參考文獻(xiàn)虛擬專用網(wǎng)

1、摘 要本文首先介紹了的定義和研究意義，接著介紹了實現(xiàn)的（包括隧道技術(shù),加認(rèn)證技術(shù)，密鑰管理技術(shù)，控制技術(shù)）以及實現(xiàn)的主要安全協(xié)議，PPTP/ L2TP 協(xié)議、IPSec 協(xié)議，為組網(wǎng)提供了理論指導(dǎo)。最后通過構(gòu)建中小企業(yè)的虛擬網(wǎng)，全面介紹了在Windows server 2003 ISA 2004 環(huán)境下站點到站點和站點到客戶端的的配置，為企業(yè)的構(gòu)建提供參考和借鑒。：隧道，L2TP ，PPTP ，IPSecAbstractthe definition ofThis produrthe keyroduand its study implications. And thentechnologies

2、for implementing awhich includes the Tunneltechnology and its main secure protocols, PPTP/L2TP protocol, IPSEC protocol, SOCKSv5protocol, All these technologies provide the theoretical bases for building anetwork.Finally, by constructing an entof site to site and site to cntrise virtual private netw

3、ork, Iroduced the configurationunder the Windows server 2003 ISA 2004 environment,it provides the referential guideline to theconstruction in entrises.Key words: Tunnel, L2TP, PPTP, IPSec目錄1緒論的定義5的工作原理5的研究背景和意義62的應(yīng)用領(lǐng)域和設(shè)計目標(biāo)82.12.2的主要應(yīng)用領(lǐng)域8的設(shè)計目標(biāo)93實現(xiàn)的和主要協(xié)議113.1 實現(xiàn)3.2的. 11的主要安全協(xié)議.2PPT

4、P/L2TP13IPSec 協(xié)議144實例分析需求分析16方案達(dá)到的目的17組建方案網(wǎng)絡(luò)拓?fù)鋱D185設(shè)備的配置19各部分5.1 公司總部到分支機構(gòu)的ISA配置..4總部ISA支部 ISA配置21配置24連接26連接測試285.2 公司總部站點到移動用戶端的配置2.2總部ISA移動用戶端配置30配置325.2.3連接測試32致謝34參考文獻(xiàn)351緒論1.1的定義（ Virtual Private Network）被定義為通過一個公共網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過的公共網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。

5、虛擬網(wǎng)是對企業(yè)網(wǎng)的擴展。虛擬網(wǎng)可以幫助用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的網(wǎng)絡(luò)建立的安全連接，數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上，一個企業(yè)的虛擬網(wǎng)解決方案也將大幅度的減少用戶花費在城域網(wǎng)和網(wǎng)絡(luò)連接上的費用。同時，這將簡化網(wǎng)絡(luò)的設(shè)計和管理，加速連接新的用戶和。另外，虛擬網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)之間安全通信的虛擬線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬網(wǎng)。1.2的工作原理把因特網(wǎng)用作

6、廣域網(wǎng)，就要克服兩個主要。首先，網(wǎng)絡(luò)經(jīng)常使用多種協(xié)議如 IPX 和 NetBEUI 進(jìn)行通信，但因特網(wǎng)只能處理 IP 流量。所以，就需要提供法，將非 IP 的協(xié)議從一個網(wǎng)絡(luò)傳送到另一個網(wǎng)絡(luò)。其次，網(wǎng)上傳輸?shù)臄?shù)據(jù)包以明文格式傳輸，因而，只要看得到因特網(wǎng)的流量，就能包內(nèi)所含的數(shù)據(jù)。如果公司希望利用因特網(wǎng)傳輸重要的商業(yè)信息，這顯然是一個問題?？朔@些的辦法就是采用了隧道技術(shù)：數(shù)據(jù)包不是公開在網(wǎng)上傳輸，而是首先進(jìn)行加密以確保安全，然后由封裝成 IP 包的形式，通過隧道在網(wǎng)上傳輸，如圖 1-1 所示：圖 1-1工作原理圖源網(wǎng)絡(luò)的隧道發(fā)起器與目標(biāo)網(wǎng)絡(luò)上的隧道發(fā)起器進(jìn)行通信。兩者就加密方案達(dá)成一致，然后隧道

7、發(fā)起器對包進(jìn)行加密，確保安全（為了加強安全，應(yīng)采用驗證過程，以確保連接用戶擁有進(jìn)入目標(biāo)網(wǎng)絡(luò)的相應(yīng)的權(quán)限。大多數(shù)現(xiàn)有的產(chǎn)品支持多種驗證方式）。最后，發(fā)起器將整個加密包封裝成 IP 包。現(xiàn)在不管原先傳輸?shù)氖呛畏N協(xié)議，它都能在純 IP 因特網(wǎng)上傳輸。又因為包進(jìn)行了加密，所以誰也無法原始數(shù)據(jù)。在目標(biāo)網(wǎng)絡(luò)這頭，隧道終結(jié)器收到包后去掉 IP 信息，然后根據(jù)達(dá)成一致的加密方案對包進(jìn)行，將隨后獲得的包發(fā)給接入服務(wù)器或本地路由器，他們在把隱藏的 IPX 包發(fā)到網(wǎng)絡(luò)，最終發(fā)往相應(yīng)目的地。1.3的研究背景和意義隨著網(wǎng)絡(luò)，尤其是網(wǎng)絡(luò)經(jīng)濟的發(fā)展，企業(yè)日益擴張，客戶分布日益廣泛，合作伙伴日益增多，這種情況促使了企業(yè)的效益

8、日益增長，另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷：傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點的專線連接方式已難以適應(yīng)現(xiàn)代企業(yè)的需求。于是企業(yè)對于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求，主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟性、擴展性等方面。在這樣的背景下，以其獨具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞，令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運行與，而地致力于企業(yè)的商業(yè)目標(biāo)的實現(xiàn)。雖然在理解和應(yīng)用方面都是高度復(fù)雜的技術(shù)，甚至確定其是否適用于本公司也一件復(fù)雜的事件，但在大多數(shù)情況下的各種實現(xiàn)方法都可以應(yīng)用于每個公司。即使不需要使用加密數(shù)據(jù)，也可節(jié)省開支。因此，在未來幾年里，客戶和廠商很可能會使用，從而使電子商務(wù)重又獲得生機，畢竟全球化

9、、信息化、電子化是大勢所趨。的應(yīng)用領(lǐng)域和設(shè)計目標(biāo)22.1的主要應(yīng)用領(lǐng)域利用技術(shù)幾乎可以解決所有利用公共通信網(wǎng)絡(luò)進(jìn)行通信的虛擬網(wǎng)絡(luò)連接。歸納起來，有以下幾種主要應(yīng)用領(lǐng)域。（1）移動用戶通過技術(shù)可以在任何時間、任何地點采用撥號、ISDN、DSL、移動IP 和電纜技術(shù)與公司總部、公司內(nèi)聯(lián)網(wǎng)的設(shè)備建立起隧道或密道信，實現(xiàn)連接，此時的用戶終端設(shè)備上必須加裝相應(yīng)的。推而廣之用戶可與任何一臺主機或網(wǎng)絡(luò)在相同策略下利用公共通信網(wǎng)絡(luò)設(shè)施實現(xiàn)。這種應(yīng)用類型也叫Ac應(yīng)用類型。不難證明，其他類型的s(或都是Ac型)，這是基的組合、延s本的伸和擴展。（2）組建內(nèi)聯(lián)網(wǎng)機構(gòu)的總部或中心網(wǎng)絡(luò)與跨地域的分支機構(gòu)網(wǎng)絡(luò)在公共通信基

10、礎(chǔ)設(shè)施上采用的隧道技術(shù)等技術(shù)組織機構(gòu)“”的虛擬網(wǎng)絡(luò)，當(dāng)其將權(quán)的設(shè)備配置在各個公司網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間（即連接邊界處）時，這樣的內(nèi)聯(lián)網(wǎng)還具有管理上的可控、策略集中配置和分布式安全控制的安全特性。利用組建的內(nèi)聯(lián)網(wǎng)也叫ranet。ranet是解決內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。（3）組建外聯(lián)網(wǎng)使用虛擬網(wǎng)絡(luò)技術(shù)在公共通信基礎(chǔ)設(shè)施上將合作伙伴和有共同利益的主機或網(wǎng)絡(luò)與內(nèi)聯(lián)網(wǎng)連接起來，根據(jù)安全策略、資源共享約定規(guī)則實施內(nèi)聯(lián)網(wǎng)內(nèi)的特定主機和網(wǎng)絡(luò)資源與外部特定的主機和網(wǎng)絡(luò)資源相互共享，這在業(yè)務(wù)機構(gòu)和具有相互協(xié)作關(guān)系的內(nèi)聯(lián)網(wǎng)之間具有廣泛的應(yīng)用價值。這樣組建的外聯(lián)網(wǎng)也叫Extranet。Extrane

11、t是解決外聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。若外聯(lián)網(wǎng)的連接和傳輸中使用了加密技術(shù)，必須解決其中的分發(fā)、管理的一致性問題。2.2的設(shè)計目標(biāo)在實際應(yīng)用中，一般來說一個高效、成功的應(yīng)具備以下幾個特點：（1）安全保障雖然實現(xiàn)的技術(shù)和方式很多，但所有的均應(yīng)保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的性和安全性。在非面向連接的公用 IP 網(wǎng)絡(luò)上建立一個邏輯的、點對點的連接，稱之為建立一個隧道，可以利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面，由于直接構(gòu)建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必須確保其

12、上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止用戶對網(wǎng)絡(luò)資源或私有信息的。Extranet將企業(yè)網(wǎng)擴展到合作伙伴和客戶，對安全性提出了更高的要求。（2）服務(wù)質(zhì)量保證（QoS）網(wǎng)絡(luò)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對服務(wù)質(zhì)量保證的要求差別較大。如移動辦公用戶，提供廣泛的連接和覆蓋性是保證服務(wù)的一個主要；而對于擁有眾多分支機構(gòu)的專線網(wǎng)絡(luò)，交互式的企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對于其它應(yīng)用（如等）則對網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源

13、，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量時引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實時性要求高的數(shù)據(jù)得不到及時發(fā)送；而在流量低谷時又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS 通過流量與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。（3）可擴充性和靈活性必須能夠支持通過ranet 和 Extranet 的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。（4）可管理性從用戶角度和運營商的角度應(yīng)可方便地進(jìn)行管理、。在管理方面，要求企業(yè)將其網(wǎng)

14、絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個完善的管理系統(tǒng)是必不可少的。管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險、具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。事實上，管理主要包括安全管理、設(shè)備管理、配置管理、控制列表管理、QoS 管理等內(nèi)容。3實現(xiàn)的和主要協(xié)議3.1實現(xiàn)的（1）隧道技術(shù)隧道技術(shù)(Tunneling)是的底層支撐技術(shù)，所謂隧道，實際上是一種封裝，就是將一種協(xié)議（協(xié)議 X）封裝在另一種協(xié)議（協(xié)議 Y）中傳輸，從而實現(xiàn)協(xié)議X 對公用網(wǎng)絡(luò)的透明性。這里協(xié)議 X 被稱為被封裝協(xié)議，協(xié)議 Y 被

15、稱為封裝協(xié)議，封裝時一般還要加上特定的隧道控制信息，因此隧道協(xié)議的一般形式為（協(xié)議 Y）隧道頭（協(xié)議X）。在公用網(wǎng)絡(luò)（一般指因特網(wǎng)）上傳輸過程中，只有端口或網(wǎng)關(guān)的IP 地址在外邊。隧道解決了專網(wǎng)與公網(wǎng)的兼容問題，其優(yōu)點是能夠隱藏發(fā)送者、接受者的IP 地址以及其它協(xié)議信息。采用隧道技術(shù)向用戶提供了無縫的、安全的、端到端的連接服務(wù)，以確保信息資源的安全。隧道是由隧道協(xié)議形成的。隧道協(xié)議分為第二、第三層隧道協(xié)議，第二層隧道協(xié)議如 L2TP、PPTP、L2F 等，他們工作在 OSI 體系結(jié)構(gòu)的第二層（即數(shù)據(jù)鏈路層）；第三層隧道協(xié)議如 IPSec，GRE 等，工作在 OSI 體系結(jié)構(gòu)的第三層（即網(wǎng)絡(luò)層）

16、。第二層隧道和第三層隧道的本質(zhì)區(qū)別在于：用戶的 IP 數(shù)據(jù)包被封裝在不同的數(shù)據(jù)包中在隧道中傳輸。第二層隧道協(xié)議是建立在點對點協(xié)議 PPP 的基礎(chǔ)上，充分利用 PPP 協(xié)議支持多協(xié)議的特點，先把各種網(wǎng)絡(luò)協(xié)議（如 IP、IPX 等）封裝到 PPP 幀中，再把整個數(shù)據(jù)包裝入隧道協(xié)議。PPTP 和 L2TP 協(xié)議主要用于虛擬網(wǎng)。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠網(wǎng)絡(luò)層協(xié)議進(jìn)行傳輸。無論從可擴充性，還是安全性、可靠性方面，第三層隧道協(xié)議均優(yōu)于第二層隧道協(xié)議。IPSec 即 IP 安全協(xié)議是目前實現(xiàn)功能的最佳選擇。（2）加認(rèn)證技術(shù)加技術(shù)是的另一技術(shù)。為了保證數(shù)據(jù)在傳輸過程中

17、的安全性，不被的用戶竊取或篡改，一般都在傳輸之前進(jìn)行加密，在接受方再對其進(jìn)行。技術(shù)是保證數(shù)據(jù)安全傳輸?shù)?，以密鑰為標(biāo)準(zhǔn)，可將系統(tǒng)分為單鑰（又稱為對稱或私鑰）和雙鑰（又稱為非對稱或公鑰）。單鑰的特點是加密和都使用同一個密鑰，因此，單鑰體制的安全性就是密鑰的安全。其優(yōu)點是加速度快。最有影響的單鑰就是局頒布的 DES 算法（56 比特密鑰）。而 3DES（112 比特密鑰）被認(rèn)為是目前不可破譯的。雙鑰體制下，加密密鑰與密鑰不同，加密密鑰公開，而密鑰，相比單鑰體制，其算法復(fù)雜且加密速度慢。所以現(xiàn)在的大都采用單鑰的 DES 和 3DES 作為加的主要技術(shù)，而以公鑰和單鑰的混合加密體制(即加采用單鑰，而密鑰

18、傳送采鑰)來進(jìn)行網(wǎng)絡(luò)上密鑰交換和管理，不但可以提高了傳輸速度，還具有良好的功能。認(rèn)證技術(shù)可以防止來自第的主動。一般用戶和設(shè)備雙方在交換數(shù)據(jù)之前，先核對證書，如果準(zhǔn)確無誤，雙方才開始交換數(shù)據(jù)。用戶認(rèn)證最常用的技術(shù)是用戶名和方式。而設(shè)備認(rèn)證則需要依賴由 CA 所頒發(fā)的電子。目前主要有的認(rèn)證方式有：簡單口令如質(zhì)詢握手驗證協(xié)議 CHAP 和驗證協(xié)議 PAP 等；動態(tài)口令如動態(tài)令牌和 X.509 數(shù)字等。簡單口令認(rèn)證方式的優(yōu)點是實施簡單、技術(shù)成熟、互操作性好，且支持動態(tài)地加載設(shè)備，可擴展性強。（3）密鑰管理技術(shù)密鑰管理的主要任務(wù)就是保證在開放的網(wǎng)絡(luò)環(huán)境中安全地傳遞密鑰，而不被竊取。目前密鑰管理的協(xié)議包括

19、 ISAKMP、SKIP、MKMP 等。ernet 密鑰交換協(xié)議 IKE 是ernet 安全關(guān)聯(lián)和密鑰管理協(xié)議ISAKMP 語言來定義密鑰的交換，綜合了 Oakley 和 SKEME 的密鑰交換方案，通過協(xié)商安全策略，形成各自的驗證加密參數(shù)。IKE 交換的最終目的是提供一個通過驗證的密鑰以及建立在雙方同意基礎(chǔ)上的安全服務(wù)。SKIP 主要是利用 Diffie-man 的演算法則，在網(wǎng)絡(luò)上傳輸密鑰。IKE 協(xié)議是目前首選的密鑰管理標(biāo)準(zhǔn)，較 SKIP 而言，其主要優(yōu)勢在于定義更靈活，能適應(yīng)不同的加密密鑰。IKE 協(xié)議的缺點是它雖然提供了強大的主機級認(rèn)證，但同時卻只能支持有限的用戶級認(rèn)證，并且不支持非

20、對稱的用戶認(rèn)證。（4）控制技術(shù)虛擬網(wǎng)的基本功能就是不同的用戶對不同的主機或服務(wù)器的權(quán)限是不一樣的。由服務(wù)的提供者與最終網(wǎng)絡(luò)信息資源的提供者共同來協(xié)商確定特定用戶對特定資源的權(quán)限，以此實現(xiàn)基于用戶的細(xì)粒度控制，以實現(xiàn)對信息資源的最大限度的保護(hù)?？刂撇呗钥梢约?xì)分為選擇性控制和強制性控制。選擇性控制是基于主體或主體所在組的，一般被內(nèi)置于許多操作系統(tǒng)當(dāng)中。強制性訪問控制是基于被信息的敏感性。3.2的主要安全協(xié)議在實施的過程中，為了給通過非信任網(wǎng)絡(luò)的私有數(shù)據(jù)提供安全保護(hù)，通訊的雙方首先進(jìn)行認(rèn)證，這中間要經(jīng)過大量的協(xié)商，在此基礎(chǔ)上，發(fā)送方將數(shù)據(jù)加密后發(fā)出，接受對數(shù)據(jù)進(jìn)行完整性檢查，然后，使用。這要求雙方事

21、先確定要使用的加密和完整性檢查算法。由此可見，整個過程必須在雙方共同遵守的規(guī)范( 協(xié)議) 下進(jìn)行。區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵是隧道的建立，數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進(jìn)行封裝、傳送以保證安全性。一般，在數(shù)據(jù)鏈路層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層隧道協(xié)議，常用的有 PPTP , L2TP 等;在網(wǎng)絡(luò)層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議，如 IPSec。另外，SOCKSv5 協(xié)議則在 TCP 層實現(xiàn)數(shù)據(jù)安全。3.2.1PPTP/L2TP1996 年，和 Ascend 等在 PPP 協(xié)議的基礎(chǔ)上開發(fā)了 PPTP ， 它集成于 Windows NTServer4.0 中，Windows NT Worksion

22、 和 Windows 9.X 也提供相應(yīng)的客戶端。PPP 支持多種網(wǎng)絡(luò)協(xié)議，可把 IP 、IPX、AppleTalk 或NetBEUI 的數(shù)據(jù)包封裝在 PPP 包中，再將整個報文封裝在 PPTP 隧道協(xié)議包中，最后，再嵌入 IP 報文或幀中繼或 ATM 中進(jìn)行傳輸。PPTP 提供流量控制，減少擁塞的可能性，避免由于包丟棄而包重傳的數(shù)量。PPTP 的加密方法采用點對點加密(MPPE:Po-to- Po) 算法，可以選用較弱的 40 位密鑰或強度較大的 128 位密鑰。1996 年， Cisco 提出 L2F(Layer 2Forwarding)隧道協(xié)議，它也支持多協(xié)議，但其主要用于 Cisco

23、的路由器和撥號服務(wù)器。1997 年底，和 Cisco 公司把 PPTP 協(xié)議和 L2F 協(xié)議的優(yōu)點結(jié)合在一起，形成了 L2TP 協(xié)議。L2TP 支持多協(xié)議，利用公共網(wǎng)絡(luò)封裝 PPP 幀，可以實現(xiàn)和企業(yè)原有非 IP 網(wǎng)的兼容。還繼承了 PPTP 的流量控制， 支持MP(Multilink Protocol)，把多個物理通道為單一邏輯信道。L2TP 使用 PPP可靠性發(fā)送(RFC 1663)實現(xiàn)數(shù)據(jù)包的可靠發(fā)送。L2TP 隧道在兩端的服務(wù)器之間采用口令握手協(xié)議 CHAP 來驗證對方的.L2TP 受到了許多大公司的支持.PPTP/L2TP 協(xié)議的優(yōu)點: PPTP/L2TP 對用微軟操作系統(tǒng)的 用戶來

24、說很方便，因為微軟己把它作為路由的一部分。PPTP/ L2TP 支持其它網(wǎng)絡(luò)協(xié)議。如NOWELL 的 IPX,NETBEUI 和 APPLETALK 協(xié)議,還支持流量控制。 它通過減少丟棄包來改善網(wǎng)絡(luò)性能，這樣可減少重傳。PPTP/ L2TP 協(xié)議的缺點:PM 和L2TP 將不安全的 IP 包封裝在安全的 IP 包內(nèi)，它們用 IP 幀在兩臺計算機之間創(chuàng)建和打開數(shù)據(jù)通道，一旦通道打開，源和目的用戶就不再需要，這樣可能帶來問題，它不對兩個節(jié)點間的信息傳輸進(jìn)行監(jiān)視或控制。PPTP 和 L2TP 限制同時最多只能連接 255 個用戶，端點用戶需要在連接前手工建立加密信道，認(rèn)證和加密受到限制，沒有強加密

25、和認(rèn)證支持。PPTP/ L2TP 最適合于.3.2.2IPSec 協(xié)議IPSec 是 IETF(ernet Engineer Task Force) 正在完善的安全標(biāo)準(zhǔn)，它把幾種安全技術(shù)結(jié)合在一起形成一個較為完整的體系，受到了眾多廠商的關(guān)注和支持。通過對數(shù)據(jù)加密、認(rèn)證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和性。IPSec 由 IP 認(rèn)證頭 AH(Authentication Header)、IP 安全載荷封載ESP(Encapsulated Security Payload)和密鑰管理協(xié)議組成。IPSec 協(xié)議是一個范圍廣泛、開放的虛擬網(wǎng)安全協(xié)議。IPSec 適應(yīng)向IPv6 遷移， 它提供

26、所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，提供透明的安全通信。IPSec用技術(shù)從三個方面來保證數(shù)據(jù)的安全。即:認(rèn)證：用于對主機和端點進(jìn)行鑒別。完整性檢查：用于保證數(shù)據(jù)在通過網(wǎng)絡(luò)傳輸時沒有被修改。加密：加密 IP 地址和數(shù)據(jù)以保證私有性。IPSec 協(xié)議可以設(shè)置成在兩種模式下運行:一種是隧道模式，一種是傳輸模式。 在隧道模式下，IPSec 把 IPv4 數(shù)據(jù)包封裝在安全的 IP 幀 中,這樣保護(hù)從一個到另一個時的安全性。在隧道模式下，信息封裝是為了保護(hù)端到端的安全性，即在這種模式下不會隱藏路由信息。隧道模式是最安全的，但會帶來較大的系統(tǒng)開銷。IPSec 現(xiàn)在還不完全成熟，但它得到了一些路由器廠商和硬件廠商的大力

27、支持。預(yù)計它今后將成為虛擬網(wǎng)的主要標(biāo)準(zhǔn)。IPSec 有擴展能力以適應(yīng)未來商業(yè)的需要。在 1997 年底，IETF組完成了 IPSec 的擴展， 在 IPSec 協(xié)議中加上 ISAKMP(ernet Security Assotion and KayManagement Protocol) 協(xié)議， 其中還包括一個密鑰分配協(xié)議 Oakley 。ISAKMP/Oakley 支持自動建立加密信道，密鑰的自動安全分發(fā)和更新。IPSec 也可用于連接其它層己存在的通信協(xié)議，如支持安全電子交易(SET:SecureElectronic Tranion)協(xié)議和 SSL（Secure Socket layer）

28、協(xié)議。即使不用SET 或 SSL,IPSec 都能提供認(rèn)證和加密以保證信息的傳輸。4實例分析的具體實現(xiàn)方案有很多，實際應(yīng)用中應(yīng)根據(jù)用戶的需求、用戶資源現(xiàn)狀、承載網(wǎng)絡(luò)資源現(xiàn)狀、投資效益以及相關(guān)技術(shù)比較等多種綜合考慮，選擇一種主流的方案。在本文中就以一個中小型企業(yè)為例模擬實際環(huán)境建立一個基于ISA 的企業(yè)網(wǎng)絡(luò)以滿足辦公、和合作伙伴的要求。這個實驗在理論的指導(dǎo)下實現(xiàn)了一種的實際應(yīng)用，為中小企業(yè)設(shè)計網(wǎng)絡(luò)提供參考和借鑒。4.1需求分析隨著公司的發(fā)展壯門某公司在開辦了來進(jìn)一步發(fā)展業(yè)務(wù)，公司希望總部和、總部與合作伙伴可以隨時的進(jìn)行安全的信息溝通，而外出辦公可以到企業(yè)關(guān)鍵數(shù)據(jù)，隨時隨地共享商業(yè)信息，提高工作效

29、率。一些大型公司解決這個問題的方法，就是在各個公司之間租用運營商的線路。這個辦法雖然能解決問題，但是費用昂貴，對于中小企業(yè)來說是無法負(fù)擔(dān)的，而技術(shù)能解決這個問題。根據(jù)該公司用戶的需求，遵循著方便實用、高效低成本、安全可靠、網(wǎng)絡(luò)架構(gòu)彈性大等相關(guān)原則決定采用 ISA Server安全方案，以 ISA 作為網(wǎng)絡(luò)的安全控制。ISA Server 集成了 Windowsserver服務(wù)，提供一個完善的和解決方案。以 ISA作為連接ernet 的安全網(wǎng)關(guān)，并使網(wǎng)卡，隔開內(nèi)，增加性。ISA具備了基于策略的安全性，并且能夠加速和管理對ernet 的。能對數(shù)據(jù)包層、鏈路層和應(yīng)用層進(jìn)行數(shù)據(jù)過濾、對穿過的數(shù)據(jù)進(jìn)行狀

30、態(tài)檢查、對策略進(jìn)行控制并對網(wǎng)絡(luò)通信進(jìn)行路由。對于各種規(guī)模的企業(yè)來說，ISAServer 都可以增強性、一致的ernet 使用策略、加速ernet并實現(xiàn)員工工作效率最大化。在ISA 中可以使用以下三種協(xié)議來建立連接：IPSEC 隧道模式；L2TP over IPSec 模式；PPTP；下表比較了這三種協(xié)議：表 4-1ISA 中三種協(xié)議對比表三個站點都采用ISA作為安全網(wǎng)關(guān)，且L2TP over IPSec 結(jié)合了L2TP和IPSec 的優(yōu)點，所以在這里采用L2TP over IPSec 作為實施方案。4.2方案達(dá)到的目的1)廈門總部和之間以及廈門總部和合作伙伴之間透過聯(lián)機采用IPSec 協(xié)定，確

31、保傳輸數(shù)據(jù)的安全；2)在外出差或想要連回總部或的用戶也可使用 IPSec 方式連回企業(yè)網(wǎng)路；3)對總部內(nèi)網(wǎng)實施上網(wǎng)的控制，通過設(shè)備的控制策略，對的PC 進(jìn)行嚴(yán)格的控制。4)對可以抵御的，起到 Firewall 作用。具有控制和限制的安全機制和措施，具備和抗等功能；協(xié)議何時使用安全等級備注IPSec 隧道模式連接到第的服務(wù)器高這是唯一一種可以連接到非微軟服務(wù)器的方式L2TP over IPSec連接到 ISA Server 2000、 ISA Server 2004 或者 Windows服務(wù)器高使用 RRAS。比 IPSec 隧道模式更容易理解，但是要求服務(wù)器是 ISA Server 或者Win

32、dows服務(wù)器。PPTP連接到 ISA Server 2000、 ISA Server 2004 或者 Windows服務(wù)器中等使用 RRAS，和 L2TP 具有同樣的限制，但是更容易配置。因為使用 IPSec 加密，L2TP 更認(rèn)為更安全。5) 部署靈活，方便，提供強大的管理功能，以減少系統(tǒng)的量以適應(yīng)大規(guī)模組網(wǎng)需要。4.3組建方案網(wǎng)絡(luò)拓?fù)鋱D圖 4-1組建網(wǎng)絡(luò)拓?fù)鋱D5各部分設(shè)備的配置公司總部和分支機構(gòu)之間與公司總部和合作伙伴之間的通信，都是站點對站點的方式，只是權(quán)限設(shè)置不一樣，公司總部和分支機構(gòu)要實現(xiàn)的公司分支機構(gòu)共享總部的資源，公司總部和合作伙伴要實現(xiàn)是資源共享和互訪。兩者之間的差別是合作伙

33、伴的接入上設(shè)置了可以總部可以的操作。因為三個站點都采用ISA作為安全網(wǎng)關(guān)，所以以下站點對站點的配置就以公司總部到分支機構(gòu)為例，說明在ISA 上實現(xiàn)模擬基本拓?fù)鋱D：的具體操作。圖 5-1 實驗?zāi)M網(wǎng)絡(luò)拓?fù)鋱D5.1公司總部到分支機構(gòu)的 ISA配置各主機的 TCP/IP 為：廈門總部外部網(wǎng)絡(luò)：IP：DG：網(wǎng)絡(luò)：IP：67DG：None分部外部網(wǎng)絡(luò)：IP：DG：網(wǎng)絡(luò)：IP:DG：None在總部和支部之間建立一個基于 IPSec 的站點到站點的連接，由支部向總部進(jìn)行請求撥號，具體步驟如下：在總部 ISA 服務(wù)器上建立站點；建立此站點的網(wǎng)絡(luò)規(guī)則；建立此站點的規(guī)則；在總部為站點的撥入建立用戶；在支部 ISA

34、 服務(wù)器上建立站點；建立此站點的網(wǎng)絡(luò)規(guī)則；建立此站點的規(guī)則；測試連接；5.1.1總部ISA配置1、在總部 ISA 服務(wù)器上建立分支機構(gòu)站點1)打開 ISA Server 2004 控制臺，點擊虛擬網(wǎng)絡(luò)，點擊右邊任務(wù)面板中的添加站點網(wǎng)絡(luò)；2)在歡迎使用網(wǎng)絡(luò)創(chuàng)建向?qū)ы摚斎胝军c的名字 Branch，點擊下一步；3)在協(xié)議頁，選擇 IPSec 上的第二層隧道協(xié)議（L2TP），點擊下一步；4)在站點網(wǎng)關(guān)頁，輸入服務(wù)器的名稱或 IP 地址，如果輸入名稱，需確保可以正確，在這里輸入 點擊下一步；5)在網(wǎng)絡(luò)地址頁，點擊添加輸入與此網(wǎng)卡關(guān)聯(lián)的 IP 地址范圍，在此輸入 和 55，點擊確定后，點擊下一步繼續(xù)；6

35、)在正在完成新建網(wǎng)絡(luò)向?qū)ы摚c擊完成。圖 5-2總部建立的站點圖7)打開客戶端，點擊配置客戶端，在常規(guī)頁中，選擇啟用客戶端，填入允許的最大客戶端數(shù)量 20，在協(xié)議頁，選擇啟用 PPTP（N）和啟用 L2TP/IPSEC（E）點擊確定。8)點擊選擇驗證方法，選擇加密的驗證版本 2（MS-CHAPv2）（M）和允許L2TP 連接自定義IPSec 策略（L）,輸入預(yù)共享的密鑰main04jsja.9)點擊定義地址分配，在地址分配頁，選擇靜態(tài)地址池，點擊添加，添加連接后總部主機分配的給客戶端的 IP 地址段，在這里輸入-55，點擊確定完成設(shè)置。（方便測試連接，可不添加）2、在總部上建立此站點的網(wǎng)絡(luò)規(guī)則

36、接下來，路由關(guān)系。需要建立一條網(wǎng)絡(luò)規(guī)則，為站點和網(wǎng)絡(luò)間的定義1)配置下的網(wǎng)絡(luò)，然后點擊新建，選擇網(wǎng)絡(luò)規(guī)則；2)在新建網(wǎng)絡(luò)規(guī)則向?qū)ы?，輸入?guī)則名字，在此命名為ernal to Branch，點擊下一步;3)在網(wǎng)絡(luò)通訊源頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的，點擊下一步；4)在網(wǎng)絡(luò)通訊目標(biāo)頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的 Branch，點擊下一步；5)在網(wǎng)絡(luò)關(guān)系頁，選擇路由，然后點擊下一步；6)在正在完成新建網(wǎng)絡(luò)規(guī)則向?qū)ы摚c擊完成；圖 5-3 總部網(wǎng)絡(luò)規(guī)則圖3、在總部上建立此站點的規(guī)則現(xiàn)在，需要為站點和網(wǎng)絡(luò)間的互訪建立規(guī)則，1)策略，選擇新建，點擊規(guī)則；2)在歡迎使用新建規(guī)則向?qū)ы?，輸入?guī)則名稱，在此命名

37、為 maobranch，點擊下一步；3)在規(guī)則操作頁，選擇允許，點擊下一步；4)在協(xié)議頁，選擇所選的協(xié)議，然后添加 HTTP 和，(這里可以再根據(jù)實際需要添加協(xié)議)點擊下一步；5)在規(guī)則源頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的 Branch 和，點擊下一步；6)在規(guī)則目標(biāo)頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的 Branch 和，點擊下一步；7)在用戶集頁，接受默認(rèn)的所有用戶，點擊下一步；在正在完成新建規(guī)則向?qū)ы摚c擊完成；8)最后，點擊應(yīng)用以保存修改和更新設(shè)置。此時在警報里面有提示，需要重啟 ISA 服務(wù)器，所以，需要重啟 ISA 計算機。圖 5-4 總部控制圖4、在總部上為站點的撥入建立用戶1)在重啟總部

38、ISA 服務(wù)器后，以管理員登錄，2)在電腦上點擊右鍵，選擇管理，選擇在本地用戶和組里面，右擊用戶，選擇新用戶，這個撥入用戶的名字一定要和站點的名字一致，在此是 main，輸入main，選中用戶不能修改和永不過期，取消勾選用戶必須在下次登錄時修改，點擊創(chuàng)建；3)右擊此用戶，選擇屬性；在用戶屬性的撥入，選擇允許，點擊確定。圖 5-5 總部用戶創(chuàng)建圖此時，客戶端撥入總部的用戶賬號就建好了。5.1.2支部 ISA配置1、在支部 ISA 服務(wù)器上添加站點1)打開 ISA Server 2004 控制臺，點擊虛擬網(wǎng)絡(luò)，點擊右邊任務(wù)面板中的添加站點網(wǎng)絡(luò)；2)在歡迎使用網(wǎng)絡(luò)創(chuàng)建向?qū)ы摚斎胝军c的名字 Main

39、，點擊下一步；3)在協(xié)議頁，選擇 IPSec 上的第二層隧道協(xié)議（L2TP），點擊下一步；4)在站點網(wǎng)關(guān)頁，輸入服務(wù)器的名稱或 IP 地址，如果輸入名稱，需確保可以正確，在這里輸入 ，點擊下一步；5)在驗證頁，輸入用戶名 main，輸入main，點擊下一步繼續(xù)；6)在網(wǎng)絡(luò)地址頁，點擊添加輸入與此網(wǎng)卡關(guān)聯(lián)的 IP 地址范圍，在此輸入 和 55，點擊確定后，點擊下一步繼續(xù)；7)在正在完成新建網(wǎng)絡(luò)向?qū)ы?，點擊完成。圖 5-6 支部建立的站點圖2、建立此站點的網(wǎng)絡(luò)規(guī)則接下來，需要建立一條網(wǎng)絡(luò)規(guī)則，為站點和網(wǎng)絡(luò)間的定義路由關(guān)系。1)右擊配置下的網(wǎng)絡(luò)，然后點擊新建，選擇網(wǎng)絡(luò)規(guī)則；2)在新建網(wǎng)絡(luò)規(guī)則向?qū)ы摚?/p>

40、輸入規(guī)則名字，在此我命名為-Main，點擊下一步；3)在網(wǎng)絡(luò)通訊源頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的，點擊下一步；4)在網(wǎng)絡(luò)通訊目標(biāo)頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的 Main，點擊下一步；5)在網(wǎng)絡(luò)關(guān)系頁，選擇路由，然后點擊下一步；6)在正在完成新建網(wǎng)絡(luò)規(guī)則向?qū)ы?，點擊完成；圖 5-7 支部的網(wǎng)絡(luò)規(guī)則圖3、建立此站點的規(guī)則在創(chuàng)建完站點和站點的網(wǎng)絡(luò)規(guī)則之后需要為站點和網(wǎng)絡(luò)間的互訪建立規(guī)則，1)右擊策略，選擇新建，點擊規(guī)則；2)在歡迎使用新建規(guī)則向?qū)ы?，輸入?guī)則名稱，在此我命名為 branch tomain ，點擊下一步；3)在規(guī)則操作頁，選擇允許，點擊下一步；4)在協(xié)議頁，選擇所選的協(xié)議，然后添加 H

41、TTP 和，點擊下一步；5)在規(guī)則源頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的 Main 和，點擊下一步；6)在規(guī)則目標(biāo)頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的 Main 和，點擊下一步；7) 在用戶集頁，接受默認(rèn)的所有用戶，點擊下一步；在正在完成新建規(guī)則向?qū)ы?，點擊完成；8) 最后，點擊應(yīng)用以保存修改和更新設(shè)置。圖 5-8 支部的控制圖此時在警報里面有提示，需要重啟 ISA 服務(wù)器，所以，ISA 計算機。需要重啟支部5.1.3連接在支部的路由和控制臺中，展開服務(wù)器，1) 點擊網(wǎng)絡(luò)接口，這時就會出現(xiàn)創(chuàng)建的 main 網(wǎng)絡(luò)撥號接口，屬性，在安全頁選擇高級設(shè)置下的 IPSec 設(shè)置，在使用預(yù)共享的密鑰作驗證（U）的選框

42、里打勾，并輸入密鑰 main04jsja, 點擊兩次確定，完成密鑰設(shè)置。2)設(shè)置憑據(jù)，在接口憑據(jù)頁，輸入此接口連接到路由器使用的憑據(jù)，因為在ISA 端設(shè)置為 main 所以這里輸入的用戶為 main，點擊確定。圖 5-9 連接驗證圖3)右鍵 main 點擊連接圖 5-10 正在進(jìn)行連接示意圖圖 5-11 已連接上示意圖到此為止站點到站點的已經(jīng)構(gòu)建好了，在上面的設(shè)置中，的支部不允許總部進(jìn)行，如果要設(shè)成可以互相，支部的配置只要參照總部的配置就可以實現(xiàn)了。5.1.4連接測試之前在靜態(tài)地址池里設(shè)置了連接后分配的 IP 地址，因此測試是否連接時只要查支部主機的 IP 地址就可以了，在測試的結(jié)果中，出現(xiàn)了

43、 這個分配的 IP 地址，說明已成功連接上總部的 ISA服務(wù)器。圖 5-12 支部主機連接后的 ipconfig 圖在支部的主機上總部的某一主機，如下所示，雖然第一次連接時間超時，沒有回應(yīng)，但是接下來的三個連接都可以通，說明已經(jīng)成功連接，并可以到總部內(nèi)網(wǎng)的其他主機。圖 5-13 支部通總部網(wǎng)絡(luò)圖5.2公司總部站點到移動用戶端的配置總部外部網(wǎng)絡(luò)：IP：DG：網(wǎng)絡(luò)：IP：67DG：None移動用戶IP：在總部和移動用戶之間建立一個基于 IPSec 的連接，具體步驟如下：在總部 ISA 服務(wù)器上建立網(wǎng)絡(luò)規(guī)則建立此站點的規(guī)則；在總部為站點的撥入建立用戶；在客戶端建立撥號連接測試連接；5.2.1總部ISA配置1、創(chuàng)建移動客戶端1)打開 ISA Server 2004 控制臺，點擊虛擬網(wǎng)絡(luò)，點擊右邊任務(wù)面板中常規(guī)配置中的選擇網(wǎng)絡(luò)2)在虛擬網(wǎng)絡(luò)（）屬性頁 選擇網(wǎng)絡(luò),選中外部和所有網(wǎng)絡(luò)（和本機）3)選擇地址分配頁，這里需要在靜態(tài)地址池里面添