《基于IPSecVPN网络的规划与设计》由会员分享,可在线阅读,更多相关《基于IPSecVPN网络的规划与设计(27页珍藏版)》请在金锄头文库上搜索。
1、安徽中澳科技职业学院毕业设计(论文)基于IPSec VPN网络的规划与设计 学生姓名: 系 部: 信息技术与艺术传媒系 专 业: 12级计算机网络技术 指导教师: 日 期: 2014年6月摘要 目前,TCP/IP几乎是所有网络通信的基础,而IP本身是没有提供“安全”的,在传输过程中,IP包可以被伪造、篡改或者窥视。针对这些问题,IPSec可有效地保护IP数据报的安全,它提供了一种标准的、健壮的以及包容广泛的机制,可用它为IP及上层协议(如UDP和TCP)提供安全保证。目前许多电信运营商采用IPSec隧道加密技术,在宽带业务的基础上推出主要针对商用客户的VPN新业务,为商用客户既提供了高带宽低资
2、费的企业网络联网服务,又提供了在公用网络上拥有私有VPN网络的数据传输安全保障服务,赢得了广大商用客户的青睐。本文将研究IPSec体系结构、技术原理和VPN基本技术,分析了IPSecVPN的主要实现方式。关键词:IPSecvpn,加密,隧道,安全。 AbstractCurrently,TCP/IPnetworktrafficisalmostallofthefoundation,andIPitselfdoesnotprovidesecurity,inthetransmissionprocess,IPpacketscanbeforged,altered,orpryingeyes.Tosolveth
3、eseproblems,IPSeccaneffectivelyprotectthesecurityofIPdatagrams,whichprovidesastandard,robustandinclusivemechanisms,canuseitfortheIPandupperlayerprotocol(suchasUDPandTCP)toprovidesecurityguarantees.ManytelecomoperatorsusingIPSectunnelencryptiontechnology,onthebasisoftheintroductionofbroadbandservices
4、forbusinesscustomersVPNmajornewbusiness,bothforcommercialcustomerstoprovideahigh-bandwidthnetworkwithlowratesofenterprisenetworkservices,alsoprovidedinthepublicnetworkhasaprivateVPNnetworkdatasecurityservices,wonthemajorityofcommercialcustomers.ThispaperwillstudythearchitectureofIPSec,VPNtechnologyp
5、rinciplesandbasictechnology,analyzesthemainwaytoachieveIPSecVPNKeyword: IPSecvpn ,Encryption,Tunnel,Security。目录引言1第1章VPN的概述11.1VPN的基本概念11.2VPN的类型21.2.1 RemoteAccessVPN(远程访问虚拟专用网)21.2.2IntranetVPN(企业内部虚拟专用网)21.2.3ExtranetVPN(外连虚拟专用网)21.3 VPN的相关技术21.3.1典型的隧道技术协议31.3.2隧道协议的比较分析31.4 VPN技术的优点41.4.1 安全保障4
6、1.4.2 服务质量保证(QoS)5第2章IPSec技术基础52.1IPSec简介52.2IPSec体系结构62.2.1IPSecAH(认证头协议)62.2.2IPSecESP:封装安全负载62.2.3 IPSecIKE(密钥交换协议)72.2.4 IPSec ISAKMP(安全连接和密钥管理协议)72.3IPSec的运行模式82.3.1隧道模式82.3.2传送模式92.4IPSecVPN的优点9第3章 基于IPSec VPN的设计方案93.1 设计背景93.2 需求分析103.3 仿真实验设备选型103.4 网络拓扑设计103.5 IP地址规划10第4章基于IPSec VPN的配置方案114
7、.1路由器的基本配置114.2 VPN基本配置124.3网络接口启用VPN13第5章 VPN测试14结束语15致 谢16参考文献17引言随着计算机网络的迅猛发展,网络在为人们提供便利和带来效益的同时,也使人们面临着信息安全的巨大挑战。网络安全问题已成为计算机网络研究的热点问题之一,现在网络发展的趋势是所有的网络,无论是ATM、卫星网、无线网等的构建都向基于TCP/IP协议的网络发展,TCP/IP协议几乎成为Internet的统一实现标准,因此网络协议层次的安全性分析集中在TCP/IP协议簇上,由于TCP/IP的安全和控制机制是依赖于IP地址的认证,然而一个数据包的源IP地址是很容易被伪造和篡改
8、的。更糟的是网络控制特别是路由协议根本就没有认证机制。另一个主要缺点是TCP/IP协议没有能力保护网上数据的隐私性,协议数据是明文传输的,乏保密机制。这样,TCP/IP就不能保证网上传输信息的机密性、完整性、与真实性。VPN技术是近年来用于解决网络安全问题的新技术之一。它将专用网建立在公用网基础上,通过相关的安全技术实现移动用户与企业网,各分支机构与总部及企业与合作伙伴之间的安全通信VPN就是针对通信安全尤其是企业分散子网间通信安全问题的一种解决办法。它通过采用在公用网上建立加密的隧道的方式,虚拟不同的专线来连接分布在各地的企业子网,甚至移动用户。隧道是一种虚拟的点到点的连接,这个连接可以为隧
9、道的两个端点提供了认证、加密和访问控制。可以在不同的协议层上来实现隧道技术。在每个协议层上的实现具有不同的实现难度,也提供了不同强度的安全保护。IPSec即“Internet协议安全性”是一种开放标准的框架协议,通过使用加密的安全服务以确保在Internet协议(IP)网络(Internet就是全球最大的IP网络)上进行保密而安全的通讯。IPSec协议本不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AuthenticationHeader(AH)、封装安全载荷协议EncapsulatingSecurityPayload(ESP)、密钥管理协议Inter
10、netKeyExchange(IKE)和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。第1章VPN的概述1.1VPN的基本概念VPN(VirtualPrivateNetwork):虚拟专用网络,是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成:客户机、传输介质和服务器。VPN同样也由这三部分组成,不同的是VPN连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如:Internet
11、或Intranet。要实现VPN连接,企业内部网络中必须配置有一台基于WindowsNT或Windows2000Server的VPN服务器,VPN服务器一方面连接企业内部专用网络,另一方面要连接到Internet,也就是说VPN服务器必须拥有一个公用的IP地址。当客户机通过VPN连接与专用网络中的计算机进行通信时,先由ISP(Internet服务提供商)将所有的数据传送到VPN服务器,然后再由VPN服务器负责将所有的数据传送到目标计算机。VPN使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加
12、密的响应信息发送到VPN服务器,VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。VPN连接的示意图如1-1所示。图1-1 VPN连接示意图1.2VPN的类型1.2.1 RemoteAccessVPN(远程访问虚拟专用网)AccessVPN是通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问,使用户随时、随地以其所需的方式访问企业资源。它包括模拟、拨号、ISDN、数字用户线路(XDSL)、移动IP和
13、电缆技术,可以安全地连接移动用户、远程工作者或分支机构。它适合于内部有人员移动或远程办公需要的企业。1.2.2IntranetVPN(企业内部虚拟专用网)如果要进行企业内部各分支机构的互联,使用IntranetVPN是很好的方式。越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个Intra
14、netVPN上安全传输。IntranetVPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。1.2.3ExtranetVPN(外连虚拟专用网)如果是提供B2B之间的安全访问服务,则可以考虑ExtranetVPN。随着信息时代的到来,各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务,通过各种方式了解客户的需要,同时各个企业之间的合作关系也越来越多,信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础,而如何利用Internet进行有效的信息管理,是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。ExtranetVPN通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。1.3 VPN的相关技术 当前,有四项技术来保证VPN的安全,分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)。
