1、中国最大的论文知识平台 VPN 技术在企业网络安全中的应用内 容 摘 要随着 Internet 网络技术的普及,网络安全越显重要。为了能更好地解决公司安全问题,让公司总部服务器最小限度地免受外界网络攻击,也为了使企业用户方便地从远程访问虚拟网、企业内部虚拟网、企业扩展虚拟网,企业可以考虑采用 VPN 技术。VPN 技术具体包括隧道技术、加密技术、用户身份认证等。本文首先介绍了 VPN 的基本概念、优势、分类和安全技术等基本内容。然后介绍了 VPN 技术在杭州芝麻开门信息技术有限公司的应用。先介绍了该公司的现状,以及该公司所面临的网络安全问题,接着分析了解决该问题的具体措施。最后,论文做出了展望
2、并给出了自己的结论。关键词: VPN 技术、网络安全、网络设计 中国最大的论文知识平台 THE APPLICATION OF VPN TECHNOLOGY IN THE NETWORK SECURITY OF COMPANYABSTRACTWith the popularity of Internet technology, Network security becomes more and more important. We can use VPN technology to solve the security problem of the company and minimize at
3、tacks from external network. The clients can also enter the Intranet VPN or extranet VPN by use it. VPN technology includes Tunneling technology, Encryption technology, and User authentication, etc.At first, this paper introduces the basic concept, advantages, classification and security technology
4、of the VPN technology. Then, the author analyzes the utilization of VPN technology by give the example of Zi ma kai men company of hangzhou. The author analyzes the situation and the network security problem of the company firstly. Then, the author thinks that the company can take actions to solve t
5、his problem. Finally, the author gives his conclusion.KEY WORDS: VPN Technology, Network security, Network design 中国最大的论文知识平台 正文目录第一章 引言1第二章 VPN 概述2第一节 VPN 的概念2第二节 VPN 的组成2第三节 VPN 技术3第四节 VPN 用途4第三章 VPN 在企业中的应运6第一节 公司简介6第二节 公司网络现有状况6第三节 需求分析7第四节 需求总结8第五节 方案设计9第六节 实施过程11第七节 方案的实施效果19第四章 结论与启示20第一节 VPN
6、 的优势20第二节 VPN 的展望21第三节 总结21参考文献 23致谢 24中国最大的论文知识平台 第一章 引言现代意义上的计算机网络是从 1969 年美国国防部高级研究计划局建成的ARPAnet 实验网开始的 1。当时只有 4 个结点,发展到现在的正如其名所言如蜘蛛网一般的复杂的万联网。威胁与安全一直都是并存着的。窃听、假冒、重放、拒绝服务、病毒、诽谤等等的威胁无时无刻攻击着网络通信,威胁着我们的信息安全。然而提供这些威胁存在的原因正是由于操作系统、计算机网络、数据库管理系统存在着本身的漏洞,这就使得一些非法授权的行为可以“祸起萧墙”。专家把这些可能使得一个网络受到破坏的所有行为都认定为攻
7、击,它可以是主动攻击、被动攻击、物理临近攻击、内部人员攻击和分发攻击,所有的一切都威胁着网络的安全。所以 Internet 的安全话题一直以来都是发散而复杂的。从最初把Internet 作为科学研究用途,到当今的电子商务炙手可热之时,安全已然成为网络发展的绊脚石。所以有更多的安全技术顺势而出,目前的安全措施有数据加密、数字签名、身份认证、防火墙和内容检查等。这些虽然不能阻止风险的出现,但可以把风险降到最低。专用网络指的是企业内部的局域和广域网络,是 Internet 等公共网络上的延伸。在过去,大型企业为了网络通讯的需求,往往必须投资人力、物力及财力,来建立企业专用的广域网络通讯管道,或采用长
8、途电话甚至国际电话的昂贵拨接方式。在 Internet 蓬勃发展的现在,企业为了维持竞争力,又为了使公司总部和分支、合作伙伴之间信息的安全性受到保障,通常需要将专用网络与Internet 间适当地整合在一起,但是又必须花费一笔 Internet 连接的固定费用。基本上 Internet 是建立在公众网络的基础之上,如果企业可以将专用网络中的广域网络连结与远程拨号连接这两部份,架构在 Internet 这一类的公众网络之上,同时又可以维持原有的功能与安全需求的话,则将可以节省下一笔不算小的通讯费用支出。这个问题的解决方法,就需要虚拟专用网。1 雷震甲.网络工程师教程 . 清华大学出版社.2004
9、 年 7 月.50 页.中国最大的论文知识平台 第二章 VPN 概述第一节 VPN 的概念利用公共网络来构建的私人专用网络称为虚拟专用网络(VPN,Virtual Private Network),用于构建 VPN 的公共网络包括 Internet、帧中继、ATM 等。在公共网络上组建的 VPN 像企业现有的私有网络一样能提供安全性、可靠性和可管理性等。“虚拟”的概念是相对于传统专用网络的构建方式而言的。对于广域网连接,传统的组网方式是通过远程拨号连接来实现的,而 VPN 是利用服务提供商所提供的公共网络来实现远程的广域网连接。通过 VPN,企业可以以明显的、更低的成本连接它们的远地办事机构、
10、出差工作人员以及业务合作伙伴。企业内部资源享用者只需连入本地 ISP 的 POP(Point Of Presence,接入服务提供点),即可相互通信;而利用传统的 WAN 组建技术,彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后,出差员工和外地客户只需拥有本地 ISP 的上网权限就可以访问企业内部资源;如果接入服务器的用户身份认证服务器支持漫游的话,甚至不必拥有本地 ISP 的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN 服务所需的设备很少,只需在资源共享处放置一台 VPN 服务器就可以了。VPN 具有虚拟的特点:VPN 并不是某个
11、公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路,但是,VPN 同时又具有专线的数据传输功能,因为 VPN 能够像专线一样在公共网络上处理自己公司的信息。它通过安全的数据通道将远程用户,公司分支机构,公司业务伙伴等与公司企业网连接起来,构成一个扩展的公司企业网。在该网络的主机似乎感觉所有主机都在同一个网络内,而没有察觉公共网络的存在,同时感到公共网络为本网络独自占用。然而,事实并非如此,所以称之为虚拟专用网 2。第二节 VPN 的组成无论是从VPN技术发展历程还是应用模式看,VPN技术包含了多种当前新兴的网络技术,涉及到隧道技术、密码技术、和身份认证技术,是多种技术的结合体。这决定了用
12、户在选择VPN时必须以应用为导向,以解决方案为实施依据,方可事半功倍。VPN是一个建立在现有共用网络基础上的专网,它由各种网络节点、统一的2雷震甲.网络工程师教程 . 清华大学出版社.2004 年 7 月.319 页.中国最大的论文知识平台 运行机制和与物理接口构成,一般包括以下几个关键组成部分:一、VPN服务器 VPN服务器作为端点的计算机系统,可能是防火墙、路由器、专用网关,也可能是一台运行VPN软件的联网计算机,或是一台联网手持设备。二、算法体系 算法体系是VPN专用网络的形成的关键,常见的有:摘要算法MD5或SHA1,对称加密RC4、RC5、DES、3DES、AES、IDEA、BLOW
13、FISH,公用密钥加密RSA、DSA等。不同类型的VPN根据应用特点在实现上使用对应的算法,有的还可以由用户根据使用现场临时更换。三、认证系统 VPN是一个网络,要为网络节点提供可靠的连接。如同现实社会交往中强调的“诚信”原则一样,当你通过一个网络去访问一个网络资源时,你自然希望对方是像你要求的那样是真实的,可以想象,对方也是这样要求你的,如何认证对方和认证自己,同时还要防止认证信息泄露,这就是认证系统所要解决的问题,是开始VPN连接的基础。一般使用的有口令、一次性密码、RSA 、SecurID、双因素令牌、LDAP、Windows AD、Radius、证书,一个系统中往往包括一种以上几种方式
14、来增加灵活性。四、VPN 协议 它规定了 VPN 产品的特征,主要包括安全程度和与上下层网络系统的接口形式。安全不仅要靠算法,由于 VPN 强调的是网络连接和传输,配套的密钥交换和密钥保护方法甚至比算法更重要,而接口决定了一个 VPN 产品的适用度。常见的有 PPTP、L2TP 、MPLS VPN、IPsec 、SOCKS、SSL。第三节 VPN 技术VPN 采用的关键技术主要包括隧道技术、加密技术、用户身份认证技术及访问控制技术。一、隧道技术 VPN 的核心就是隧道技术。隧道是一种通过互联网络在网络之间传递数据的一种方式。所传递的数据在传送之前就被封装在相应的隧道协议里,当到达另一端后才被解
15、封。被封装的数据在互联网上传递时所经过的路径是一条逻辑路径。在 VPN 中主要有两种隧道。一种是端到端的隧道,主要实现个人与主机之间的连接,端设备必须完成隧道的建立,对端到端的数据进行加密及解密。另一种是节点到节点的隧道,主要是用于连接不同地点的 LAN 数据到达 LAN 边缘中国最大的论文知识平台 VPN 设备时被加密并传送到隧道的另一端,在那里被解密并送入相连的 LAN。它其实就是边界路由器在起着关键作用,隧道的建立,数据的加密、解密都是在边界路由器里完成的。隧道技术相关的协议分为第二层隧道协议和第三层隧道协议。第二层隧道协议主要有 PPTP、L2TP 和 LZF 等,第三层隧道协议主要有
16、 GRE 以及 IPSec等。二、加密技术 VPN 的加密方法主要是发送者在发送数据之前对要发送的数据进行加密,当数据到达接收者时再由接收者对数据进行解密的处理过程。加密算法的种类包括:对称密钥算法,公共密钥算法等。三、用户身份认证技术 用户身份认证技术主要用于远程访问的情况。当一个拨号用户要求建立一个会话时,就会对用户的身份进行鉴定,以确定该用户是否是合法用户以及哪些资源可以被使用。四、访问控制技术 访问控制技术就是确定合法用户对特定资源的访问权限,以实现对信息资源的最大限度的保护。第四节 VPN 的用途一、远程访问 VPN 最适用于用户从离散的地点访问固定的网络资源,如从住所访问办公室内的
17、资源;出差员工从外地旅店存取企业网数据;技术支持人员从客户网络内访问公司的数据库查询调试参数;纳税企业从本企业内接入互联网并通过VPN进入当地税务管理部门进行网上税金缴纳。远程访问VPN可以完全替代以往昂贵的远程拨号接入,并加强了数据安全。二、内联网(分支机构联网)VPN 最适用将异地的两个或多个局域网或主机相连形成一个内网,主要用于将用户的异地 LAN 通过互联网上的 VPN 作为一条虚拟专线连接起来,或是将分支机构与总部连接起来。内联网 VPN 可以替代目前市场上使用帧中继和 ATM 等专线构成的专网,显著降低网络建设和运行成本,极大提高了部署和扩展灵活性。三、安全平台 中国最大的论文知识
18、平台 将相同工作性质的,离散地理位置的终端设备、局域网内的主机或局域网连接形成一个专网,满足协同工作的要求,如总公司销售部门的 LAN 与下属单位的销售部门的 PC,以及外出销售人员的笔记本之间构成一个安全销售网,共享 CRM、文档和 IP 电话,满足用户动态、业务导向化的组网要求,这是其他方案难以实现的。四、替代专线 内联网 VPN 的简化版,简单地将两个主机相连实现联机、遥控,或一个主机与一个 LAN 相连,或替代现有专网的某一条专线成为专网的一部分。五、用户认证 利用 VPN 用户认证机制和 VPN 的安全性,强化用户认证的安全,如上网计费系统,认证后的数据传输安全不是重点。六、网络资源
19、访问控制 将 VPN 用户认证机制和 VPN 网关对网络访问的调度能力结合起来,根据预定的安全策略给与不同用户不同的资源访问权限,强化网络资源的合理配置和安全性。中国最大的论文知识平台 第三章 VPN 在企业中的应运第一节 公司简介杭州芝麻开门信息技术有限公司系专业行业性 B2B 和 B2C 平台运营商,公司下设两家分公司,运营两个网站:- 和 ,现在公司主要是和中国制笔协会共同开发中国笔业贸易网 -公司汇聚了众多 IT 界的精英,直接出击日益扩张的全球市场。公司的目的是将传统的国内、国际性采购及贸易活动转变成一个高效率、高效益、低成本的新型电子商务模式,并根据企业的商务活动的实际状况,推出一
20、系列适合于供应商及采购商进行商业信息交流与沟通的平台,促进并达到让制笔行业的企业利用- 得到更多的商业服务和最大限度的商业资讯。中国笔业贸易网的信息具有传递快、大容量、及时更换等特点,可以迅速发布行业内的供求、人才、新产品、新技术专利等信息。并建立了制笔行业进出口统计、行业标准、政策法规、技术知识、人才中心等信息数据库,为广大的制笔企业及全球采购商提供了真正实用的电子商务大平台。第二节 公司现有的网络状况首先来了解一下关于杭州芝麻开门信息技术有限公司的网络拓扑结构。如图 3-1 所示。图 3-1 杭州芝麻开门信息技术有限公司的网络图中国最大的论文知识平台 从图看出总公司和分公司、银行、合作伙伴
21、,分公司和银行、合作伙伴,出差员工或者在家办公人员和总公司、分公司之间,这三种关系的连接都是经过 Internet 的。总公司是通过 Cisco2600 系列路由器作为边界网关与外界 Internet 等公共网相连,并配置放火墙。内部则由两台 Cisco Crystal2950 系列交换机做为中心交换机把办公大楼、营销中心、FTP 服务器、WWW 服务器、E-mail 服务器、数据库服务器等联系起来。网管站直接和交换机相连,并管理路由器、中心交换机、服务器等。如图 3-2 所示。图 3-2 总部内网丽水分支和杭州分支是通过拨号上网,与总公司联系。它们具体是先经ADSL Modem 连到 24
22、接口阿尔法 AFR-K24 路由器(内配置防火墙),再接 24 接口阿尔法 AFS-3026 交换机和个人电脑相连。公司通过防火墙接入 Internet。目前公司所有应用仅限于公司局域网内,出差员工不能访问。总部网络内建设 WWW、文件共享服务、Exchange、公司 ERP 系统,总部各部门局域网络实现接入 Internet,但没有实现内部网络互联。杭州分支公司:电脑接入 Internet,实现了办公网络半自动化。丽水分支公司:电脑接入 Internet,实现了办公网络半自动化。第三节 需求分析杭州芝麻开门信息技术有限公司自 1996 年创建以来,所拥有的客户群已越来越庞大。而作为以网站服务
23、和维护为主的公司,其客户需要频繁地访问公司中国最大的论文知识平台 内部网,访问服务器。从安全性上讲,通过 Internet 等公共网的连接,势必会带来一些危险:从客户端带来的威胁会有病毒、陷门和木马、非授权访问、假冒、重放、诽谤等。从服务器端的威胁就有数据完整性破坏、信息篡改等。根据公司工程技术人员的深入了解和分析,杭州芝麻开门信息技术有限公司需要一种安全的接入机制来保障通信的安全,并达到以下要求:一、企业必需要确保其 VPN 上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN 将企业网扩展到合作伙伴和客户;二、要求企业将其网络管理功能从局
24、域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务;三、构建 VPN 的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽;四、总部通过多条线路连接广域网,保证分点财务核算数据的连接安全,也节约了宽带接入成本;五、支持从各种网络条件下的安全接入;六、通过隧道技术在网络协议的越下层实现更高的数据安全性;七、通过路由器对用户实行统一的管理,对访问权限实行分级管理等要求,实现流量控制、端口镜象等要求,通过路由器的相关防火墙功能实现网络的安全管理;八、出差员工利用公司笔记公共电脑(如机场侯机厅的计算
25、机)也能够较安全地访问公司内部网络资源;九、总部保证内网至少 100 台电脑接入 Internet,还要考虑到公司以后的发展接入点的增加,同时实现一级分部通过相关设备在连到总部网络的同时还提供访问公司 FTP 服务器,连接公司 ERP 系统提交与查询相关信息等要求;十、杭州、丽水分支机构 2 个办事处电脑接入 Internet,同时考虑到公司以后的发展接入点的增加,同时实现与总部实现互联同时还提供访问公司 FTP服务器,连接公司 ERP 系统提交与查询相关信息等要求;十一、在各分支机构和总公司之间创造一个集成化的办公环境,为工作人员提供多功能的桌面办公环境,解决办公人员处理不同事务需要使用不同
26、工作环境的问题。第四节 需求总结针对以上的需求,通过 VPN 的配置可以解决互联问题,另外对 VPN 加以相应配置可以实现资料传输的安全性问题。中国最大的论文知识平台 以现有技术来说,所谓最优选择其实必须根据远程访问的需求与目标而定。目前主流 VPN 方案有两种:IPSec/IKE 和 SSL VPN。当前企业需要安全的点对点连接,或用单一装置进行远程访问,并且让企业拥有管理所有远程访问使用能力,IPSec/IKE 是最适合的解决方案。比较那种传输方法比较好更重要的问题是:那种安全技术最符合远程接入方案的需求,IPSec 可以保护任何 IP 流量,而 SSL 专注于应用层流量。IPSec适合长
27、期的连接,即宽带、持续和网络层连接要求。SSL 仅适合于个别的,对应用层和资源的连接,而且支持的应用没有 IPSec 多。实现外出出差员工通过 PPTP 拨号连接公司网络完成相关工作。第五节 方案设计一、设备选择 由于 VPN 的应用受到网管者的欢迎,因此技术也不断演进。一般常见的VPN 协定有 PPTP、IPSec、SSL 等。其中 PPTP 为微软支持的协定,设定较方便,但保全性不够;IPSec 公认是最安全的协定,但是设定和配置复杂,一般的用户不容易操作;SSL 则需在服务器端进行介面转换,并不是所有的应用程序都可支持。在实际操作上,VPN 的架设还面临其他的问题:例如当互联网联机掉线时
28、,再安全的 VPN 也没有作用;中国由于 IP 资源有限,因此 VPN 联机必须基于双方为动态 IP 的基础上建立;由于幅员广大,网管人员要跑遍各个分公司的成本太高,VPN 的设定最好简单清楚,略有网络知识者即可完成;每个 ISP 的 IP 分派方式都不同,IPSec 并不一定都能穿透。现在市场上的 VPN 产品繁多,而且功能各不相同,本着遵循着方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则,同时对杭州芝麻开门信息技术有限公司的需求分析,在选择 VPN 连接设备上推荐市场上思科公司的Cisco2600 系列 VPN 防火墙路由器产品。Cisco2600 系列 VPN 防火墙路由器产品
29、支持 IPSec VPN 连接,提供适用于各办公室,事业伙伴及远程使用者使用的安全便利的网络加密方式,包括3DES, DES, 以及 AH/ESP 加密方式。 VPN 功能提供了各分支点间或大多数远程使用者采 VPN 方式,将资料自动加密解密的通讯方式,支持 Gateway To Gateway ,Client To Gateway 与 Group VPNs 等模式。具备 PPTP 服务器功能,具备联机状态显示,可以满足在外出差或想要连回总部或分公司的用户也可使用 PPTP 或 IPSec 方式连回企业网络,相对来说 PPTP 要比 IPSec 易配制,对移动办公用户比较适合。中国最大的论文知
30、识平台 Cisco2600 系列 VPN 防火墙路由器产品内建进阶型防火墙功能,能够阻绝大多数的网络攻击行为, 使用了 SPI 封包主动侦测检验技术(Stateful Packet Inspection),封包检验型防火墙主要运作在网络层,执行对每个连接的动态检验,也拥有应用程序的警示功能,让封包检验型防火墙可以拒绝非标准的通讯协议所使用的连结, 预设自动侦测并阻挡。Cisco2600 亦同时支持使用网络地址转换 Network Address Translation (NAT)功能以及 Routing 路由模式,使网络环境架构更为弹性,易于规划管理。总部网络通过光纤连接外网,连接路由器交换机
31、选择三层千兆交换机,三层千兆交换机之间用光纤连接,以满足内部网络 VLAN 的划分,同时考虑到今后公司的发展,信息点扩充的需要。二、设计原则 VPN 的设计包含以下原则:安全性VPN 直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必需要确保其 VPN 上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN 将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。具体的有隧道与加密、数据验证、用户身份验证、防火墙与攻击检测。网络优化构建 VPN 的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。
32、广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QOS 通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。一般地,二层和三层的 QOS 具有以下功能:流分类:根据不同的用户、应用、服务器或 URL 地址等对数据流进行分类,然后才可以在不同的数据流上实施不同的 QOS 策略。流分类是实现带宽管理以及其他 QOS 功能的基础。ACL 就是流分类的手段之一。流量整形与监管:流量整形是指根据数据流的优先级,在流量高峰时先尽
33、量保证优先级高的数据流的接收/发送,而将超过流量限制的优先级低的数据流丢弃或滞后到流量低谷时接收/发送,使网络上的流量趋于稳定;流量监管则是指带宽大的路由器限制出口的发送速率,从而避免下游带宽小的路由器丢弃超过其带宽限制的数据包,消除网络瓶颈。中国最大的论文知识平台 拥塞管理与带宽分配:根据一定的比例给不同的优先级的数据流分配不同的带宽资源,并对网络上的流量进行预测,在流量达到上限之前丢弃若干数据包,避免过多的数据包因发送失败的同时进行重传而引起更严重的资源紧张,进而提高网络的总体流量。VPN 管理 VPN 要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。可以将一些次
34、要的网络管理任务交给服务提供商去完成,企业自己就可完成许多网络管理任务。所以,一个完善的 VPN 管理系统是必不可少的。VPN 管理的目标为:减小网络风险:从传统的专线网络扩展到公用网络基础设施上,VPN 面临着新的安全与监控的挑战。网络管理需要做到在允许公司分部、客户和合作伙伴对 VPN 访问的同时,还要确保公司数据资源的完整性。扩展性: VPN 管理需要对日益增多的客户和合作伙伴作出迅捷的反应,包括网络硬、软件的升级、网络质量保证、安全策略维护等。经济性:保证 VPN 管理的扩展性的同时不应过多地增加操作和维护成本。可靠性:VPN 构建于公用网之上,不同于传统的专线广域网,其受控性大大降低
35、,故 VPN 可靠而稳定地运行是 VPN 管理必需考虑的问题。VPN 管理主要包括安全管理、设备管理、配置管理、ACL 管理、QOS 管理等内容。第六节 实施过程一、网络结构企业通过 Internet 数据传输平台,实施加密的 VPN 实现接入的方法有多种,针对杭州芝麻开门信息技术有限公司的网络现状,我们采用 IPSec VPN 和 PPTP VPN 相结合的方法。总公司以一条光纤联机(ISP 分配的固定 IP 地址),而分公司以用光纤或ADSL 联机均可(公网动态 IP),作为联机的基础。总公司选择 Cisco2600 机型,连接四条光纤(ADSL 可选,ADSL 可连接同一网络营运商来做备
36、援服务,以避免单一营运商掉线的风险及不同运营商网络之间的互连);分公司也可采用Cisco2600,各地分支机构可以选择不同网络营运商的线路。VPN 联机采用IPSec 协定,以保障联机的安全。网管人员只要将设备寄到分支机构,并提供总公司 VPN 通道 IP、用户名及密码,即可由具一般计算机操作能力用户完成设定。在外出差或想要连回总部或分公司的用户也可使用 PPTP 或 IPSec 方式连回企业网络,相对来说 PPTP 要比 IPSec 易配制,对移动办公用户比较适合。中国最大的论文知识平台 总部 100 信息点接入,选用 Cisco2600,内置 300 条 ipsec,100 条 pptp。
37、杭州分支: 40-50 信息点接入,选用 Cisco2600,内置 50 条 ipsec。丽水分支: 20 信息点接入,选用 Cisco2600,内置 50 条 ipsec。二、VPN 相关组件的安装首先要正确观念,VPN 服务器并不是独立成体的,此组件只是在远程用户访问过程中起到了中转角色,如果对方的用户名和密码正确及为其开出一个直线通道。其实建立一台 VPN 服务器很简单,只要短短几步即可完成。服务器端 VPN 的建立 步骤一、依次打开开始-程序-管理工具,在路由和远程访问窗口中单击操作按钮,并在弹出的菜单中选择配置并启用路由和远程访问,载入创建一个新服务器的向导,选择“自定义配置”(使用
38、者可以根据自己的需求进行选择性配置,建议主机内安有双网卡的用户可以选择虚拟专用网络 VPN 访问 NAT)。步骤二、右击右边树形目录里的本地服务器名,选择属性并切换到 IP 选项卡,在这里按提示诼步填入相关 IP 地址及内容,这样一个简单的 VPN 服务端建立完成了。客户 VPN 的建立 网络客户连接服务器也非常简单,打开我的电脑选中控制面板中的网络连接,在其内选择网络和 internet 连接新建网络连接,创建一个新的连接到一个商业网络(VPN)这样就可以连接到服务端了,在弹出的下一步对话框中输入网络用户名(这里随意命名)接下来输入用户名和密码(为了使用方便点击保存密码并发送到桌面快捷方式)
39、,客户端由此产生了。三、IPSec VPN 的配置IPSec 的实现 IPSec 实现的 VPN 有四个配置部分:为 IPSec 做准备为 IPSec 做准备涉及到详细的加密策略,包括确定我们要保护的主机和网络,选择一种认证,确定有关 IPSec 对等体的详细信息,确定我们所需要的IPSec 的特性,并且确认现有的访问控制列表允许 IPSec 数据流的通过。步骤一:根据对等体的数量与位置在 IPSec 对等体之间确定一个 IKE 策略。步骤二:确定 IPSec 策略,包括 IPSec 对等体的详细信息,就如 IP 地址以及 IPSec 变换集和模式。步骤三:用 show 命令来检查当前的配置。
40、步骤四:确认在诶有加密前网络能够正常使用,用“ping”命令并在加密前运行测试数据流来排除基本的路由故障。中国最大的论文知识平台 步骤五:确认在边界路由器和防火墙中已经有的访问控制列表允许 IPSec数据流通过,或者想要的数据流将可以被过滤出来。配置 IKE配置 IKE 涉及到启用 IKE(IKE 和 isakmp 是同义词),创建 IKE 策略,验证我们的配置。 用”isakmp enable”命令来启用或者关闭 IKE; 用“isakmp policy”命令创建 IKE 策略; 用“isakmp key”命令和相关命令来配置预共享密钥; 用“show isakmp policy”命令来验证
41、 IKE 的配置。配置 IPSecIPSec 配置包括创建加密用访问控制列表、定义变换集、创建加密图条目、并将加密集应用到接口上去。 用 accesslist 命令来配置加密用访问控制列表; 用 crypto ipsec transform。Set 命令配置变换集; (任选)用 crypto ipsec securityassociation lifetime 命令来配置全局性的 IPSec 安全关联的生存期; 用 crypto map 命令来配置加密图; 用 interface 命令和 crypto map map.Name interface 应用到接口上; 用各种可用的 show 命令来
42、验证 IPSec 的配置。测试和验证 IPSec使用“show”、“debug”和相关的命令来测试和验证 IPSec 加密工作是否正常,并且用来排除故障。路由器端的配置 本部分的配置主要是针对路由器 IPSec 的配置,对于路由器中开头部分已简略。路由器之间的地址分配如表 3-1 所示。中国最大的论文知识平台 表 3-1 地址分配图总部 分支机构(杭州) 分支机构(丽水)内部网段网号 172.22.1.0 172.22.2.0 172.22.3.0互联网段网号 168.1.1.0 167.1.1.0 166.1.1.0路由器内部端口 IP 地址172.22.1.100 172.22.2.100
43、 172.22.3.100路由器 Internet 端口IP 地址168.1.1.1 167.1.1.1 166.1.1.1路由器串口 IP 地址 202.96.1.1 202.96.1.2 202.96.1.3隧道端口地址 192.168.1.1 192.168.1.2 192.168.1.3总部端路由器和两分支端路由器配置分别如下:总部与杭州分支间的配置,其简图如图 3-3 所示。图 3-3 总部与杭州分支的网络简图总部路由器配置当前路由器提示,视图依次输入的配置命令,/后为简单说明。crypto isakmp policy 1/配置IKE策略1authentication pre-sha
44、re/IKE1的验证方法设为pre-sharegroup2;1024-bit Diffie-Hellman/加密算法未设置则取默认值:DEScrypto isakmp key test123 address 202.96.1.2/设置pre-share的密钥为test123,此值两端需一致crypto ipsec transform-set VPNtag ah-md5-hmac asp-des/设置AH散列算法为md5,!ESP加密算法为DEScrypto map VPNdemo 10 ipsec- isakmp/定义crypto mapset peer 202.96.1.2/设置隧道对端IP
45、地址set transform-set VPNtag/设置隧道AH及ESPmatch address 101!interface Tunnel0/定义隧道接口ip address 192.168.1.1 255.255.255.0/隧道端口IP地址no ip directed-broadcasttunnel source 202.96.1.1/隧道源端IP地址tunnel destination 202.96.1.2/隧道目的端IP地址crypto map VPNdemo/应用VPNdemo于此端口interface Serial 0/0中国最大的论文知识平台 ip address 202.9
46、6.1.1 255.255.255.252/串口Internet IP地址no ip directed-broadcastcrypto map VPNdemo/应用VPNdemo于此串口!Interface Ethernet0/1Ip address 168.1.1.1 255.255.255.0/外部端口IP地址no ip directed-broadcastInterface Ethernet0/0Ip address172.22.1.100 255.255.255.0/内部端口IP地址no ip directed-broadcast!Ip classlessIp route 0.0.0.
47、0 0.0.0.0 202.196.1.2/默认路由Ip route 172.22.1.100 255.255.255.0/到内网静态路由(经过隧道)Access.list101 permit gre host 202.96.1.1 host 202.96.1.2/定义存取列表杭州分支的路由器配置crypto isakmp policy 1/配置IKE策略1authentication pre-share/IKE1的验证方法设为pre-sharegroup2;1024-bit Diffie-Hellman/加密算法未设置则取默认值:DEScrypto isakmp key test123 address 202.96.1.1/设置pre-share的密钥为test1
