虚拟专用网技术研究与实现毕业设计论文终稿文档格式.docx
《虚拟专用网技术研究与实现毕业设计论文终稿文档格式.docx》由会员分享,可在线阅读,更多相关《虚拟专用网技术研究与实现毕业设计论文终稿文档格式.docx(19页珍藏版)》请在冰点文库上搜索。
4.2QoS技术12
5VPN的实现13
5.1拓扑结构13
5.2主要实验步骤13
5.3测试结果16
结论17
致谢18
参考文献19
引言
随着Internet和电子商务行业的蓬勃发展,越来越多的用户认识到,Internet带来极大的经济效益的同时也存在着一定的不安全分子,如非法访问和攻击,窃听和篡改。
由此年来网络通信安全的重要极为重要。
VPN是企业内部网在因特网上的延伸,能过一个私用的通道来建立一个安全的私有连接,将运程用户、公司分支机构、公司的业务伙伴等跟公司的内部网连接起来,构成一个扩展的公司企业网,通过虚拟专用网络既实现了传统专用网络所需的性能,同时相对于传统的专用网络的运营成本。
对VPN技术的实现方法进行比较研究,可以充分发挥其优势,为企业的现代化管理与经营服务。
VPN的最终目的是服务于企业,为企业带来可观的经济效益,为现代企业的信息交换提供一个安全的、可靠的网络信息传输和管理平台。
随着骨干网络带宽十倍、百倍提升,以及ADSL等宽带接入方式的普及,Internet已经成为了一个极为重要的信息传输载体,而用户的注意力也同原来的关注网络的稳定性、可用性逐渐集中到联网方案的易用性和安全性上来。
VPN技术的发展与成熟,可为企业的商业运行提供一个无处不在的、安全的、可靠的的数据传输网络。
本文主要介绍了VPN的隧道技术、加密技术以及选取其中一种方法进行VPN技术的实现。
从而对VPN技术有更进一步的了解。
1VPN的概述
1.1VPN的发生背景
在经济全球化的今天,随着网络,尤其是网络经济的发展,客户分布日益广泛,合作伙伴增多,移动办公人员也随之剧增。
传统企业网基于固定地点的专线连接方式,已难以适应现代企业的需求。
在这样的背景下,远程办公室、公司各分支机构、公司与合作伙伴、供应商、公司与客户之间都可能要建立连接通道以进行信息传送。
而在传统的企业组网方案中,要进行远程LAN到LAN互联,除了租用DDN专线或帧中继之外,并没有更好的解决方法。
对于移动用户与远端用户而言,只能通过拨号线路进入企业各自独立的局域网。
这样的方案必然导致高昂的长途线路租用费及长途电话费。
于是,虚拟专用网VPN(VirtualPrivateNetwork)的概念与市场随之出现。
利用VPN网络能够获得语音、视频方面的服务,如IP电话业务、电视会议、远程教学,甚至证券行业的网上路演、网上交易等。
1.2VPN的定义
VPN(VirtualPrivateNetwork,虚拟专用网络)是一门网络新技术,提供一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。
虚拟专用网不是真正的专用网络,但却能实现专用网络的功能。
VPN通用一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全的、稳定的隧道。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接水可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
虚拟专用网至少应能提供如下功能:
·
加密数据,以保证通过公网传输的信息即使被他们截获也不会泄露。
信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份。
提供访问控制,不同的用户不同的访问权限。
1.3VPN的工作原理
把因特网用作专用广域网,有两个主要障碍。
首先经常使用多种不同协议进行通信,但因特网只能处理IP流量。
所以,VPN就需要提供一种方法,将非IP的协议进行两个网络中的传输。
其次,网上传输的数据包以明文格式传输,因而,只要看到因特网的流量,就能读取包内所含的数据。
如果公司希望利用因特网传输重要的商业机密信息,这显然是一个极为重要的问题。
然而,VPN技术可以很好的解决这两个问题。
VPN的基本思想很容易理解,假设公司有两个网络,相距很远,要用VPN连接,由两个VPN设备建立专用通道,数据传输过程如下图所示。
图1.1VPN的工作原理
源网络建立分组,将其IP地址作为源地址,将目的网络的IP地址作为目标地址,将分组发送到源VPN设备,通常是网关。
分组到达源VPN设备,源VPN设备在分组中增加一新数据头。
在此分组中,将分组的源IP地址写为自已的IP地址V1,目标地址写为对等目的VPN设备的IP地址V2,然后发送。
分组通过Internet到达目的VPN设备,目的VPN设备能够识别新增的头部,对其进行拆除,从而午到第一步由源网络生成的原分组,然后根据分组的IP地址信息,进行正常的转发。
2VPN的应用领域和设计目标
随着VPN的发展,VPN的应用领域越来越广泛,在很多行业都到了相当重要的作用。
2.1VPN的主要应用领域
VPN技术广泛的应用于国家国防军队通信和远程指挥网络平台的搭建;
应用于企业网Itranet、远程访问、企业外部网Extranet、企业内VPN网络的建设;
应用于网络游戏领域中基于VPN网络游戏大型网络平台的实施;
应用于电子商务领域中公司、分公司于顾客间应用平台的建设;
同时随着教育领域资源共享的开放性程度逐渐扩大,VPN技术也更为广泛的应用于教育事业、校园网建设等网络的建设;
甚至在未来的发展中也将更为广泛的应用于可提供更加安全的、速度更快的、易用性更好的连接平台的无线网络。
2.2VPN的设计目标
在实际应用中,一个高效、成功的VPN应具备以下特点:
安全保障:
VPN保证通过公用网络平台传输数据的专用性和安全性。
在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者所知道,从而保证了数据的私有性和安全性。
在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。
企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
服务质量保证(QOS):
VPN网络应当为企业数据提供不同等级的服务质量保证。
不同的用户和业务对服务质量保证的要求差别较大。
在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。
广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;
而在流量低谷时又造成大量的网络带宽空闲。
QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
可扩充性和灵活性:
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
可管理性:
从用户角度和运营商的角度应可方便地进行管理、维护。
VPN管理的目标为:
减小网络风险、具有高扩展性、经济性、高可靠性等优点。
事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
3隧道技术
3.1隧道技术的概述
隧道技术的基本过程是在源局域网与公网的接口处将数据(可以是ISO七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。
被封装的数据包在互联网上传递时所经过的逻辑路径被称之为“隧道”。
隧道技术是一种能过使用互联网络的基础设施在网络之间传递数据的方式。
使用隧道传递的数据可以是不同协议的数据帧或包。
隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。
新的包头提供了路由信息,从而使封装的负载数据能够能过互联网络传递。
图3.1数据在隧道中的传输
通过隧道的建立,可实现:
①将数据流强制送到特定的地址;
②隐藏私有的网络地址;
③在IP网上传递非IP数据包;
④提供数据安全支持。
要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。
为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。
隧道的功能就是在两个网络节点之间提供一条通路,使数据报能够在这个通路上透明传输。
VPN隧道一般是指在PSN(PacketSwitchedNetwork)骨干网的VPN节点(一般指边缘设备PE)之间或VPN节点与用户节点之间建立的用来传输VPN数据虚拟连接。
3.2隧道协议
VPN的具体实现是采用隧道技术,将企业网的数据封装在隧道中进行传输。
隧道协议可分为第二层隧道协议PPTP、L2F、L2TP、第三层隧道协议GRE、IPSet和第五层隧道协议SOCKSv5。
它们的本质区别在于用户的数据包是被封装在哪种数据包中在隧道中传输的。
3.2.1隧道协议的分类
第二层隧道协议:
(1)PPTP点对点隧道协议:
PPTP提供PPTP客户机和PPTP服务器之间的加密通信。
是由PPTP论坛开发的点到点的安全隧道协议,为使用电话上网的用户提供安全VPN业务,1996年成为IETF草案。
PPTP是PPP协议的一种扩展,提供了在IP网上建立多协议的安全VPN的通信方式,远端用户能够通过任何支持PPTP的ISP访问企业的专用网络。
PPTP提供PPTP客户机和PPTP服务器之间的保密通信。
PPTP客户机是指运行该协议的PC机,PPTP服务器是指运行该协议的服务器。
(2)L2F第二层转发协议:
L2F(Layer2Forwarding)是由Cisco公司提出的,可以在多种介质(如ATM、帧中继、IP)上建立多协议的安全VPN的通信方式。
L2F远端用户能够通过任何拨号方式接入公共IP网络。
首先,按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接;
NAS根据用户名等信息发起第二次连接,呼叫用户网络的服务器。
这种方式下,隧道的配置和建立对用户是完全透明的。
L2F允许拨号服务器发送PPP帧,并通过WAN连接到L2F服务器。
L2F服务器将包去封装后,把它们接入到企业自己的网络中。
与PPTP和PPP所不同的是,L2F没有定义客户。
(3)L2TP第二层隧道协议:
L2TP结合了L2F和PPTP的优点,可以让用户从客户端或接入服务器端发起VPN连接。
L2TP定义了利用公共网络设施封装传输链路层PPP帧的方法。
目前用户拨号访问因特网时,必须使用IP协议,并且其动态得到的IP地址也是合法的。
L2TP的好处就在于支持多种协议,用户可以保留原来的IPX、AppleTalk等协议或企业原有的IP地址,企业在原来非IP网上的投资不致于浪费。
另外,L2TP还解决了多个PPP链路的捆绑问题。
L2TP是用来整合多协议拨号服务至现有的因特网服务提供商点。
PPP定义了多协议跨越第二层点对点链接的一个封装机制。
用户通过使用众多技术之一(如:
拨号POTS、ISDN、ADSL等)获得第二层连接到网络访问服务器(NAS),然后在此连接上运行PPP。
在这样的配置中,第二层终端点和PPP会话终点处于相同的物理设备中
第三层隧道协议:
(1)IPSet协议:
IPSec是IETF(InternetEngineerTaskForce)正在完善的安全标准,它把几种安全技术结合在一起形成一个较为完整的体系,受到了众多厂商的关注和支持。
通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。
IPSec由IP认证头AH(AuthenticationHeader)、IP安全载荷封载ESP(EncapsulatedSecurityPayload)和密钥管理协议组成。
IPSec兼容设备在OSI模型的第三层提供加密、验证、授权、管理,对于用户来说是透明的,用户使用时与平常无任何区别。
密钥交换、核对数字签名、加密等都在后台自动进行。
IPSec可用两种方式对数据流进行加密:
隧道方式和传输方式。
两种对IP包的封装形式分别如下:
传输方式
隧道方式
隧道方式对整个IP包进行加密,使用一个新的IPSec包打包。
这种隧道协议是在IP上进行的,因此不支持多协议。
传输方式时IP包的地址部分不处理,仅对数据净荷进行加密。
IPSec用密码技术从三个方面来保证数据的安全。
即:
认证:
用于对主机和端点进行身份鉴别;
完整性检查:
用于保证数据在通过网络传输时没有被修改;
加密:
加密IP地址和数据以保证私有性。
IPSec支持的组网方式包括:
主机之间、主机与网关、网关之间的组网。
IPSec还支持对远程访问用户的支持。
IPSec可以和L2TP、GRE等隧道协议一起使用,给用户提供更大的灵活性和可靠性。
(2)GRE协议:
GRE主要用于源路由和终路由之间所形成的隧道。
GRE隧道使用GRE协议封装原始数据报文,基于公共IP网络实现数据的透明传输。
例如,将通过隧道的报文用一个新的报文头(GRE报文头)进行封装然后带着隧道终点地址放入隧道中。
当报文到达隧道终点时,GRE报文头被剥掉,继续原始报文的目标地址进行寻址。
GRE隧道通常是点到点的,即隧道只有一个源地址和一个终地址。
GRE建立起来的隧道只是在隧道源点和隧道终点可见,中间经过的设备仍按照外层IP在网络上进行普通的路由转发。
GRE的隧道由两端的源IP地址和目的IP地址来定义,允许用户使用IP包封装IP、IPX、AppleTalk包,并支持全部的路由协议(如RIP2、OSPF等)。
通过GRE,用户可以利用公共IP网络连接IPX网络、AppleTalk网络,还可以使用保留地址进行网络互连,或者对公网隐藏企业网的IP地址。
GER只提供了数据包的封装,并没有加密功能来防止网络侦听和攻击,所以在实际环境中经常与IPSec在一起使用,由IPSec提供用户数据的加密,从而给用户提供更好的安全性。
图3.2数据在GRE隧道中传输
GRE协议的主要用途有两个:
企业内部协议封装和私有地址封装。
在国内,由于企业网几乎全部采用的是TCP/IP协议,因此在中国建立隧道时没有对企业内部协议封装的市场需求。
企业使用GRE的唯一理由应该是对内部地址的封装。
当运营商向多个用户提供这种方式的VPN业务时会存在地址冲突的可能性。
第五层
SOCKSv5:
SOCKSv5工作在OSI模型中的第五层——会话层,可作为建立高度安全的VPN的基础。
SOCKSv5协议的优势在访问控制,因此适用于安全性较高的VPN。
SOCKSv5现在被IETF建议作为VPN的标准。
3.2.2不同隧道协议优缺点
因为时间原因,在此只选取其中的几种实现VPN的隧道技术进行对比。
①L2TP协议
优点:
它结合了PPTP协议以及第二层转发L2F协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。
L2TP可以提供包头压缩。
当压缩包头时,系统开销占用4个字节。
缺点:
L2TP没有任何加密措施。
②IPSet协议
它定义了一套用于保护私有性和完整性的标准协议,可确保运行在TCP/IP协议上的VPN之间的互操作性。
IPSec在传输层之下,对于应用程序来说是透明的。
当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置。
即使在终端系统中执行IPSec,应用程序一类的上层软件也不会被影响。
除了包过滤外,它没有指定其他访问控制方法,对于采用NAT方式访问公共网络的情况难以处理。
③GRE协议
它支持多种协议和多播,能够用来创建弹性的VPN,支持多点隧道,能够实施QoS。
缺乏加密机制,没有标准的控制协议来保持GRE隧道,隧道很消耗CPU,出现问题要进行EDBUG很困难,MTU和IP分片是一个问题。
④SOCKSv5协议
非常详细的访问控制。
在网络层只能根据源目的的IP地址允许或拒绝被通过,在会话层控制手段更多一些,由于工作在会话层,能同低层协议如IPv4、IPSet、PPTP、L2TP一起使用;
用SOCKSv5的代理服务器可隐藏网络地址结构;
能为验证、加密和密钥管理提供“插件”模块,让用户自由地采用所需要的技术。
SOCKSv5可根据规定则过滤数据流,包括JavaApplet、Actives控制。
其性能比低层次协议差,必须制定更复杂的安全管理策略。
4加密技术以及其它技术
4.1实现VPN的加密技术
VPN是在不安全的Internet中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要。
VPN中的安全技术通常由加密、验证及密钥交换与管理组成。
4.1.1认证技术
认证技术可以区分被伪造、篡改过的数据,这对于网络数据传输,特别是电子商务是极其重要的。
认证技术防止数据的伪造和被篡改采用一种称为“摘要”的技术。
“摘要”技术主要采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。
由于HASH函数的特征,两个不同的报文具有相同的摘要几乎不可能。
该特性使得摘要技术在VPN中有两个用途:
验证数据的完整性、用户验证。
4.1.2加密技术
在VPN中为了保证重要的数据在公共网上传输时不被他人窃取,采用了加密机制。
IPSec通过ISAKMP/IKE/Oakley协商确定几种可选的数据加密方法如DES、3DES。
在现代密码学中,加密算法被分为对称加密算法和非对称加密算法。
对称加密算法采用同一把密钥进行加密和解密,优点是速度快,但密钥的分发与交换不便于管理。
目前,常用的数据加密算法有:
①对称加密算法:
国际数据加密算法(IDEA):
128位长密钥,把64位的明文块加密成64位的密文块。
DES和3DES加密算法:
EDS有64位长密钥,实际上只使用56位密钥。
②非对称加密算法:
RSA加密算法。
4.1.3密钥交换和管理
VPN中无论是认证还是加密都需要秘密信息,VPN中密钥的分发与管理非常重要。
密钥的分发有两种方法:
一种是通过手工配置的方式,另一种采用密钥交换协议动态发布。
4.2QoS技术
QoS(QualityofService),中文名为“服务质量”。
它是指网络提供更高优先服务的一种能力,包括专用带宽、抖动控制和延迟(用于实时和交互流量情形)、丢包率的改进以及不同WAN、LAN和MAN技术下的指定网络流量等,同时确保为每种流量提供的优先权不会阻碍其他流量的进程。
QoS通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。
但是该VPN性能上不稳定,管理上不能满足企业的要求,这就要加入QoS技术。
实行QoS应该在主机网络中,即VPN所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。
对于VPN数据的传输是加密的,在传输过程以GRE/ESP的封包位于网络传输协议的网络层,如果我们需要对VPN的流量做QoS设定,比如保证VPN传输的质量,我们可以在QoS带宽管理将GRE/ESP的封包传输服务的优先级别调到最高级别来保证VPN联机的稳定畅通。
5VPN的实现
VPN的具体实现方法有多种,在此我们只举出一种进行简单的实现。
以GRE+IPSet为例:
5.1拓扑结构
5.2主要实验步骤
①配置各台路由器的IP地址。
R1(config)#interfaces0/0
R1(config-if)#ipaddress12.1.1.1255.255.255.0
R1(config-if)#noshutdown
R1的另一端口的IP地址为1.1.1.1子网掩码:
255.255.255.0
R3配置如上:
S0/0口的IP地址:
23.1.1.2子网掩码:
另一端口的IP地址是:
3.1.1.1子网掩码:
②在R1和R3上配置静态路由。
确保Internet网络骨干可以相互通信。
R1(config)#iproute0.0.0.00.0.0.0s0/0
R3(config)#iproute0.0.0.00.0.0.0s0/0
③在R1和R3路由器上配置GRE隧道。
R1路由器配置如下。
R1(config)#interfacetunnel1
R1(config-if)#ipaddress10.1.1.1255.255.255.0
R1(config-if)#tunneldestination23.1.1.2
R1(config-if)#tunnelsourceserial0/0
R1(config-if)#exit
R3路由器配置如下。
R3(config)#interfacetunnel1
R3(config-if)#ipaddress10.1.1.2255.255.255.0
R3(config-if)#tunneldestination12.1.1.1
R3(config-if)#tunnelsourceserial0/0
R3(config-if)#noshutdown
R3(config-if)#exit
④在R1和R3上配置路由,确保R1和R3可以通过隧道PING通对方的回环接口。
R1(config)#iproute3.3.3.0255.255.255.0tunnel1
R3(config)#iproute1.1.1.0255.255.255.0tunnel1
⑤在R1或是R3上使用PING命令,检测是否可以PING对方的回环接口。
R1#ping3.3.3.1
Typeescapesequencetoabort.
Sending5,100-byteICMPEchosto192.168.1.1,timeoutis2seconds:
!
Successrateis100percent(5/5),round-tripmin/avg/max=28/40/60ms
R1#
⑥在R1上配置IPsec的传输模式。
R1(config)#cryptoisakmpenable
R1(config)#cryptoisakmpkey0ciscokeyaddress23.1.1.2
R1(config)#cryptoisakmppolicy1
升级会员 