计算机网络技术毕业论文-VPN在局域网的应用.doc

VPNVPN 在局域网的应用在局域网的应用 作 者 班 级 09 计算机网络技术(1)班 专 业 计算机网络技术 教 学 系 信息工程系 指导老师 樊秀龙、何学成 完成时间 2011 年 10 月 9 日至 2011 年 11 月 20 日 目录目录 1 摘要摘要 .2 关键词关键词 .2 第一章第一章 VPNVPN 技术概述技术概述 .2 1.11.1 VPNVPN 的定义的定义.2 1.2 VPN 的特点的特点.3 1.31.3 VPNVPN 带来的好处带来的好处.3 第二章第二章 实现实现 VPNVPN 的关键技术的关键技术 .3 2 21 1 隧道技术隧道技术.3 2 22 2 加解密认证技术加解密认证技术.4 2 23 3 密钥管理技术密钥管理技术.4 2 24 4 访问控制技术访问控制技术.5 第三章第三章 VPNVPN 的主要安全协议的主要安全协议 .5 3 31 1 简介简介.5 3.23.2 PPTP/L2TPPPTP/L2TP.5 3.33.3 IPSIPSECEC协议协议.6 3.43.4 实例分析实例分析.6 第四章第四章 学校的需求分析学校的需求分析 .6 4.14.1 需求分析需求分析.6 4.24.2 方案达到的目的方案达到的目的.7 4.34.3 VPNVPN 组建方案网络拓扑图组建方案网络拓扑图.7 4.4 学校站点到移动用户端的学校站点到移动用户端的 VPN 配置配置.8 4.54.5 移动用户端移动用户端 VPNVPN 配置配置.10 4.64.6 连接测试连接测试.15 结束语结束语 .15 参考文献参考文献 .16 VPNVPN 在局域网的应用在局域网的应用 摘要摘要 2 随着 Internet 已成为全社会的信息基础设施，学校端应用也大都基于 IP，在 Internet 上构筑应用系统已成为必然趋势，因此基于 IP 的 VPN 业务获得了极大的增长空 间。本文介绍了虚拟专用网的技术原理和特点，以及利用 VPN 技术构建学校虚拟专用网的 优势，提出利用公网的资源作为企业各级单位间传输信息的通道，在建设内部网实现信息 安全共享的同时降低建设和维护成本，因此具有很好的应用前景。首先对 VPN 的定义、优 点等进行了分析；根据随着学校的发展壮大，学校外出人员，与学校内相互通信，了解学 校内一些重要信息，不想外面的人能访问，只允许学校内部专门人员才能访问。最后，根 据需采取了以下的解决方案，先进行配置 VPN 服务器、连上线，一切工作正常，然后配置 客户机，把拿客户机接到 Internet 中进行测试。 关键词关键词 虚拟专用网；虚拟局域网；网络安全； 第一章第一章 VPNVPN 技术概述技术概述 1.11.1 VPNVPN 的定义的定义 VPN（ Virtual Private Network）也就是虚拟专用网络技术。所谓虚拟是指用户不需 要拥有实实际的长途数据线路，而是使用 Internet 公众数据网络的长途数据线路。所谓专 用网络指用户可以为自己制定一个最符合自己需求的网络。虚拟专用网不是真正的专用网 络，却能够实现专用网络的功能。VPN 虚拟专网技术在 Iinternet 公共网络中建立私有专 用网络，企业内部保密的数据通过安全的“加密管道”在公共网络中传播。 虚拟专用网中的数据通过安全的“加密管道”在公共网络中传播，企业只需要租用本 地的数据专线或者用户拨号方式，连接到本地公共信息网，就可以互相传递信息，实现分 散出地点间的企业网中，从而达到安全的数据传输的目的。IETF 草案理解基于 IP 的 VPN 为：“使用 IP 机制仿真出一个私有的广域网” ，是通过私有的隧道技术在公共数据网上仿 真一条点到点的专线技术。VPN 技术的出现，使企业不在依赖于昂贵的长途拨号以及长途 专线服务，而代之以本地 ISP 提供的 VPN 服务。从企业中心站点铺设至当地 ISP 专线，要 比传统 WAN 解决方案中长途专线短得多，成本也低廉得多。 1.2 VPN 的特点的特点 安全保障 ：虽然实现 VPN 的技术和方式很多，但所有的 VPN 均应保证通过公用网络平 台传输数据的专用性和安全性。在非面向连接的公用 IP 网络上建立一个逻辑的、点对点的 连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证 3 数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面， 由于 VPN 直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。 服务质量保证（QoS） ：VPN 网应当为企业数据提供不同等级的服务质量保证。不同 的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖 性是保证 VPN 服务的一个主要因素；而对于拥有众多分支机构的专线 VPN 网络，交互式的 内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提 出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供 不同等级的服务质量。 可扩充性和灵活性 ：VPN 必须能够支持通过 Intranet 和 Extranet 的任何类型的数据 流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据 等新应用对高质量传输以及带宽增加的需求。 可管理性 ：从用户角度和运营商的角度应可方便地进行管理、维护。VPN 管理的目标 为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN 管理主要包 括安全管理、设备管理、配置管理、访问控制列表管理、QoS 管理等内容。 1.31.3 VPNVPN 带来的好处带来的好处 VPN 的最终目的是服务于企业，为企业带来可观的经济效益，为现代化企业的信息共 享提供安全可靠的途径。由于 VPN 是在 Internet 上临时建立的安全专用虚拟网络，用户就 节省了租用专线的费用，在运行的资金支出上，除了购买 VPN 设备，企业所付出的仅仅是 向企业所在地的 ISP 支付一定的上网费用，也节省了长途电话费。这就是 VPN 价格低廉的 原因。 第二章第二章 实现实现 VPNVPN 的关键技术的关键技术 2 21 1 隧道技术隧道技术 隧道技术(Tunneling)是 VPN 的底层支撑技术，所谓隧道，实际上是一种封装，就是将 一种协议（协议 X）封装在另一种协议（协议 Y）中传输，从而实现。 协议 X 对公用网络的透明性。这里协议 X 被称为被封装协议，协议 Y 被称为封装协议， 封装时一般还要加上特定的隧道控制信息，因此隧道协议的一般形式为（协议 Y）隧道 头（协议 X） ） 。在公用网络（一般指因特网）上传输过程中，只有 VPN 端口或网关的 IP 地 址暴露在外边。 4 隧道建立 2 22 2 加解密认证技术加解密认证技术 加解密技术是 VPN 的另一核心技术。为了保证数据在传输过程中的安全性，不被非法 的用户窃取或篡改，一般都在传输之前进行加密，在接受方再对其进行解密。 目前主要有的认证方式有：简单口令如质询握手验证协议 CHAP 和密码身份验证协议 PAP 等；动态口令如动态令牌和 X.509 数字证书等。简单口令认证方式的优点是实施简单、 技术成熟、互操作性好，且支持动态地加载 VPN 设备，可扩展性强。 2 23 3 密钥管理技术密钥管理技术 密钥管理的主要任务就是保证在开放的网络环境中安全地传递密钥，而不被窃取。目 前密钥管理的协议包括 ISAKMP、SKIP、MKMP 等。Internet 密钥交换协议 IKE 是 Internet 安全关联和密钥管理协议 ISAKMP 语言来定义密钥的交换，综合了 Oakley 和 SKEME 的密钥 交换方案，通过协商安全策略，形成各自的验证加密参数。IKE 交换的最终目的是提供一 个通过验证的密钥以及建立在双方同意基础上的安全服务。SKIP 主要是利用 Diffie- Hellman 的演算法则，在网络上传输密钥。 数据的加密 2 24 4 访问控制技术访问控制技术 虚拟专用网的基本功能就是不同的用户对不同的主机或服务器的访问权限是不一样的。 由 VPN 服务的提供者与最终网络信息资源的提供者共同来协商确定特定用户对特定资源的 5 访问权限，以此实现基于用户的细粒度访问控制，以实现对信息资源的最大限度的保护。 访问控制技术的基本原理 第三章第三章 VPNVPN 的主要安全协议的主要安全协议 3 31 1 简介简介 在实施信息安全的过程中，为了给通过非信任网络的私有数据提供安全保护，通讯的 双方首先进行身份认证，这中间要经过大量的协商，在此基础上，发送方将数据加密后发 出，接受端先对数据进行完整性检查，然后解密，使用。这要求双方事先确定要使用的加 密和完整性检查算法。由此可见，整个过程必须在双方共同遵守的规范( 协议) 下进行。 VPN 区别于一般网络互联的关键是隧道的建立，数据包经过加密后，按隧道协议进行 封装、传送以保证安全性。一般，在数据链路层实现数据封装的协议叫第二层隧道协议， 常用的有 PPTP , L2TP 等;在网络层实现数据封装的协议叫第三层隧道协议，如 IPSec。另 外，SOCKSv5 协议则在 TCP 层实现数据安全。 3.23.2 PPTP/L2TPPPTP/L2TP 1996 年，Microsoft 和 Ascend 等在 PPP 协议的基础上开发了 PPTP ， 它集成于 Windows NT Server4.0 中，Windows NT Workstation 和 Windows 9.X 也提供相应的客户 端软件。PPP 支持多种网络协议，可把 IP 、IPX、AppleTalk 或 NetBEUI 的数据包封装在 PPP 包中，再将整个报文封装在 PPTP 隧道协议包中，最后，再嵌入 IP 报文或帧中继或 ATM 中进行传输。PPTP 提供流量控制，减少拥塞的可能性，避免由于包丢弃而引发包重传的数 量。 3.33.3 IPSecIPSec 协议协议 IPSec 是 IETF(Internet Engineer Task Force) 正在完善的安全标准，它把几种安全 6 技术结合在一起形成一个较为完整的体系，受到了众多厂商的关注和支持。通过对数据加 密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec 由 IP 认证头 AH(Authentication Header)、IP 安全载荷封载 ESP(Encapsulated Security Payload)和 密钥管理协议组成。 IPSec 协议是一个范围广泛、开放的虚拟专用网安全协议。IPSec 适应向 IPv6 迁移， 它提供所有在网络层上的数据保护，提供透明的安全通信。IPSec 用密码技术从三个方面 来保证数据的安全。即: 认证：用于对主机和端点进行身份鉴别。 完整性检查：用于保证数据在通过网络传输时没有被修改。 加密：加密 IP 地址和数据以保证私有性。 3.43.4 实例分析实例分析 VPN 的具体实现方案有很多，实际应用中应根据用户的需求、用户资源现状、承载网 络资源现状、投资效益以及相关技术比较等多种因素综合考虑，选择一种主流的方案。 第四章第四章 学校的需求分析学校的需求分析 4.14.1 需求分析需求分析 随着学校的发展壮大，学校外出人员，与学校内相互通信，了解学校内一些重要信息， 不想外面的人能访问，只允许学校内部专门人员才能访问，所以设置 了 VPN。根据该学校 用户的需求，遵循着方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则决定 采用 ISA Server VPN 安全方案，以 ISA 作为网络访问的安全控制。ISA Server 集成了 Windows server VPN 服务，提供一个完善的防火墙和 VPN 解决方案。 在 ISA 中可以使用以下三种协议来建立 VPN 连接： IPSEC 隧道模式； L2TP over IPSec 模式； PPTP； 下表比较了这三种协议： 表 4-1 ISA 中三种协议对比表 协议何时使用安全等级备注 7 IPSec 隧道模 式 连接到第三方的 VPN 服务 器 高这是唯一一种可以连接到非微 软 VPN 服务器的方式 L2TP over IPSec 连接到 ISA Server 2000、ISA Server 2004 或者 Windows VPN 服务器 高使用 RRAS。比 IPSec 隧道模式 更容易理解，但是要求远程 VPN 服务器是 ISA Server 或者 Windows VPN 服务器。 PPTP 连接到 ISA Server 2000、ISA Server 2004 或者 Windows VPN 服务器 中等使用 RRAS，和 L2TP 具有同样的 限制，但是更容易配置。因为 使用 IPSec 加密，L2TP 更认为 更安全。 三个站点都采用 ISA VPN 作为安全网关，且 L2TP over IPSec 结合了 L2TP 和 IPSec 的优点，所以在这里采用 L2TP over IPSec 作为 VPN 实施方案。 4.24.2 方案达到的目的方案达到的目的 1)在外出差或想要连回学校的用户也可使用 IPSec 方式连回学校网路； 2)对学校内网实施上网的访问控制，通过 VPN 设备的访问控制策略，对访问的 PC 进 行严格的访问控制。 3)对外网可以抵御黑客的入侵，起到 Firewall 作用。具有控制和限制的安全机制和 措施，具备防火墙和抗攻击等功能； 4)部署灵活，维护方便，提供强大的管理功能，以减少系统的维护量以适应大规模 组网需要。 4.34.3 VPNVPN 组建方案网络拓扑图组建方案网络拓扑图 8 4.44.4 学校站点到移动用户端的学校站点到移动用户端的 VPNVPN 配置配置 服务器是 Windows 2003 系统，2003 中 VPN 服务叫做“路由和远程访问” ，系统默认就 安装了这个服务，但是没有启用。在管理工具中打开“路由和远程访问” 在列出的本地服务器上点击右键，选择“配置并启用路由和远程访问”。下一步 9 在此，由于服务器是公网上的一台一般的服务器，不是具有路由功能的服务器，是单 网卡的，所以这里选择“自定义配置”。下一步 这里选“VPN 访问”，我只需要 VPN 的功能。下一步，配置向导完成。 点击“是”，开始服务。 看启动了 VPN 服务后，“路由和远程访问”的界面 10 下面开始配置 VPN 服务器 在服务器上点击右键，选择“属性”，在弹出的窗口中选择“IP”标签，在“IP 地址指派”中选择“静态地址池”。 然后点击“添加”按钮设置 IP 地址范围，这个 IP 范围就是 VPN 局域网内部的虚拟 IP 地址范围，每个拨入到 VPN 的服务器都会分配到一个范围内的 IP，在虚拟局域网中用这个 IP 相互访问。 这里设置为 10.240.60.1-10.240.60.10，一共 10 个 IP，默认的 VPN 服务器占用第一 个 IP，所以，10.240.60.1 实际上就是这个 VPN 服务器在虚拟局域网的 IP。至此，VPN 服 务部分配置完毕。 4.54.5 移动用户端移动用户端 VPNVPN 配置配置 11 在控制面板中双击打开“网络和拨号连接” 在网络拨号中在打开“新建连接” 打开“新建连接” 12 左键单击“下一步” 选择第三项“通过 Internet 连接到专用网络” ，单击“下一步” 13 在“主机名或 IP 地址这一栏”填上学校 VP