VPN在校园网中的设计与实现

镇江高等职业技术学校镇江高等职业技术学校 毕毕 业业 设设 计计 ( (论论 文文) ) VPN 在校园网中的设计与实现 Design and implementation of VPN in campus network 系 名： 信息工程系 专业班级： 计算机应用与技术 1212 班 学生姓名： 张永召 学 号： 122806131 指导教师姓名： 眭春辉 指导教师职称： 讲师 二一七年 3 月 (论文 ) I 目录 1 绪论1 1.1 VPN 的定义.1 1.2 VPN 的工作原理.1 1.3 VPN 的研究背景和意义.2 2 VPN 的应用领域和设计目标4 2.1 VPN 的主要应用领域.4 2.2 VPN 的设计目标.5 3 实现 VPN 的关键技术和主要协议.7 3.1 实现 VPN 的关键技术7 3.2 VPN 的主要安全协议.9 3.2.1 PPTP/L2TP 9 3.2.2 IPSEC 协议10 4 实例分析.12 4.1 需求分析12 4.2 方案达到的目的13 5 各部分 VPN 设备的配置.14 5.1 校园总校到分支机构的 ISA VPN 配置.14 5.1.1 总校 VPN 配置.16 5.1.2 分校 VPN 配置17 5.2VPN 状态检测.18 5.3 路由走向.20 5.4 章节总结21 致谢.22 参考文献23 (论文 ) II VPN 在校园网中的设计和实现 专业班级：计算机应用与技术 1212 班 学生姓名：张永召 指导教师：眭春辉 职 称：讲师 摘 要 本文首先介绍了 VPN 的定义和研究意义，接着介绍了实现 VPN 的关键技术 （包括隧道技术,加解密认证技术，密钥管理技术，访问控制技术）以及实现 VPN 的主 要安全协议，PPTP/ L2TP 协议、IPSec 协议，为 VPN 组网提供了理论指导。最后通过 构建大学校园的虚拟专用网，全面介绍了在 Windows server 2003 ISA 2004 环境下站 点到站点和站点到客户端的 VPN 的配置，为校园的 VPN 构建提供参考和借鉴。 关键词：隧道 L2TP PPTP IPSec (论文 ) III Design and implementation of VPN in campus network Abstract In this paper, we first introduce the definition of VPN and the significance of the research, then introduced the key technologies of realizing VPN (including the tunnel technology, encryption and decryption authentication technology, key management technology, access control technology and the realization of VPNs main security protocols, PPTP/ L2TP, IPSec protocol, VPN provides theoretical guidance. Finally by constructing a virtual private network, university campus, a comprehensive introduction to the under the environment of Windows Server 2003 isa 2004 site to site and to the client of VPN configuration, for campus VPN construction to provide the reference and reference. Key words: Tunnel L2TP PPTP IPSec (论文 ) 1 1绪论 1.1 VPN 的定义 VPN（ Virtual Private Network）被定义为通过一个公共网络（通常是因特网）建 立一个临时的、安全的连接，是一条穿过混乱的公共网络的安全、稳定的隧道。虚拟 专用网是对校园内部网的扩展。虚拟专用网可以帮助远程用户、校园分支机构、同总 校园的内部网络建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到 低成本的网络上，一个校园的虚拟专用网解决方案也将大幅度的减少用户花费在城域 网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户 和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发 展，校园的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络 上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可 用于实现校园网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和 用户的安全外联网虚拟专用网。 1.2 VPN 的工作原理 把因特网用作专用广域网，就要克服两个主要障碍。首先，网络经常使用多种协 议如 IPX 和 NetBEUI 进行通信，但因特网只能处理 IP 流量。所以，VPN 就需要提供一 种方法，将非 IP 的协议从一个网络传送到另一个网络。其次，网上传输的数据包以明 文格式传输，因而，只要看得到因特网的流量，就能读取包内所含的数据。如果校园 希望利用因特网传输重要的商业机密信息，这显然是一个问题。VPN 克服这些障碍的办 法就是采用了隧道技术：数据包不是公开在网上传输，而是首先进行加密以确保安全， 然后由 VPN 封装成 IP 包的形式，通过隧道在网上传输，如图 1-1 所示： (论文 ) 2 图 1-1 VPN 工作原理图 源网络的 VPN 隧道发起器与目标网络上的 VPN 隧道发起器进行通信。两者就加密 方案达成一致，然后隧道发起器对包进行加密，确保安全（为了加强安全，应采用验 证过程，以确保连接用户拥有进入目标网络的相应的权限。大多数现有的 VPN 产品支 持多种验证方式）。 最后，VPN 发起器将整个加密包封装成 IP 包。现在不管原先传输的是何种协议， 它都能在纯 IP 因特网上传输。又因为包进行了加密，所以谁也无法读取原始数据。 在目标网络这头，VPN 隧道终结器收到包后去掉 IP 信息，然后根据达成一致的加 密方案对包进行解密，将随后获得的包发给远程接入服务器或本地路由器，他们在把 隐藏的 IPX 包发到网络，最终发往相应目的地。 1.3 VPN 的研究背景和意义 随着网络，尤其是网络经济的发展，校园日益扩张，客户分布日益广泛，合作伙 伴日益增多，这种情况促使了校园的效益日益增长，另一方面也越来越凸现传统校园 网的功能缺陷：传统校园网基于固定物理地点的专线连接方式已难以适应现代校园的 需求。于是校园对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、 安全性、经济性、扩展性等方面。在这样的背景下，VPN 以其独具特色的优势赢得了越 (论文 ) 3 来越多的校园的青睐，令校园可以较少地关注网络的运行与维护，而更多地致力于校 园的商业目标的实现。 虽然 VPN 在理解和应用方面都是高度复杂的技术，甚至确定其是否适用于本校园 也一件复杂的事件，但在大多数情况下 VPN 的各种实现方法都可以应用于每个校园。 即使不需要使用加密数据，也可节省开支。因此，在未来几年里，客户和厂商很可能 会使用 VPN，从而使电子商务重又获得生机，毕竟全球化、信息化、电子化是大势所趋。 (论文 ) 4 2VPN 的应用领域和设计目标 2.1 VPN 的主要应用领域 利用 VPN 技术几乎可以解决所有利用公共通信网络进行通信的虚拟专用网络连接 的问题。归纳起来，有以下几种主要应用领域。 （1）远程访问 远程移动用户通过 VPN 技术可以在任何时间、任何地点采用拨号、ISDN、DSL、 移动 IP 和电缆技术与校园总校、校园内联网的 VPN 设备建立起隧道或密道信，实现 访问连接，此时的远程用户终端设备上必须加装相应的 VPN 软件。推而广之，远程用 户可与任何一台主机或网络在相同策略下利用公共通信网络设施实现远程 VPN 访问。 这种应用类型也叫 Access VPN(或访问型 VPN)，这是基本的 VPN 应用类型。不难证明， 其他类型的 VPN 都是 Access VPN 的组合、延伸和扩展。 （2）组建内联网 一个组织机构的总校或中心网络与跨地域的分支机构网络在公共通信基础设施上 采用的隧道技术等 VPN 技术构成组织机构“内部”的虚拟专用网络，当其将校园所有 权的 VPN 设备配置在各个校园网络与公共网络之间（即连接边界处）时，这样的内联 网还具有管理上的自主可控、策略集中配置和分布式安全控制的安全特性。利用 VPN 组建的内联网也叫 Intranet VPN。Intranet VPN 是解决内联网结构安全和连接安全、传 输安全的主要方法。 （3）组建外联网 使用虚拟专用网络技术在公共通信基础设施上将合作伙伴和有共同利益的主机或 网络与内联网连接起来，根据安全策略、资源共享约定规则实施内联网内的特定主机 和网络资源与外部特定的主机和网络资源相互共享，这在业务机构和具有相互协作关 系的内联网之间具有广泛的应用价值。这样组建的外联网也叫 Extranet VPN。Extranet VPN 是解决外联网结构安全和连接安全、传输安全的主要方法。若外联网 VPN 的连接 和传输中使用了加密技术，必须解决其中的密码分发、管理的一致性问题。 (论文 ) 5 2.2 VPN 的设计目标 在实际应用中，一般来说一个高效、成功的 VPN 应具备以下几个特点： （1）安全保障 虽然实现 VPN 的技术和方式很多，但所有的 VPN 均应保证通过公用网络平台传输 数据的专用性和安全性。在非面向连接的公用 IP 网络上建立一个逻辑的、点对点的连 接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保 证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全 性方面，由于 VPN 直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题 也更为突出。校园必须确保其 VPN 上传送的数据不被攻击者窥视和篡改，并且要防止 非法用户对网络资源或私有信息的访问。Extranet VPN 将校园网扩展到合作伙伴和客 户，对安全性提出了更高的要求。 （2）服务质量保证（QoS） VPN 网络应当为校园数据提供不同等级的服务质量保证。不同的用户和业务对服 务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证 VPN 服务的一个主要因素；而对于拥有众多分支机构的专线 VPN 网络，交互式的内部校园 网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了 更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供 不同等级的服务质量。在网络优化方面，构建 VPN 的另一重要需求是充分有效地利用 有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的 利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得 不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS 通过流量预测与流量 控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理 地先后发送，并预防阻塞的发生。 （3）可扩充性和灵活性 VPN 必须能够支持通过 Intranet 和 Extranet 的任何类型的数据流，方便增加新 的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对 高质量传输以及带宽增加的需求。 （4）可管理性 从用户角度和运营商的角度应可方便地进行管理、维护。在 VPN 管理方面，VPN (论文 ) 6 要求校园将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。 虽然可以将一些次要的网络管理任务交给服务提供商去完成，校园自己仍需要完成许 多网络管理任务。所以，一个完善的 VPN 管理系统是必不可少的。VPN 管理的目标为： 减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN 管理主要包 括安全管理、设备管理、配置管理、访问控制列表管理、QoS 管理等内容。 (论文 ) 7 3实现 VPN 的关键技术和主要协议 3.1 实现 VPN 的关键技术 （1）隧道技术 隧道技术(Tunneling)是 VPN 的底层支撑技术，所谓隧道，实际上是一种封装，就 是将一种协议（协议 X）封装在另一种协议（协议 Y）中传输，从而实现协议 X 对公用 网络的透明性。这里协议 X 被称为被封装协议，协议 Y 被称为封装协议，封装时一般 还要加上特定的隧道控制信息，因此隧道协议的一般形式为（协议 Y）隧道头（协议 X） ） 。在公用网络（一般指因特网）上传输过程中，只有 VPN 端口或网关的 IP 地址暴 露在外边。 隧道解决了专网与公网的兼容问题，其优点是能够隐藏发送者、接受者的 IP 地址 以及其它协议信息。VPN 采用隧道技术向用户提供了无缝的、安全的、端到端的连接服 务，以确保信息资源的安全。 隧道是由隧道协议形成的。隧道协议分为第二、第三层隧道协议，第二层隧道协 议如 L2TP、PPTP、L2F 等，他们工作在 OSI 体系结构的第二层（即数据链路层） ；第三 层隧道协议如 IPSec，GRE 等，工作在 OSI 体系结构的第三层（即网络层） 。第二层隧 道和第三层隧道的本质区别在于：用户的 IP 数据包被封装在不同的数据包中在隧道中 传输。 第二层隧道协议是建立在点对点协议 PPP 的基础上，充分利用 PPP 协议支持多协 议的特点，先把各种网络协议（如 IP、IPX 等）封装到 PPP 帧中，再把整个数据包装 入隧道协议。PPTP 和 L2TP 协议主要用于远程访问虚拟专用网。 第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠网络 层协议进行传输。无论从可扩充性，还是安全性、可靠性方面，第三层隧道协议均优 于第二层隧道协议。IPSec 即 IP 安全协议是目前实现 VPN 功能的最佳选择。 （2）加解密认证技术 加解密技术是 VPN 的另一核心技术。为了保证数据在传输过程中的安全性，不被 非法的用户窃取或篡改，一般都在传输之前进行加密，在接受方再对其进行解密。 密码技术是保证数据安全传输的关键技术，以密钥为标准，可将密码系统分为单 (论文 ) 8 钥密码（又称为对称密码或私钥密码）和双钥密码（又称为非对称密码或公钥密码） 。 单钥密码的特点是加密和解密都使用同一个密钥，因此，单钥密码体制的安全性就是 密钥的安全。其优点是加解密速度快。最有影响的单钥密码就是美国国家标准局颁布 的 DES 算法（56 比特密钥） 。而 3DES（112 比特密钥）被认为是目前不可破译的。双钥 密码体制下，加密密钥与解密密钥不同，加密密钥公开，而解密密钥保密，相比单钥 体制，其算法复杂且加密速度慢。所以现在的 VPN 大都采用单钥的 DES 和 3DES 作为加 解密的主要技术，而以公钥和单钥的混合加密体制(即加解密采用单钥密码，而密钥传 送采用双钥密码)来进行网络上密钥交换和管理，不但可以提高了传输速度，还具有良 好的保密功能。认证技术可以防止来自第三方的主动攻击。一般用户和设备双方在交 换数据之前，先核对证书，如果准确无误，双方才开始交换数据。用户身份认证最常 用的技术是用户名和密码方式。而设备认证则需要依赖由 CA 所颁发的电子证书。 目前主要有的认证方式有：简单口令如质询握手验证协议 CHAP 和密码身份验证协 议 PAP 等；动态口令如动态令牌和 X.509 数字证书等。简单口令认证方式的优点是实 施简单、技术成熟、互操作性好，且支持动态地加载 VPN 设备，可扩展性强。 （3）密钥管理技术 密钥管理的主要任务就是保证在开放的网络环境中安全地传递密钥，而不被窃取。 目前密钥管理的协议包括 ISAKMP、SKIP、MKMP 等。Internet 密钥交换协议 IKE 是 Internet 安全关联和密钥管理协议 ISAKMP 语言来定义密钥的交换，综合了 Oakley 和 SKEME 的密钥交换方案，通过协商安全策略，形成各自的验证加密参数。IKE 交换的最 终目的是提供一个通过验证的密钥以及建立在双方同意基础上的安全服务。SKIP 主要 是利用 Diffie-Hellman 的演算法则，在网络上传输密钥。 IKE 协议是目前首选的密钥管理标准，较 SKIP 而言，其主要优势在于定义更灵活， 能适应不同的加密密钥。IKE 协议的缺点是它虽然提供了强大的主机级身份认证，但同 时却只能支持有限的用户级身份认证，并且不支持非对称的用户认证。 （4）访问控制技术 虚拟专用网的基本功能就是不同的用户对不同的主机或服务器的访问权限是不一 样的。由 VPN 服务的提供者与最终网络信息资源的提供者共同来协商确定特定用户对 特定资源的访问权限，以此实现基于用户的细粒度访问控制，以实现对信息资源的最 大限度的保护。 (论文 ) 9 访问控制策略可以细分为选择性访问控制和强制性访问控制。选择性访问控制是 基于主体或主体所在组的身份，一般被内置于许多操作系统当中。强制性访问控制是 基于被访问信息的敏感性。 3.2 VPN 的主要安全协议 在实施信息安全的过程中，为了给通过非信任网络的私有数据提供安全保护，通 讯的双方首先进行身份认证，这中间要经过大量的协商，在此基础上，发送方将数据 加密后发出，接受端先对数据进行完整性检查，然后解密，使用。这要求双方事先确 定要使用的加密和完整性检查算法。由此可见，整个过程必须在双方共同遵守的规范( 协议) 下进行。 VPN 区别于一般网络互联的关键是隧道的建立，数据包经过加密后，按隧道协议进 行封装、传送以保证安全性。一般，在数据链路层实现数据封装的协议叫第二层隧道 协议，常用的有 PPTP , L2TP 等;在网络层实现数据封装的协议叫第三层隧道协议，如 IPSec。另外，SOCKSv5 协议则在 TCP 层实现数据安全。 3.2.1 PPTP/L2TP 1996 年，Microsoft 和 Ascend 等在 PPP 协议的基础上开发了 PPTP ， 它集成于 Windows NT Server4.0 中，Windows NT Workstation 和 Windows 9.X 也提供相应的客 户端软件。PPP 支持多种网络协议，可把 IP 、IPX、AppleTalk 或 NetBEUI 的数据包封 装在 PPP 包中，再将整个报文封装在 PPTP 隧道协议包中，最后，再嵌入 IP 报文或帧 中继或 ATM 中进行传输。PPTP 提供流量控制，减少拥塞的可能性，避免由于包丢弃而 引发包重传的数量。PPTP 的加密方法采用 Microsoft 点对点加密(MPPE: Microsoft Point-to- Point) 算法，可以选用较弱的 40 位密钥或强度较大的 128 位密钥。1996 年， Cisco 提出 L2F(Layer 2 Forwarding)隧道协议，它也支持多协议，但其主要用 于 Cisco 的路由器和拨号访问服务器。1997 年底，Microsoft 和 Cisco 校园把 PPTP 协议和 L2F 协议的优点结合在一起，形成了 L2TP 协议。L2TP 支持多协议，利用公共网 络封装 PPP 帧，可以实现和校园原有非 IP 网的兼容。还继承了 PPTP 的流量控制，支 持 MP(Multilink Protocol)，把多个物理通道捆绑为单一逻辑信道。L2TP 使用 PPP 可 靠性发送(RFC 1663)实现数据包的可靠发送。L2TP 隧道在两端的 VPN 服务器之间采用 (论文 ) 10 口令握手协议 CHAP 来验证对方的身份.L2TP 受到了许多大校园的支持. PPTP/L2TP 协议的优点: PPTP/L2TP 对用微软操作系统的 用户来说很方便，因为 微软己把它作为路由软件的一部分。PPTP/ L2TP 支持其它网络协议。如 NOWELL 的 IPX,NETBEUI 和 APPLETALK 协议,还支持流量控制。 它通过减少丢弃包来改善网络性能， 这样可减少重传。 PPTP/ L2TP 协议的缺点:PM 和 L2TP 将不安全的 IP 包封装在安全的 IP 包内，它们 用 IP 帧在两台计算机之间创建和打开数据通道，一旦通道打开，源和目的用户身份就 不再需要，这样可能带来问题，它不对两个节点间的信息传输进行监视或控制。PPTP 和 L2TP 限制同时最多只能连接 255 个用户，端点用户需要在连接前手工建立加密信道， 认证和加密受到限制，没有强加密和认证支持。 PPTP/ L2TP 最适合于远程访问 VPN. 3.2.2 IPSec 协议 IPSec 是 IETF(Internet Engineer Task Force) 正在完善的安全标准，它把几种 安全技术结合在一起形成一个较为完整的体系，受到了众多厂商的关注和支持。通过 对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec 由 IP 认证头 AH(Authentication Header)、IP 安全载荷封载 ESP(Encapsulated Security Payload)和密钥管理协议组成。 IPSec 协议是一个范围广泛、开放的虚拟专用网安全协议。IPSec 适应向 IPv6 迁 移， 它提供所有在网络层上的数据保护，提供透明的安全通信。IPSec 用密码技术从 三个方面来保证数据的安全。即: 认证：用于对主机和端点进行身份鉴别。 完整性检查：用于保证数据在通过网络传输时没有被修改。 加密：加密 IP 地址和数据以保证私有性。 IPSec 协议可以设置成在两种模式下运行:一种是隧道模式，一种是传输模式。 在 隧道模式下，IPSec 把 IPv4 数据包封装在安全的 IP 帧 中,这样保护从一个防火墙到另 一个防火墙时的安全性。在隧道模式下，信息封装是为了保护端到端的安全性，即在 这种模式下不会隐藏路由信息。隧道模式是最安全的，但会带来较大的系统开销。 IPSec 现在还不完全成熟，但它得到了一些路由器厂商和硬件厂商的大力支持。预计它 (论文 ) 11 今后将成为虚拟专用网的主要标准。IPSec 有扩展能力以适应未来商业的需要。在 1997 年底，IETF 安全工作组完成了 IPSec 的扩展， 在 IPSec 协议中加上 ISAKMP(Internet Security Association and Kay Management Protocol)协议，其中 还包括一个密钥分配协议 Oakley。ISAKMP/Oakley 支持自动建立加密信道，密钥的自 动安全分发和更新。IPSec 也可用于连接其它层己存在的通信协议，如支持安全电子交 易(SET:Secure Electronic Transaction)协议和 SSL（Secure Socket layer）协议。 即使不用 SET 或 SSL,IPSec 都能提供认证和加密手段以保证信息的传输。 (论文 ) 12 4实例分析 VPN 的具体实现方案有很多，实际应用中应根据用户的需求、用户资源现状、承 载网络资源现状、投资效益以及相关技术比较等多种因素综合考虑，选择一种主流的 方案。在本文中就以一个大学校园为例模拟实际环境建立一个基于 ISA 的校园 VPN 网 络以满足远程办公、分校园和合作单位远程访问的要求。这个实验在理论的指导下实 现了一种 VPN 的实际应用，为大学校园设计 VPN 网络提供参考和借鉴。 4.1 需求分析 随着校园的发展壮大，校园希望总校和分校园、总校与合作伙伴可以随时的进行 安全的信息沟通，而老师可以访问到校园内部关键数据，随时随地共享校园信息，提 高工作效率。一些校园解决这个问题的方法，就是在各个校园之间租用运营商的专用 线路。这个办法虽然能解决问题，但是费用昂贵，对于大学校园来说是无法负担的， 而 VPN 技术能解决这个问题。根据该校园用户的需求，遵循着方便实用、高效低成本、 安全可靠、网络架构弹性大等相关原则决定采用 ISA Server VPN 安全方案，以 ISA 作 为网络访问的安全控制。ISA Server 集成了 Windows server VPN 服务，提供一个 完善的防火墙和 VPN 解决方案。以 ISA VPN 作为连接 Internet 的安全网关，并使用双 网卡，隔开内外网，增加网络安全性。ISA 具备了基于策略的安全性，并且能够加速和 管理对 Internet 的访问。防火墙能对数据包层、链路层和应用层进行数据过滤、对穿 过防火墙的数据进行状态检查、对访问策略进行控制并对网络通信进行路由。对于各 种规模的校园来说，ISA Server 都可以增强网络安全性、贯彻一致的 Internet 使用 策略、加速 Internet 访问并实现教师工作效率最大化。 在 ISA 中可以使用以下三种协议来建立 VPN 连接： IPSEC 隧道模式； L2TP over IPSec 模式； PPTP； 下表比较了这三种协议： (论文 ) 13 表 4-1 ISA 中三种协议对比表 协议何时使用安全等级备注 IPSec 隧道模 式 连接到第三方的 VPN 服 务器 高这是唯一一种可以连接到非微 软 VPN 服务器的方式 L2TP over IPSec 连接到 ISA Server 2000、ISA Server 2004 或 者 Windows VPN 服务器 高使用 RRAS。比 IPSec 隧道模式 更容易理解，但是要求远程 VPN 服务器是 ISA Server 或者 Windows VPN 服务器。 PPTP连接到 ISA Server 2000、ISA Server 2004 或 者 Windows VPN 服务器 中等使用 RRAS，和 L2TP 具有同样 的限制，但是更容易配置。因 为使用 IPSec 加密，L2TP 更认 为更安全。 三个站点都采用 ISA VPN 作为安全网关，且 L2TP over IPSec 结合了 L2TP 和 IPSec 的优点，所以在这里采用 L2TP over IPSec 作为 VPN 实施方案。 4.2 方案达到的目的 1) 总校和分校园之间以及总校和合作伙伴之间透过 VPN 联机采用 IPSec 协定，确保传 输数据的安全； 2) 在外出差或想要连回总校或分校园的用户也可使用 IPSec 方式连回校园网路； 3) 对总校内网实施上网的访问控制，通过 VPN 设备的访问控制策略，对访问的 PC 进 行严格的访问控制； 4) 对外网可以抵御黑客的入侵，起到 Firewall 作用。具有控制和限制的安全机制和 措施，具备防火墙和抗攻击等功能； 5) 部署灵活，维护方便，提供强大的管理功能，以减少系统的维护量以适应大规模组 网需要； (论文 ) 14 5 5 各部分各部分 VPNVPN 设备的配置设备的配置 校园总校和分支机构之间与校园总校和合作伙伴之间的 VPN 通信，都是站点对站 点的方式，只是权限设置不一样，校园总校和分支机构要实现的校园分支机构共享总 校的资源，校园总校和合作伙伴要实现是资源共享和互访。两者之间的差别是合作伙 伴的 VPN 接入上设置了可以总校可以访问的操作。因为三个站点都采用 ISA VPN 作 为安全网关，所以以下站点对站点的 VPN 配置就以校园总校到分支机构为例，说明在 总校与分校出接口上实现 VPN 的具体操作。 模拟基本拓扑图： 图 5-1 实验模拟网络拓扑图 5.1 校园总校到分支机构的 ISA VPN 配置 各主机的 TCP/IP 为： 总校： 外部网络： IP：10.1.1.1 (论文 ) 15 内部网络： IP： 172.16.20.0/24 172.16.30.0/24 172.16.50.0/24 172.16.60.0/24 172.16.70.0/24 (论文 ) 16 172.16.80.0/24 分校 外部网络： IP：20.1.1.1 内部网络： IP:172.16.40.0/24 在总校和支部之间建立一个基于 IPSec 的站点到站点的 VPN 连接，由支部向总校 进行请求拨号，具体步骤如下： 在总校 ISA 服务器上建立远程站点； 建立此远程站点的网络规则； 建立此远程站点的访问规则； 在总校为远程站点的拨入建立用户； 建立此远程站点的网络规则； 建立此远程站点的访问规则； 测试 VPN 连接； 5.1.1 总校 VPN 配置 1) ipsec VPN 配置 (论文 ) 17 2) 端口调用 3) 匹配感兴趣流 5.1.2 分校 VPN 配置 1）ipsec VPN 配置 2）端口调用 (论文 ) 18 3）匹配感兴趣流 5.2VPN 状态检测 可以看出 ipsec 已经成功建立，建立的原则是匹配上述中的感兴趣流量，在 10.1.1.1 对 20.1.1.1 或 20.1.1.1 对 10.1.1.1 进行访问时促发感兴趣流建立起 VPN 链接，将针对这个两个 ip 地址的流量 进行加密处理。 在流量加密时通过查看 ipsec 证书，可以看出对包加密和解密的状态（图 5.2） ，其中加密解密 各 4 个包，表明流量在经过总校路由器时对数据进行了加密，而在分布路由器上则对流量进行了解 密。确保流量安全性。 (论文 ) 19 图 5.2 ipsec 流量加密图 1）总校访问分校测试图： 图 5.3 总校 PC 测试图 2）分布访问总校测试图 (论文 ) 20 图 5.4 分校 PC 测试图 在经过 ISP 后的流量加密和机密后，PC