中小企业虚拟专用网络的方案设计

题目：中小企业虚拟专用网络的方案设计产品设计工艺设计方案设计√

摘要虚拟专用网络（VPN）是在公网中构建一条逻辑通道，为企业实现异地之间业务数据的交互提供了保障。目前越来越多的企业采用该方式来构建企业自己的虚拟专用网络，为企业业务的拓展保驾护航。本文针对某企业需要在企业总部与分部间交互业务数据的要求，通过IPSECVPN在公网中架设了一条“桥梁”，实现了企业总部与分部间业务数据的正常交互。同时，为保证数据交互的安全性，对数据进行了加密，对数据完整性及数据来源进行了验证，保障了数据的安全。通过上述策略构建的虚拟专用网络，不但实现了业务数据的交互安全，而且为企业节省了成本。关键词：VPN；企业；网络

目录1.选题的背景与意义 .选题的背景与意义1.1选题的背景在经济全球化的今天，随着网络，尤其是网络经济的发展，客户分布日益广泛，合作伙伴增多，移动办公人员也随之剧增。传统企业网基于固定地点的专线连接方式，已难以适应现代企业的需求。在这样的背景下，远程办公室、公司各分支机构、公司与合作伙伴、供应商、公司与客户之间都可能要建立连接通道以进行信息传送。而在传统的企业组网方案中，要进行远程LAN到LAN互联，除了租用DDN专线或帧中继之外，并没有更好的解决方法。对于移动用户与远端用户而言，只能通过拨号线路进入企业各自独立的局域网。这样的方案必然导致高昂的长途线路租用费及长途电话费。于是，虚拟专用网VPN（VirtualPrivateNetwork）的概念与市场随之出现。虚拟专用网VPN，是建立在公共网络平台上的虚拟专用网络。顾名思义，虚拟，是因为它不提供物理上的端到端的专有连接；专用，是因为它可以在LAN、WAN等之间的网络通道里共享信息，为某一企业、团体服务。虚拟专用网络是专用网络的延伸，它包含了类似Internet的共享或公共网络链接。通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。[2]。1.2选题的意义由上节可知，目前在跨区域的公司内部之间，比如总部与分部/分公司之间，进行内部机密数据传输时，可以采用两种方式：专有网络(或专线)和虚拟专有网络，而前者费用太高，如下表所示：专线月租费(单位：元/月)CIR本地网内长途大陆以外地区区内区间港澳台亚洲各国欧美澳非8Kbps29044099015508800940016Kbps39054011901800100001050032Kbps45065013002000115001150048Kbps50075015002300130001350064Kbps550800170026001450014600128Kbps7001000210034001800018400256Kbps8001150220035001900019600384Kbps8501350230038002000020500512Kbps10001450250041002230023100768Kbps115016002700460025800265501Mbps125020003000520028900300502Mbps15002200400070003900039000表1-1租用专线费用而使用虚拟专有网络(VPN)技术则不用申请专线，只需要原有的公网基础以及现有的路由器即可，在此基础上，就可以能够获得语音、视频方面的服务，如IP电话业务、电视会议、远程教学，甚至证券行业的网上路演、网上交易等等，而不额外增加带宽费用，因此可以大大节省开支费用。除此之外，VPN还有如下特点：（1）保证数据的安全性VPN以多种方式增强了数据的安全性和完整性。具备高强度的安全性，对于现在的网络来说是极其重要的。现在的一些热门服务如网上银行，网上交易这些都需要绝对的安全[4]。（2）简化了网络设计网管们可以使用VPN替代那些昂贵的租用线路来实现属下各个分支机构的连接。这样就可以将对远程控制链路进行安装、配置和管理这些任务减少到最低，仅此一点就极大地简化企业广域网的设计[5]。再者，VPN通过拨号访问来自于ISP或NSP的外部服务，减少了所需的调制解调器池，同时简化了与远程用户认证、授权和记账相关的设备。（3）大大降低成本VPN作为一种降低成本的技术，其效果是立即且显著的，主要体现在以下几个方面：①移动用户长途通信成本费。②对国际电路成本节约是极为显著的。可需每条链接40%到60%的成本对租用线路就可以进行控制和管理[6]。③主要设备成本：VPN支持通过拨号访问外部资源,使企业减少不断增长的调制解调器费用。另外，可以用单一的WAN接口实现多种服务，从分支网络互连、商业伙伴的外连网终端，本地提供高带宽的线路等连接到拨号访问服务提供者[7-9]。正因为VPN，有以上优点，在网络开始高速发展以来，VPN技术在企业网中的应用非常的活跃。并且随着人类安全意识的不断提高，各种各样的VPN技术不断的涌现，在企业信息安全通信中扮演着不可或缺的角色[10]。

2.IpsecVPN技术原理2.1IpSec简介IpSec其实是IPSecurity的简称，其目的是为IP提供高安全性特性，是一种保护IP数据在不同地方传输时安全性的功能特性值，同时提供VPN和信息加密两项技术。包含在VPN中的所有地点都要定义VPN类型。它的地点可以是企业总部、大型分支机构、一个小型远程站点、一个终端客户机、数据中心等。任意两个这样的地点组合在一起就可以确定VPN的类型。IpSec无法将其业务扩展到数据链路层，只能够保护IP层以上的数据。其具有如下特性：数据完整性：确保数据在通过IpSecVPN进行传送时不被修改，保证其完整性。数据机密性：指数据在VPN的双方之间时通过IpSecVPN传送时保持数据的私密性。数据源验证：验证IpSecVPN的数据源。它不能够单独实现必须依赖于数据的完整性服务，由VPN的每个端点来完成，以确保对方的身份。防重放：这个是利用数据包中的序列号和接受端滑动窗口确保VPN中的数据没有被复制。2.2IpSec协议IpSec提供了两种安全协议，为IpSec对等体之间传输的IP数据流提供安全服务：1.AH协议（AuthenticationHeader，使用较少）：可以同时提供数据完整性确认、数据源验证、防重放等安全特性；AH常使用摘要算法（单向Hash函数）MD5或SHA1实现该特性。2.ESP协议（EncapsulatedSecurityPayload，使用较广）：可以同时提供数据完整性确认、数据加密、防重放等安全特性；ESP通常使用DES、3DES、AES等加密算法实现数据加密，使用MD5或SHA1来实现数据完整性。由于AH不提供机密性，所以它无法保证数据在传输的过程中是否被偷窥，因此现在很少单独的使用AH，一般都是和ESP配合使用。此时AH和ESP都是利用HMAC（基于哈希的报文验证）来进行完整性检查和验证的。2.3IpSec运行模式Ipsec定义了隧道模式和传输模式两种运行模式，它们对原始的IP包提供不同的保护能力。传输(Transport)模式就是仅仅把Ipsec头部插在IP包中时。所以在传输模式中，原始IP头部暴露在外面，没有得到保护。在数据包穿过非受信的网络时，包中的数据其实是安全的，因为网络中只能看到通信方的真实IP地址。隧道(Tunnel)模式中，包括原始IP头部在内，整个数据包都可以得到保护，隧道模式会产生一个全新的隧道端点IP地址，这样原来的IP地址就不会暴露在外面，这样IP数据包就能够得到更好的保护。图2-1IpSecvpn通道2.4IpSec连接建立过程对等体之间建立IPSecVPN的连接需要三个步骤。1）流量触发IPSec一般来说，IPSec建立过程是由对等体之间发送的流量触发的，一旦有VPN流量经过VPN网关，连接过程便开始建立了。当然，手工配置也可以实现这一过程。在配置设备实现此步骤前，网络工程师需要明确哪些流量需要被“保护”。2）建立管理连接IPSec使用ISAKMP/IKE阶段1来构建一个安全的管理连接。这里需要注意的是，这个管理连接只是一个准备工作，它不被用来传输实际的数据。在配置设备实现此步骤前，网络工程师需要明确设备如何实现验证，使用何种加密及认证算法，使用哪种DH组等问题。3）建立数据连接IPSec基于安全的管理连接协商建立安全的数据连接，而ISAKMP/IKE阶段2就是用来完成这个任务的，数据连接用于传输真正的用户数据。在配置设备实现此步骤前，网络工程师需要明确使用何种安全协议，针对具体的安全协议应使用加密或验证算法，以及数据的传输模式（隧道模式或传输模式）等问题。经过IPSec建立的三部曲后，VPN流量便可以按照协商的结果被加密/解密了。但是VPN连接并不是一次性的，无论是管理连接还是数据连接都有一个生存周期与之关联，一旦到期连接便会被终止。如果需要继续传输VPN数据，连接需要重新被构建，这种设计主要是出于安全性的考虑的。有关ISAKMP/IKE的内容由于篇幅限制，在此就不再赘述。

3.企业网络安全方案设计3.1项目概述与需求分析四川有一个集团经过20多年的发展，企业规模庞大，下辖塑胶、房地产、包装、塑胶包装(分布在金华和清远)、物业管理等子公司，各子公司分布在四川各地以及省外。因业务的需要，企业总部每天需要与各分分部进行业务数据的交互。而通过专线的方式来保障总部与各分部业务数据的交互成本太高，企业承担不了高额的专线费用。企业急需采用别的方式来保障总部与各分部间每天业务数据的交互。为实现企业总部与各分部间每天业务的交互，在企业总部与各分部通过采用虚拟专业网的方式在总部与分部间架设一座“桥梁”，为业务数据的交互提供路径。同时，考虑到业务交互的数据涉及到财务等敏感数据，采用IPSEC的方式实现。IPSEC不但可以在总部与各分部间架设业务数据交互的“桥梁”，而且还可以保证业务数据交互的安全性、完整性。由于实际应用场景以及篇幅所限，本虚拟仿真平台只实现一个总部到两个分部间的私网数据交互的情景进行设计。3.2网络实验拓扑图图3-1总部和2个分公司IpSecVPN实验拓扑图说明：由于使用模拟器来模拟真实拓扑，计算机一次无法启用太多的设备，因此对于一些对于本课题不是很重要的设备被省略掉了，主要进行VPN配置。本次模拟实验环境如上图所示，下面简单说一下配置。R1、R2、R3、R4、R5从左到右，分别是这5个路由器，R1和R5模拟A分部和B分部；R3中的为公司总部，只用一个路由器，连接两个不同的网段即可以模拟；R2和R4分别模拟A分部和B分部的代理商：A网络代理商和B网络代理商。3.3组网方案规划3.3.1路由器接口连接表根据图3-1，我们可以知道如下一些设备关系：设备名称ip地址邻接设备公司总部路由器R3200.43.1.2Fa0/0路由器（R2）200.43.11.2Fa0/1路由器（R4）192.168.20.254PC1A网络代理商（R2）200.43.1.1路由器R3200.43.0.2A分部路由器R1B网络代理商（R4）200.43.11.1路由器R3200.43.10.2B分部路由器R5A分部路由器（R1）192.168.10.254PC0200.43.0.1A网络代理商R2B分部路由器（R5）192.168.30.254PC2200.43.10.1B网络代理商R43.3.2终端设备接口地址表和GRE地址表终端ip地址连接路由器PC0192.168.10.1R1PC1192.168.20.1R3PC2192.168.30.1R5设备GREip地址连接路由器R1192.168.3.1R3R3192.168.3.2R1192.168.1.2R5R5192.168.1.1R14.企业网络安全方案的实现先将五个路由配置好，并做好nat，以模拟正常公司环境，由于篇幅问题和其它路由器也比较类似，所以此处只配置R1、R3、R5这三个路由器，R2和R4相对这三个比较类似，并且相对还简单些，所以此处不再赘述。4.1网络设备基础配置以下分别阐述R1、R3、R5等路由器的配置。4.1.1R1的配置R1接口地址配置interfaceFastEthernet0/0ipaddress200.43.0.1255.255.255.0!配置外网接口interfaceLoopback0ipaddress192.168.10.254255.255.255.0!配置回环接口interfaceTunnel12ipaddress192.168.3.1255.255.255.0tunnelsource200.43.0.1tunneldestination200.43.1.2cryptomapout_map!配置隧道routereigrp34network192.168.10.10.0.0.0network192.168.3.0!配置gre网段ip和局域网网段ipaccess-list130permitiphost192.168.10.254host192.168.20.254!不同局域网访问控制cryptoisakmpkeycisco123address200.43.0.1cryptoisakmppolicy10authenticationpre-shared-keyencryptiondeshashshagroup1!设置外网出口策略cryptoipsectransform-setesp-3desesp-3desesp-sha-hmac!设置ipsec加密算法cryptomapout_maplocal-addressLoopback0cryptomapout_map30ipsec-isakmpsetpeer192.168.20.1settransform-setesp-desmatchaddress130设置对端网段出口策略4.1.2R3的配置由于相关指令都是类似的，因此R3只以一端为例进行说明，另一端类似就不赘述了。R3接口地址配置interfaceFastEthernet0/0ipaddress200.43.1.2255.255.255.0!配置外网接口interfaceLoopback0ipaddress3.3.3.3255.255.255.0!配置回环接口interfaceTunnel12ipaddress192.168.1.2255.255.255.0tunnelsource200.43.11.2tunneldestination200.43.10.1!配置隧道routereigrp34network192.168.1.0network192.168.3.0!配置gre网段ip和局域网网段ipaccess-list130permitiphost192.168.20.254host192.168.10.254!不同局域网访问控制cryptoisakmpkeycisco123address200.43.11.2cryptoisakmpkeycisco123address200.43.1.2cryptoisakmppolicy10authenticationpre-shared-keyencryptiondeshashshagroup1!设置外网出口策略cryptoipsectransform-setesp-3desesp-3desesp-sha-hmac!设置ipsec加密算法cryptomapout_maplocal-addressLoopback0cryptomapout_map30ipsec-isakmpsetpeer192.168.10.1setpeer192.168.20.1settransform-setesp-desmatchaddress130设置对端网段出口策略4.1.3R5的配置R5接口地址配置interfaceFastEthernet0/0ipaddress200.43.10.1255.255.255.0!配置外网接口interfaceLoopback0ipaddress192.168.20.254255.255.255.0!配置回环接口interfaceTunnel12ipaddress192.168.1.1255.255.255.0tunnelsource200.43.10.1tunneldestination200.43.11.2cryptomapout_map!配置隧道routereigrp34network192.168.20.10.0.0.0network192.168.10.0!配置gre网段ip和局域网网段ipaccess-list130permitiphost192.168.20.254host192.168.10.254!不同局域网访问控制cryptoisakmpkeycisco123address200.43.10.1cryptoisakmppolicy10authenticationpre-shared-keyencryptiondeshashshagroup1!设置外网出口策略cryptoipsectransform-setesp-3desesp-3desesp-sha-hmac!设置ipsec加密算法cryptomapout_maplocal-addressLoopback0cryptomapout_map30ipsec-isakmpsetpeer192.168.10.1settransform-setesp-desmatchaddress130设置对端网段出口策略4.1.4基础网络配置测试在上面3小节的配置完成基础下，点击左侧下面那个PC来测试一下，先把PC配置地址，点一下，会弹出一个对话框，然后点击Desktop再点击ipconfiguration，如下图所示。图3-2PC0的ipconfiguration图然后测试，如下图所示：图3-3PC0测试图从上可以看出，可以到达分公司的路器的外网出口，没有问题，因此物理链路是通的。下面开始进行VPN的配置。4.2网络设备VPN配置在前面章节网络配置的基础上，进行相关路由器的VPN配置，分别进行阐述。4.2.1R1的VPN配置以下所有配置，均在全局配置模式下，Route(config)#R1的VPN配置access-list120permitip192.168.10.00.0.0.255192.168.20.00.0.0.255定义感兴趣流，也就是哪些数据是需要被加密的，本次环境的是分公司1和公司总部的，R1为分公司1的路由器，也就是192.168.10.0到192.168.20.0需要加密cryptoisakmppolicy10authenticationpre-shareencryptionaes128group2hashshalifetime12000配置第一阶段参数，加密算法和认证算法//配置一个ike策略，编号为10//配置验证类型为预共享密钥//配置密码算法为aes128位，这里有3desdesaes可以自由选择，注意两端要一段，否则不能协商成功//配置ike生存周期cryptoisakmpkeycisco123address203.1.1.2配置加密密钥为cisco123两端必须保持一持，并指定对端地址cryptoipsectransform-setvpn-setesp-aes128esp-sha-hmac配置ipsec传输集cryptoipsecsecurity-associationlifetimeseconds12000配置ipsec生存周期cryptomapvpn-map10ipsec-isakmpsetpeer203.1.1.2settransform-setvpn-setmatchaddress120exit配置cryptomap//编号为10//设置对端路由器地址//设置使用vpn-set传输集//匹配感兴趣流，也就是定义哪些数据需要加密interfacefa0/0cryptomapvpn-map在外网接口上启用cryptomap4.2.2R5的VPN配置至于分公司2的配置，和分公司1一样，区别就是在配置三兴趣流，以及对端地址需要改变，其它的都可从R1直接复制过来，简单说下贴的配置。R3的VPN配置access-list120permitip192.168.30.00.0.0.255192.168.10.00.0.0.255定义感兴趣流，也就是哪些数据是需要被加密的，本次环境的是分公司2和公司总部的，R5为分公司的路由器，也就是192.168.30.0到192.168.10.0需要加密cryptoisakmppolicy10authenticationpre-shareencryptionaes128group2hashshalifetime12000配置第一阶段参数，加密算法和认证算法//配置一个ike策略，编号为10//配置验证类型为预共享密钥//配置密码算法为aes128位，这里有3desdesaes可以自由选择，注意两端要一段，否则不能协商成功//配置ike生存周期cryptoisakmpkeycisco123address200.43.10.2配置加密密钥为cisco123两端必须保持一持，并指定对端地址cryptoipsectransform-setvpn-setesp-aes128esp-sha-hmac配置ipsec传输集cryptoipsecsecurity-associationlifetimeseconds12000配置ipsec生存周期cryptomapvpn-map10ipsec-isakmpsetpeer200.43.11.2setsecurity-associationlifetimeseconds12000settransform-setvpn-setmatchaddress120exit配置cryptomap//编号为10//设置对端路由器地址//设置使用vpn-set传输集//匹配感兴趣流，也就是定义哪些数据需要加密interfacefa0/0cryptomapvpn-map在外网接口上启用cryptomapconftnoaccess-list110permitip192.168.10.00.0.0.255anyaccess-list110denyip192.168.10.00.0.0.255192.168.20.00.0.0.255access-list110permitip192.168.10.00.0.0.255anyR1NAT取消VPN段的NAT转换conftnoaccess-list110permitip192.168.20.00.0.0.255anyaccess-list110denyip192.168.20.00.0.0.255192.168.10.00.0.0.255access-list110permitip192.168.20.00.0.0.255anyR3NAT取消VPN段的NAT转换4.3实验测试由于总部和两个分公司的网络对称性等特点，所以此处只对其中的一个分公司与总部的网络进行了测试，另一部分类似，在此不再赘述。4.3.1网络可达性测试使用公司总部pingPC向分公司1测试，如下图所示：图3-4PC1的测试结果图从上图可以看出，测试已经成功。在上述实验过程中，有如下一些事项需要注意：1)思科的路由器或者防火墙，在做VPN的时候，配置好以后不会自己建立，需要有流量触发一下，才会建立起来，所以刚配置完，就查看ipsecsa和isakmpsa，是空的，不要理解为配置错误，没有协商成功，ping一下，触发一下流量，即可以建立，上图ping的时候，第一个包丢失，这也就是在触发流量以后，开始建立，所以第一个包会丢失。2)配置VPN的时候，很容易遗忘做NAT的免除，导致最后不通；3)要注意共享密钥以及两端的加密算法和认证算法要保持一致，否则不能协商成功。4.3.2路由器配置测试从上图可以看出，隧道已经建立，并且能够进行登录，说明整个网络环境已经配置成功。4.3.3路由表上图为R1上的相应的路由表，从上可以看出，隧道已经有进行路由设置。4.3.4IpSec状态从上面可以看出ipsec状态良好。

5.总结本设计是针对目前VPN在企业网络中重大的作用而进行设计和开发的，用来对企业同其子公司或者合作伙伴之间以较小的成本进行高效、便利、安全的数据交流和信息沟通。本设计根据某企业总部与分部间交互