直连的效果，为此，GRE需要完成多次封装，总共有3次，换句话说，就是在GRE隧道中传输的数据包都有3个包头，因为我们只谈IP协议，所以GRE中的IP数据包是一层套一层，总共有3个IP地址。GRE在实现隧道时，需要创建虚拟直连链路，GRE实现的虚拟直连链路可以认为是隧道，隧道是模拟链路，所以隧道两端也有IP地址，但隧道需要在公网中找到起点和终点，所以隧道的源和终点分别都以公网IP地址结尾，该链

26、路是通过GRE协议来完成的，隧道传递数据包的过程分为3步：（1）接收原始IP数据包当作乘客协议，原始IP数据包包头的IP地址为私有IP地址。 （2）将原始IP数据包封装进GRE协议，GRE协议称为封装协议（Encapsulation Protocol），封装的包头IP地址为虚拟直连链路两端的IP地址。（3）将整个GRE数据包当作数据，在外层封装公网IP包头，也就是隧道的起源和终点，从而路由到隧道终点。在远程路由器之间配置GRE，总共分为三步: （1）创建虚拟链路（隧道）接口，号码任意，两端可不相同。（2）配置虚拟链路（隧道）接口地址，该地址是在GRE包头中被封装的地址。（3）定义虚拟链路（隧道

27、）的源和目的，因为数据包最终要在公网中传递，所以该地址就是在公网中指导路由器转发数据包的可路由公网IP，也是建立隧道两端路由器的真实公网IP。2.3 加密技术 2.3.1 加密算法 当不同的远程网络通过Internet连接时，网络之间直接通过私有地址进行互访只是需求之一，除此之外，还有个非常重要的需求，那就是数据安全。所以在穿越Internet的远程网络之间只实现隧道传输还不够，还必须让数据包加密传输，以保证数据在Internet传输时的安全性。 基于上述原因，在远程网络之间布置的VPN除了实现隧道功能之外，还必须在隧道中实现对数据的加密，隧道与加密是VPN不得不同时实现的功能，两者缺一不可，

28、否则就不算是完整的VPN。 目前，加密算法多种多样，加密算法分为加密和解密两个过程： 加密是指将明文（直接能看懂的）数据换算成密文（直接无法看懂的）数据。 解密是对加密的反运算，将密文数据转变为明文数据。对数据进行解密时使用的密钥和加密使用的密钥是完全相同的，这种加密算法称为对称加密算法，也叫做私钥算法为了寻求更安全的加密算法，开发出了与对称加密算法相反的加密算法，称为非对称加密算法，也叫做公钥算法，其原理与对称加密算法不同的是解密时使用的密钥和加密时使用的密钥不同，就是在将明文加密时使用一个密钥，这个密钥俗称公钥，但是在对密文解密时，必须使用另外一个密钥，这个密钥俗称私钥，公钥只能用于加密，

29、不能解密，必须有私钥才能解密。 在对称加密算法中，因为解密时使用的密钥和加密时使用是同一个密钥，所以对于密钥的保护必须格外小心，只要密钥在交换或协商时被人窃取，数据就会被破解，显然双方必须使用绝对安全的方法来交换密钥。 而在非对称加密算法中，因为解密时使用的密钥和加密时使用的密钥不同，任何拥有公钥的人，都可以对数据进行加密，但只有拥有私钥的人，才能对密文解密，所以公钥可以被公开，可以被任何人知道，只知道公钥只能加密，却不能解密，所以只要保证私钥掌握在自己手中不传递不外泄，就不会有问题；双方在需要加密传输时，各自都把自己的公钥发出去，让对方通过该公钥将数据加密后发给自己，这样就能使任何人都能向自

30、己发送加密数据，但只有自己才能对数据解密。当前涉及到的各种加密算法有： 对称加密算法（私钥算法）和非对称加密算法（公钥算法）对称加密算法（私钥算法）有DES和AES。DES加密共有三种形式，分为DES（40-bit长度加密），DES（56-bit长度加密）以及3DES(3倍的56-bit长度加密，即168-bit长度加密）；由于3DES加密长度够长，安全性够高，所以推荐使用3DES。AES加密共有三种形式，分为AES 128（128-bit长度加密），AES 192（192-bit长度加密）以及AES 256（256-bit长度加密）；由于AES 256加密长度够长，安全性够高，所以推荐使用A

31、ES 256。 非对称加密算法（公钥算法）主要有 RSA。 RSA公钥加密算法的名字是发明者的人名：Rivest, Shamir and Adleman，该算法的长度位数不定，由人手工定义。在硬件方面，当采用公钥加密算法时，速度明显慢于私钥加密算法，虽然使用公钥加密算法似乎更安全，但通常都使用私钥加密算法，而使用私钥加密算法的重点就是要保证密钥的安全传递与交换，所以该工作就由公钥加密算法来完成，最后的过程就是先使用公钥加密算法业安全的交换私钥算法的密钥后，然后再使用私钥算法对数据进行加密，这样既保证了私钥算法的密钥安全，同时又获得了数据加密的速度，两者兼得。2.3.2 HMAC（Hashed Message Authentication Code）当数据在传输过程中，如果被劫持后修改了数据，通常数据接收者很难发现数据是否在中途被篡改；在正常的数据传输中大家都应该知道，每个数据包都会在后面写上一个对数据计算后的校验和（Checksum），当数据计算出校验和之后，接收者在收到数据后也需要对数据进行校验和计算，如果发现自己计算的校验和与数据包附带的校验和不同，便认为数据发生了偏移或错误，因此将数据包丢弃或要求重传。在需要保证数据安全防止中途被篡改时，也引用了校验和的思想，数据在发送之前先计算出相应的Hash值，当接收者收到数据后也要对数据计算Hash值，如果发现自己计算的H