基于VPN的企业网设计论文.docx
《基于VPN的企业网设计论文.docx》由会员分享,可在线阅读,更多相关《基于VPN的企业网设计论文.docx(17页珍藏版)》请在冰点文库上搜索。
基于VPN的企业网设计论文
2011-2012学年度第一学期
《网络工程》课程综合设计作品
题目 基于VPN的企业网设计
学号1
姓名 王壮飞
评定成绩
2012年1月3日
基于VPN的企业网设计
摘要:
VPN隧道技术(VPNTunneling)是一种通过使用互联网络的基础设施在网络之间传递数据的方式,对位于企业局域网端的企业服务器建立连接,对用户端透明,支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接,是非常受欢迎的电信业务。
首先,论文在理论概述与分析上,从技术层面IPSec、SSL和MPLS技术阐述了应用在VPN技术之中的几种常见协议,并列举了几种技术手段的优势和不足,并尝试研究各种技术的最适宜的应用环境。
其次,论文通过对VPN技术的安全保障以及服务质量保证两个方面详细分析了VPN技术的优点。
最后,论文设计了组建基于VPN的远程办公网络的组网方案,并详细列出了设计步骤、网络拓扑图、设备配置、网络模拟实验结果等。
关键词:
虚拟专用网络;隧道技术;IPSecVPN
1VPN技术理论概述
虚拟专用网VPN(VirtualPrivateNetwork)是一种利用公共网络构建的专用网络技术,“虚拟”的概念是相对传统私网络的构建方式而言的,VPN通过公网实现远程广域连接,以低廉的成本连接企业远程分支机构,或者在公共骨干网络承载不同的专网。
下面我们从技术层面和业务层面对VPN技术进行分析,因为所有的技术都是因为有了应用才变得有分析和研究的意义。
VPN是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商)在公用网络中利用隧道、加密等技术,构建一个专门给企业使用的虚拟网络。
该虚拟专用网负责将地理上分布的用户的各个网络结点连接起来。
在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
通过虚拟专用网络的连接,用户可以根据自己的意愿,分配各个结点上的地址空间,可以自己安排各个结点之间的路由关系,它给用户一种直接连接到私人局域网的感觉。
因此虚拟专用网,顾名思义,不是真的专用网络,但却能够实现专用网络的功能。
从网络空间来看,虚拟专用网络在中间,用户的网络结点在边缘。
所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。
所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
与虚拟专用网相对应的,传统专用线路(如DDN)的高昂成本和长期的使用费用,使企业承担了很大的负担,很多企业无法利用这种方式来建立自己的专网。
越来越多的用户认识到,Internet和电子商务的蓬勃发展,经济全球化的最佳途径是发展基于Internet的商务应用。
随着商务活动的日益频繁,各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网,从而大大简化信息交流的途径,增加信息交换的速度。
这些合作和联系是动态的,并依靠网络来维持和加强,于是各企业发现,这样的信息交流,不但带来了网络的复杂性,而且还带来了管理和安全性的问题,因为Internet是一个全球性和开放性的、基于TCP/IP技术的、难以管理的国际互联网络,因此,基于Internet的商务活动就面临着信息威胁和安全隐患。
还有一类用户,随着自身的发展壮大,以及跨国企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容也更为普遍。
因此,用户的信息技术部门,在连接分支机构方面也感到日益棘手。
虚拟专用网技术能很好地解决上述难题,而且无需高昂的专用网络及设备,大大降低了成本。
这使得虚拟专用网技术,不但成为了近来网络界的新热点,更成为了一种不可抗拒的趋势。
VPN技术的理论概述与分析
IPVPN是当今VPN发展的主流,也是主要的应用技术。
在此,我们将按照IPVPN技术的发展过程,将VPN技术分为五个层面分别进行讨论。
IPSec技术浅析
IPSec是一组开放协议的总称,它是在特定的通信方之间通过在IP层加密和数据源验证等手段,保证数据包在Internet网上的私有性、完整性和真实性。
IPSec采用AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)安全协议,不会对用户、主机或其它Internet组件造成影响,用户可以选择不同的硬件或软件加密算法,不影响其它部分的实现。
IPSec提供以下网络安全服务:
私有性:
在传输数据包之前进行加密,保证数据的私有性;
完整性:
在目的地验证数据包,保证数据包在传输过程中不被修改;
真实性:
IPSec端验证所有受IPSec保护的数据包;
防重放:
防止数据包被捕捉后重新投放上网,即目的地拒绝旧的或重复的数据包,这一过程是通过报文的序列号来实现的。
IPSec在两个端点之间通过建立安全联盟(SA,SecurityAssociation)进行数据传输,该安全联盟定义了数据保护使用的协议、算法和安全联盟的有效时间等属性。
IPSec在转发加密数据时新产生的All和/或ESP附加报头,可用于保证IP数据包的安全性。
IPSec包括隧道和传输两种工作方式:
在隧道方式,用户的整个IP数据包用于计算附加报头且被加密,附加报头和加密用户数据封装在一个新的IP数据包中;在传输方式,仅传输层(如TCP、UDP)数据用于计算附加报头,附加报头和被加密的传输层数据放置在原口报头的后面。
通过IPSec协议,数据可安全地在公网传输,不必担心数据被监视、修改或伪造。
IPSec提供两个主机间、两个安全网关间或主机与安全网关之间的数据保护。
SSL技术浅析
近年来,移动办公已成为趋势,移动用户接入公司内部专网的需求不断增加,使得IPSecVPN的使用也逐渐增加。
但由于IPSecVPN的维护困难,造成企业IT成本过高;另一方面,企业对于内网资源的保护的要求也不断提高,IPSecVPN由于开放了整网的资源给接入用户,企业内网安全方面的问题逐渐暴露。
鉴于IPSecVPN应用中存在的不足,基于应用层的SSLVPN开始迅速兴起。
SSL的英文全称是“SecureSocketsLayer”,中文名为“安全套接层协议层”,它是网景(Netscape)公司提出的基于WEB应用的安全协议。
是一种基于应用层的虚拟专网技术,它利用SSL技术和代理技术,向终端用户提供安全访问HTTP限资源、C/S资源,以及文件共享资源等的功能,同时可以实现不同方式的用户认证,以及细粒度的访问控制。
通过该技术的应用,我们可真正实现“在任何时候、任何地点、通过任何设备安全地接入公司内部网”的目标。
SSLVPN技术应用具有以下优势和特点:
通过点到应用的保护,对每一个应用都可以设定安全策略;
无需手动安装任何VPN客户端软件;
兼容性好,支持各种操作系统和终端(如PDA、SmartPhone等)。
在远程访问领域,SSLVPN正逐步取代IPSecVPN。
但是,作为传统的站点到站点安全联接的主流技术,IPSecVPN仍然是不可取代的。
当前,VPN领域的共识是:
IPSecVPN更适合于站点到站点安全联接,SSLVPN是实现安全远程访问的最佳技术。
就目前的技术而言,VPN的发展到现在没有所谓最佳的选择,到底选择那种VPN必须根据远程访问的需求与目标而定。
当企业需要安全的点对点连接时,IPSec可能是最适合的解决方案,即IPSec更加适合用来解决网到网的互联问题。
SSLVPN则更适合下述情况:
移动用户通过互联网来访问企业内部获取广泛而全面性的信息,管理员希望精确的了解接入用户的访问情况,SSLVPN在这方面更胜一筹。
如果一个企业会同时存在网间互联和点到网的互联需求,我们就需要的是一台设备同时支持这两种VPN技术,在需要网到网互联的时候使用IPSec、在需要点到网互联的时候使用SSL,用最合适的技术来满足用户的需求。
综合的说,以上两种技术有如下差异:
1、IPSecVPN多用于“网——网”连接,SSLVPN用于“移动客户——网”连接。
SSLVPN的移动用户使用标准的浏览器,无需安装客户端程序,即可通过SSLVPN隧道接入内部网络;而IPSecVPN的移动用户需要安装专门的IPSec客户端软件。
2、SSLVPN是基于应用层的VPN,而IPSecVPN是基于网络层的VPN。
IPSecVPN对所有的IP应用均透明;而SSLVPN保护基于Web的应用更有优势,当然好的产品也支持TCP/UDP的C/S应用,例如文件共享、网络邻居、Ftp、Telnet、Oracle等。
3、SSLVPN用户不受上网方式限制,SSLVPN隧道可以穿透Firewall;而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall,而且需要Firewall打开UDP500端口。
4、SSLVPN只需要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用。
而IPSecVPN需要管理通讯的每个节点,网管专业性较强。
5、SSLVPN更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制,与第三方认证系统(如:
radius、AD等)结合更加便捷。
而IPSecVPN主要基于IP五元组对用户进行访问控制。
正是出于SSLVPN的这些独特优势,SSLVPN越来越被一些客户所接受。
多协议标签交换MPLS
MPLS(MultiprotocolLabelSwitch)最初是用来提高路由器的转发速度而提出的一个协议,但是由于MPLS在流量工程和VPN这一在目前IP网络中非常关键的两项技术中表现,MPLS已日益成为扩大IP网络规模的重要标准。
MPLS协议的关键是引入了标签(Label)的概念。
它是一种短的、易于处理的、不包含拓扑信息、只具有局部意义的信息内容。
Label短是为了易于处理,通常可以用索引直接引用。
只具有局部意义是为了便于分配。
熟悉ATM的人可能很自然的想到ATM中的VPI/VCI。
可以这么说,ATM中的VPI/VCI就是一种标签,所以说ATM实际上就是一种标签交换。
一个MPLS标签是一个长度固定的数值,由报文的头部携带,不含拓扑信息,只有局部意义。
在MPLS网络中,IP包在进入第一个MPLS设备时,MPLS边缘路由器就用标签封装起来。
MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签,相对于传统的IP路由分析,MPLS不仅分析IP包头中的目的地址信息。
它还分析IP包头中的其他信息,如TOS等。
之后所有MPLS网络中节点都是依据这个简短标签来作为转发判决依据。
当该IP包最终离开MPLS网络时,标签被边缘路由器分离。
IP+ATM怎样不同于简单地在ATM骨干上运行IP呢?
答案就是MPLS。
MPLS是商业IP网络关键技术,它允许服务提供商首次在单一网络上获得IP,ATM,FR的综合利润。
因为MPLS提供IP的灵活连接和可扩展性,以及FR和ATM的私有性和QOS,它已变成广泛被接收的标准。
运用MPLS,IP服务能通过以下的过程在具有选路和多业务的交换网络上进行传送:
网络决定包的选路和QOS需求;
标记被分配给每个包,告诉交换机或路由器哪儿、怎样去发送这个包,每个包的特定的服务属性:
QOS,私有性等等;
包在没有额外的选路的情况下,在网络骨干上被交换。
基于MPLS的解决方案使得新的网络世界的服务成为可能,如具有QOS的VPN。
MPLS标记的主要好处是能够为单个数据流区别服务类。
VPN技术的优点
安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。
在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。
在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。
企业必须确保其在VPN上传送的数据,不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
ExtranetVPN将企业网扩展到了合作伙伴和客户,但同时也对安全性提出了更高的要求。
服务质量保证(QoS)
VPN网应当为企业数据,提供不同等级的服务质量保证。
不同的用户和业务对服务质量保证要求的差别较大。
如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用,则要求网络能提供良好的稳定性;对于其他应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。
所有以上网络应用,均要求网络根据需要提供不同等级的服务质量。
在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。
广域网流量的不确定性使其带宽的利用率很低,在流量高峰时容易引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又容易造成大量网络带宽空闲。
QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
2基于VPN的网络设计
网络拓扑图的设计与说明
基于IPSecVPN的综合模拟拓扑图如下图图1:
图1VPN综合模拟拓扑图
拓扑图说明:
总部路由器模拟总公司核心层路由器,总部汇聚层交换机下挂其Fa0/1端口,总部TFTP服务器、Web服务器以及各部门PC接入汇聚层核心交换机;总部路由器Fa0/1为连接Internet端口,在此使用一台cisco2811路由器模拟Internet,Internet路由器Eth1/1端口下挂外网DNS服务器和ISPWeb服务器,Eth1/0下挂外网接入的AP,提供DHCP服务和无线接入;Internet另一端为分公司路由器,其Fa0/1端口下挂分公司核心交换机。
IP地址分配与规划分析
PC0PC1:
DHCP获取
笔记本:
laptop0和wuxian:
DHCP获取
内部服务器:
Web
TFTP服务器:
ISPDNS
ISPWeb总部路由器:
f0/0:
f0/1:
网:
f0/1:
f0/0:
E1/0:
移动笔记本wuxian所获得公网地址段)
E1/1:
(ISPDNS和ISPWeb服务器的网关)
分部路由器:
f0/0:
f0/1:
服务器:
IP:
gateway:
服务器:
总部:
IP:
gateway:
Internet:
gateway:
服务器:
IP:
gateway:
3主要设备网络配置
总部路由器的配置
hostnamezongbu
ipdhcpexcluded-addressdhcppoolzongbu
networkdefault-routerdns-servernew-model
aaaauthenticationloginezalocal
aaaauthorizationnetworkezolocal
usernametangpassword0123
cryptoisakmppolicy10
encr3des
hashmd5
authenticationpre-share
cryptoisakmpkeytomaddressisakmpclientconfigurationgroupwzf
key123
poolez
cryptoipsectransform-settimesp-3desesp-md5-hmac
cryptodynamic-mapezmap10
settransform-settim
reverse-route
cryptomaptomclientauthenticationlisteza
cryptomaptomisakmpauthorizationlistezo
cryptomaptomclientconfigurationaddressrespond
cryptomaptom10ipsec-isakmpdynamicezmap
cryptomaptom11ipsec-isakmp
setpeersettransform-settim
matchaddress101
noipdomain-lookup
interfaceFastEthernet0/0
ipaddressipnatinside
duplexauto
speedauto
interfaceFastEthernet0/1
ipaddressipnatoutside
duplexauto
speedauto
cryptomaptom
interfaceVlan1
noipaddress
shutdown
iplocalpoolwzfnatinsidesourcelist100interfaceFastEthernet0/1overload
ipnatinsidesourcestatictcp8080
ipclassless
iproute
access-list100denyip100permitipany
access-list101permitipcon0
exec-timeout00
loggingsynchronous
login
linevty04
login
end
分公司路由器配置
hostnamefenbu
ipdhcpexcluded-addressdhcppoolzongbu
networkdefault-routerdns-serverisakmppolicy10
encr3des
hashmd5
authenticationpre-share
cryptoisakmpkeytomaddressipsectransform-settimesp-3desesp-md5-hmac
cryptomaptom10ipsec-isakmp
setpeersettransform-settim
matchaddress101
noipdomain-lookup
interfaceFastEthernet0/0
ipaddressipnatoutside
duplexauto
speedauto
cryptomaptom
interfaceFastEthernet0/1
ipaddressipnatinside
duplexauto
speedauto
interfaceVlan1
noipaddress
shutdown
ipnatinsidesourcelist100interfaceFastEthernet0/0overload
ipclassless
iproute
access-list100denyip100permitipany
access-list101permitipcon0
exec-timeout00
loggingsynchronous
linevty04
login
end
Internet路由器配置
hostnameInternet
ipdhcpexcluded-addressdhcppoolwifi
networkdefault-routerdns-serveripdomain-lookup
ipname-serverFastEthernet0/0
ipaddressduplexauto
speedauto
interfaceFastEthernet0/1
ipaddressduplexauto
speedauto
interfaceEthernet1/0
ipaddressduplexauto
speedauto
interfaceEthernet1/1
ipaddressduplexauto
speedauto
interfaceVlan1
noipaddress
shutdown
ipclassless
linecon0
exec-timeout00
loggingsynchronous
linevty04
login
end
网络模拟实验结果
分部PC1没有连接上VPN时,尝试ping总部web及tftp服务器,结果如图2所示:
图2未连接VPN时ping总部
在PC1的VPN连接中输入图3所示内容,点击链接,提示VPN链接总部成功。
图3VPN链接图
再打开CommandPrompt,ping总部服务器,结果如图4所示,正常连通
图4链接VPN后ping结果
打开PC1的WebBrowser输入Internet的Web服务器地,成功浏览,如图5
图5外网Web页面
地址栏中输入总部Web服务器地址,同样成功链接,如图6
图6总部Web页面
打开无线接入Internet路由器的笔记本电脑wuxian,同样链接上总部的VPN组,之后ping总部服务器,结果都能正常通信。
如图7、8所示:
图7VPN链接图
图8VPN链接后ping结果
升级会员 