本科毕业论文VPN的设计与实现Word文件下载.doc
- 文档编号:6942367
- 上传时间:2023-05-07
- 格式:DOC
- 页数:18
- 大小:478.48KB
本科毕业论文VPN的设计与实现Word文件下载.doc
《本科毕业论文VPN的设计与实现Word文件下载.doc》由会员分享,可在线阅读,更多相关《本科毕业论文VPN的设计与实现Word文件下载.doc(18页珍藏版)》请在冰点文库上搜索。
2.1VPN的特征 3
2.1.1专用(Private) 3
2.1.2虚拟(Virtual) 3
2.2VPN的优势 3
2.2VPN的分类 4
2.2.1按VPN的业务类型划分 4
2.2.2按VPN的实现技术划分 5
2.3实现VPN的关键技术 5
2.3.1隧道技术(Tunneling) 5
2.3.2加解密技术(Encryption&
Decryption) 5
2.3.3密钥管理技术(KeyManagement) 6
2.3.4身份认证技术(Authentication) 6
4VPN案例实现 6
4.1公司需求分析 6
4.2方案设计:
6
4.2.1网络拓扑:
4.2.2IP地址规划 7
4.2.3配置代码 7
4.2.4VPN关键配置 10
4.3方案测试 12
参考文献:
14
致谢:
15
引言
VPN技术是因特网发展的一种成熟的、便捷实用的技术。
现代公司的商业宣传、销售、培训等等,越来越依靠网络资源来实现。
更多的企业热衷使用外部网络来代替本公司的内部网络。
如果两个企业的内部网络想直接通讯,只要两方同时接入VPN服务即可实现,不必再向ISP申请专线。
员工如果在外地出差,可以随时通过VPN服务访问公司的内部网络,不受地理时间上的限制。
1VPN简介
1.1VPN的定义
VPN(VirtualPrivateNetwork,虚拟专用网)是一种网络新技术,它不是真的专用网络,但却能够实现专用网络的功能。
虚拟专用网指的是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。
在虚拟专用网络连接任意两个节点之间不需要传统的专用网络端到端的物理链路,而是利用某种公共网络资源动态组成的。
虚拟专用网用户使用互联网公用网络的长途数据传输线路,并不单独架设一条实际的物理上的长途数据传输线路,用户也可以根据自己的需求制定专属的网络架构。
VPN(VirtualPrivateNetwork)被定义为是一条在公共网络的基础上建立的一条临时且安全的连接线路,是一条稳定且安全的隧道。
虚拟专用网够协助公司用户、总部及其分支机构、合作伙伴及商业人士内部的网络组建临时的安全可靠的连接,并确保资料的完整并且确实安全传输到对方。
通过将数据流转移到公共的网络上,可以极大的降低连通专线的成本。
一个企业的虚拟专用网解决方案也将大幅度的降低用户花费在城域网和远程网络连接上的费用。
同时,这将简化网络管理与设计,加速连接新的用户和网站。
另外,虚拟专用网还可以保护现有的网络资源。
“随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的业务上面,而不是网络安全上面。
虚拟专用网可用于不断增长的移动用户的因特网接入,以实现安全可靠的连接;
可用于实现企业网站之间安全通信的虚拟专用线路,用于安全有效地连接到商业伙伴和用户的安全外联虚拟专用网。
”[1]
1.2VPN的工作原理
由于数据流需要在公共网络上传送数据,但是因特网只能处理IP数据流。
如果想将一个非IP的数据流从一个网络传送到另外的一个网络,就需要使用VPN技术。
其次公共网络上传输的数据包都是以明文进行传输的,网络上的路由器能够看到传送的数据流量,也就能读取数据内容。
这就为传送重要商业信息的安全上埋下了重大的隐患。
VPN网络为了解决这些不安全因素所使用的主要办法是采用隧道技术:
数据报先是进行安全加密,以确保数据即使泄露也不能被正确读取;
然后由VPN封装成网络上通用的IP数据包形式再在公共网络上传输,如图通过一条预先建立的隧道一样。
如图1-1所示:
图1-1VPN工作原理图
VPN网络两端的VPN设备相互协商,双方就数据的加密类型和方法进行统一。
然后发送端将发往接受端的整个数据包进行加密,再将加密好的数据包封装成公网统一的IP数据包,在公网上发往接收端的VPN设备。
接受端的VPN设备先将接收到的IP数据包进行拆包,还原成未封装的数据,再按照事先统一的数据加密类型进行相应的解密,最后将还原后的数据包转发至内网当中。
按照上述的方法对数据进行加密又封装,可以保证内网的数据可以通畅的在公共网络上传输,又能保证数据的安全型。
即使数据被人窃取,也会因为没有解密的密钥而无法破解数据中的内容。
1.3VPN的研究意义
随着Internet和电子商务的迅速发展,经济全球化的最佳途径是发展基于Internet的商务应用。
随着商务活动,各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网,从而极大的简化了信息交流的途径,增加信息交换速度。
“这些合作和联系是动态的,并依靠网络来维持和加强,于是各企业发现,这样的信息交流不但带来了网络的复杂性,还带来了管理和安全性的问题,因为Internet是一个全球性和开放性的、基于TCP/IP技术的、不可管理的国际互联网络,因此,基于Internet的商务活动就面临非善意的信息威胁和安全隐患。
”[2]还有一类用户,随着自身的发展壮大与跨国化,企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容的现象也更为严重。
因此,用户的信息技术部门在连接分支机构方面也感到日益棘手。
用户的不断需求正是虚拟专用网技术诞生的直接原因。
虽然VPN在理解和实现方面都是高度复杂的技术,甚至确定其是否适用于本公司也一件复杂的事件,但在大多数情况下VPN的各种实现方法都可以实现于每个公司。
即使不需要使用加密数据,也可节省开支。
2VPN的分类和技术概要
2.1VPN的特征
VPN具有以下两个基本特征:
2.1.1专用(Private)
对于VPN用户,使用VPN与使用传统专网没有区别,VPN与底层承载网络之间保持资源上的独立,即VPN资源不被网络中非该VPN的用户所使用;
且VPN能够提供足够的安全保证,确保VPN内部信息不受外部侵扰。
2.1.2虚拟(Virtual)
VPN用户间内部的通信是通过公共网络进行的,而这个公共网络同时也可以被其他非VPN用户使用,VPN用户获得的只是一个逻辑意义上的专用网。
这个公共网络称为VPN骨干网(VPNBackbone)。
利用VPN的专用和虚拟的特性,可以把现有的IP网络分解成逻辑上隔离的网络。
“这种逻辑隔离的网络应用丰富:
可以用在解决企业内部的互连、相同或不同办事部门的互连:
也可以用来提供新的业务,如为IP电话业务专门开辟一个VPN,以此解决IP网络地址不足、QoS保证、以及开展新的增值服务等问题。
”[3]
在解决企业互连和提供各种新业务方面,VPN,尤其是MPLSVPN,越来越被运营商所看好,成为运营商在IP网络提供重要的增值手段。
2.2VPN的优势
从客户角度,VPN和传统的数据专网相比较具有如下优势:
1.安全:
在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全的数据连接,保证数据传输的安全性。
这对于实现电子商务或金融网络与通讯网络的融合尤其重要。
2.廉价:
利用公共网络进行信息通讯,企业可以用廉价的成本连接远程办事机构、出差人员和业务伙伴。
3.支持移动业务:
支持驻外VPN用户在任何时间点、任何地点的移动接入,都能够满足不断增长的移动业务需求。
4.服务质量保证:
构建具有服务质量保证的VPN(如MPLSVPN),可为VPN用户提供不同安全等级的服务质量保证。
从运营商角度看,VPN具有如下优势:
5.可运营:
提高网络资源利用率,丰富网络产品业务,有助于增加ISP的收益。
6.灵活:
通过软件的配置就可以增加、删除VPN用户,无需改动硬件基础设施。
在应用上具有强大的灵活性。
7.多业务:
SP在提供VPN互连的基础上,可以承揽网络外包、业务外包、客户化专业服务的多业务经营。
“VPN以其独具特色的优势赢得了越来越多的企业的青睐,使企业可以较少地关注网络的运行与维护,从而更多地致力于企业的商业目标的实现。
另外,运营商可以只管理、运行一个网络,并在一个网络上同时提供多种服务,如Best-effortIP服务、VPN、流量工程、差分服务(Diffserv),从而减少运营商的建设、维护和运行费用。
”[4]
VPN在保证网络的安全性、可靠性、可管理性的同时提供更强大的扩展性和灵活性。
在全球任何一个角落,只要能够接入到因特网,即可使用VPN。
2.2VPN的分类
VPN可按业务类型和实现技术两个角度进行分类。
2.2.1按VPN的业务类型划分
从不同的角度看VPN,就可以得到不同的VPN类型,按照应用领域,我们可以把VPN分成以下三类:
远程访问(AccessVPN)
远程移动用户通过VPN技术可以在任何时间、任何地点采用拨号、ISDN、DSL、移动IP与电缆技术等各种方式与公司总部或是公司内联网的VPN设备建立起隧道或密道信,实现访问连接,此时的远程用户终端设备上必须加装相应的VPN软件。
“推而广之,远程用户可与任何一台主机或网络在相同策略下利用公共通信网络设施实现远程VPN访问。
这种应用类型也叫AccessVPN(或访问型VPN),这是基本的VPN应用类型。
”[5]不难证明,其他类型的VPN都是AccessVPN的组合、延伸和扩展。
(2)组建内联网(IntranetVPN)
一个组织机构的总部或是中心网络与跨地域的分支机构网络在公共通信基础设施上采用的是隧道技术等VPN技术构成组织机构“内部”的虚拟专用网络,当其将公司所有权的VPN设备配置在各个公司网络与公共网络之间时,这样的内联网还具有管理上的自主可控、策略集中配置和分布式安全控制等安全特性,利用VPN组建的内联网也叫IntranetVPN。
IntranetVPN是优化内联网结构安全和连接安全、传输安全的主要方法。
(3)组建外联网(ExtranetVPN)
使用虚拟专用网络技术在公共通信基础设施上将合作伙伴和有共同利益的主机或网络与内联网对等的连接起来,根据安全策略、资源共享约定规则实施内联网内的特定主机和网络资源与外部特定的主机和网络资源相互共享,这在业务机构和具有相互协作关系的内联网之间具有广泛的市场应用价值。
“这样组建的外联网也叫ExtranetVPN。
ExtranetVPN是解决外联网结构安全和连接安全、传输安全的主要方法。
”[6]若外联网VPN的连接和传输中使用了安全加密技术,必须解决其中的密码分发和管理的一致性问题。
2.2.2按VPN的实现技术划分
目前,市场主流的VPN技术有IPSecVPN、SSLVPN、MPLSVPN。
IPSecVPN是一个市场应用广泛、开放的VPN安全协议技术,它提供了如何让保密性强的数据流在开放的网络中传输的安全机制。
它工作在网络层,为数据传输过程提供多种安全保护,主要手段是对数据进行加密和对数据收发方进行身份认证。
“IPSecVPN技术可以设置成在两种模式下运行,一种是隧道模式,把IPv4数据包封装在安全的IP帧中进行传输,但这种方式系统开销比较大;
另一种模式是传输模式,隐藏路由信息,提供端到端的安全保护。
”[7]
“SSLVPN也是一种在Internet上确保信息安全收发的通用协议技术,位于TCP/IP协议与各种应用层协议之间,以可靠的传输协议(如TCP)为根基,为高层协议提供数据封装、压缩、加密等基本功能的支持,为网络的连接提供服务器认证、可选的客户认证、SSL链路上的数据完整性保证、保密性保证。
目前,SSLVPN也广泛被应用于各种浏览器中,使用者利用浏览器内的SSL封装包处理功能,用浏览器连接单位内网的SSLVPN服务器,通过网络封包转向的方式,从而让远程计算机执行任务,读取单位内网上的信息。
”[8]
“多协议标签交换MPLSVPN是一种面向连接的技术,通过MPLS信令建立好MPLS标记交换通道LSP,数据转发时在网络的入口处对信息进行分类,网络设备中根据分类选择相应的交换通道LSP,并打上相应的标签,再转发时直接根据报头的标签转发,不再通过IP地址查找,在LSP出口处,卸掉标签,还原为原来的IP数据包。
”[9]它是一种快速的数据包交换和路由体系,通过标签交换路径方法将私有网络中的不同分支联系起来,从而形成一套虚拟的统一的网络整体。
基于这种交换和路由的特性,它的路由工作在网络中的第三层,而核心任务工作在第二层。
2.3实现VPN的关键技术
2.3.1隧道技术(Tunneling)
隧道技术是一种通过使用internet基础设施在网络之间安全传递数据的方法。
“隧道协议将其他协议的数据包重新封装在新的包头中发送。
新的包头提供了路由信息,从而使封装的负载数据能够通过因特网传递。
”[10]在Internet上建立隧道可以在不同的协议层上实现,例如数据链路层、网络层或是传输层,这是VPN独有的技术。
Decryption)
VPN可以利用已有的加解密技术实现保密的通信,保证公司业务及个人通信的安全保障。
2.3.3密钥管理技术(KeyManagement)
建立隧道及保密通信都需要密钥管理技术的支持,密钥管理负责密钥的生成、分发。
控制及跟踪,和验证密钥的真实性等。
2.3.4身份认证技术(Authentication)
加入VPN的用户通常使用用户名和密码,或是智能卡来实现用户的身份认证。
4VPN案例实现
4.1公司需求分析
随着市场经济全球化步伐的加快,跨国、跨地区的企业收购和合等并日增多。
每家公司的分支机构的分布也越来越广泛,公司各分支机构之间为了共享重要的商业数据,需要将各分支机构之间联网,在保证数据存储和传输安全的前提下又要共享数据,同时解决方案尽可能的要减少投入和降低使用成本。
分析这些需要互联的企业用户的需求特点,可以简单归纳为以下几点:
1)分支机构相互分布在不同地点
2)需要共享大量的商业数据,对公司接入的带宽有一定的要求
3)“必须保证数据在传输过程中的安全性。
过去的企业网络,多以封闭式的专线连接为主,其主要原因就是考虑数据传输的安全性。
”[11]若在网络的安全性不能被保障的状况下,一旦企业重要资料被他人所窃取,将对企业造成难以弥补的损失
4)解决方案低成本
一公司有一总部和俩个分支机构,三个不同区域的网络内部均采用私有IP地址,但要接入Internet,要让一般用户可以从Internet访问。
总部与各分部之间,要求建立站点间的VPN,即通过私有IP地址可以互相访问。
由于MPLSVPN依靠电信ISP链路到户,灵活性大守限制,而且长期租用的资金较高。
对移动客户端很难支持,因此最终选定使用IPsecVPN技术来实现网络。
网络拓扑见图4-1所示:
图4.1IPSecVPN网络拓扑图
4.2.2IP地址规划
网络地址规划见表4-1所示:
表4-1IP地址规划
RouterA
F0/0:
200.1.1.1
S2/0:
100.1.1.1
RouterB
102.1.1.1
F1/0:
101.1.1.1
100.1.1.2
总部
Router
192.168.3.254
F0/1:
200.1.1.2
服务器
主机0
192.168.3.1
主机1
192.168.3.2
分支机构1
Router1
101.1.1.2
192.168.1.254
主机2
192.168.1.1
分支机构2
Router2
102.1.1.2
192.168.2.254
主机3
192.168.2.1
4.2.3配置代码
RouterA配置
Router>
enable
Router#configureterminal
Router(config)#hostnameRouterA
RouterA(config)#interfaceFastEthernet0/0
RouterA(config-if)#ipaddress200.1.1.1255.255.255.0
RouterA(config-if)#noshutdown
RouterA(config)#interfaceS0/2
RouterA(config-if)#ipaddress100.1.1.1255.0.0.0
RouterA(config-if)#clockrate64000
RouterA(config-if)#exit
RouterA(config)#routerrip//配置rip协议
RouterA(config)#network100.0.0.0
RouterA(config)#network200.1.1.0
RouterA(config)#version2
RouterA(config)#exit
RouterB配置
Router(config)#hostnameRouterB
RouterB(config)#interfaceFastEthernet0/0
RouterB(config-if)#ipaddress102.1.1.1255.0.0.0
RouterB(config-if)#noshutdown
RouterB(config)#interfaceFastEthernet1/0
RouterB(config-if)#ipaddress101.1.1.1255.0.0.0
RouterB(config)#interfaceS0/2
RouterB(config-if)#ipaddress100.1.1.2255.0.0.0
RouterB(config-if)#clockrate64000
RouterB(config)#routerrip//配置rip协议
RouterB(config)#network100.0.0.0
RouterB(config)#network101.0.0.0
RouterB(config)#network102.0.0.0
RouterB(config)#version2
RouterB(config)#exit
Router配置
Router(config-if)#interfaceFastEthernet0/0
Router(config-if)#ipaddress192.168.3.254255.255.255.0
Router(config-if)#noshutdown
Router(config-if)#ipnatinside
Router(config-if)#interfaceFastEthernet0/1
Router(config-if)#ipaddress200.1.1.2255.255.255.0
Router(co
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 本科毕业 论文 VPN 设计 实现