毕业设计（论文）-局域网与专线网络的互联.doc

1目录第一章VPN简介.4第二章IPSECVPN的工作原理.52.1ESP（ENCAPSULATINGSECURITYPAYLOAD）.62.2AH（AUTHENTICATIONHEADER）.72.3IKE（INTERNETKEYEXCHANGE）.7第三章VPN的特点分析.73.1安全保障.73.2服务质量保证（QOS）.73.3可扩充性和灵活性.83.4可管理性.8第四章VPN的的实现技术.84.1隧道技术.84.2加密技术.104.3QOS技术.11第五章本例中可能原因分析.13第六章对网管的建议.13第七章VPN典型应用分析.14第八章结论.17致谢.19参考文献.202VPN虚拟专用网络摘要VPN，现在有很多连接都被称作VPN，它的意思是，虚拟专用网,它不是真正的专用网络，但却能够实现专用网络的功能。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。安全问题是VPN的核心问题。目前，VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的，可以很大程度上保证企业员工安全地访问公司网络。本文将介绍了VPN工作原理、特点以及实现技术的分析。由于VPN直接构建在公用网上，实现简单、方便、灵活，所以其安全问题比较突出。企业必须要确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。而要防止信息被窥视，我们可以在自己的路由器上设置隧道技术（Tunneling）、加解密技术（Encryption&Decryption）、密钥管理技术（KeyManagement）、使用者与设备身份认证技术（Authentication）。最后将介绍了VPN的一些典型应用。关键词：VPN、IPSEC、隧道技术、加密技术、密钥管理技术、使用者与设备身份认证技术、L2TPTitleThebusinesssafelymanagementsolvingschemaofIPSECVPNisanalyzedandisexplainedAbstract:VPNattendstonametothinkjustice,thefictitiousnetforspecialpurposedoesnotbetherealnetworkforspecialpurpose,butcanrealizethefunctionofthenetworkforspecialpurpose.Itisfictitioustoclaim,denoteuserneedtonotpossessactuallong-distancedatalineagain,anditistousethelong-distancedatalineoftheInternetdatanetworkofthepublic.Itcanthinkthatselfestablishedonemostaccordswiththenetworkofselfdemandifthenetworkforspecialpurposeclaimeddenotesuser.SafeproblemisthekeyproblemofVPN.Now,thesafeguaranteeofVPNistomatchthroughfirewalltechnologyandrouterwithtunneltechnical,encryptionagreementmainlywith3safetydensekeycometorealize,canguaranteethatenterpriseemployeevisitscompanysnetworksafely.ThispaperreachesthroughtheanalysisthatrealizestechnologyforVPNworkingprincipleandcharacteristic,isintheaspectofsafety,sinceVPNdirectlyfounds,oncommunalnet,realizationissimple,convenient,flexible,butatthesametime,itssafeproblemisalsostressedmore.ItdoesnotbepeepedatandfalsifiedbyattackthatenterprisemustensureitsVPNonthedatathatdelivered,andtopreventthatillegaluserisfornetworkresourceorprivatelyownedinformationvisit.Andtopreventthatinformationhadbeenpeepedat,wecaninstalltunneltechnologyonownrouter,adddeciphertechnology,densekeymanagementtechnology,useandequipmentidentitycertificationtechnology.Finally,wehaveintroducedsomerepresentativeapplicationsofVPN.Keywords:VPN、IPSEC、Tunnelingtechnology、Encryptiontechnology、KeyManagementtechnology、userandequipmentstatusauthenticationtechnology、L2TP4引言VPN的构成的技术，目前比较成熟，在构成VPN的方式上，也有多种方法进行搭配，而VPN的技术核心是不变的，即通过隧道技术来完成数据的加密，传输。为此，我们需要了解什么是VPN？VPN又包括几种实现方式，组合的变化有什么区别。第一章VPN简介其实，虚拟专用网络，也就是VPN可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。（图1）虚拟专用网络允许外部人员远程使用Internet等公共互联网络的设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端是透明的，用户就等同于使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。5虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接，进行安全的通讯。这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。虽然VPN通讯是建立在公共互联网络的上的，但是我们在使用时感觉如同在使用专用网络进行数据传输通信，所以得名虚拟专用网络。第二章IPSECVPN的工作原理IPSec的工作原理（如下图所示）类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。这里的处理工作只有两种：一是丢弃，二为转发。IPSec是通过查询安全策略数据库决定对接收到的IP数据包的处理的。但是IPSec也有一点不同于包过滤防火墙，对IP数据包的处理方法除了丢弃，直接转发（绕过IPSec）外，还有一种，即进行IPSec处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙的作用就是控制来自或去往某个站点的IP数据包的通过，可以拒绝来自某个外部站点的IP数据包访问内部某些站点，也可以拒绝某个内部站点方对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取，也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后，才能保证在外部网络传输的数据包的机密性，真实性，完整性，通过Internet进新安全的通信才成为可能。IPSec可以加密和认证，同时使用，也是可以分开的。但无论是进行加密还6是进行认证，IPSec都有两种工作模式，一种是隧道模式，另一种是传输模式。传输模式，只对IP数据包的有效负载进行加密或认证。隧道模式，对整个IP数据色进行加密或认证。IPSec中的三个主要协议IPSec的主要功能就是加密和认证，为了进行加密和认证IPSec还需要有密钥的管理和交换的功能，以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由AH，ESP和IKE三个协议规定。2.1ESP（EncapsulatingSecurityPayload）ESP协议主要用来处理对IP数据包的加密，此外对认证也提供某种程度的支持。ESP是与具体的加密算法相独立的，几乎可以支持各种对称密钥加密算法。ESP协议数据单元格式三个部分组成，除了头部、加密数据部分外，在实施认证时还包含一个可选尾部。头部有两个域：安全策略索引（SPl）和序列号（Sequencenumber）。使用ESP进行安全通信之前，通信双方需要先协商好一组将要采用的加密策略，包括使用的算法、密钥以及密钥的有效期等。“安全策略索引”使用来标识发送方是使用哪组加密策略来处理IP数据包的，当接收方看到了这个序号就知道了对收到的IP数据包应该如何处理。“序列号”用来区分使用同一组加密策略的不同数据包。加密数据部分除了包含原IP数据包的有效负载，填充域（用来保证加密数据部分满足块加密的长度要求）包含其余部分在传输时都是加密过的。其中“下一个头部（NextHeader）”用来指出有效负载部分使用的协议，可能是传输层协议（TCP或UDP），也可能还是IPSec协议（ESP或AH）。通常，ESP可以作为IP的有效负载进行传输，由于采用了这种不同的封装形式，所以ESP可以使用旧有的网络进行传输。IPSec进行加密是可以有两种工作模式：传输模式（TransportMode）和隧道模式（TunnelMode）。当ESP工作在传输模式时，采用当前的IP头部。而在隧道模式时，侍整个IP数据包进行加密作为ESP的有效负载，并在ESP头部前增添以网关地址为源地址的新的IP头部，此时可以起到NAT的作用。72.2AH（AuthenticationHeader）AH只涉及到认证，不涉及到加密。AH虽然在功能上和ESP有些重复，但AH除了对可以对IP的有效负载进行认证外，还可以对IP头部实施认证。主要是处理数据对，可以对IP头部进行认证，而ESP的认证功能主要是面对IP的有效负载。为了提供最基本的功能并保证互操作性，AH必须包含对HMAC-SHA和HMAC-MD5（HMAC是一种SHA和MD5都支持的对称式认证系统）的支持。AH既可以单独使用，也可在隧道模式下，或和ESP联用。2.3IKE（InternetKeyExchange）IKE协议主要是对密钥交换进行管理，它功能有：对使用的协议、加密算法和密钥进行协商。方便的密钥交换机制（这可能需要周期性的进行）。跟踪对以上这些约定的实施。第三章VPN的特点分析3.1安全保障虽然实现VPN的技术和方式很多，但所有的VPN都应该保证通过公用网络平台传输数据的专用性和安全性。在公用IP网络上建立一个点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。3.2服务质量保证（QoS）VPN网为企业数据提供不同等级的服务质量保证。也就是说，需要不同，提供的服务也不同。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需