畢業(yè)設計（論文）局域網(wǎng)與專線網(wǎng)絡的互聯(lián)1

1、目錄第一章vpn的工作原理4第二章vpn的特點及vpn的分類52.1 vpn的特點52.2 vpn的分類62.2.1 intranet vpn62.2.2 access vpn72.2.3 extranet vpn8第三章ip vpn 的安全機制83.1認證技術(shù)93.2 加密技術(shù)簡介93.3 密鑰的交換與管理10第四章ipsec 及vpn10第五章隧道協(xié)議和基本隧道要求105.1 令牌卡（tokencard）支持115.2數(shù)據(jù)壓縮115.3 數(shù)據(jù)加密115.4 密鑰管理115.5 多協(xié)議支持11第六章 典型實例 vpn拓撲圖12第七章 vpn發(fā)展趨勢12第八章 ip vpn市場138.1 in

2、ternet成為了全球信息基礎設施148.2 全球經(jīng)濟一體化148.3 ip vpn為企業(yè)和服務提供商實現(xiàn)了雙贏14結(jié)論14致 謝15參考文獻16局域網(wǎng)與專線網(wǎng)絡的互聯(lián)摘要：vpn是指虛擬專用網(wǎng)絡，英文全稱是virtual private network。它不是真正的專用網(wǎng)絡，是利用公有網(wǎng)絡（利用internet）將多個私有網(wǎng)絡通過一定方法連接起來。使用公用網(wǎng)絡進行連接的好處是可以降低通信及設備的成本。 在網(wǎng)絡中的計算機可以通過ip地址，能夠直接進行通信的。但是這些計算機的網(wǎng)絡是不能直接互聯(lián)的，原因就是這些私有網(wǎng)絡和公有網(wǎng)絡使用了不同的協(xié)議和地址空間等等，這說明了一個問題：私有網(wǎng)絡和公有網(wǎng)絡是

3、不兼容的。vpn的原理就是在私有網(wǎng)絡和公有網(wǎng)絡之間建立一個條專用的通道。讓私有網(wǎng)絡之間的通信經(jīng)過計算機或網(wǎng)絡設備打包然后通過公有網(wǎng)絡的專門的通道進行傳輸，然后傳到對端之后進行解包，還原為私有網(wǎng)絡之后將網(wǎng)絡信息轉(zhuǎn)發(fā)到私有網(wǎng)絡中。這樣對于兩個私有網(wǎng)絡和公有網(wǎng)絡就像普通的通信電纜，而在公有網(wǎng)絡上的計算機或網(wǎng)絡設備就能很好的同信了。 由上面可知vpn中要解決兩個很重要的問題就是在網(wǎng)絡傳送中的安全問題還有傳輸之后的解包問題。而且在傳送中還要解決之間的傳輸之間的協(xié)議問題關鍵詞：虛擬專用網(wǎng) 安全協(xié)議 vpn、ip sec、隧道技術(shù)、加密技術(shù)、l2tpvirtual private networkabstra

4、ct ：vpn is to refer to suppositional special use network , the english full name is virtual private network. it is not real special use network , is to make use of the public network (make use of internet) to will be the private network more by the fact that certain method links up. using the public

5、 network to carry out connected benefit is to be able to reduce communication and the equipment cost. can pass ip address in computer in network , be able to be in progress directly communicating by letter. these computer networks have been to be able to not interconnection directly but , cause has

6、it is these private networks and public network to have used different agreement and address space etc. , this has explained a problem: the private network and the public network are no compatible. the vpn principle it is between private network and public network to build a special-purpose passage.

7、 and then dodge the communication between private network a computer passes or network equipment packs and then transfer by the fact that network special public passage is in progress, conduct arriving at the parcel carrying out a solution on end afterwards, restore for the private network believes

8、a network afterwards may need to resolve very important two problems it is safe problem in delivering in the network to there are still in knowing vpn by higher authority transmission afterwards solve package of problems. and transmission between wanting to solve too in transference between agreemen

9、t problemkeywords: suppositional special use net safety agreement vpn , ip sec , tunnel technology, encrypt the technology , l2tp引言在的網(wǎng)絡中除了我門能見到的一些現(xiàn)實的網(wǎng)絡外還有部分是由虛構(gòu)的網(wǎng)絡，比如我下面要解釋的就是利用公用的網(wǎng)絡構(gòu)建的虛擬網(wǎng)絡，英文簡稱vpn。它的構(gòu)件可以為在跨地域比較遠的公司部門節(jié)省許多構(gòu)建網(wǎng)絡中的費用，同時達到與公用網(wǎng)絡擁有者互利。第一章vpn的工作原理基于ip的vpn基本上歸結(jié)為兩類：撥號vpn（一般稱為vdpn，即虛擬撥號專網(wǎng)）和專線v

10、pn（dedicated vpn,即專線的vpn），完整的vpn解決方案通常把撥號vpn和專線vpn組合在一起來滿足所有用戶的使用需求。ipsec提供三種不同的形式來保護傳送的私有數(shù)據(jù)。在ipsec由三個基本要素來提供以上三種保護形式：認證協(xié)議頭（ah）、安全加載封裝（esp）和互聯(lián)網(wǎng)密匙管理協(xié)議（ikmp）。認證協(xié)議頭和安全加載封裝可以通過分裝使用來達到所希望的保護等級。 對于vpn來說，最主要的技術(shù)是認證和加密。綜合得出如下原理 : vpn設備根據(jù)個人手工配置的規(guī)則，確定數(shù)據(jù)的加密或讓數(shù)據(jù)的直接連通。1、 對整個數(shù)據(jù)包的加密和附上數(shù)字簽名。分布在不同地方的專用網(wǎng)絡和公共網(wǎng)絡上之間的安全。

11、2、 加密后的數(shù)據(jù)、鑒別包以及源ip地址、目標vpn設備ip地址進行重新封裝過程的安全，3、 重新封裝后的數(shù)據(jù)包通過vpn的通道在公網(wǎng)上傳輸?shù)陌踩?4、 vpn設備加上新數(shù)據(jù)包頭。5、 數(shù)據(jù)包到達目標vpn時，數(shù)據(jù)包的解封裝及被解封裝，數(shù)字簽名及數(shù)字簽名被核對無誤后，數(shù)據(jù)包就被解密。第二章vpn的特點及vpn的分類2.1 vpn的特點vpn可分為傳統(tǒng)意義的虛擬專用網(wǎng)絡和ip 虛擬專用網(wǎng)絡。所謂傳統(tǒng)意義的虛擬專用網(wǎng)絡，是指在各種網(wǎng)絡中（如幀中繼網(wǎng)或公用分組交換網(wǎng)或ddn網(wǎng)）組建的vpn。所謂ip虛擬專用網(wǎng)絡是指依靠為用戶提供internet接人和internet信息服務的公司和機構(gòu)和其它網(wǎng)絡服

12、務提供商在公有網(wǎng)絡中建立專用的數(shù)據(jù)通信網(wǎng)絡的技術(shù)。即使用私有的隧道技術(shù)在公用的數(shù)據(jù)網(wǎng)絡中虛擬構(gòu)件一條點到點的專線技術(shù)。所謂“虛擬”，是指用戶可以省去長途數(shù)據(jù)線路，而是使用internet中的公用線路進行長途數(shù)據(jù)傳輸。所謂“專用網(wǎng)絡”，顧名思義是指用戶自己或一個部門一個單位能過使用而不受他人限制干擾的，你可以根據(jù)自己的需要制定一個符合自己需求的關系網(wǎng)絡。 目前在實際中應用最多的主要還是是基于ip的ip虛擬專用網(wǎng)絡。包括（安全保障和服務質(zhì)量保證）雖然實現(xiàn)vpn的方法和技術(shù)比較多，但所有的vpn一般多采用了通過公用網(wǎng)絡平臺進行傳輸數(shù)據(jù)的專用性并且保證其安全性。對于面對非面向連接的公有ip網(wǎng)絡上構(gòu)建一

13、條邏輯的、點對點的連接，稱之為建立一個ip隧道，可以利用這樣的加密技術(shù)對隧道傳輸?shù)臄?shù)據(jù)進行加密，并保證其數(shù)據(jù)僅被指定的發(fā)送者和接收者及用戶了解，要確保傳輸中數(shù)據(jù)的私有性和安全性。其中安全性方面，由于vpn直接構(gòu)建在公有網(wǎng)上，實現(xiàn)方便、靈活、簡單，在此同時vpn的安全問題也就尤為突出了。企業(yè)必須確保其vpn上傳送的數(shù)據(jù)不被攻擊者竊取和篡改，并且要防止非法用戶對網(wǎng)絡資源或私有信息的訪問。extranetvpn將企業(yè)網(wǎng)擴展到合作伙伴和客戶，對安全性提出了較高的要求。 不同的用戶和業(yè)務對于服務質(zhì)量的要求差別較大，這是因為vpn網(wǎng)絡應當為企業(yè)數(shù)據(jù)提供不同等級的服務質(zhì)量保證。如移動辦公用戶，提供廣泛的連接

14、和覆蓋性是保證vpn服務的一個主要因素；而對于擁有眾多分支機構(gòu)的專線vpn網(wǎng)絡，交互式的內(nèi)部企業(yè)網(wǎng)應用則要求網(wǎng)絡能提供良好的穩(wěn)定性；對于其它應用（如視頻等）則對網(wǎng)絡提出了更明確的要求，如網(wǎng)絡時延及誤碼率等。所有以上網(wǎng)絡應用均要求網(wǎng)絡根據(jù)需要提供不同等級的服務質(zhì)量。在對網(wǎng)絡進行優(yōu)化時，構(gòu)建vpn的另一重要的需求就是能夠充分的有效地利用有限的wlan資源，為重要的數(shù)據(jù)能夠提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網(wǎng)絡阻塞，產(chǎn)生網(wǎng)絡瓶頸，使實時性要求高的數(shù)據(jù)得不到及時發(fā)送；而在流量低谷時又造成大量的網(wǎng)絡帶寬空閑。所以要保證網(wǎng)絡的及時有效的傳輸。qos就是通過流量預測與

15、流量控制策略的，它能夠按照優(yōu)先級分配帶寬資源，實現(xiàn)對帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預防阻塞的發(fā)生。 2.2 vpn的分類按照網(wǎng)絡連接方式的不同，一般把ip vpn分為以下三種類型。 2.2.1 intranet vpn企業(yè)內(nèi)部網(wǎng)。是一個企業(yè)或組織建立的相對獨立的內(nèi)部網(wǎng)絡典型例子如下圖所示：一個公司的總部通過一條虛擬網(wǎng)絡將下列的研究所，辦事處及分支機構(gòu)連接起來，其中用到的最主要技術(shù)是隧道技術(shù)將他們各自進行連接的。2.2.2 access vpn指的是遠程訪問虛擬專網(wǎng)典型例子如圖所示 2.2.3 extranet vpnextranet vpn是指擴展的企業(yè)內(nèi)部虛擬專網(wǎng)。利用vpn

16、技術(shù)可以組建安全的extranet vpn，既可以向客戶、合作伙伴提供有效的信息服務，又可以保證自身的內(nèi)部網(wǎng)絡的安全。其在網(wǎng)絡組織方式上與intranet vpn沒有本質(zhì)的區(qū)別，但由于是不同公司的網(wǎng)絡相互通信，所以要更多的考慮設備的互連、地址的協(xié)調(diào)、安全策略的協(xié)商等問題。第三章ip vpn 的安全機制因為ip vpn公有網(wǎng)絡中進行傳輸?shù)?，要是不采取些安全機制是非常危險的。如果傳輸?shù)膬?nèi)容有可能涉及到重要數(shù)據(jù)或機密數(shù)據(jù)，所以我們就必須要采取一系列的安全機制使vpn在傳輸中保證起傳輸?shù)陌踩浴p vpn的安全機制通常由認證、加密、及密鑰交換與管理組成。 3.1認證技術(shù) 認證技術(shù)可以分被篡改、偽造過

17、的數(shù)據(jù)，這對于網(wǎng)絡數(shù)據(jù)傳輸極其重要的。認證協(xié)議大多采用摘要的技術(shù)。摘要技術(shù)主要是讓hash函數(shù)的較長的報文通過函數(shù)變換，轉(zhuǎn)變?yōu)橐欢屋^短的報文。由于hash函數(shù)的特性，所以要找到兩個相同的摘要的不同報文幾乎是不可能的。摘要技術(shù)在vpn中有兩個用途：用戶認證 該功能是驗證數(shù)據(jù)的完整性。如果甲方希望通過驗證乙方，但又又不希望在網(wǎng)絡上傳送驗證的秘密。此時甲方可以在網(wǎng)絡中發(fā)送一段隨機報文，要求乙方將秘密信息轉(zhuǎn)換為載要進行轉(zhuǎn)發(fā)，此時甲方可以通過摘要的驗證來判斷乙方是否擁有秘密信息，從而達到驗證對方的目的。 驗證數(shù)據(jù)的完整性 比如甲方把數(shù)據(jù)報文和報文摘要一起發(fā)送給乙方，此時乙方通過發(fā)到的數(shù)據(jù)報文和計算報文摘

18、要進行比較，如果相同則說明數(shù)據(jù)報文沒有經(jīng)過篡改過。在報文摘要的計算中一般將一個雙方共享的秘密信息連接在實際報文中一同參與摘要的計算，所以摘要是很難偽造的，從而保證了甲乙雙方多可以辨認出篡改或偽造過的報文。同時有保證了在傳輸中的安全問題。 3.2 加密技術(shù)簡介 在vpn中為了保證重要的數(shù)據(jù)在公共網(wǎng)上傳輸時不被他人竊取，采用了加密機制。在現(xiàn)代密碼學中，加密算法被分為對稱加密算法和非對稱加密算法。 對稱加密算法采用同一把密鑰進行加密和解密，優(yōu)點是速度快，但密鑰的分發(fā)與交換不便于管理。而采用不對稱加密算法進行加密時，通訊各方使用兩個不同的密鑰，一個是只有發(fā)送方知道的專用密鑰d，另一個則是對應的公用密鑰

19、e，任何人都可以獲得公用密鑰。專用密鑰和公用密鑰在加密算法上相互關聯(lián)，一個用于數(shù)據(jù)加密，另一個用于數(shù)據(jù)解密。不對稱加密還有一個重要用途即數(shù)字簽名。 3.3 密鑰的交換與管理 vpn傳輸中無論是認證還是加密都需要秘密信息，所以其中密鑰的管理和分發(fā)就顯得比較重要了。密鑰的分發(fā)有兩種方法：一種可以通過采用密鑰交換協(xié)議的動態(tài)分發(fā)，另一種可以通過手工配置的方式得到。密鑰更新困難是手工配置的方法的缺陷，所以他只適合于簡單網(wǎng)絡網(wǎng)絡。動態(tài)生成密鑰是密鑰交換協(xié)議采用主要的軟件方式，它適合于各種復雜的網(wǎng)絡情況，密鑰可隨時并且迅速的更新，這樣就能提高vpn的安全性。第四章ipsec 及vpn由于政府或企業(yè)或用戶需要

20、把它們的專用的廣域網(wǎng)或局域網(wǎng)與internet相連接，所以安全的ip就是要重點考慮的問題了。用戶必需把它們的網(wǎng)絡與internet分離開，同時發(fā)送及接受網(wǎng)包。所以安全的ip可以為他們提供網(wǎng)上的隱私機制及認證。 由于ip的安全機制的用途與現(xiàn)實的ip或ipv6是不同的，所以ip的安全機制不需要ipv6來部署。它可能比ipv6先流行起來，安全ip的功能會首先被廣泛使用，因為ip層的安全性遠比增加ipv6 ip的需求重要的多。 可以這樣說vpn的安全標準就是ipsec。此外， ipsec中使用的認證算法及加密多是多年研究出來的成果和幾年的驗證的結(jié)果，所以ipsec是非常安全的。第五章隧道協(xié)議和基本隧道

21、要求因為第2層隧道協(xié)議包括點對點隧道協(xié)議和第二層隧道協(xié)議（pptp和l2tp）繼承了一整套的特性完善的ppp協(xié)議為基礎。 用戶驗證 2層隧道協(xié)議繼承了ppp協(xié)議的用戶驗證方式。 動態(tài)地址分配 第2層隧道協(xié)議支持在網(wǎng)絡控制協(xié)議（ncp）協(xié)商機制的基礎上動態(tài)分配客戶地址。 5.1 令牌卡（tokencard）支持通過使用擴展驗證協(xié)議（eap），第2層隧道協(xié)議能夠支持多種驗證方法，包括一次性口令（one-timepassword)，加密計算器（cryptographic calculator）和智能卡等。 5.2 數(shù)據(jù)壓縮第2層隧道協(xié)議支持基于ppp的數(shù)據(jù)壓縮方式5.3 數(shù)據(jù)加密第2層隧道協(xié)議支持基

22、于ppp的數(shù)據(jù)加密機制。5.4 密鑰管理作為第2層協(xié)議的mppe依靠驗證用戶時生成的密鑰，定期對其更新。5.5 多協(xié)議支持 第2層隧道協(xié)議支持多種負載數(shù)據(jù)協(xié)議，從而使隧道客戶能夠訪問使用ip，ipx，或netbeui等多種協(xié)議企業(yè)網(wǎng)絡。第六章 典型實例 vpn拓撲圖下列是移動用戶通過窄帶撥號或adsl撥號t，或直接通過固定ip接入internet。由isp進行nat轉(zhuǎn)換上internet。移動用戶可以采用如下l2tp軟件兩個私網(wǎng)通過gre互連，做ipsec加密，gre隧道上啟用ospf【拓撲圖】第七章 vpn發(fā)展趨勢在國外，企業(yè)端的應用大都是基于ip ,而internet在全社會的信息基礎中起

23、了很重要的作用，在internet上構(gòu)建應用系統(tǒng)中已經(jīng)成為必然的發(fā)展趨勢，所以基于ip的vpn業(yè)務可以獲得了巨大的增長空間。據(jù)某公司預言，在2001年，全球vpn市場將達到120億美元。據(jù)預測，到2004年，北美的vpn業(yè)務收入將增至88億美元。而在中國，制約vpn的發(fā)展、普及的因素大致可分為客觀因素和主觀因素兩方面。 1.客觀因素包括服務質(zhì)量qos問題和因特網(wǎng)帶寬。 在過去來說qos無法保障，對于因特網(wǎng)的專線接入還是遠程接入，以及骨干傳輸?shù)膸挾己苄?，造成了企業(yè)及部門寧愿花費大量的金錢去投資自己的專線網(wǎng)絡或是寧愿花費巨額的長途話費來提供遠程接入。也不愿構(gòu)建vpn，而現(xiàn)在隨著adsl、dwdm

24、、mpls等新技術(shù)的大規(guī)模應用和推廣，上述問題將得到根本改善和解決。比如，過去專線接入速率最高才2mbps，而現(xiàn)在的中國的企業(yè)用戶可以享受到10mbps，乃至100mbps的internet專線接入，而骨干網(wǎng)現(xiàn)在最高已達到40gbps，并且在最近幾年內(nèi)網(wǎng)絡將發(fā)展到上百乃至上千個gbps，這不是技術(shù)問題而是時間問題。隨著internet技術(shù)的不斷發(fā)展進步，可以說vpn在將來幾年內(nèi)將會得到迅速的發(fā)展。 2.主觀因素之一是用戶總害怕自己內(nèi)部的數(shù)據(jù)在internet上傳輸不安全。 其實在我們前面對于vpn的介紹中已經(jīng)提到了vpn能夠提供足夠安全的保障，可以使用戶數(shù)據(jù)不會被泄露、查看、修改。主觀因素之二

25、，也是vpn應用最大的障礙，是客戶自身的應用上沒跟上，只有企業(yè)將自己的業(yè)務完全融入到公用的internet中和網(wǎng)絡聯(lián)系上，vpn才會有了真正的用武之地。 可以想象，當我們消除了以上所有的這些障礙因素后，vpn將會成為企業(yè)部門的網(wǎng)絡中的主要組成部分。在不遠的將來，vpn技術(shù)將成為廣域網(wǎng)建設的最佳解決方案，它不僅會大大節(jié)省廣域網(wǎng)的建設和運行維護費用，而且增強了網(wǎng)絡的可靠性和安全性。同時，vpn會加快企業(yè)網(wǎng)中的建設步伐，使得集團公司不僅僅只是組建自己的內(nèi)部局域網(wǎng)，就能夠很快地把全國各地的分公司局域網(wǎng)安全快速的連起來，從而真正發(fā)揮整個網(wǎng)絡的作用。vpn對推動整個網(wǎng)絡的發(fā)展對于電子商務、電子貿(mào)易將起到不可低估的作用。第八章 ip vpn市場近年來，國際上vpn的市場發(fā)展迅速，特別是ipvpn，具估算，在1999年，vpn的市場為26.7億美元；在2001年全球vpn市場將并預計達到120億美元，到2003年，vpn的市場將增加到320億美元。另據(jù)infornetics research公司預言，到2004年北美的vpn業(yè)務收入將增至88億美元。ip vpn的市場空間如此之大，究其原因主要源于以下一些因素。8.1 internet成為了全球信息基礎設施 在國外，internet應用已經(jīng)比較廣泛，而企業(yè)端正是利用了internet，在internet上構(gòu)虛擬網(wǎng)絡進行傳輸，因此