VPN虚拟专用网毕业论文

1、PAGE PAGE V毕业设计（论论文）诚信信声明书本人郑重声声明：在毕毕业设计（论论文）工作作中严格遵遵守学校有有关规定，恪恪守学术规规范；我所所提交的毕毕业设计（论论文）是本本人在 指导教教师的指导导下独立研研究、撰写写的成果，设设计（论文文）中所引引用他人的的文字、研研究成果，均均已在设计计（论文）中中加以说明明；在本人人的毕业设设计（论文文）中未剽剽窃、抄袭袭他人的学学术观点、思想和成成果，未篡改改实验数据据。本设计（论论文）和资资料若有不不实之处，本本人愿承担担一切相关关责任。学生签名： 年 月 日摘 要本文首先介介绍了VPPN的定义义和研究意意义，接着着介绍了实实现VPNN的关键技

2、技术（包括括隧道技术术,加解密密认证技术术，密钥管管理技术，访访问控制技技术）以及及实现VPPN的主要要安全协议议，PPTTP/ LL2TP协协议、IPPSec协协议，为VVPN组网网提供了理理论指导。最后通过过构建中小小企业的虚虚拟专用网网，全面介介绍了在WWindoows sserveer 20003 IISA 22004环环境下站点点到站点和和站点到客客户端的VVPN的配配置，为企企业的VPPN构建提提供参考和和借鉴。关键词：隧隧道，L22TP ，PPTTP ，IPSSecAbstrractThis papeer fiirst intrroducces tthe ddefinnitioo

3、n of VPN and its studdy impliicatiions. Andd theen inntrodducess thee keyy tecchnollogiees foor immplemmentiing aa VPNN whicch inncluddes tthe TTunneel teechnoologyy andd itss maiin seecuree prootocools, PPTPP/L2TPP prootocool, IIPSECC prootocool, SSOCKSSv5 pprotoocol, Alll theese ttechnnologgies pr

4、ovvide the theooretiical basees foor buuildiing aa VPNN nettworkk. Finaally, by consstrucctingg an enteerpriise vvirtuual pprivaate nnetwoork, I inntrodducedd thee connfiguuratiion oof siite tto siite aand ssite to ccliennt VPPN unnder the Winddows servver 22003 ISA 20044 envvironnmentt, itt proovid

5、ees thhe reefereentiaal guuidelline to tthe VVPN cconsttructtion in eenterrprisses.Key wwordss: Tunnnel, L2TTP, PPTTP, IPSSec目录TOC o 1-3 u1绪论 PAGEREF _Toc200425633 h 11.1 VPN的的定义 PAGEREF _Toc200425634 h 11.2 VPN的的工作原理理 PAGEREF _Toc200425635 h 11.3 VPN的的研究背景景和意义 PAGEREF _Toc200425636 h 22VPNN的应用领领域和设

6、计计目标 PAGEREF _Toc200425637 h 42.1 VPN的的主要应用用领域 PAGEREF _Toc200425638 h 42.2 VPN的的设计目标标 PAGEREF _Toc200425639 h 53实现VVPN的关关键技术和和主要协议议 PAGEREF _Toc200425640 h 73.1 实现VPNN的关键技技术 PAGEREF _Toc200425641 h 73.2 VPN的的主要安全全协议 PAGEREF _Toc200425642 h 93.2.11PPTPP/L2TTP PAGEREF _Toc200425643 h 93.2.22IPSeec协议

7、PAGEREF _Toc200425644 h 104实例分分析 PAGEREF _Toc200425645 h 124.1 需求分析析 PAGEREF _Toc200425646 h 124.2 方案达到到的目的 PAGEREF _Toc200425647 h 134.3 VPN组组建方案网网络拓扑图图 PAGEREF _Toc200425648 h 145各部分分VPN设备备的配置 PAGEREF _Toc200425649 h 155.1 公司总部部到分支机机构的ISSA VPPN配置 PAGEREF _Toc200425650 h 155.1.11 总部部ISA VPNN配置 PAGE

8、REF _Toc200425651 h 175.1.22 支部 ISSA VVPN配置置 PAGEREF _Toc200425652 h 205.1.33 VPPN连接 PAGEREF _Toc200425653 h 225.1.44 连接接测试 PAGEREF _Toc200425654 h 235.2 公司总部部站点到移移动用户端端的VPNN配置 PAGEREF _Toc200425655 h 245.2.11 总部部ISA VPNN配置 PAGEREF _Toc200425656 h 255.2.22 移动动用户端VVPN配置置 PAGEREF _Toc200425657 h 275.2

9、.33 连接接测试 PAGEREF _Toc200425658 h 27致谢 PAGEREF _Toc200425659 h 299参考文献 PAGEREF _Toc200425660 h 30绪论1.1 VPN的定定义VPN（ Virttual Privvate Netwwork）被被定义为通通过一个公公共网络（通通常是因特特网）建立立一个临时时的、安全全的连接，是是一条穿过过混乱的公公共网络的的安全、稳稳定的隧道道。虚拟专专用网是对对企业内部部网的扩展展。虚拟专专用网可以以帮助远程程用户、公公司分支机机构、商业业伙伴及供供应商同公公司的内部部网络建立立可信的安安全连接，并并保证数据据的安全

10、传传输。通过过将数据流流转移到低低成本的网网络上，一一个企业的的虚拟专用用网解决方方案也将大大幅度的减减少用户花花费在城域域网和远程程网络连接接上的费用用。同时，这这将简化网网络的设计计和管理，加加速连接新新的用户和和网站。另另外，虚拟拟专用网还还可以保护护现有的网网络投资。随着用户户的商业服服务不断发发展，企业业的虚拟专专用网解决决方案可以以使用户将将精力集中中到自己的的生意上，而而不是网络络上。虚拟拟专用网可可用于不断断增长的移移动用户的的全球因特特网接入，以以实现安全全连接；可可用于实现现企业网站站之间安全全通信的虚虚拟专用线线路，用于于经济有效效地连接到到商业伙伴伴和用户的的安全外联联

11、网虚拟专专用网。1.2 VPN的工工作原理把因特网用用作专用广广域网，就就要克服两两个主要障障碍。首先先，网络经经常使用多多种协议如如IPX和和NetBBEUI进进行通信，但但因特网只只能处理IIP流量。所以，VVPN就需需要提供一一种方法，将将非IP的的协议从一一个网络传传送到另一一个网络。其次，网网上传输的的数据包以以明文格式式传输，因因而，只要要看得到因因特网的流流量，就能能读取包内内所含的数数据。如果果公司希望望利用因特特网传输重重要的商业业机密信息息，这显然然是一个问问题。VPPN克服这这些障碍的的办法就是是采用了隧隧道技术：数据包不不是公开在在网上传输输，而是首首先进行加加密以确保

12、保安全，然然后由VPPN封装成成IP包的的形式，通通过隧道在在网上传输输，如图11-1所示示：图1-1 VPN工工作原理图图源网络的VVPN隧道道发起器与与目标网络络上的VPPN隧道发发起器进行行通信。两两者就加密密方案达成成一致，然然后隧道发发起器对包包进行加密密，确保安安全（为了了加强安全全，应采用用验证过程程，以确保保连接用户户拥有进入入目标网络络的相应的的权限。大大多数现有有的VPNN产品支持持多种验证证方式）。最后，VPPN发起器器将整个加加密包封装装成IP包包。现在不不管原先传传输的是何何种协议，它它都能在纯纯IP因特特网上传输输。又因为为包进行了了加密，所所以谁也无无法读取原原始

13、数据。在目标网络络这头，VVPN隧道道终结器收收到包后去去掉IP信信息，然后后根据达成成一致的加加密方案对对包进行解解密，将随随后获得的的包发给远远程接入服服务器或本本地路由器器，他们在在把隐藏的的IPX包包发到网络络，最终发发往相应目目的地。1.3 VPN的研研究背景和和意义随着网络，尤尤其是网络络经济的发发展，企业业日益扩张张，客户分分布日益广广泛，合作作伙伴日益益增多，这这种情况促促使了企业业的效益日日益增长，另另一方面也也越来越凸凸现传统企企业网的功功能缺陷：传统企业业网基于固固定物理地地点的专线线连接方式式已难以适适应现代企企业的需求求。于是企企业对于自自身的网络络建设提出出了更高的

14、的需求，主主要表现在在网络的灵灵活性、安安全性、经经济性、扩扩展性等方方面。在这这样的背景景下，VPPN以其独独具特色的的优势赢得得了越来越越多的企业业的青睐，令令企业可以以较少地关关注网络的的运行与维维护，而更更多地致力力于企业的的商业目标标的实现。虽然VPNN在理解和和应用方面面都是高度度复杂的技技术，甚至至确定其是是否适用于于本公司也也一件复杂杂的事件，但但在大多数数情况下VVPN的各各种实现方方法都可以以应用于每每个公司。即使不需需要使用加加密数据，也也可节省开开支。因此此，在未来来几年里，客客户和厂商商很可能会会使用VPPN，从而而使电子商商务重又获获得生机，毕毕竟全球化化、信息化化

15、、电子化化是大势所所趋。VPN的应应用领域和和设计目标标2.1 VPN的主主要应用领领域利用VPNN技术几乎乎可以解决决所有利用用公共通信信网络进行行通信的虚虚拟专用网网络连接的的问题。归归纳起来，有有以下几种种主要应用用领域。（1）远程程访问远程移动用用户通过VVPN技术术可以在任任何时间、任何地点点采用拨号号、ISDDN、DSSL、移动动IP和电电缆技术与与公司总部部、公司内内联网的VVPN设备备建立起隧隧道或密道道信，实现现访问连接接，此时的的远程用户户终端设备备上必须加加装相应的的VPN软软件。推而而广之，远远程用户可可与任何一一台主机或或网络在相相同策略下下利用公共共通信网络络设施实

16、现现远程VPPN访问。这种应用用类型也叫叫Acceess VVPN(或或访问型VVPN)，这这是基本的的VPN应应用类型。不难证明明，其他类类型的VPPN都是AAccesss VPPN的组合合、延伸和和扩展。（2）组建建内联网一个组织机机构的总部部或中心网网络与跨地地域的分支支机构网络络在公共通通信基础设设施上采用用的隧道技技术等VPPN技术构构成组织机机构“内部”的虚拟专专用网络，当当其将公司司所有权的的VPN设设备配置在在各个公司司网络与公公共网络之之间（即连连接边界处处）时，这这样的内联联网还具有有管理上的的自主可控控、策略集集中配置和和分布式安安全控制的的安全特性性。利用VVPN组建建

17、的内联网网也叫Inntrannet VVPN。IIntraanet VPN是是解决内联联网结构安安全和连接接安全、传传输安全的的主要方法法。（3）组建建外联网 使用虚拟专专用网络技技术在公共共通信基础础设施上将将合作伙伴伴和有共同同利益的主主机或网络络与内联网网连接起来来，根据安安全策略、资源共享享约定规则则实施内联联网内的特特定主机和和网络资源源与外部特特定的主机机和网络资资源相互共共享，这在在业务机构构和具有相相互协作关关系的内联联网之间具具有广泛的的应用价值值。这样组组建的外联联网也叫EExtraanet VPN。Extrranett VPNN是解决外外联网结构构安全和连连接安全、传输安

18、全全的主要方方法。若外外联网VPPN的连接接和传输中中使用了加加密技术，必必须解决其其中的密码码分发、管管理的一致致性问题。2.2 VPN的设设计目标在实际应用用中，一般般来说一个个高效、成成功的VPPN应具备备以下几个个特点：（1）安全全保障虽然实现VVPN的技技术和方式式很多，但但所有的VVPN均应应保证通过过公用网络络平台传输输数据的专专用性和安安全性。在在非面向连连接的公用用IP网络络上建立一一个逻辑的的、点对点点的连接，称称之为建立立一个隧道道，可以利利用加密技技术对经过过隧道传输输的数据进进行加密，以以保证数据据仅被指定定的发送者者和接收者者了解，从从而保证了了数据的私私有性和安安

19、全性。在在安全性方方面，由于于VPN直直接构建在在公用网上上，实现简简单、方便便、灵活，但但同时其安安全问题也也更为突出出。企业必必须确保其其VPN上上传送的数数据不被攻攻击者窥视视和篡改，并并且要防止止非法用户户对网络资资源或私有有信息的访访问。Exxtrannet VVPN将企企业网扩展展到合作伙伙伴和客户户，对安全全性提出了了更高的要要求。 （22）服务质质量保证（QQoS）VPN网络络应当为企企业数据提提供不同等等级的服务务质量保证证。不同的的用户和业业务对服务务质量保证证的要求差差别较大。如移动办办公用户，提提供广泛的的连接和覆覆盖性是保保证VPNN服务的一一个主要因因素；而对对于拥

20、有众众多分支机机构的专线线VPN网网络，交互互式的内部部企业网应应用则要求求网络能提提供良好的的稳定性；对于其它它应用（如如视频等）则则对网络提提出了更明明确的要求求，如网络络时延及误误码率等。所有以上上网络应用用均要求网网络根据需需要提供不不同等级的的服务质量量。在网络络优化方面面，构建VVPN的另另一重要需需求是充分分有效地利利用有限的的广域网资资源，为重重要数据提提供可靠的的带宽。广广域网流量量的不确定定性使其带带宽的利用用率很低，在在流量高峰峰时引起网网络阻塞，产产生网络瓶瓶颈，使实实时性要求求高的数据据得不到及及时发送；而在流量量低谷时又又造成大量量的网络带带宽空闲。QoS通通过流量

21、预预测与流量量控制策略略，可以按按照优先级级分配带宽宽资源，实实现带宽管管理，使得得各类数据据能够被合合理地先后后发送，并并预防阻塞塞的发生。（3）可扩扩充性和灵灵活性VPN必须须能够支持持通过Inntrannet和EExtraanet的的任何类型型的数据流流，方便增增加新的节节点，支持持多种类型型的传输媒媒介，可以以满足同时时传输语音音、图像和和数据等新新应用对高高质量传输输以及带宽宽增加的需需求。（4）可管管理性从用户角度度和运营商商的角度应应可方便地地进行管理理、维护。在VPNN管理方面面，VPNN要求企业业将其网络络管理功能能从局域网网无缝地延延伸到公用用网，甚至至是客户和和合作伙伴伴

22、。虽然可可以将一些些次要的网网络管理任任务交给服服务提供商商去完成，企企业自己仍仍需要完成成许多网络络管理任务务。所以，一一个完善的的VPN管管理系统是是必不可少少的。VPPN管理的的目标为：减小网络络风险、具具有高扩展展性、经济济性、高可可靠性等优优点。事实实上，VPPN管理主主要包括安安全管理、设备管理理、配置管管理、访问问控制列表表管理、QQoS管理理等内容。实现VPNN的关键技技术和主要要协议3.1 实现VPPN的关键键技术（1）隧道道技术隧道技术(Tunnelinng)是VVPN的底底层支撑技技术，所谓谓隧道，实实际上是一一种封装，就就是将一种种协议（协协议X）封封装在另一一种协议（

23、协协议Y）中中传输，从从而实现协协议X对公公用网络的的透明性。这里协议议X被称为为被封装协协议，协议议Y被称为为封装协议议，封装时时一般还要要加上特定定的隧道控控制信息，因因此隧道协协议的一般般形式为（协协议Y）隧隧道头（协协议X）。在公用网网络（一般般指因特网网）上传输输过程中，只只有VPNN端口或网网关的IPP地址暴露露在外边。隧道解决了了专网与公公网的兼容容问题，其其优点是能能够隐藏发发送者、接接受者的IIP地址以以及其它协协议信息。VPN采采用隧道技技术向用户户提供了无无缝的、安安全的、端端到端的连连接服务，以以确保信息息资源的安安全。隧道是由隧隧道协议形形成的。隧隧道协议分分为第二、

24、第三层隧隧道协议，第第二层隧道道协议如LL2TP、PPTPP、L2FF等，他们们工作在OOSI体系系结构的第第二层（即即数据链路路层）；第第三层隧道道协议如IIPSecc，GREE等，工作作在OSII体系结构构的第三层层（即网络络层）。第第二层隧道道和第三层层隧道的本本质区别在在于：用户户的IP数数据包被封封装在不同同的数据包包中在隧道道中传输。第二层隧道道协议是建建立在点对对点协议PPPP的基基础上，充充分利用PPPP协议议支持多协协议的特点点，先把各各种网络协协议（如IIP、IPPX等）封封装到PPPP帧中，再再把整个数数据包装入入隧道协议议。PPTTP和L22TP协议议主要用于于远程访问

25、问虚拟专用用网。第三层隧道道协议是把把各种网络络协议直接接装入隧道道协议中，形形成的数据据包依靠网网络层协议议进行传输输。无论从从可扩充性性，还是安安全性、可可靠性方面面，第三层层隧道协议议均优于第第二层隧道道协议。IIPSecc即IP安安全协议是是目前实现现VPN功功能的最佳佳选择。（2）加解解密认证技技术加解密技术术是VPNN的另一核核心技术。为了保证证数据在传传输过程中中的安全性性，不被非非法的用户户窃取或篡篡改，一般般都在传输输之前进行行加密，在在接受方再再对其进行行解密。密码技术是是保证数据据安全传输输的关键技技术，以密密钥为标准准，可将密密码系统分分为单钥密密码（又称称为对称密密码

26、或私钥钥密码）和和双钥密码码（又称为为非对称密密码或公钥钥密码）。单钥密码码的特点是是加密和解解密都使用用同一个密密钥，因此此，单钥密密码体制的的安全性就就是密钥的的安全。其其优点是加加解密速度度快。最有有影响的单单钥密码就就是美国国国家标准局局颁布的DDES算法法（56比比特密钥）。而3DEES（1112比特密密钥）被认认为是目前前不可破译译的。双钥钥密码体制制下，加密密密钥与解解密密钥不不同，加密密密钥公开开，而解密密密钥保密密，相比单单钥体制，其其算法复杂杂且加密速速度慢。所所以现在的的VPN大大都采用单单钥的DEES和3DDES作为为加解密的的主要技术术，而以公公钥和单钥钥的混合加加密

27、体制(即加解密密采用单钥钥密码，而而密钥传送送采用双钥钥密码)来来进行网络络上密钥交交换和管理理，不但可可以提高了了传输速度度，还具有有良好的保保密功能。认证技术术可以防止止来自第三三方的主动动攻击。一一般用户和和设备双方方在交换数数据之前，先先核对证书书，如果准准确无误，双双方才开始始交换数据据。用户身身份认证最最常用的技技术是用户户名和密码码方式。而而设备认证证则需要依依赖由CAA所颁发的的电子证书书。目前主要有有的认证方方式有：简简单口令如如质询握手手验证协议议CHAPP和密码身身份验证协协议PAPP等；动态态口令如动动态令牌和和X.5009数字证证书等。简简单口令认认证方式的的优点是实

28、实施简单、技术成熟熟、互操作作性好，且且支持动态态地加载VVPN设备备，可扩展展性强。（3）密钥钥管理技术术密钥管理的的主要任务务就是保证证在开放的的网络环境境中安全地地传递密钥钥，而不被被窃取。目目前密钥管管理的协议议包括ISSAKMPP、SKIIP、MKKMP等。Inteernett密钥交换换协议IKKE是Innternnet安全全关联和密密钥管理协协议ISAAKMP语语言来定义义密钥的交交换，综合合了Oakkley和和SKEMME的密钥钥交换方案案，通过协协商安全策策略，形成成各自的验验证加密参参数。IKKE交换的的最终目的的是提供一一个通过验验证的密钥钥以及建立立在双方同同意基础上上的

29、安全服服务。SKKIP主要要是利用DDiffiie-Heellmaan的演算算法则，在在网络上传传输密钥。IKE协议议是目前首首选的密钥钥管理标准准，较SKKIP而言言，其主要要优势在于于定义更灵灵活，能适适应不同的的加密密钥钥。IKEE协议的缺缺点是它虽虽然提供了了强大的主主机级身份份认证，但但同时却只只能支持有有限的用户户级身份认认证，并且且不支持非非对称的用用户认证。（4）访问问控制技术术虚拟专用网网的基本功功能就是不不同的用户户对不同的的主机或服服务器的访访问权限是是不一样的的。由VPPN服务的的提供者与与最终网络络信息资源源的提供者者共同来协协商确定特特定用户对对特定资源源的访问权权

30、限，以此此实现基于于用户的细细粒度访问问控制，以以实现对信信息资源的的最大限度度的保护。 访问控制策策略可以细细分为选择择性访问控控制和强制制性访问控控制。选择择性访问控控制是基于于主体或主主体所在组组的身份，一一般被内置置于许多操操作系统当当中。强制制性访问控控制是基于于被访问信信息的敏感感性。3.2 VPN的主主要安全协协议在实施信息息安全的过过程中，为为了给通过过非信任网网络的私有有数据提供供安全保护护，通讯的的双方首先先进行身份份认证，这这中间要经经过大量的的协商，在在此基础上上，发送方方将数据加加密后发出出，接受端端先对数据据进行完整整性检查，然然后解密，使使用。这要要求双方事事先确

31、定要要使用的加加密和完整整性检查算算法。由此此可见，整整个过程必必须在双方方共同遵守守的规范( 协议) 下进行行。VPN区别别于一般网网络互联的的关键是隧隧道的建立立，数据包包经过加密密后，按隧隧道协议进进行封装、传送以保保证安全性性。一般，在在数据链路路层实现数数据封装的的协议叫第第二层隧道道协议，常常用的有PPPTP , L22TP 等等;在网络络层实现数数据封装的的协议叫第第三层隧道道协议，如如IPSeec。另外外，SOCCKSv55协议则在在TCP层层实现数据据安全。3.2.11PPTPP/L2TTP 1996年年，Miccrosooft和AAscennd等在PPPP 协协议的基础础上

32、开发了了PPTPP ， 它它集成于WWindoows NNT Seerverr4.0中中，Winndowss NT Workkstattion 和Winndowss 9.XX也提供相相应的客户户端软件。PPP支支持多种网网络协议，可可把IP 、IPXX、ApppleTaalk或NNetBEEUI的数数据包封装装在PPPP包中，再再将整个报报文封装在在PPTPP隧道协议议包中，最最后，再嵌嵌入IP报报文或帧中中继或ATTM中进行行传输。PPPTP提提供流量控控制，减少少拥塞的可可能性，避避免由于包包丢弃而引引发包重传传的数量。PPTPP的加密方方法采用MMicroosoftt点对点加加密(MPP

33、PE: Micrrosofft PPointt-to- Poiint) 算法，可可以选用较较弱的400位密钥或或强度较大大的1288位密钥。19966年， CCiscoo提出L22F(Laayer 2 Foorwarrdingg)隧道协协议，它也也支持多协协议，但其其主要用于于Ciscco的路由由器和拨号号访问服务务器。19997年底底，Miccrosooft 和和Ciscco公司把把PPTPP 协议和和L2F协议的的优点结合合在一起，形形成了L22TP协议议。L2TTP支持多多协议，利利用公共网网络封装PPPP帧，可可以实现和和企业原有有非IP网网的兼容。还继承了了PPTPP的流量控控制，支

34、持持MP(MMultiilinkk Prootocool)，把把多个物理理通道捆绑绑为单一逻逻辑信道。L2TPP使用PPPP可靠性性发送(RRFC 11663)实现数据据包的可靠靠发送。LL2TP隧隧道在两端端的VPNN服务器之之间采用口口令握手协协议CHAAP来验证证对方的身身份.L22TP受到到了许多大大公司的支支持.PPTP/L2TPP协议的优优点: PPPTP/L2TPP对用微软软操作系统统的 用户户来说很方方便，因为为微软己把把它作为路路由软件的的一部分。PPTPP/ L22TP支持持其它网络络协议。如如NOWEELL的IIPX,NNETBEEUI和AAPPLEETALKK协议,还还

35、支持流量量控制。 它通过减减少丢弃包包来改善网网络性能，这这样可减少少重传。PPTP/ L2TTP协议的的缺点:PPM和L22TP 将将不安全的的IP包封封装在安全全的IP包包内，它们们用IP帧帧在两台计计算机之间间创建和打打开数据通通道，一旦旦通道打开开，源和目目的用户身身份就不再再需要，这这样可能带带来问题，它它不对两个个节点间的的信息传输输进行监视视或控制。PPTPP和L2TTP限制同同时最多只只能连接2255个用用户，端点点用户需要要在连接前前手工建立立加密信道道，认证和和加密受到到限制，没没有强加密密和认证支支持。PPTP/ L2TTP最适合合于远程访访问VPNN.3.2.22IPS

36、Sec协议议IPSecc是IETTF(Innternnet EEnginneer Taskk Forrce) 正在完善善的安全标标准，它把把几种安全全技术结合合在一起形形成一个较较为完整的的体系，受受到了众多多厂商的关关注和支持持。通过对对数据加密密、认证、完整性检检查来保证证数据传输输的可靠性性、私有性性和保密性性。IPSSec由IIP认证头头AH(AAutheenticcatioon Heeaderr)、IPP安全载荷荷封载ESSP(Enncapssulatted SSecurrity Paylload)和密钥管管理协议组组成。IPSecc协议是一一个范围广广泛、开放放的虚拟专专用网安全全

37、协议。IIPSecc 适应向向IPv66迁移， 它提供所所有在网络络层上的数数据保护，提提供透明的的安全通信信。IPSSec用密密码技术从从三个方面面来保证数数据的安全全。即:认证：用于于对主机和和端点进行行身份鉴别别。完整性检查查：用于保保证数据在在通过网络络传输时没没有被修改改。加密：加密密IP地址址和数据以以保证私有有性。IPSecc协议可以以设置成在在两种模式式下运行:一种是隧隧道模式，一一种是传输输模式。 在隧道模模式下，IIPSecc把IPvv4数据包包封装在安安全的IPP帧 中,这样保护护从一个防防火墙到另另一个防火火墙时的安安全性。在在隧道模式式下，信息息封装是为为了保护端端到

38、端的安安全性，即即在这种模模式下不会会隐藏路由由信息。隧隧道模式是是最安全的的，但会带带来较大的的系统开销销。IPSSec现在在还不完全全成熟，但但它得到了了一些路由由器厂商和和硬件厂商商的大力支支持。预计计它今后将将成为虚拟拟专用网的的主要标准准。IPSSec有扩扩展能力以以适应未来来商业的需需要。在11997年年底，IEETF安全全工作组完完成了IPPSec 的扩展， 在IPSSec协议议中加上IISAKMMP(Innternnet SSecurrity Assoociattion and Kay Manaagemeent PProtoocol)协议，其其中还包括括一个密钥钥分配协议议Oa

39、klley。IISAKMMP/Oaakleyy支持自动动建立加密密信道，密密钥的自动动安全分发发和更新。IPSeec也可用用于连接其其它层己存存在的通信信协议，如如支持安全全电子交易易(SETT:Seccure Elecctronnic TTranssactiion)协协议和SSSL（Seecuree Soccket layeer）协议议。即使不不用SETT或SSLL,IPSSec 都都能提供认认证和加密密手段以保保证信息的的传输。实例分析VPN的具具体实现方方案有很多多，实际应应用中应根根据用户的的需求、用用户资源现现状、承载载网络资源源现状、投投资效益以以及相关技技术比较等等多种因素素综合

40、考虑虑，选择一一种主流的的方案。在在本文中就就以一个中中小型企业业为例模拟拟实际环境境建立一个个基于ISSA的企业业VPN网网络以满足足远程办公公、分公司司和合作伙伙伴远程访访问的要求求。这个实实验在理论论的指导下下实现了一一种VPNN的实际应应用，为中小企业业设计VPPN网络提提供参考和和借鉴。4.1 需求分析析随着公司的的发展壮大大，厦门某公司在上海海开办了分分公司来进进一步发展展业务，公公司希望总部和分公公司、总部部与合作伙伙伴可以随随时的进行行安全的信息息沟通，而而外出办公公人员可以以访问到企企业内部关关键数据，随随时随地共共享商业信信息，提高高工作效率率。一些大大型跨国公公司解决这这

41、个问题的的方法，就就是在各个个公司之间间租用运营营商的专用用线路。这这个办法虽虽然能解决决问题，但但是费用昂昂贵，对于于中小企业业来说是无无法负担的的，而VPN技技术能解决决这个问题题。根据该公司用户户的需求，遵遵循着方便便实用、高高效低成本本、安全可可靠、网络络架构弹性性大等相关关原则决定定采用ISSA Seerverr VPNN安全方案，以IISA作为为网络访问问的安全控控制。ISA Servver集成成了Winndowss serrver VPN服服务，提供供一个完善善的防火墙墙和VPNN解决方案案。以 ISAA VPNN作为连接接Inteernett的安全网网关，并使使用双网卡卡，隔开

42、内内外网，增增加网络安安全性。ISA具备备了基于策策略的安全全性，并且且能够加速速和管理对对Inteernett的访问。防火墙能能对数据包包层、链路路层和应用用层进行数数据过滤、对穿过防防火墙的数数据进行状状态检查、对访问策策略进行控控制并对网网络通信进进行路由。对于各种种规模的企企业来说，IISA SServeer 都可可以增强网网络安全性性、贯彻一一致的 IInterrnet 使用策略略、加速 Inteernett 访问并并实现员工工工作效率率最大化。在ISA中中可以使用用以下三种种协议来建建立VPNN连接： IPSEEC隧道模模式； L2TPP oveer IPPSec模模式； PPTP

43、P； 下表比较了了这三种协协议： 表4-1 ISAA中三种协协议对比表表协议何时使用安全等级备注IPSecc隧道模式式连接到第三三方的VPPN服务器器高这是唯一一一种可以连连接到非微微软VPNN服务器的的方式L2TP overr IPSSec连接到ISSA Seerverr 20000、ISSA Seerverr 20004或者WWindoows VVPN服务务器高使用RRAAS。比IIPSecc隧道模式式更容易理理解，但是是要求远程程VPN服服务器是IISA SServeer或者WWindoows VVPN服务务器。PPTP连接到ISSA Seerverr 20000、ISSA Seerve

44、rr 20004或者WWindoows VVPN服务务器中等使用RRAAS，和LL2TP具具有同样的的限制，但但是更容易易配置。因因为使用IIPSecc加密，LL2TP更更认为更安安全。三个站点都都采用ISSA VPPN作为安安全网关，且且L2TPP oveer IPPSec结结合了L22TP 和和 IPSSec的优优点，所以以在这里采采用L2TTP ovver IIPSecc作为VPPN实施方方案。4.2 方案达到到的目的厦门总部和和分公司之间间以及厦门门总部和合合作伙伴之之间透过VVPN联机机采用IPPSec协协定，确保保传输数据据的安全；在外出差或或想要连回回总部或分分公司的用用户也可使

45、使用IPSSec方式式连回企业业网路；对总部内网网实施上网网的访问控控制，通过过VPN设设备的访问问控制策略略，对访问问的PC进进行严格的的访问控制制。对外网可以以抵御黑客客的入侵，起起到Firrewalll作用。具有控制制和限制的的安全机制制和措施，具具备防火墙墙和抗攻击击等功能；部署灵活，维维护方便，提提供强大的的管理功能能，以减少少系统的维维护量以适适应大规模模组网需要要。4.3 VPN组建建方案网络络拓扑图图4-1 VPN组组建网络拓拓扑图各部分VPPN设备的的配置公司总部和和分支机构构之间与公公司总部和和合作伙伴伴之间的VVPN通信信，都是站站点对站点点的方式，只是权限设置不一样，公

46、司总部和分支机构要实现的公司分支机构共享总部的资源，公司总部和合作伙伴要实现是资源共享和互访。两者之间的差别是合作伙伴的VPN接入上设置了可以总部可以访问的操作。因为三个站点都采用ISA VPN作为安全网关，所以以下站点对站点的VPN配置就以公司总部到分支机构为例，说明在ISA上实现VPN的具体操作。模拟基本拓拓扑图：图5-1 实验模拟拟网络拓扑扑图5.1 公司总部部到分支机机构的ISSA VPPN配置各主机的TTCP/IIP为： 厦门总部外部网络： IP：1992.1668.1.1DG：1992.1668.1.1内部网络： IP：1772.166.1922.1677DG：Noone 分部外部

47、网络： IP：1992.1668.1.2DG：1992.1668.1.1内部网络： IP:1992.1668.3.1DG：Noone 在总部和支支部之间建建立一个基基于IPSSec的站站点到站点点的VPNN连接，由由支部向总总部进行请请求拨号，具体步骤如下： 在总部ISSA服务器器上建立远远程站点； 建立此远程程站点的网网络规则； 建立此远程程站点的访访问规则； 在总部为远远程站点的的拨入建立立用户；在支部ISSA服务器器上建立远远程站点； 建立此远程程站点的网网络规则； 建立此远程程站点的访访问规则； 测试VPNN连接； 5.1.11 总部部ISA VPNN配置1、在总部部ISA服服务器上建

48、建立远程分分支机构站站点 打开ISAA Serrver 20044控制台，点点击虚拟专专用网络，点点击右边任任务面板中中的添加远远程站点网网络；在欢迎使用用网络创建建向导页，输输入远程站站点的名字字Brannch，点点击下一步步； 在VPN协协议页，选选择IPSSec上的的第二层隧隧道协议（LL2TP），点击下一一步； 在远程站点点网关页，输输入远程VVPN服务务器的名称称或IP地地址，如果果输入名称称，需确保可以以正确解析析，在这里里输入1992.1668.1.2点击下一步步； 在网络地址址页，点击击添加输入与此网网卡关联的的IP地址址范围，在在此输入1192.1168.33.0和192.1

49、68.3.2555，点击确定定后，点击击下一步继续续； 在正在完成成新建网络络向导页，点点击完成。 图5-2 总部建立立的远程站站点图打开VPNN客户端，点点击配置VVPN客户户端访问，在在常规页中，选选择启用VVPN客户户端访问，填填入允许的的最大VPPN客户端端数量200，在协议页，选择启启用PPTTP（N）和启用用L2TPP/IPSSEC（EE）点击确定。点击选择身身份验证方方法，选择择Micrrosofft加密的的身份验证证版本2（MMS-CHHAPv22）（M）和允许L2TP连接自定义IPSec策略（L）,输入预共享的密钥main04jsja.点击定义地地址分配，在在地址分配配页，选

50、择择静态地址址池，点击击添加，添添加VPNN连接后总总部主机分分配的给客客户端的IIP地址段段，在这里里输入2110.344.2122.0-210.34.2212.2255，点击确定完成设设置。（方方便测试连连接，可不不添加）2、在总部部上建立此此远程站点点的网络规规则 接下来，我我们需要建建立一条网网络规则，为为远程站点点和内部网网络间的访访问定义路路由关系。右键点击配配置下的网络，然后后点击新建建，选择网络络规则； 在新建网络络规则向导导页，输入入规则名字字，在此命命名为Innternnal tto Brranchh，点击下一一步;在网络通讯讯源页，点点击添加，选择择网络目录录下的内部，点

51、击击下一步； 在网络通讯讯目标页，点点击添加，选择择网络目录录下的Braanch，点点击下一步步； 在网络关系系页，选择择路由，然后后点击下一一步； 在正在完成成新建网络络规则向导导页，点击击完成； 图5-3 总部网络络规则图3、在总部部上建立此此远程站点点的访问规规则 现在，我们们需要为远远程站点和和内部网络络间的互访访建立访问问规则，右键点击防防火墙策略略，选择新建建，点击访问问规则； 在欢迎使用用新建访问问规则向导导页，输入入规则名称称，在此命命名为maain tto brranchh，点击下一一步； 在规则操作作页，选择择允许，点击击下一步； 在协议页，选选择所选的的协议，然然后添加H

52、HTTP和和Pingg，(这里可可以再根据据实际需要要添加协议议)点击下一步步； 在访问规则则源页，点点击添加，选择择网络目录下下的Braanch和和内部，点击击下一步； 在访问规则则目标页，点点击添加，选择择网络目录下下的Braanch和和内部，点击击下一步；在用户集页页，接受默默认的所有有用户，点点击下一步步；在正在完完成新建访访问规则向向导页，点点击完成； 最后，点击击应用以保存存修改和更更新防火墙墙设置。 此时在警警报里面有有提示，需需要重启IISA服务务器，所以以，我们需需要重启IISA计算算机。图5-4 总部访问问控制图4、在总部部上为远程程站点的拨拨入建立用用户 在重启总部部IS

53、A服服务器后，以以管理员身身份登录，在我的电脑脑上点击右右键，选择择管理，选择在本地用户户和组里面面，右击用用户，选择择新用户，这这个VPNN拨入用户户的名字一一定要和远远程站点的的名字一致致，在此是是mainn，输入密密码maiin，选中用户不不能修改密密码和密码永不不过期，取取消勾选用用户必须在在下次登录录时修改密密码，点击击创建； 右击此用户户，选择属属性；在用用户属性的的拨入标签，选选择允许访访问，点击击确定。图5-5 总部用户户创建图此时，远程程客户端拨拨入总部的的用户账号就建好了。5.1.22 支部部 ISAA VPPN配置1、在支部部ISA服服务器上添添加远程站站点打开ISAA

54、Serrver 20044控制台，点点击虚拟专专用网络，点点击右边任任务面板中中的添加远远程站点网网络；在欢迎使用用网络创建建向导页，输输入远程站站点的名字字Mainn，点击下一一步； 在VPN协协议页，选选择IPSSec上的的第二层隧隧道协议（LL2TP），点击下一一步； 在远程站点点网关页，输输入远程VVPN服务务器的名称称或IP地地址，如果果输入名称称，需确保可以以正确解析析，在这里里输入1992.1668.1.1，点击击下一步； 在远程身份份验证页，输入用用户名maain，输入密码码mainn，点击下一步步继续； 在网络地址址页，点击击添加输入与此网网卡关联的的IP地址址范围，在在此输

55、入1192.1168.33.0和555，点击确定定后，点击击下一步继续续； 在正在完成成新建网络络向导页，点点击完成。 图5-6 支部建立立的远程站站点图2、建立此此远程站点点的网络规规则 接下下来，我们们需要建立立一条网络络规则，为为远程站点点和内部网网络间的访访问定义路路由关系。右击配置下下的网络，然后后点击新建建，选择网络络规则；在新建网络络规则向导导页，输入入规则名字字，在此我我命名为内内部-Maiin，点击击下一步；在网络通讯讯源页，点点击添加，选择择网络目录录下的内部，点击击下一步；在网络通讯讯目标页，点点击添加，选择择网络目录录下的Maiin，点击击下一步；

56、在网络关系系页，选择择路由，然后后点击下一一步；在正在完成成新建网络络规则向导导页，点击击完成；图5-7 支部的网网络规则图图3、建立此此远程站点点的访问规规则 在创建完远远程站点和和远程站点点的网络规规则之后，我我们需要为为远程站点点和内部网网络间的互互访建立访访问规则，右击防火墙墙策略，选选择新建，点击击访问规则则；在欢迎使用用新建访问问规则向导导页，输入入规则名称称，在此我我命名为bbrancch too maiin ，点点击下一步步；在规则操作作页，选择择允许，点击击下一步；在协议页，选选择所选的的协议，然然后添加HHTTP和和Pingg，点击下一一步；在访问规则则源页，点点击添加，选

57、择择网络目录下下的Maiin和内部，点击击下一步；在访问规则则目标页，点点击添加，选择择网络目录下下的Maiin和内部，点击击下一步；在用户集页页，接受默默认的所有有用户，点点击下一步步；在正在完完成新建访访问规则向向导页，点点击完成；最后，点击击应用以保存存修改和更更新防火墙墙设置。图5-8 支部的访访问控制图图此时在警报报里面有提提示，需要要重启ISSA服务器器，所以，我我们需要重重启支部IISA计算算机。5.1.33 VPPN连接在支部的路路由和远程程访问控制制台中，展展开服务器器，点击网络接接口，这时时就会出现现我们创建建的maiin网络拨拨号接口，右右键点击属属性，在安全页选择择高级

58、设置置下的IPPSec设置，在使用预预共享的密密钥作身份份验证（UU）的选框里里打勾，并并输入密钥钥mainn04jssja, 点击两次次确定，完成成密钥设置置。右键点击设设置凭据，在在接口凭据据页，输入入此接口连连接到远程程路由器使使用的凭据据，因为在在远程ISSA端我们们设置为mmain 所以这里里输入的用用户密码为为mainn，点击确定。图5-9 连接验证证图右键maiin点击连接图5-100 正在进进行连接示示意图图5-111 已连接接上示意图图到此为止站站点到站点点的VPNN已经构建建好了，在在上面的设设置中，远远程的支部部不允许总总部进行访访问，如果果要设成可可以互相访访问，支部部

59、的配置只只要参照总总部的配置置就可以实实现了。5.1.44 连接接测试我们之前在在静态地址址池里设置置了VPNN连接后分分配的IPP地址，因因此测试是是否连接时时只要查支支部主机的的IP地址址就可以了了，在测试试的结果中中，出现了了210.34.2212.22这个VPPN分配的的IP地址址，说明VVPN已成成功连接上上总部的IISA VVPN服务务器。图5-122 支部主主机VPNN连接后的的ipcoonfigg图在支部的主主机上piing总部部内部的某某一主机，如如下所示，虽虽然第一次次连接时间间超时，没没有回应，但但是接下来来的三个连连接都可以以pingg通，说明明VPN已已经成功连连接，

60、并可可以访问到到总部内网网的其他主主机。图5-133 支部PPING通通总部内部部网络图5.2 公司总部部站点到移动动用户端的的VPN配配置总部外部网络： IP：1992.1668.1.1DG：1992.1668.1.1内部网络： IP：1772.166.1922.1677DG：Noone 移动用户IP：1992.1668.1.3在总部和移移动用户之之间建立一一个基于IIPSecc的VPNN连接，具具体步骤如如下： 在总部ISSA服务器器上建立网网络规则 建立此远程程站点的访访问规则； 在总部为远远程站点的的拨入建立立用户；在客户端建建立拨号连连接测试VPNN连接； 5.2.11 总部部ISA