vpn虚拟专用网毕业(论文)设计论文

1、山东科技大学毕业设计(论文)虚拟专用网毕业设计论文摘要VPN(Virtal Private Network)即虚拟专用网，是一条穿过公共网 络的安全的稳定的通道。通过对网络数据的封包和加密传输， 在因特网 或其他网络上建立一条临时的、安全的、稳定的连接，从而实现在公网 上安全地传输私有数据。通常 VPN是对企业内部网络的扩展，通过它 可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司内部网建 立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之 间安全通道的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的 安全外联网

2、虚拟专用网。本文首先介绍了VPN的定义和研究影响。然后介绍了关键技术实现的VPN包括隧道技术，其主要的安全协议，PPTP/L2TP协议，IPSEC协议，GRE协议，所有这些技术构建 VPN网 络提供理论依据。关键词：VPN、网络、隧道、IPSec GRE山东科技大学毕业设计（论文）AbstractVPN(Virtal Private Network) is a ki nd of safe and steady cha nnel work through the public n etwork . By en capsulate and en crypti on of data , a temp

3、orary , secure and steady link can be set up on which the private data can be transfferd safely . Usally , VPN is an extension to the enterprise and various providers able to connect to the compa ny inner n etwork and transfer data safely . VPN can be used to provide mobile user to access internet g

4、loblely , and can be used as virtual private link from en terprise , and also can be used to econo mical secure links from en terprise , and also can be used to econo mical secure links from en terprise to bus in ess part ners . This paper first introduces the definition of VPN and its study implica

5、tions. And the n in troduces the key tech no logies for impleme nti ng a VPN which in cludes the Tunnel tech no logy and its mai n secure protocols, PPTP/L2TP protocol, IPSEC protocol, GRE protocol, All these tech no logies provide the theoretical bases for build ing a VPN n etwork.Keyword: VPN , ne

6、twork , tunnel , safely, IPSec, GRE目录 TOC o 1-5 h z HYPERLINK l bookmark8 o Current Document 绪论1 HYPERLINK l bookmark10 o Current Document VPN的定义1 HYPERLINK l bookmark12 o Current Document VPN的课题背景 1 HYPERLINK l bookmark14 o Current Document VPN的设计目标2论文的组织结构 3 HYPERLINK l bookmark16 o Current Docume

7、nt VPN的技术分析4 HYPERLINK l bookmark18 o Current Document VPN的工作原理4 HYPERLINK l bookmark20 o Current Document VPN的分类6VPN主要协议的介绍 7 HYPERLINK l bookmark22 o Current Document VPN的设计目标8 HYPERLINK l bookmark24 o Current Document 实现VPN的关键技术 10VPN两种协议的分析13 HYPERLINK l bookmark44 o Current Document 基于GRE VPN的架

8、构20 HYPERLINK l bookmark56 o Current Document 3.1基于GRE实验的需求分析 20 HYPERLINK l bookmark46 o Current Document GRE实验的设计20GRE协议的VPN实现配置 21 HYPERLINK l bookmark54 o Current Document 基于IPSEC VPN的架构234.1基于IPSEC实验的需求分析 23 HYPERLINK l bookmark58 o Current Document IPSEC实验的设计23 HYPERLINK l bookmark60 o Current

9、 Document IPSEC协议的VPN实现步骤及配置 24 HYPERLINK l bookmark92 o Current Document IPSEC OVER GRE VPN 的分析与架构 36IPSEC协议与GRE协议优缺点的分析 36 HYPERLINK l bookmark94 o Current Document IPSEC over GRE的原理及需求分析 37 HYPERLINK l bookmark96 o Current Document IPSec over GRE 实验的设计38 HYPERLINK l bookmark98 o Current Document

10、IPSec over GRE的步骤及配置 39致谢48参考文献49附录1英文原文50附录2中文译文56山东科技大学毕业设计（论文） 1.绪论1.1 VPN的定义VPN （ Virtual Private Network）被定义为通过一个公共网络（通 常是因特网）建立一个临时的、安全的连接， 是一条穿过混乱的公共网 络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展与延伸。虚拟专用网可以帮助远程用户、公司分支机构、商业合作伙伴及供应商同 公司的内部网络建立安全可信的连通通道，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信

11、的虚拟专用线路，用于经济有效 地连接到商业伙伴和用户的安全外联网虚拟专用网。1.2 VPN的课题背景随着In ternet和电子商务的蓬勃发展，经济全球化的最佳途径是 发展基于In ternet的商务应用。随着商务活动的日益频繁，各企业开始 允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信 息交流的途径，增加信息交换速度。这些合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络 的复杂性，还带来了管理和安全性的问题，因为In ternet是一个全球性和开放性的、基于TCP/IP技术的、不可管理的国际互联网络，因此， 基于In ternet的商务

12、活动就面临非善意的信息威胁和安全隐患。还有一 类用户，随着自身的发展壮大与跨国化，企业的分支机构不仅越来越多， 而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部门在连接分支机构方面也感到日益棘手。用户的需求正是虚拟专用网技术诞生的直接原因。虽然VPN在理解和应用方面都是高度复杂的技术，甚至确定其是否 适用于本公司也一件复杂的事件，但在大多数情况下VPN的各种实现方 法都可以应用于每个公司。即使不需要使用加密数据，也可节省开支。 因此，在未来几年里，客户和厂商很可能会使用VPN，从而使电子商务重又获得生机，毕竟全球化、信息化、电子化是大势所趋。1.3 VPN的设计目标一般来说，

13、企业在选用一种远程网络互联方案时都希望能够对访问 企业资源和信息的要求加以控制，所选用的方案应当既能够实现授权用 户与企业局域网资源的自由连接，不同分支机构之间的资源共享；又能 够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受 破坏。因此，最低限度，一个成功的vpn方案应当能够满足以下所有方 面的要求：（1）用户验证vpn方案必须能够验证用户身份并严格控制只 有授权用户才能访问vpn。另外，方案还必须能够提供审计和记费功能， 显示何人在何时访问了何种信息。（2）地址管理vpn方案必须能够为用 户分配专用网络上的地址并确保地址的安全性。（3）数据加密 对通过公共互联网络传递的数据必须

14、经过加密，确保网络其他未授权的用户无 法读取该信息。（4）密钥管理vpn方案必须能够生成并更新客户端和服 务器的加密密钥。（5）多协议支持vpn方案必须支持公共互联网络上普 遍使用的基本协议，包括ip，ipx等。以点对点隧道协议（pptp）或第2层 隧道协议（l2tp）为基础的vpn方案既能够满足以上所有的基本要求，又 能够充分利用遍及世界各地的in ternet互联网络的优势。其它方案，包 括安全ip协议（ipsec）,虽然不能满足上述全部要求，但是仍然适用于在 特定的环境。本文以下部分将主要集中讨论有关 vpn的协议和基于两种 协议所完成的实验。14论文的组织结构本文分为五章，具体安排如下

15、：第一章主要介绍VPN是什么，简单介绍VPN这种技术，VPN由 来的背景，VPN的设计的要求。第二章主要是对VPN技术的分析，介绍VPN工作的原理，本论文 是基于VPN的何种分类，对VPN 系列协议的简单介绍，VPN设计实 现什么目标，实现VPN都需要有哪些技术，对本论文中两种协议的具体 分析。第三章对基于GRE协议的VPN实现了需求、设计，在模拟软件上 完成本实验的操作。第四章 基于有限的实验设备制定一个合理的需求分析， 在需求产生 后设计一个具体的实验，并在具体设备上完成该实验。第五章基于上述两种实验的缺憾，结合两种协议的使用，合理完成 一个混杂网络上的实验。2. VPN的技术分析2.1

16、VPN的工作原理把因特网用作专用广域网，就要克服两个主要障碍。首先，网络经 常使用多种协议如IPX和NetBEUI进行通信，但因特网只能处理IP流 量。所以，VPN就需要提供一种方法，将非IP的协议从一个网络传送 到另一个网络。其次，网上传输的数据包以明文格式传输，因而，只要 看得到因特网的流量，就能读取包内所含的数据。如果公司希望利用因 特网传输重要的商业机密信息，这显然是一个问题。VPN克服这些障碍的办法就是采用了隧道技术：数据包不是公开在网上传输，而是首先进 行加密以确保安全，然后由 VPN封装成IP包的形式，通过隧道在网上 传输，如图2-1所示：图1-1 VPN工作原理图源网络的VPN

17、隧道发起器与目标网络上的 VPN隧道发起器进行通 信。两者就加密方案达成一致，然后隧道发起器对包进行加密，确保安全（为了加强安全，应采用验证过程，以确保连接用户拥有进入目标网 络的相应的权限。大多数现有的 VPN产品支持多种验证方式）。最后，VPN发起器将整个加密包封装成IP包。现在不管原先传输 的是何种协议，它都能在纯IP因特网上传输。又因为包进行了加密， 所以谁也无法读取原始数据。在目标网络这头，VPN隧道终结器收到包后去掉IP信息，然后根据 达成一致的加密方案对包进行解密，将随后获得的包发给远程接入服务 器或本地路由器，他们在把隐藏的IPX包发到网络，最终发往相应目的 地。2.2 VPN

18、的分类从不同的角度看vpn就可以得到不同的vp啖型,按照应用领域，我 们可以把VPF分成以下三类：（1）远程访问（Access VPN）远程移动用户通过VPN技术可以在任何时间、任何地点采用拨号、 ISDN、DSL、移动IP和电缆技术与公司总部、公司内联网的VPN设备 建立起隧道或密道信，实现访问连接，此时的远程用户终端设备上必须 加装相应的VPN软件。推而广之，远程用户可与任何一台主机或网络 在相同策略下利用公共通信网络设施实现远程 VPN访问。这种应用类 型也叫Access VPN（或访问型VPN），这是基本的VPN应用类型。不难 证明，其他类型的VPN都是Access VPN的组合、延伸

19、和扩展。（2）组建内联网（Intranet VPN ）一个组织机构的总部或中心网络与跨地域的分支机构网络在公共 通信基础设施上采用的隧道技术等 VPN技术构成组织机构“内部”的 虚拟专用网络，当其将公司所有权的 VPN设备配置在各个公司网络与 公共网络之间（即连接边界处）时，这样的内联网还具有管理上的自主 可控、策略集中配置和分布式安全控制的安全特性。利用VPN组建的内联网也叫Intranet VPN。Intranet VPN是解决内联网结构安全和连接 安全、传输安全的主要方法。（3）组建外联网 （Extranet VPN）使用虚拟专用网络技术在公共通信基础设施上将合作伙伴和有共同利益的主机或

20、网络与内联网连接起来，根据安全策略、资源共享约定规则实施内联网内的特定主机和网络资源与外部特定的主机和网络资 源相互共享，这在业务机构和具有相互协作关系的内联网之间具有广泛的应用价值。这样组建的外联网也叫 Extra net VPN。Extra net VPN是解 决外联网结构安全和连接安全、传输安全的主要方法。若外联网VPN的连接和传输中使用了加密技术，必须解决其中的密码分发、管理的一 致性问题。2.3 VPN主要协议的介绍2.3.1 Intran et VPN的适用协议组建内联网的主要的适用协议有 GRE、IPSec VPN、MPLS VPN三 种。GRE协议能够对各种网络层协议的数据报文

21、进行封装，被封装的 数据报文能够在IP网络中传输。GRE采用了 Tunnel技术，是VPN的 三层隧道协议。但是它的安全性低。下文会详细介绍此协议。IPSec VPN是标准的网络安全协议，可以为IP网络通信提供透明 的安全服务，保护TCP/IP通信免遭窃听和篡改，从而有效抵御网络攻 击。IPSec VPN在网络的灵活性、安全性、经济性、扩展性等方面极具 优势。MPLS VPN是指采用MPLS技术在宽带IP的骨干网络上构建企业 IP专网，以实现跨地域、安全、高速、可靠的数据、音频等业务通信。 MPLS VPN结合区分服务、流量工程等相关技术，将公共网络可靠的性 能，良好的扩展性，丰富的功能与专用

22、网的安全、灵活、高效地结合在 一起，可以为用户提供高质量的服务。2.3.2 Access VPN 的适用协议远程访问的适用协议主要有IPSec VPN、VPDN、SSL VPN。IPSec VPN是一种很全面的技术，在远程访问上仍然适用，所以该 技术应用很广泛，本文有对IPSec VPN技术的详细叙述。VPDN是VPN业务的一种，具体包含的技术包括 PPTP、L2TP、 PPPoE等，是基于拨号用户的虚拟专用拨号网业务。 即用户以拨号接入 的方式联网，并通过CDMA 1x分组网络传输数据时，VPDN会对数据 进行封装和加密，从而保障数据的私密性，并使VPN有到达私有网络安全级别。VPDN是利用

23、IP网络的承载功能结合相应的认证和授权机 制建立起来的一种安全的虚拟专用网，是一种很传统的VPN技术。SSL VPN指的是基于安全套接层协议建立远程安全访问通道的VPN技术。它是一种新兴的技术，随着Web的普及和电子商务、远程办公的兴起而发展起来。2.4 VPN的设计目标在实际应用中，一般来说一个高效、成功的 VPN应具备以下几个 特点：（1）安全保障虽然实现VPN的技术和方式很多，但所有的 VPN均应保证通过公 用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发

24、送者 和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问 题也更为突出。企业必须确保其VPN传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。Extra net VPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。（2）服务质量保证（QoSVPN网络应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。 如移动办公用户，提供广泛 的连接和覆盖性是保证VPNK务的一个主要因素；而对于拥有众多分支 机构的专线VPN网络，交互式的内部企业网应用则要求网络

25、能提供良好 的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求， 如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不 同等级的服务质量。在网络优化方面，构建VPN的另一重要需求是充分 有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流 量的不确定性使其带宽的利用率很低， 在流量高峰时引起网络阻塞，产 生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时 又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以 按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地 先后发送，并预防阻塞的发生。（3）可扩充性和灵活性VPN必须能够支持通

26、过Intranet 和Extra net的任何类型的数据 流，方便增加新的节点，支持多种类型的传输媒介， 可以满足同时传输 语音、图像和数据等新应用对高质量传输以及带宽增加的需求。（4）可管理性从用户角度和运营商的角度应可方便地进行管理、维护。在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公 用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以， 一个完善的VPN管理系统是必不可少的。VPN管理的目标为：减小网 络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、

27、配置管理、访问控制列表管理、QoS管理等内容。2.5 实现VPN的关键技术（1）隧道技术隧道技术（Tunneling）是VPN的底层支撑技术，所谓隧道，实际上 是一种封装，就是将一种协议（协议 X）封装在另一种协议（协议 Y） 中传输，从而实现协议X对公用网络的透明性。这里协议X被称为被封 装协议，协议丫被称为封装协议，封装时一般还要加上特定的隧道控制 信息，因此隧道协议的一般形式为（协议丫）隧道头（协议X）。在公 用网络（一般指因特网）上传输过程中，只有 VPN端口或网关的IP地 址暴露在外边。隧道解决了专网与公网的兼容问题， 其优点是能够隐藏发送者、接 受者的IP地址以及其它协议信息。VP

28、N采用隧道技术向用户提供了无 缝的、安全的、端到端的连接服务，以确保信息资源的安全。VPN区别于一般网络互联的关键是隧道的建立，数据包经过加密后，按隧道协议 进行封装、传送以保证安全性。隧道是由隧道协议形成的。隧道协议分为第二、第三层隧道协议， 第二层隧道协议如L2TP PPTP L2F等，他们工作在OSI体系结构的第 二层（即数据链路层）；第三层隧道协议如IPSec，GRE等,工作在OSI 体系结构的第三层（即网络层）。第二层隧道和第三层隧道的本质区别 在于：用户的IP数据包被封装在不同的数据包中在隧道中传输。第二层隧道协议是建立在点对点协议 PPP的基础上，充分利用PPP 协议支持多协议的

29、特点，先把各种网络协议（如IP、IPX等）封装到PPP帧中，再把整个数据包装入隧道协议。 PPTP和L2TP协议主要用于 远程访问虚拟专用网。第三层隧道协议是把各种网络协议直接装入隧道协议中， 形成的数 据包依靠网络层协议进行传输。无论从可扩充性，还是安全性、 可靠性 方面，第三层隧道协议均优于第二层隧道协议。IPSec即IP安全协议 是目前实现VPN功能的最佳选择。（2）加解密认证技术加解密技术是VPN勺另一核心技术。为了保证数据在传输过程中的 安全性，不被非法的用户窃取或篡改，一般都在传输之前进行加密，在接受方再对其进行解密。密码技术是保证数据安全传输的关键技术，以密钥为标准，可将密码系统

30、分为单钥密码（又称为对称密码或私钥密码）和双钥密码（又称为非对称密码或公钥密码）。单钥密码的特点是加密和解密都使用同一 个密钥，因此，单钥密码体制的安全性就是密钥的安全。其优点是加解 密速度快。最有影响的单钥密码就是美国国家标准局颁布的DES算法（56比特密钥）。而3DES（ 112比特密钥）被认为是目前不可破译的。双钥密码体制下，加密密钥与解密密钥不同，加密密钥公开，而解密密 钥保密，相比单钥体制，其算法复杂且加密速度慢。 所以现在的VPN大 都采用单钥的DES和3DES作为加解密的主要技术，而以公钥和单钥的 混合加密体制（即加解密采用单钥密码，而密钥传送采用双钥密码）来进 行网络上密钥交换

31、和管理，不但可以提高了传输速度，还具有良好的保 密功能。认证技术可以防止来自第三方的主动攻击。 一般用户和设备双 方在交换数据之前，先核对证书，如果准确无误，双方才开始交换数据。 用户身份认证最常用的技术是用户名和密码方式。 而设备认证则需要依 赖由CA所颁发的电子证书。目前主要有的认证方式有：简单口令如质询握手验证协议 CHA味口 密码身份验证协议PAP等 ;动态口令如动态令牌和 X.509数字证书等。 简单口令认证方式的优点是实施简单、技术成熟、互操作性好， 且支持 动态地加载VPNS备，可扩展性强。（3）密钥管理技术密钥管理的主要任务就是保证在开放的网络环境中安全地传递密 钥，而不被窃取

32、。目前密钥管理的协议包括ISAKMP SKIP、MKM等。In ternet 密钥交换协议IKE是In ternet 安全关联和密钥管理协议 ISAKMP语言来定义密钥的交换，综合了 Oakley和SKEME勺密钥交换方 案，通过协商安全策略，形成各自的验证加密参数。IKE交换的最终目 的是提供一个通过验证的密钥以及建立在双方同意基础上的安全服务。 SKIP主要是利用Diffie-Hellman 的演算法则，在网络上传输密钥。IKE协议是目前首选的密钥管理标准，较SKIP而言，其主要优势在于定义更灵活，能适应不同的加密密钥。IKE协议的缺点是它虽然提 供了强大的主机级身份认证，但同时却只能支持

33、有限的用户级身份认 证，并且不支持非对称的用户认证。（4）访问控制技术虚拟专用网的基本功能就是不同的用户对不同的主机或服务器的 访问权限是不一样的。由 VPN服务的提供者与最终网络信息资源的提 供者共同来协商确定特定用户对特定资源的访问权限，以此实现基于用 户的细粒度访问控制，以实现对信息资源的最大限度的保护。访问控制策略可以细分为选择性访问控制和强制性访问控制。选择 性访问控制是基于主体或主体所在组的身份，一般被内置于许多操作系 统当中。强制性访问控制是基于被访问信息的敏感性。2.6 VPN两种协议的分析261IPSec 协议IPSec是IETF提出的IP安全标准2它在IP层上对数据包进 行

34、安全处理提供数据源验证无连接数据完整性数据机密性抗重播和有 限业务流机密性等安全服务各种应用程序完全可以享用IP层提供的安全服务和密钥管理而不必设计和实现自己的安全机制因此减少了密钥 协商的开销也降低了产生安全漏洞的可能性IPSec可连续或递归应用在路由器防火墙主机和通信链路上配置实现端到端安全虚拟专用网络 （VPN） Road Warrior 和安全隧道技术1。IPSec协议由核心协议和支撑模块组成。核心协议包括AH验证头） 与ESP封装安全载荷）支撑部分包括加密算法 HASH算法安全策略安 全关联IKE密钥交换机制47IP技术是在原始的IP头部和数据之间插入一个IPSec头部，这样 可以对

35、原始IP负载实现加密，同时还可以实现对IPSec头部和原始IP 负载的验证，以确保数据的完整性。IPSec的结构是一种框架性的结构，IPSec没有具体的加密和散列 函数，它是每一次的IPSec会话所用的具体算法都是通过协商来确定， 这样更具有安全性。还包括IPSec框架中的封装协议和模式、密钥有效 期等内容都是通过协商决定，在两个IPSec对等体之间协商的协议叫做 IKE。协商完成后产生安全关联 SA实现安全通信。山东科技大学毕业设计(论文) IPSec 是 IETF(Internet Engineer Task Force)正在完善的安全标准，它把几种安全技术结合在一起形成一个较为完整的体系

36、，受到了众多厂商的关注和支持。通过对数据加密、认证、完整性检查来保证数 据传输的可靠性、私有性和保密性。IPSec由IP认证头AH(Authentication Header) 、IP 安全载荷圭寸载 ESP(Encapsulated Security Payload) 和密钥管理协议组成。IPSec的体系结构如图2-2 所示：图2-2 IPSec的体系结构IPSec协议是一个范围广泛、开放的虚拟专用网安全协议。IPSec适应向IPv6迁移，它提供所有在网络层上的数据保护，提供透明的安全通信。IPSec用密码技术从三个方面来保证数据的安全。即：认证：用于对主机和端点进行身份鉴别。完整性检查：用

37、于保证数据在通过网络传输时没有被修改。加密：加密IP地址和数据以保证私有性，这样就算被第三方捕获 后也无法将其恢复成明文。IPSec协议可以设置成在两种模式下运行：一种是隧道模式，一种 是传输模式。 在隧道模式下，IPSec把IPv4数据包封装在安全的IP 帧中,这样保护从一个防火墙到另一个防火墙时的安全性。在隧道模式 下，信息封装是为了保护端到端的安全性，即在这种模式下不会隐藏路由信息。隧道模式是最安全的，但会带来较大的系统开销。IPSec现在还不完全成熟，但它得到了一些路由器厂商和硬件厂商的大力支持。预计它今后将成为虚拟专用网的主要标准。IPSec有扩展能力以适应未来 商业的需要。在199

38、7年底，IETF安全工作组完成了 IPSec的扩展，在 IPSec 协议中加上 ISAKMP(Internet Security Association and Kay Management Protocol)协议，其中还包括一个密钥分配协议Oakley。ISAKMP/Oakley支持自动建立加密信道，密钥的自动安全分发和更新。 IPSec也可用于连接其它层己存在的通信协议，如支持安全电子交易 (SET:Secure Electronic Transaction)协议和 SSL( Secure Socketlayer )协议。即使不用SET或 SSL,IPSec都能提供认证和加密手段以 保证信

39、息的传输。2.6.2 GRE 协议GRE( Generic Routing Encapsulation，通用路由圭寸装)协议是对山东科技大学毕业设计(论文) 山东科技大学毕业设计（论文） 某些网络层协议（如IP和IPX）的数据报进行封装，使这些被封装的 数据报能够在另一个网络层协议（如IP）中传输。GRE是VPN（ Virtual Private Network ）的第三层隧道协议，在协议层之间采用了一种被称 之为Tunnel （隧道）的技术。Tunnel是一个虚拟的点对点的连接，在 实际中可以看成仅支持点对点连接的虚拟接口，这个接口提供了一条通路使圭寸装的数据报能够在这个通路上传输，并且在一

40、个Tunnel的两端分别对数据报进行封装及解封装。一个报文要想在Tunnel中传输，必须要经过加封装与解封装两个 过程，下面介绍这两个过程如图 2-3所示：图2-3 IPX网络通过GRE隧道互联（1）加封装过程连接Novell Group1的接口收到IPX数据报后首先交由IPX协议处理， IPX协议检查IPX报头中的目的地址域来确定如何路由此包。若报文 的目的地址被发现要路由经过网号为1f的网络（Tunnel的虚拟网号），则将此报文发给网号为1f的Tunnel端口。Tunnel 口收到此包后进行 GRE封装，封装完成后交给IP模块处理，在封装IP报文头后，根据 此包的目的地址及路由表交由相应的

41、网络接口处理。（2）解封装的过程解封装过程和加封装的过程相反。从 Tunnel接口收到的IP报文， 通过检查目的地址，当发现目的地就是此路由器时，系统剥掉此报文的 IP报头，交给GRE协议模块处理（进行检验密钥、检查校验和及报文的序列号等);GRE协议模块完成相应的处理后，剥掉 GRE报头，再 交由IPX协议模块处理，IPX协议模块象对待一般数据报一样对此数 据报进行处理。系统收到一个需要封装和路由的数据报，称之为净荷(payload),这个净荷首先被加上 GRE封装，成为GRE报文；再被 圭寸装在IP报文中，这样就可完全由IP层负责此报文的向前传输(forwarded)。人们常把这个负责向前

42、传输IP协议称为传输协议(delivery protocol 或者 transport protocol) 0封装好的报文的形式如下图2-4所示：Delivery header1 Transport protocol)GRE header(Encapsulation protocal)Payload header(Passenger portocoi)图2-4封装的Tunnel报文格式举例来说，一个封装在IP Tunnel中的IPX传输报文的格式如下图2-5所示：IP headerGRE headerIPX payload图2-5 Tunnel中传输报文的格式Passenger protoco

43、lEncapsulation protocolTransport proiocol233PPTP/L2TP1996年，Microsoft 和 Ascend等在 PPP协议的基础上开发了 PPTP， 它集成于 WindowsNTServer4.0 中，WindowsNTWorkstation 和Windows 9.X也提供相应的客户端软件。PPP支持多种网络协议，可 把IP、IPX、AppleTalk或NetBEUI的数据包封装在 PPP包中，再将整 个报文封装在PPTP隧道协议包中，最后，再嵌入IP报文或帧中继或 ATM中进行传输。PPTF提供流量控制，减少拥塞的可能性，避免由于包 丢弃而引发

44、包重传的数量。PPTP的加密方法采用Microsoft点对点加 密(MPPE: Microsoft Point-to-Point) 算法，可以选用较弱的40位密钥或强度较大的 128位密钥。1996年，Cisco 提出L2F(Layer 2 Forwarding)隧道协议，它也支持多协议，但其主要用于Cisco的路由器和拨号访问服务器。1997年底，Microsoft和Cisco公司把PPTP协 议和L2F协议的优点结合在一起，形成了 L2TP协议。L2TP支持多协议， 利用公共网络封装PPP帧，可以实现和企业原有非IP网的兼容。还继 承了 PPTP的流量控制，支持 MP(Multilink

45、Protocol)，把多个物理通 道捆绑为单一逻辑信道。L2TP使用PPP可靠性发送(RFC 1663)实现数 据包的可靠发送。L2TP隧道在两端的VPN服务器之间采用口令握手协 议CHAP来验证对方的身份.L2TP受到了许多大公司的支持.PPTP/L2TP协议的优点：PPTP/L2TP对用微软操作系统的 用户来说 很方便，因为微软己把它作为路由软件的一部分。PPTP/ L2TP支持其它网络协议。女口 NOWEL的 IPX,NETBEUI和 APPLETAL协议,还支持流量 控制。它通过减少丢弃包来改善网络性能，这样可减少重传。PPTP/ L2TP协议的缺点:PM和L2TP将不安全的IP包封装

46、在安全 的IP包内，它们用IP帧在两台计算机之间创建和打开数据通道，一旦 山东科技大学毕业设计（论文） 通道打开，源和目的用户身份就不再需要，这样可能带来问题， 它不对 两个节点间的信息传输进行监视或控制。 PPTP和L2TP限制同时最多只 能连接255个用户，端点用户需要在连接前手工建立加密信道， 认证和 加密受到限制，没有强加密和认证支持。PPTP/ L2TP最适合于远程访问VPN.3.基于GRE VPN的架构3.1基于GRE实验的需求分析山东科技大学有多个校区，包括青岛校区（总校）、泰安校区、济 南校区，总校与分校之间不可避免需要访问彼此私有地址服务器的信 息，为了实现彼此数据的安全访问

47、，我们学校使用了 VPN技术。所以我 对VPN进行了学习，因为两个校区可能用到不同网络协议， 所以我采用 了 GR我术。通过GRE技术在不同的两个校区之间建立了一个点到点的 GRB隧道，前期处于学习阶段，因此在 GREF隧道口上运行了静态路由 协议，又来学习彼此的网络路由。两点之间的流量通过GRB隧道封装穿 越 In ternet 。3.2 GRE实验的设计本实验使用模拟软件所做的 PT实验，隧道建立在路由器上，没有 专门的VPN网关来管理。在青岛校区和泰安校区之间建立 GRE隧道，通 过对两边缘路由器的配置，实现两校区之间无障碍通信。下面是实验拓扑图图3-1 :192. 168.3.0/21

48、|I1*41血価1.0/24專粋區占PC-P7主帆dLlZO. 1 L.0 /24181H挤呼区屈，QQ 2 0/24PSPT童拭2图3-1 GRE实验拓扑图3.3 GRE协议的VPN实现配置分别各个路由器端口、PC机和服务器配置地址IP规划表:In ternet /24In ternet /24In ternet /24青岛总校/24济南校区/24泰安校区/24青岛总校 54/24青岛总校 54/24青岛总校 54/24服务器 /24主机 2 /24主机 1 /24本实验配置的关键在青岛总校，所以下面主要介绍总校的配置。配置如下:in terface Tunn elOip

49、address tunnel source FastEther netO/Otunnel destination in terface Tunn el1ip address tunnel source FastEther net0/0tunnel desti nation (ip route ip route ip route .0 f0/13.3.2主要设备之间连通性测试F面是主机1对连通性的测试图 3-2所示:POping 54Pinging S4 vith 32 bytes of data:ReplyPeplyfro 132.16S.3,54：Reply froii 54:Reply f

50、rom 192.16B.3.254:bye*s3Zhytes=32tiBLS70UkE t-iuie=80lbS t ime=60nis t iu$=71iasTTL-254TTL=Z54TTL=2S4Fingfor 132.15S.3.254:Packetsz Sent = 4, Racelued = Loe = 0 C0 lafe)rApproximatLe round trip tiines in ailli-sacoiidszHiniiauii = SOils , Haxlaauii - 60nisf Average = ?0ulEreaping 1PZ,XC8.3-1Pinging

51、with 32 bytes of data:Request t imed out.Reply fr om 192. Ifi8.3.1: bytes=32 tLma=91ias TTL=126Heply fFon.169. 3.1: bytes=3ZTTL-126Rtply from 19Z, 169.3.1： byt#s32 tiins90ias TTL*1Z6Ping statistics for 192.16S.3.1:Packets: Sent = 4r Received = 3,= 1Loss,图3-2主机1对服务器的连通性测试4.基于IPSec VPN的架构4.1基于IPSec实验的

52、需求分析山东科技大学的教务管理系统为了实现安全，只允许在校内网上访问，若老师或同学在校外就无法访问，会带来很大不便。我们可通过建立IPSec VPN的加密隧道，实现出差和假期期间师生和学校之间的信息 安全传输。IPSec VPN技术通过隧道技术、加解密技术、密钥管理技术、 和认证技术有效的保证了数据在In ternet网络传输的安全性，是目前 最安全、使用最广泛的VPN技术。4.2 IPSec实验的设计PC机模拟出差员工的PC，与VPNS备A （模拟公司出口 VPN设备） 通过IKE自动协商建立起IPSec的VPN加密隧道。使得PC机能安全访 问到VPNS备A所保护的内部服务器。试验时，可以在

53、服务器上开设FTP服务或者Web服务，在VPN隧道 建立成功后，PC机将能够访问到这些服务。移动用户（即PC机）在和VPNS备建立VPN隧道前，需要先获得 VPN设备的身份验证许可。该实验所采用的用户身份验证为口令方式， 并且口令账号的颁发由VPNS备A来完成。移动用户（即PC机）在通过VPNS备A的身份验证后，VPNS备A 会自动将VPN隧道建立（即IKE协商）所需要的配置下发给 PC机，然 后PC机与VPNS备A之间自动开始IKE协商，协商成功后VPN隧道即建立成功。整个过程系统自动完成，无需人为干预，是免配置的典型方式。本实验的拓扑图图4-1 :eht1 ehtOVPN设备AFD/O F

54、D/1RoutePC服务器图4-1 IPSec实验拓扑图4.3 IPSec协议的VPN实现步骤及配置IPSec协议的VPN实现的具体步骤的详细介绍如下：第一步：准备好PC机和服务器。1）实验中即可以通过服务器来管理 VPNS备。2）在PC机上安装RG-SRA软件程序。注意：RG-SRA是 VPN客户端软件程序，如果PC机上已预装其它厂 家的VPN客户端程序，请先卸载其它厂家的VPN客户端程序，否则可能 RG-SRA无法正常工作。RG-SRA作为安全产品，安装后会对系统的网卡、端口、协议等方 面有改动，因此会和部分防火墙或者防病毒程序不兼容。目前经过测试， 已知和市场主流的杀毒软件、防火墙是兼容

55、的有：瑞星、天网 Symentec、 微软等产品都兼容。已知的不兼容的软件有：卡巴司基、Sygate。因此建议用于测试的PC机卸载这两个程序。推荐用户使用没有安装任何第 三方防火墙、防病毒程序的机器来作试验。第二步：搭建图示实验拓扑，然后配置PC机、服务器、VPNS备A route的IP及必要路由。示例如下：VPNS备 A 的 eht1 口地址：192.16821VPN设备 A 的 ethO 口地址：PC机的 IP 地址：PC机的网关地址：服务器的IP地址：192.16822 服务器的网关地址：Route 的 F0/0 地址:Route 的 F0/1 地址:VPN设备A接口及缺省路由配置如下:

56、1）通过服务器的超级终端，配置好VPN网关的IP地址显示如下图图 4-2 :Password;Login incorrectRC-IALL login: sadnPassword:sadmRG - WALLnet wrksadmRG-IALL Netwwk)# i nlerf ace shovInterfaceModeIPAddrethOManualethlManwJMTU Status1500 Up1500 Upnterhce to show (ethO. ethL Enter means show all)：NetNaskG我训站25&.255.2&.0 10.1 1.2

57、 麵師嘶Q 0 0.0.0sadnRC-WALL(Network)jJ图4-2 VPN网关的IP地址2）配置连接服务器的接口eth1，如下图图4-3 :立件g）操作地址搏 帮助退出详細信息eth1图4-3网关的建立显示立件 操作电）地址簿如 帮助哪退出新建编辑刪陆地址簿详信息网关名称；vpnb网关地址*聘关逆明图4-4网关地址的配置3）建立服务器与VPN网关的连接，进而操作VPN网关。安全网关登录如图4-5所示:新逹组建S! HPU1E | & IFSac ITT S5 n ff” M& 叨！1三誓鬼itaiA&MALL-W60S&M*LL-i50.i3.圖耳MISHB-Lt L2.U fff

58、tSW=1CBK(i豎主娟雪.口瞎覗：20: 0ITSec-UTT：StffltiBS : 5DJtJJjflPS: ra SfGfflP；u挨名称匕ethl9关地址：192. 163. 2. 1图4-5安全网关登录显示4）登录成功页面如图4-6所示:图4-6登录成功显示5）通过服务器上的VPNt理软件登录VPN设备A,然后配置ethO口地址，操作如下图4-7所示:嚟基本信息墓网絡管理史卜网桥设置系统信息网络接口B设置捲口启用接口 停,4 VLAN TRUUKjg 口 曇链路保陣+二1路由设置触 IFMACJ定图4-7网络接口显示设置ethO 口地址如图4-8所示:图4-8外出接口配置弓用状

59、启） 启）第三步：配置IPSec VPN隧道1、在VPNS备A上进行IPSec VPN隧道配置：1）进入远程移动用户VPN隧道配置的界面登录VPNS备A的管理界面，选择进入“远程用户管理”界面，如下图所示：2）首先配置“允许访问子网”U3 T1IJHK 口配31内辱 允许冑14子 虐1呻宣诚 审察敎 认注歩飒 用户jgm赠内噌 内写晉甲 用户爭国 当晌尹启 护蠡严哼 TWSJiflil屈函i曲5 ：ip .5：抚工JI/用户认证直 IFSic IFH曙理审尸舌連 皿 iwea 龜 nriiiav：左 翦良dEild世杏 卫 YTKimPIEl3征书图4-9添加可访问的子网显示3）配置“本地用户

60、数据库”图4-10添加远程用户注意：添加完用户后一定要点击“用户生效”按钮，否则新添加的用户 依然不可使用。4）配置“虚IP地址池”虚IF分配表系歸信息网络接口本地用户数据库I远程用尸昔理an址池 时接入的ipsec用户分配虚IPM址*肪止与傑护子融1址冲姿）添加 删除 編辑 涪空1T2一 IE 1 Ci255一 255.255. D子网也址虚IF分配寢r对虚住分配鬆之外的用户不自动好配僅廿iiiD園&区添加删除编辑查询刷新清空导入导出打印序号用户名IF地址图4-11虚IP地址池中IP地址的配置显示5）配置“用户特征码表”灵统信息网络接口本地用户敢据库|远程用户管理虚旺分配表用户特征码那定表巧