企业虚拟专用网络构建方案的设计_论文.doc

企业虚拟专用网络构建方案的设计第1章 VPN技术理论概述1.1 VPN 技术理论概述虚拟专用网VPN(Virtual Private Network)是一种利用公共网络构建的专用网络技术，“虚拟”的概念是相对传统私网络的构建方式而言的，VPN通过公网实现远程广域连接，以低廉的成本连接企业远程分支机构，或者在公共骨干网络承载不同的专网。下面我们从技术层面和业务层面对VPN技术进行分析，因为所有的技术都是因为有了应用才变得有分析和研究的意义。VPN是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商)在公用网络中利用隧道、加密等技术，构建一个专门给企业使用的虚拟网络。该虚拟专用网负责将地理上分布的用户的各个网络结点连接起来。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。通过虚拟专用网络的连接，用户可以根据自己的意愿，分配各个结点上的地址空间，可以自己安排各个结点之间的路由关系，它给用户一种直接连接到私人局域网的感觉。因此虚拟专用网，顾名思义，不是真的专用网络，但却能够实现专用网络的功能。从网络空间来看，虚拟专用网络在中间，用户的网络结点在边缘。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。与虚拟专用网相对应的，传统专用线路(如DDN)的高昂成本和长期的使用费用，使企业承担了很大的负担，很多企业无法利用这种方式来建立自己的专网。越来越多的用户认识到，Internet和电子商务的蓬勃发展，经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换的速度。这些合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流，不但带来了网络的复杂性，而且还带来了管理和安全性的问题，因为Internet是一个全球性和开放性的、基于TCP/IP技术的、难以管理的国际互联网络，因此，基于Internet的商务活动就面临着信息威胁和安全隐患。还有一类用户，随着自身的发展壮大，以及跨国企业的分支机构不仅越来越多，而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部门，在连接分支机构方面也感到日益棘手。虚拟专用网技术能很好地解决上述难题，而且无需高昂的专用网络及设备，大大降低了成本。这使得虚拟专用网技术，不但成为了近来网络界的新热点，更成为了一种不可抗拒的趋势。1.2 IP Sec技术浅析IP Sec是一组开放协议的总称，它是在特定的通信方之间通过在IP层加密和数据源验证等手段，保证数据包在Internet网上的私有性、完整性和真实性。IPSec采用AH(Authentication Header)和ESP(Encapsulating Security Payload)安全协议，不会对用户、主机或其它Internet组件造成影响，用户可以选择不同的硬件或软件加密算法，不影响其它部分的实现。IPSec提供以下网络安全服务：私有性：在传输数据包之前进行加密，保证数据的私有性；完整性：在目的地验证数据包，保证数据包在传输过程中不被修改；真实性：IP Sec端验证所有受IP Sec保护的数据包；防重放：防止数据包被捕捉后重新投放上网，即目的地拒绝旧的或重复的数据包，这一过程是通过报文的序列号来实现的。IP Sec在两个端点之间通过建立安全联盟(SA，Security Association)进行数据传输，该安全联盟定义了数据保护使用的协议、算法和安全联盟的有效时间等属性。IP Sec在转发加密数据时新产生的All和/或ESP附加报头，可用于保证IP数据包的安全性。IP Sec包括隧道和传输两种工作方式：在隧道方式，用户的整个IP数据包用于计算附加报头且被加密，附加报头和加密用户数据封装在一个新的IP数据包中；在传输方式，仅传输层(如TCP、UDP)数据用于计算附加报头，附加报头和被加密的传输层数据放置在原口报头的后面。通过IP Sec协议，数据可安全地在公网传输，不必担心数据被监视、修改或伪造。IP Sec提供两个主机间、两个安全网关间或主机与安全网关之间的数据保护。1.3 SSL技术浅析近年来，移动办公已成为趋势，移动用户接入公司内部专网的需求不断增加，使得IPSec VPN的使用也逐渐增加。但由于IPSec VPN的维护困难，造成企业IT成本过高；另一方面，企业对于内网资源的保护的要求也不断提高，IPSec VPN由于开放了整网的资源给接入用户，企业内网安全方面的问题逐渐暴露。鉴于IPSec VPN应用中存在的不足，基于应用层的SSL VPN开始迅速兴起。SSL的英文全称是“Secure Sockets Layer”，中文名为“安全套接层协议层”，它是网景(Netscape)公司提出的基于WEB应用的安全协议。是一种基于应用层的虚拟专网技术，它利用SSL技术和代理技术，向终端用户提供安全访问HTTP限资源、C/S资源，以及文件共享资源等的功能，同时可以实现不同方式的用户认证，以及细粒度的访问控制。通过该技术的应用，我们可真正实现“在任何时候、任何地点、通过任何设备安全地接入公司内部网”的目标。SSL VPN技术应用具有以下优势和特点：通过点到应用的保护，对每一个应用都可以设定安全策略；无需手动安装任何VPN客户端软件；兼容性好，支持各种操作系统和终端(如PDA、Smart Phone等)。在远程访问领域，SSL VPN正逐步取代IPSec VPN。但是，作为传统的站点到站点安全联接的主流技术，IP Sec VPN仍然是不可取代的。当前，VPN领域的共识是：IPSec VPN更适合于站点到站点安全联接，SSL VPN是实现安全远程访问的最佳技术。就目前的技术而言，VPN的发展到现在没有所谓最佳的选择，到底选择那种VPN必须根据远程访问的需求与目标而定。当企业需要安全的点对点连接时，IP Sec可能是最适合的解决方案，即IP Sec更加适合用来解决网到网的互联问题。SSL VPN则更适合下述情况：移动用户通过互联网来访问企业内部获取广泛而全面性的信息，管理员希望精确的了解接入用户的访问情况，SSL VPN在这方面更胜一筹。如果一个企业会同时存在网间互联和点到网的互联需求，我们就需要的是一台设备同时支持这两种VPN技术，在需要网到网互联的时候使用IP Sec、在需要点到网互联的时候使用SSL，用最合适的技术来满足用户的需求。综合的说，以上两种技术有如下差异：1、IP Sec VPN多用于“网网”连接，SSL VPN用于“移动客户网”连接。SSLVPN的移动用户使用标准的浏览器，无需安装客户端程序，即可通过SSLVPN隧道接入内部网络；而IP Sec VPN的移动用户需要安装专门的IP Sec客户端软件。2、SSL VPN是基于应用层的VPN，而IP Sec VPN是基于网络层的VPN。IP Sec VPN对所有的IP应用均透明；而SSL VPN保护基于Web的应用更有优势，当然好的产品也支持TCP/UDP的C/S应用，例如文件共享、网络邻居、Ftp、Telnet、Oracle等。3、SSL VPN用户不受上网方式限制，SSL VPN隧道可以穿透Firewall；而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall，而且需要Firewall打开UDP500端口。4、SSL VPN只需要维护中心节点的网关设备，客户端免维护，降低了部署和支持费用。而IPSec VPN需要管理通讯的每个节点，网管专业性较强。5、SSL VPN更容易提供细粒度访问控制，可以对用户的权限、资源、服务、文件进行更加细致的控制，与第三方认证系统(如：radius、AD等)结合更加便捷。而IPSec VPN主要基于IP五元组对用户进行访问控制。正是出于SSLVPN的这些独特优势，SSL VPN越来越被一些客户所接受。1.4 多协议标签交换MPLSMPLS(Multi protocol Label Switch)最初是用来提高路由器的转发速度而提出的一个协议，但是由于MPLS在流量工程和VPN这一在目前IP网络中非常关键的两项技术中表现，MPLS已日益成为扩大IP网络规模的重要标准。MPLS协议的关键是引入了标签(Label)的概念。它是一种短的、易于处理的、不包含拓扑信息、只具有局部意义的信息内容。Label短是为了易于处理，通常可以用索引直接引用。只具有局部意义是为了便于分配。熟悉ATM的人可能很自然的想到ATM中的VPI/VCI。可以这么说，ATM中的VPI/VCI就是一种标签，所以说ATM实际上就是一种标签交换。一个MPLS标签是一个长度固定的数值，由报文的头部携带，不含拓扑信息，只有局部意义。在MPLS网络中，IP包在进入第一个MPLS设备时，MPLS边缘路由器就用标签封装起来。MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签，相对于传统的IP路由分析，MPLS不仅分析IP包头中的目的地址信息。它还分析IP包头中的其他信息，如TOS等。之后所有MPLS网络中节点都是依据这个简短标签来作为转发判决依据。当该IP包最终离开MPLS网络时，标签被边缘路由器分离。IP+ATM怎样不同于简单地在ATM骨干上运行IP呢?答案就是MPLS。MPLS是商业IP网络关键技术，它允许服务提供商首次在单一网络上获得IP，ATM，FR的综合利润。因为MPLS提供IP的灵活连接和可扩展性，以及FR和ATM的私有性和QOS，它已变成广泛被接收的标准。运用MPLS，IP服务能通过以下的过程在具有选路和多业务的交换网络上进行传送：网络决定包的选路和QOS需求；标记被分配给每个包，告诉交换机或路由器哪儿、怎样去发送这个包，每个包的特定的服务属性：QOS，私有性等等；包在没有额外的选路的情况下，在网络骨干上被交换。基于MPLS的解决方案使得新的网络世界的服务成为可能，如具有QOS的VPN。MPLS标记的主要好处是能够为单个数据流区别服务类。1.5 VPN技术的安全保障优点虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其在VPN上传送的数据，不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到了合作伙伴和客户，但同时也对安全性提出了更高的要求。1.6 服务质量保证(QoS)VPN网应当为企业数据，提供不同等级的服务质量保证。不同的用户和业务对服务质量保证要求的差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用，则要求网络能提供良好的稳定性；对于其他应用(如视频等)则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用，均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时容易引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又容易造成大量网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。第2章 基于VPN的网络设计2.1 企业规模与配置分布永辉商贸公司地处于沈阳黄金地段，盘锦有其分公司，属于中小型企业。为了更方便公司的营运与员工的办公方便，特设置虚拟专用网络。本公司总部有一台FTP与 WEB服务器，联网计算机共有26台（一下拓扑图中只画出一台）。分公司没有服务器，为了可以访问总公司内部的文件需要连接专用网络，分公司共有电脑20台。由于员工经常出差，需要在万维网连接到工地服务器，也需要连接专用网络进行访问。 2.2 网络拓扑图的设计与说明基于IP Sec VPN的综合模拟拓扑图如下图2.1。图2.1 VPN综合模拟拓扑图拓扑图说明：总部路由器模拟总公司核心层路由器，总部汇聚层交换机下挂其Fa0/1端口，总部TFTP服务器、Web服务器以及各部门PC接入汇聚层核心交换机；总部路由器Fa0/1为连接Internet端口，在此使用一台cisco2811路由器模拟Internet，Internet路由器Eth1/1端口下挂外网DNS服务器和ISP Web服务器，Eth1/0下挂外网接入的AP，提供DHCP服务和无线接入；Internet另一端为分公司路由器，其Fa0/1端口下挂分公司核心交换机。2.3 IP地址分配与规划分析PC0 PC1:DHCP获取；笔记本：laptop0和wuxian：DHCP获取；内部服务器：Web 53/24； TFTP 52/24；ISP服务器：ISP DNS 12/24； ISP Web 20/24；总部路由器：f0/0:54/24； f0/1:/24；Internet网：f0/1 :/24；f0/0:/24；E1/0:/24(移动笔记本wuxian所获得公网地址段)；E1/1:/24（ISP DNS和ISP Web服务器的网关；分部路由器：f0/0:/24 f0/1:54/24；TFTP服务器：IP：52/24 gateway：54/24；WEB服务器：总部：IP：53/24；gateway: 54/24； Internet：20/24 gateway: /24；DNS服务器：IP:12/24 gateway: /24。第3章 主要设备网络配置3.1 总部路由器的配置3.1.1 为路由命名并赋予IPhostname zongbuip dhcp excluded-address 54ip dhcp pool zongbunetwork default-router 54dns-server 123.1.2 配置AAA认证aaa new-modelaaa authentication login eza local aaa authorization network ezo localusername tang password 0 1233.1.3 配置IKE协商策略与参数crypto isakmp policy 10(10为IKE协商策略的编号)encr 3deshash md5(hash 命令被用来设置密钥认证所用的算法)authentication pre-sharecrypto isakmp key tom address crypto isakmp client configuration group wzfkey 123pool ez3.1.4 配置IPsec访问列表与传输模式crypto ipsec transform-set tim esp-3des esp-md5-hmaccrypto dynamic-map ezmap 10set transform-set tim3.1.5 配置端口的应用reverse-routecrypto map tom client authentication list eza（创建Crypto Map）crypto map tom isakmp authorization list ezocrypto map tom client configuration address respondcrypto map tom 10 ipsec-isakmp dynamic ezmapcrypto map tom 11 ipsec-isakmpset peer （指定了此Crypto Map所对应的VPN链路对端的IP地址）set transform-set timmatch address 101no ip domain-lookupinterface FastEthernet0/0（配置端口IP）ip address 54 ip nat insideduplex autospeed autointerface FastEthernet0/1ip address ip nat outsideduplex autospeed autocrypto map tominterface Vlan1no ip addressshutdownip local pool wzf 00ip nat inside source list 100 interface FastEthernet0/1 overloadip nat inside source static tcp 53 80 80ip classlessip route access-list 100 deny ip 55 55access-list 100 permit ip 55 anyaccess-list 101 permit ip 55 55line con 0exec-timeout 0 0logging synchronousloginline vty 0 4loginend3.2 分公司路由器配置3.2.1 为路由命名并赋予IPhostname fenbuip dhcp excluded-address 54ip dhcp pool zongbunetwork default-router 54dns-server 123.2.2 配置IKE协商策略与参数crypto isakmp policy 10encr 3deshash md5authentication pre-sharecrypto isakmp key tom address 3.2.3 配置IPsec访问列表与传输模式crypto ipsec transform-set tim esp-3des esp-md5-hmaccrypto map tom 10 ipsec-isakmpset peer set transform-set timmatch address 101no ip domain-lookup3.2.4 配置端口的应用interface FastEthernet0/0ip address ip nat outsideduplex autospeed autocrypto map tominterface FastEthernet0/1ip address 54 ip nat insideduplex autospeed autointerface Vlan1no ip addressshutdownip nat inside source list 100 interface FastEthernet0/0 overloadip classlessip route access-list 100 deny ip 55 55access-list 100 permit ip 55 anyaccess-list 101 permit ip 55 55line con 0exec-timeout 0 0logging synchronousline vty 0 4loginend3.3 Internet路由器配置hostname Internetip dhcp excluded-address ip dhcp pool wifinetwork default-router dns-server 12no ip domain-lookupip name-server interface FastEthernet0/0ip address duplex autospeed autointerface FastEthernet0/1ip address duplex autospeed autointerface Ethernet1/0ip address duplex autospeed autointerface Ethernet1/1ip address duplex autospeed autointerface Vlan1no ip addressshutdownip classlessline con 0exec-timeout 0 0logging synchronousline vty 0 4loginend第4章 系统的测试与应用4.1 网络模拟实验结果分部PC1没有连接上VPN时，尝试ping总部web及tftp服务器，结果如图4.1所示。图4.1 未连接VPN时ping总部在PC1的VPN连接中输入图4.2所示内容，点击链接，提示VPN链接总部成功。图4.2 VPN链接图再打开Command Prompt，ping总部服务器，结果如图4.3所示，正常连通。图4.3 链接VPN后ping结果打开PC1的Web Browser输入Internet的Web服务器地，成功浏览，如图4.4。图4.4 外网Web页面地址栏中输入总部Web服务器地址，同样成功链接，如图4.5。图4.5 总部Web页面打开无线接入Internet路由器的笔记本电脑wuxian，同样链接上总部的VPN组，之后ping总部服务器，结果都能正常通信。如图4.6、4.7所示。图4.6 VPN链接图图4.7 VPN链接后ping结果4.2 虚拟专用网络的应用现在，随着技术的发展，宽带网络的普及，构建远程专用网络有了更好的方案，通过使用VPN技术，借助公共互联网（INTERNET），可以用较低的成本将企业总部和各分支机构更安全、更高效的联结在一起，从而将企业的信息化扩展到各业务部门，提高整个公