VPN虛擬專用網(wǎng)畢業(yè)論文

1、PAGE PAGE V畢業(yè)設(shè)計（論論文）誠信信聲明書本人鄭重聲聲明：在畢畢業(yè)設(shè)計（論論文）工作作中嚴(yán)格遵遵守學(xué)校有有關(guān)規(guī)定，恪恪守學(xué)術(shù)規(guī)規(guī)范；我所所提交的畢畢業(yè)設(shè)計（論論文）是本本人在 指導(dǎo)教教師的指導(dǎo)導(dǎo)下獨立研研究、撰寫寫的成果，設(shè)設(shè)計（論文文）中所引引用他人的的文字、研研究成果，均均已在設(shè)計計（論文）中中加以說明明；在本人人的畢業(yè)設(shè)設(shè)計（論文文）中未剽剽竊、抄襲襲他人的學(xué)學(xué)術(shù)觀點、思想和成成果，未篡改改實驗數(shù)據(jù)據(jù)。本設(shè)計（論論文）和資資料若有不不實之處，本本人愿承擔(dān)擔(dān)一切相關(guān)關(guān)責(zé)任。學(xué)生簽名： 年 月 日摘 要本文首先介介紹了VPPN的定義義和研究意意義，接著著介紹了實實現(xiàn)VPNN的關(guān)鍵技

2、技術(shù)（包括括隧道技術(shù)術(shù),加解密密認(rèn)證技術(shù)術(shù)，密鑰管管理技術(shù)，訪訪問控制技技術(shù)）以及及實現(xiàn)VPPN的主要要安全協(xié)議議，PPTTP/ LL2TP協(xié)協(xié)議、IPPSec協(xié)協(xié)議，為VVPN組網(wǎng)網(wǎng)提供了理理論指導(dǎo)。最后通過過構(gòu)建中小小企業(yè)的虛虛擬專用網(wǎng)網(wǎng)，全面介介紹了在WWindoows sserveer 20003 IISA 22004環(huán)環(huán)境下站點點到站點和和站點到客客戶端的VVPN的配配置，為企企業(yè)的VPPN構(gòu)建提提供參考和和借鑒。關(guān)鍵詞：隧隧道，L22TP ，PPTTP ，IPSSecAbstrractThis papeer fiirst intrroducces tthe ddefinnitioo

3、n of VPN and its studdy impliicatiions. Andd theen inntrodducess thee keyy tecchnollogiees foor immplemmentiing aa VPNN whicch inncluddes tthe TTunneel teechnoologyy andd itss maiin seecuree prootocools, PPTPP/L2TPP prootocool, IIPSECC prootocool, SSOCKSSv5 pprotoocol, Alll theese ttechnnologgies pr

4、ovvide the theooretiical basees foor buuildiing aa VPNN nettworkk. Finaally, by consstrucctingg an enteerpriise vvirtuual pprivaate nnetwoork, I inntrodducedd thee connfiguuratiion oof siite tto siite aand ssite to ccliennt VPPN unnder the Winddows servver 22003 ISA 20044 envvironnmentt, itt proovid

5、ees thhe reefereentiaal guuidelline to tthe VVPN cconsttructtion in eenterrprisses.Key wwordss: Tunnnel, L2TTP, PPTTP, IPSSec目錄TOC o 1-3 u1緒論 PAGEREF _Toc200425633 h 11.1 VPN的的定義 PAGEREF _Toc200425634 h 11.2 VPN的的工作原理理 PAGEREF _Toc200425635 h 11.3 VPN的的研究背景景和意義 PAGEREF _Toc200425636 h 22VPNN的應(yīng)用領(lǐng)領(lǐng)域和設(shè)

6、計計目標(biāo) PAGEREF _Toc200425637 h 42.1 VPN的的主要應(yīng)用用領(lǐng)域 PAGEREF _Toc200425638 h 42.2 VPN的的設(shè)計目標(biāo)標(biāo) PAGEREF _Toc200425639 h 53實現(xiàn)VVPN的關(guān)關(guān)鍵技術(shù)和和主要協(xié)議議 PAGEREF _Toc200425640 h 73.1 實現(xiàn)VPNN的關(guān)鍵技技術(shù) PAGEREF _Toc200425641 h 73.2 VPN的的主要安全全協(xié)議 PAGEREF _Toc200425642 h 93.2.11PPTPP/L2TTP PAGEREF _Toc200425643 h 93.2.22IPSeec協(xié)議

7、PAGEREF _Toc200425644 h 104實例分分析 PAGEREF _Toc200425645 h 124.1 需求分析析 PAGEREF _Toc200425646 h 124.2 方案達到到的目的 PAGEREF _Toc200425647 h 134.3 VPN組組建方案網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D圖 PAGEREF _Toc200425648 h 145各部分分VPN設(shè)備備的配置 PAGEREF _Toc200425649 h 155.1 公司總部部到分支機機構(gòu)的ISSA VPPN配置 PAGEREF _Toc200425650 h 155.1.11 總部部ISA VPNN配置 PAGE

8、REF _Toc200425651 h 175.1.22 支部 ISSA VVPN配置置 PAGEREF _Toc200425652 h 205.1.33 VPPN連接 PAGEREF _Toc200425653 h 225.1.44 連接接測試 PAGEREF _Toc200425654 h 235.2 公司總部部站點到移移動用戶端端的VPNN配置 PAGEREF _Toc200425655 h 245.2.11 總部部ISA VPNN配置 PAGEREF _Toc200425656 h 255.2.22 移動動用戶端VVPN配置置 PAGEREF _Toc200425657 h 275.2

9、.33 連接接測試 PAGEREF _Toc200425658 h 27致謝 PAGEREF _Toc200425659 h 299參考文獻 PAGEREF _Toc200425660 h 30緒論1.1 VPN的定定義VPN（ Virttual Privvate Netwwork）被被定義為通通過一個公公共網(wǎng)絡(luò)（通通常是因特特網(wǎng)）建立立一個臨時時的、安全全的連接，是是一條穿過過混亂的公公共網(wǎng)絡(luò)的的安全、穩(wěn)穩(wěn)定的隧道道。虛擬專專用網(wǎng)是對對企業(yè)內(nèi)部部網(wǎng)的擴展展。虛擬專專用網(wǎng)可以以幫助遠程程用戶、公公司分支機機構(gòu)、商業(yè)業(yè)伙伴及供供應(yīng)商同公公司的內(nèi)部部網(wǎng)絡(luò)建立立可信的安安全連接，并并保證數(shù)據(jù)據(jù)的安全

10、傳傳輸。通過過將數(shù)據(jù)流流轉(zhuǎn)移到低低成本的網(wǎng)網(wǎng)絡(luò)上，一一個企業(yè)的的虛擬專用用網(wǎng)解決方方案也將大大幅度的減減少用戶花花費在城域域網(wǎng)和遠程程網(wǎng)絡(luò)連接接上的費用用。同時，這這將簡化網(wǎng)網(wǎng)絡(luò)的設(shè)計計和管理，加加速連接新新的用戶和和網(wǎng)站。另另外，虛擬擬專用網(wǎng)還還可以保護護現(xiàn)有的網(wǎng)網(wǎng)絡(luò)投資。隨著用戶戶的商業(yè)服服務(wù)不斷發(fā)發(fā)展，企業(yè)業(yè)的虛擬專專用網(wǎng)解決決方案可以以使用戶將將精力集中中到自己的的生意上，而而不是網(wǎng)絡(luò)絡(luò)上。虛擬擬專用網(wǎng)可可用于不斷斷增長的移移動用戶的的全球因特特網(wǎng)接入，以以實現(xiàn)安全全連接；可可用于實現(xiàn)現(xiàn)企業(yè)網(wǎng)站站之間安全全通信的虛虛擬專用線線路，用于于經(jīng)濟有效效地連接到到商業(yè)伙伴伴和用戶的的安全外聯(lián)聯(lián)

11、網(wǎng)虛擬專專用網(wǎng)。1.2 VPN的工工作原理把因特網(wǎng)用用作專用廣廣域網(wǎng)，就就要克服兩兩個主要障障礙。首先先，網(wǎng)絡(luò)經(jīng)經(jīng)常使用多多種協(xié)議如如IPX和和NetBBEUI進進行通信，但但因特網(wǎng)只只能處理IIP流量。所以，VVPN就需需要提供一一種方法，將將非IP的的協(xié)議從一一個網(wǎng)絡(luò)傳傳送到另一一個網(wǎng)絡(luò)。其次，網(wǎng)網(wǎng)上傳輸?shù)牡臄?shù)據(jù)包以以明文格式式傳輸，因因而，只要要看得到因因特網(wǎng)的流流量，就能能讀取包內(nèi)內(nèi)所含的數(shù)數(shù)據(jù)。如果果公司希望望利用因特特網(wǎng)傳輸重重要的商業(yè)業(yè)機密信息息，這顯然然是一個問問題。VPPN克服這這些障礙的的辦法就是是采用了隧隧道技術(shù)：數(shù)據(jù)包不不是公開在在網(wǎng)上傳輸輸，而是首首先進行加加密以確保

12、保安全，然然后由VPPN封裝成成IP包的的形式，通通過隧道在在網(wǎng)上傳輸輸，如圖11-1所示示：圖1-1 VPN工工作原理圖圖源網(wǎng)絡(luò)的VVPN隧道道發(fā)起器與與目標(biāo)網(wǎng)絡(luò)絡(luò)上的VPPN隧道發(fā)發(fā)起器進行行通信。兩兩者就加密密方案達成成一致，然然后隧道發(fā)發(fā)起器對包包進行加密密，確保安安全（為了了加強安全全，應(yīng)采用用驗證過程程，以確保保連接用戶戶擁有進入入目標(biāo)網(wǎng)絡(luò)絡(luò)的相應(yīng)的的權(quán)限。大大多數(shù)現(xiàn)有有的VPNN產(chǎn)品支持持多種驗證證方式）。最后，VPPN發(fā)起器器將整個加加密包封裝裝成IP包包。現(xiàn)在不不管原先傳傳輸?shù)氖呛魏畏N協(xié)議，它它都能在純純IP因特特網(wǎng)上傳輸輸。又因為為包進行了了加密，所所以誰也無無法讀取原原始

13、數(shù)據(jù)。在目標(biāo)網(wǎng)絡(luò)絡(luò)這頭，VVPN隧道道終結(jié)器收收到包后去去掉IP信信息，然后后根據(jù)達成成一致的加加密方案對對包進行解解密，將隨隨后獲得的的包發(fā)給遠遠程接入服服務(wù)器或本本地路由器器，他們在在把隱藏的的IPX包包發(fā)到網(wǎng)絡(luò)絡(luò)，最終發(fā)發(fā)往相應(yīng)目目的地。1.3 VPN的研研究背景和和意義隨著網(wǎng)絡(luò)，尤尤其是網(wǎng)絡(luò)絡(luò)經(jīng)濟的發(fā)發(fā)展，企業(yè)業(yè)日益擴張張，客戶分分布日益廣廣泛，合作作伙伴日益益增多，這這種情況促促使了企業(yè)業(yè)的效益日日益增長，另另一方面也也越來越凸凸現(xiàn)傳統(tǒng)企企業(yè)網(wǎng)的功功能缺陷：傳統(tǒng)企業(yè)業(yè)網(wǎng)基于固固定物理地地點的專線線連接方式式已難以適適應(yīng)現(xiàn)代企企業(yè)的需求求。于是企企業(yè)對于自自身的網(wǎng)絡(luò)絡(luò)建設(shè)提出出了更高的

14、的需求，主主要表現(xiàn)在在網(wǎng)絡(luò)的靈靈活性、安安全性、經(jīng)經(jīng)濟性、擴擴展性等方方面。在這這樣的背景景下，VPPN以其獨獨具特色的的優(yōu)勢贏得得了越來越越多的企業(yè)業(yè)的青睞，令令企業(yè)可以以較少地關(guān)關(guān)注網(wǎng)絡(luò)的的運行與維維護，而更更多地致力力于企業(yè)的的商業(yè)目標(biāo)標(biāo)的實現(xiàn)。雖然VPNN在理解和和應(yīng)用方面面都是高度度復(fù)雜的技技術(shù)，甚至至確定其是是否適用于于本公司也也一件復(fù)雜雜的事件，但但在大多數(shù)數(shù)情況下VVPN的各各種實現(xiàn)方方法都可以以應(yīng)用于每每個公司。即使不需需要使用加加密數(shù)據(jù)，也也可節(jié)省開開支。因此此，在未來來幾年里，客客戶和廠商商很可能會會使用VPPN，從而而使電子商商務(wù)重又獲獲得生機，畢畢竟全球化化、信息化化

15、、電子化化是大勢所所趨。VPN的應(yīng)應(yīng)用領(lǐng)域和和設(shè)計目標(biāo)標(biāo)2.1 VPN的主主要應(yīng)用領(lǐng)領(lǐng)域利用VPNN技術(shù)幾乎乎可以解決決所有利用用公共通信信網(wǎng)絡(luò)進行行通信的虛虛擬專用網(wǎng)網(wǎng)絡(luò)連接的的問題。歸歸納起來，有有以下幾種種主要應(yīng)用用領(lǐng)域。（1）遠程程訪問遠程移動用用戶通過VVPN技術(shù)術(shù)可以在任任何時間、任何地點點采用撥號號、ISDDN、DSSL、移動動IP和電電纜技術(shù)與與公司總部部、公司內(nèi)內(nèi)聯(lián)網(wǎng)的VVPN設(shè)備備建立起隧隧道或密道道信，實現(xiàn)現(xiàn)訪問連接接，此時的的遠程用戶戶終端設(shè)備備上必須加加裝相應(yīng)的的VPN軟軟件。推而而廣之，遠遠程用戶可可與任何一一臺主機或或網(wǎng)絡(luò)在相相同策略下下利用公共共通信網(wǎng)絡(luò)絡(luò)設(shè)施實

16、現(xiàn)現(xiàn)遠程VPPN訪問。這種應(yīng)用用類型也叫叫Acceess VVPN(或或訪問型VVPN)，這這是基本的的VPN應(yīng)應(yīng)用類型。不難證明明，其他類類型的VPPN都是AAccesss VPPN的組合合、延伸和和擴展。（2）組建建內(nèi)聯(lián)網(wǎng)一個組織機機構(gòu)的總部部或中心網(wǎng)網(wǎng)絡(luò)與跨地地域的分支支機構(gòu)網(wǎng)絡(luò)絡(luò)在公共通通信基礎(chǔ)設(shè)設(shè)施上采用用的隧道技技術(shù)等VPPN技術(shù)構(gòu)構(gòu)成組織機機構(gòu)“內(nèi)部”的虛擬專專用網(wǎng)絡(luò)，當(dāng)當(dāng)其將公司司所有權(quán)的的VPN設(shè)設(shè)備配置在在各個公司司網(wǎng)絡(luò)與公公共網(wǎng)絡(luò)之之間（即連連接邊界處處）時，這這樣的內(nèi)聯(lián)聯(lián)網(wǎng)還具有有管理上的的自主可控控、策略集集中配置和和分布式安安全控制的的安全特性性。利用VVPN組建建

17、的內(nèi)聯(lián)網(wǎng)網(wǎng)也叫Inntrannet VVPN。IIntraanet VPN是是解決內(nèi)聯(lián)聯(lián)網(wǎng)結(jié)構(gòu)安安全和連接接安全、傳傳輸安全的的主要方法法。（3）組建建外聯(lián)網(wǎng) 使用虛擬專專用網(wǎng)絡(luò)技技術(shù)在公共共通信基礎(chǔ)礎(chǔ)設(shè)施上將將合作伙伴伴和有共同同利益的主主機或網(wǎng)絡(luò)絡(luò)與內(nèi)聯(lián)網(wǎng)網(wǎng)連接起來來，根據(jù)安安全策略、資源共享享約定規(guī)則則實施內(nèi)聯(lián)聯(lián)網(wǎng)內(nèi)的特特定主機和和網(wǎng)絡(luò)資源源與外部特特定的主機機和網(wǎng)絡(luò)資資源相互共共享，這在在業(yè)務(wù)機構(gòu)構(gòu)和具有相相互協(xié)作關(guān)關(guān)系的內(nèi)聯(lián)聯(lián)網(wǎng)之間具具有廣泛的的應(yīng)用價值值。這樣組組建的外聯(lián)聯(lián)網(wǎng)也叫EExtraanet VPN。Extrranett VPNN是解決外外聯(lián)網(wǎng)結(jié)構(gòu)構(gòu)安全和連連接安全、傳輸安

18、全全的主要方方法。若外外聯(lián)網(wǎng)VPPN的連接接和傳輸中中使用了加加密技術(shù)，必必須解決其其中的密碼碼分發(fā)、管管理的一致致性問題。2.2 VPN的設(shè)設(shè)計目標(biāo)在實際應(yīng)用用中，一般般來說一個個高效、成成功的VPPN應(yīng)具備備以下幾個個特點：（1）安全全保障雖然實現(xiàn)VVPN的技技術(shù)和方式式很多，但但所有的VVPN均應(yīng)應(yīng)保證通過過公用網(wǎng)絡(luò)絡(luò)平臺傳輸輸數(shù)據(jù)的專專用性和安安全性。在在非面向連連接的公用用IP網(wǎng)絡(luò)絡(luò)上建立一一個邏輯的的、點對點點的連接，稱稱之為建立立一個隧道道，可以利利用加密技技術(shù)對經(jīng)過過隧道傳輸輸?shù)臄?shù)據(jù)進進行加密，以以保證數(shù)據(jù)據(jù)僅被指定定的發(fā)送者者和接收者者了解，從從而保證了了數(shù)據(jù)的私私有性和安安

19、全性。在在安全性方方面，由于于VPN直直接構(gòu)建在在公用網(wǎng)上上，實現(xiàn)簡簡單、方便便、靈活，但但同時其安安全問題也也更為突出出。企業(yè)必必須確保其其VPN上上傳送的數(shù)數(shù)據(jù)不被攻攻擊者窺視視和篡改，并并且要防止止非法用戶戶對網(wǎng)絡(luò)資資源或私有有信息的訪訪問。Exxtrannet VVPN將企企業(yè)網(wǎng)擴展展到合作伙伙伴和客戶戶，對安全全性提出了了更高的要要求。 （22）服務(wù)質(zhì)質(zhì)量保證（QQoS）VPN網(wǎng)絡(luò)絡(luò)應(yīng)當(dāng)為企企業(yè)數(shù)據(jù)提提供不同等等級的服務(wù)務(wù)質(zhì)量保證證。不同的的用戶和業(yè)業(yè)務(wù)對服務(wù)務(wù)質(zhì)量保證證的要求差差別較大。如移動辦辦公用戶，提提供廣泛的的連接和覆覆蓋性是保保證VPNN服務(wù)的一一個主要因因素；而對對于擁

20、有眾眾多分支機機構(gòu)的專線線VPN網(wǎng)網(wǎng)絡(luò)，交互互式的內(nèi)部部企業(yè)網(wǎng)應(yīng)應(yīng)用則要求求網(wǎng)絡(luò)能提提供良好的的穩(wěn)定性；對于其它它應(yīng)用（如如視頻等）則則對網(wǎng)絡(luò)提提出了更明明確的要求求，如網(wǎng)絡(luò)絡(luò)時延及誤誤碼率等。所有以上上網(wǎng)絡(luò)應(yīng)用用均要求網(wǎng)網(wǎng)絡(luò)根據(jù)需需要提供不不同等級的的服務(wù)質(zhì)量量。在網(wǎng)絡(luò)絡(luò)優(yōu)化方面面，構(gòu)建VVPN的另另一重要需需求是充分分有效地利利用有限的的廣域網(wǎng)資資源，為重重要數(shù)據(jù)提提供可靠的的帶寬。廣廣域網(wǎng)流量量的不確定定性使其帶帶寬的利用用率很低，在在流量高峰峰時引起網(wǎng)網(wǎng)絡(luò)阻塞，產(chǎn)產(chǎn)生網(wǎng)絡(luò)瓶瓶頸，使實實時性要求求高的數(shù)據(jù)據(jù)得不到及及時發(fā)送；而在流量量低谷時又又造成大量量的網(wǎng)絡(luò)帶帶寬空閑。QoS通通過流量

21、預(yù)預(yù)測與流量量控制策略略，可以按按照優(yōu)先級級分配帶寬寬資源，實實現(xiàn)帶寬管管理，使得得各類數(shù)據(jù)據(jù)能夠被合合理地先后后發(fā)送，并并預(yù)防阻塞塞的發(fā)生。（3）可擴擴充性和靈靈活性VPN必須須能夠支持持通過Inntrannet和EExtraanet的的任何類型型的數(shù)據(jù)流流，方便增增加新的節(jié)節(jié)點，支持持多種類型型的傳輸媒媒介，可以以滿足同時時傳輸語音音、圖像和和數(shù)據(jù)等新新應(yīng)用對高高質(zhì)量傳輸輸以及帶寬寬增加的需需求。（4）可管管理性從用戶角度度和運營商商的角度應(yīng)應(yīng)可方便地地進行管理理、維護。在VPNN管理方面面，VPNN要求企業(yè)業(yè)將其網(wǎng)絡(luò)絡(luò)管理功能能從局域網(wǎng)網(wǎng)無縫地延延伸到公用用網(wǎng)，甚至至是客戶和和合作伙伴伴

22、。雖然可可以將一些些次要的網(wǎng)網(wǎng)絡(luò)管理任任務(wù)交給服服務(wù)提供商商去完成，企企業(yè)自己仍仍需要完成成許多網(wǎng)絡(luò)絡(luò)管理任務(wù)務(wù)。所以，一一個完善的的VPN管管理系統(tǒng)是是必不可少少的。VPPN管理的的目標(biāo)為：減小網(wǎng)絡(luò)絡(luò)風(fēng)險、具具有高擴展展性、經(jīng)濟濟性、高可可靠性等優(yōu)優(yōu)點。事實實上，VPPN管理主主要包括安安全管理、設(shè)備管理理、配置管管理、訪問問控制列表表管理、QQoS管理理等內(nèi)容。實現(xiàn)VPNN的關(guān)鍵技技術(shù)和主要要協(xié)議3.1 實現(xiàn)VPPN的關(guān)鍵鍵技術(shù)（1）隧道道技術(shù)隧道技術(shù)(Tunnelinng)是VVPN的底底層支撐技技術(shù)，所謂謂隧道，實實際上是一一種封裝，就就是將一種種協(xié)議（協(xié)協(xié)議X）封封裝在另一一種協(xié)議（

23、協(xié)協(xié)議Y）中中傳輸，從從而實現(xiàn)協(xié)協(xié)議X對公公用網(wǎng)絡(luò)的的透明性。這里協(xié)議議X被稱為為被封裝協(xié)協(xié)議，協(xié)議議Y被稱為為封裝協(xié)議議，封裝時時一般還要要加上特定定的隧道控控制信息，因因此隧道協(xié)協(xié)議的一般般形式為（協(xié)協(xié)議Y）隧隧道頭（協(xié)協(xié)議X）。在公用網(wǎng)網(wǎng)絡(luò)（一般般指因特網(wǎng)網(wǎng)）上傳輸輸過程中，只只有VPNN端口或網(wǎng)網(wǎng)關(guān)的IPP地址暴露露在外邊。隧道解決了了專網(wǎng)與公公網(wǎng)的兼容容問題，其其優(yōu)點是能能夠隱藏發(fā)發(fā)送者、接接受者的IIP地址以以及其它協(xié)協(xié)議信息。VPN采采用隧道技技術(shù)向用戶戶提供了無無縫的、安安全的、端端到端的連連接服務(wù)，以以確保信息息資源的安安全。隧道是由隧隧道協(xié)議形形成的。隧隧道協(xié)議分分為第二、

24、第三層隧隧道協(xié)議，第第二層隧道道協(xié)議如LL2TP、PPTPP、L2FF等，他們們工作在OOSI體系系結(jié)構(gòu)的第第二層（即即數(shù)據(jù)鏈路路層）；第第三層隧道道協(xié)議如IIPSecc，GREE等，工作作在OSII體系結(jié)構(gòu)構(gòu)的第三層層（即網(wǎng)絡(luò)絡(luò)層）。第第二層隧道道和第三層層隧道的本本質(zhì)區(qū)別在在于：用戶戶的IP數(shù)數(shù)據(jù)包被封封裝在不同同的數(shù)據(jù)包包中在隧道道中傳輸。第二層隧道道協(xié)議是建建立在點對對點協(xié)議PPPP的基基礎(chǔ)上，充充分利用PPPP協(xié)議議支持多協(xié)協(xié)議的特點點，先把各各種網(wǎng)絡(luò)協(xié)協(xié)議（如IIP、IPPX等）封封裝到PPPP幀中，再再把整個數(shù)數(shù)據(jù)包裝入入隧道協(xié)議議。PPTTP和L22TP協(xié)議議主要用于于遠程訪問

25、問虛擬專用用網(wǎng)。第三層隧道道協(xié)議是把把各種網(wǎng)絡(luò)絡(luò)協(xié)議直接接裝入隧道道協(xié)議中，形形成的數(shù)據(jù)據(jù)包依靠網(wǎng)網(wǎng)絡(luò)層協(xié)議議進行傳輸輸。無論從從可擴充性性，還是安安全性、可可靠性方面面，第三層層隧道協(xié)議議均優(yōu)于第第二層隧道道協(xié)議。IIPSecc即IP安安全協(xié)議是是目前實現(xiàn)現(xiàn)VPN功功能的最佳佳選擇。（2）加解解密認(rèn)證技技術(shù)加解密技術(shù)術(shù)是VPNN的另一核核心技術(shù)。為了保證證數(shù)據(jù)在傳傳輸過程中中的安全性性，不被非非法的用戶戶竊取或篡篡改，一般般都在傳輸輸之前進行行加密，在在接受方再再對其進行行解密。密碼技術(shù)是是保證數(shù)據(jù)據(jù)安全傳輸輸?shù)年P(guān)鍵技技術(shù)，以密密鑰為標(biāo)準(zhǔn)準(zhǔn)，可將密密碼系統(tǒng)分分為單鑰密密碼（又稱稱為對稱密密碼

26、或私鑰鑰密碼）和和雙鑰密碼碼（又稱為為非對稱密密碼或公鑰鑰密碼）。單鑰密碼碼的特點是是加密和解解密都使用用同一個密密鑰，因此此，單鑰密密碼體制的的安全性就就是密鑰的的安全。其其優(yōu)點是加加解密速度度快。最有有影響的單單鑰密碼就就是美國國國家標(biāo)準(zhǔn)局局頒布的DDES算法法（56比比特密鑰）。而3DEES（1112比特密密鑰）被認(rèn)認(rèn)為是目前前不可破譯譯的。雙鑰鑰密碼體制制下，加密密密鑰與解解密密鑰不不同，加密密密鑰公開開，而解密密密鑰保密密，相比單單鑰體制，其其算法復(fù)雜雜且加密速速度慢。所所以現(xiàn)在的的VPN大大都采用單單鑰的DEES和3DDES作為為加解密的的主要技術(shù)術(shù)，而以公公鑰和單鑰鑰的混合加加密

27、體制(即加解密密采用單鑰鑰密碼，而而密鑰傳送送采用雙鑰鑰密碼)來來進行網(wǎng)絡(luò)絡(luò)上密鑰交交換和管理理，不但可可以提高了了傳輸速度度，還具有有良好的保保密功能。認(rèn)證技術(shù)術(shù)可以防止止來自第三三方的主動動攻擊。一一般用戶和和設(shè)備雙方方在交換數(shù)數(shù)據(jù)之前，先先核對證書書，如果準(zhǔn)準(zhǔn)確無誤，雙雙方才開始始交換數(shù)據(jù)據(jù)。用戶身身份認(rèn)證最最常用的技技術(shù)是用戶戶名和密碼碼方式。而而設(shè)備認(rèn)證證則需要依依賴由CAA所頒發(fā)的的電子證書書。目前主要有有的認(rèn)證方方式有：簡簡單口令如如質(zhì)詢握手手驗證協(xié)議議CHAPP和密碼身身份驗證協(xié)協(xié)議PAPP等；動態(tài)態(tài)口令如動動態(tài)令牌和和X.5009數(shù)字證證書等。簡簡單口令認(rèn)認(rèn)證方式的的優(yōu)點是實

28、實施簡單、技術(shù)成熟熟、互操作作性好，且且支持動態(tài)態(tài)地加載VVPN設(shè)備備，可擴展展性強。（3）密鑰鑰管理技術(shù)術(shù)密鑰管理的的主要任務(wù)務(wù)就是保證證在開放的的網(wǎng)絡(luò)環(huán)境境中安全地地傳遞密鑰鑰，而不被被竊取。目目前密鑰管管理的協(xié)議議包括ISSAKMPP、SKIIP、MKKMP等。Inteernett密鑰交換換協(xié)議IKKE是Innternnet安全全關(guān)聯(lián)和密密鑰管理協(xié)協(xié)議ISAAKMP語語言來定義義密鑰的交交換，綜合合了Oakkley和和SKEMME的密鑰鑰交換方案案，通過協(xié)協(xié)商安全策策略，形成成各自的驗驗證加密參參數(shù)。IKKE交換的的最終目的的是提供一一個通過驗驗證的密鑰鑰以及建立立在雙方同同意基礎(chǔ)上上的

29、安全服服務(wù)。SKKIP主要要是利用DDiffiie-Heellmaan的演算算法則，在在網(wǎng)絡(luò)上傳傳輸密鑰。IKE協(xié)議議是目前首首選的密鑰鑰管理標(biāo)準(zhǔn)準(zhǔn)，較SKKIP而言言，其主要要優(yōu)勢在于于定義更靈靈活，能適適應(yīng)不同的的加密密鑰鑰。IKEE協(xié)議的缺缺點是它雖雖然提供了了強大的主主機級身份份認(rèn)證，但但同時卻只只能支持有有限的用戶戶級身份認(rèn)認(rèn)證，并且且不支持非非對稱的用用戶認(rèn)證。（4）訪問問控制技術(shù)術(shù)虛擬專用網(wǎng)網(wǎng)的基本功功能就是不不同的用戶戶對不同的的主機或服服務(wù)器的訪訪問權(quán)限是是不一樣的的。由VPPN服務(wù)的的提供者與與最終網(wǎng)絡(luò)絡(luò)信息資源源的提供者者共同來協(xié)協(xié)商確定特特定用戶對對特定資源源的訪問權(quán)權(quán)

30、限，以此此實現(xiàn)基于于用戶的細(xì)細(xì)粒度訪問問控制，以以實現(xiàn)對信信息資源的的最大限度度的保護。 訪問控制策策略可以細(xì)細(xì)分為選擇擇性訪問控控制和強制制性訪問控控制。選擇擇性訪問控控制是基于于主體或主主體所在組組的身份，一一般被內(nèi)置置于許多操操作系統(tǒng)當(dāng)當(dāng)中。強制制性訪問控控制是基于于被訪問信信息的敏感感性。3.2 VPN的主主要安全協(xié)協(xié)議在實施信息息安全的過過程中，為為了給通過過非信任網(wǎng)網(wǎng)絡(luò)的私有有數(shù)據(jù)提供供安全保護護，通訊的的雙方首先先進行身份份認(rèn)證，這這中間要經(jīng)經(jīng)過大量的的協(xié)商，在在此基礎(chǔ)上上，發(fā)送方方將數(shù)據(jù)加加密后發(fā)出出，接受端端先對數(shù)據(jù)據(jù)進行完整整性檢查，然然后解密，使使用。這要要求雙方事事先確

31、定要要使用的加加密和完整整性檢查算算法。由此此可見，整整個過程必必須在雙方方共同遵守守的規(guī)范( 協(xié)議) 下進行行。VPN區(qū)別別于一般網(wǎng)網(wǎng)絡(luò)互聯(lián)的的關(guān)鍵是隧隧道的建立立，數(shù)據(jù)包包經(jīng)過加密密后，按隧隧道協(xié)議進進行封裝、傳送以保保證安全性性。一般，在在數(shù)據(jù)鏈路路層實現(xiàn)數(shù)數(shù)據(jù)封裝的的協(xié)議叫第第二層隧道道協(xié)議，常常用的有PPPTP , L22TP 等等;在網(wǎng)絡(luò)絡(luò)層實現(xiàn)數(shù)數(shù)據(jù)封裝的的協(xié)議叫第第三層隧道道協(xié)議，如如IPSeec。另外外，SOCCKSv55協(xié)議則在在TCP層層實現(xiàn)數(shù)據(jù)據(jù)安全。3.2.11PPTPP/L2TTP 1996年年，Miccrosooft和AAscennd等在PPPP 協(xié)協(xié)議的基礎(chǔ)礎(chǔ)上

32、開發(fā)了了PPTPP ， 它它集成于WWindoows NNT Seerverr4.0中中，Winndowss NT Workkstattion 和Winndowss 9.XX也提供相相應(yīng)的客戶戶端軟件。PPP支支持多種網(wǎng)網(wǎng)絡(luò)協(xié)議，可可把IP 、IPXX、ApppleTaalk或NNetBEEUI的數(shù)數(shù)據(jù)包封裝裝在PPPP包中，再再將整個報報文封裝在在PPTPP隧道協(xié)議議包中，最最后，再嵌嵌入IP報報文或幀中中繼或ATTM中進行行傳輸。PPPTP提提供流量控控制，減少少擁塞的可可能性，避避免由于包包丟棄而引引發(fā)包重傳傳的數(shù)量。PPTPP的加密方方法采用MMicroosoftt點對點加加密(MPP

33、PE: Micrrosofft PPointt-to- Poiint) 算法，可可以選用較較弱的400位密鑰或或強度較大大的1288位密鑰。19966年， CCiscoo提出L22F(Laayer 2 Foorwarrdingg)隧道協(xié)協(xié)議，它也也支持多協(xié)協(xié)議，但其其主要用于于Ciscco的路由由器和撥號號訪問服務(wù)務(wù)器。19997年底底，Miccrosooft 和和Ciscco公司把把PPTPP 協(xié)議和和L2F協(xié)議的的優(yōu)點結(jié)合合在一起，形形成了L22TP協(xié)議議。L2TTP支持多多協(xié)議，利利用公共網(wǎng)網(wǎng)絡(luò)封裝PPPP幀，可可以實現(xiàn)和和企業(yè)原有有非IP網(wǎng)網(wǎng)的兼容。還繼承了了PPTPP的流量控控制，支

34、持持MP(MMultiilinkk Prootocool)，把把多個物理理通道捆綁綁為單一邏邏輯信道。L2TPP使用PPPP可靠性性發(fā)送(RRFC 11663)實現(xiàn)數(shù)據(jù)據(jù)包的可靠靠發(fā)送。LL2TP隧隧道在兩端端的VPNN服務(wù)器之之間采用口口令握手協(xié)協(xié)議CHAAP來驗證證對方的身身份.L22TP受到到了許多大大公司的支支持.PPTP/L2TPP協(xié)議的優(yōu)優(yōu)點: PPPTP/L2TPP對用微軟軟操作系統(tǒng)統(tǒng)的 用戶戶來說很方方便，因為為微軟己把把它作為路路由軟件的的一部分。PPTPP/ L22TP支持持其它網(wǎng)絡(luò)絡(luò)協(xié)議。如如NOWEELL的IIPX,NNETBEEUI和AAPPLEETALKK協(xié)議,還還

35、支持流量量控制。 它通過減減少丟棄包包來改善網(wǎng)網(wǎng)絡(luò)性能，這這樣可減少少重傳。PPTP/ L2TTP協(xié)議的的缺點:PPM和L22TP 將將不安全的的IP包封封裝在安全全的IP包包內(nèi)，它們們用IP幀幀在兩臺計計算機之間間創(chuàng)建和打打開數(shù)據(jù)通通道，一旦旦通道打開開，源和目目的用戶身身份就不再再需要，這這樣可能帶帶來問題，它它不對兩個個節(jié)點間的的信息傳輸輸進行監(jiān)視視或控制。PPTPP和L2TTP限制同同時最多只只能連接2255個用用戶，端點點用戶需要要在連接前前手工建立立加密信道道，認(rèn)證和和加密受到到限制，沒沒有強加密密和認(rèn)證支支持。PPTP/ L2TTP最適合合于遠程訪訪問VPNN.3.2.22IPS

36、Sec協(xié)議議IPSecc是IETTF(Innternnet EEnginneer Taskk Forrce) 正在完善善的安全標(biāo)標(biāo)準(zhǔn)，它把把幾種安全全技術(shù)結(jié)合合在一起形形成一個較較為完整的的體系，受受到了眾多多廠商的關(guān)關(guān)注和支持持。通過對對數(shù)據(jù)加密密、認(rèn)證、完整性檢檢查來保證證數(shù)據(jù)傳輸輸?shù)目煽啃孕?、私有性性和保密性性。IPSSec由IIP認(rèn)證頭頭AH(AAutheenticcatioon Heeaderr)、IPP安全載荷荷封載ESSP(Enncapssulatted SSecurrity Paylload)和密鑰管管理協(xié)議組組成。IPSecc協(xié)議是一一個范圍廣廣泛、開放放的虛擬專專用網(wǎng)安全全

37、協(xié)議。IIPSecc 適應(yīng)向向IPv66遷移， 它提供所所有在網(wǎng)絡(luò)絡(luò)層上的數(shù)數(shù)據(jù)保護，提提供透明的的安全通信信。IPSSec用密密碼技術(shù)從從三個方面面來保證數(shù)數(shù)據(jù)的安全全。即:認(rèn)證：用于于對主機和和端點進行行身份鑒別別。完整性檢查查：用于保保證數(shù)據(jù)在在通過網(wǎng)絡(luò)絡(luò)傳輸時沒沒有被修改改。加密：加密密IP地址址和數(shù)據(jù)以以保證私有有性。IPSecc協(xié)議可以以設(shè)置成在在兩種模式式下運行:一種是隧隧道模式，一一種是傳輸輸模式。 在隧道模模式下，IIPSecc把IPvv4數(shù)據(jù)包包封裝在安安全的IPP幀 中,這樣保護護從一個防防火墻到另另一個防火火墻時的安安全性。在在隧道模式式下，信息息封裝是為為了保護端端到

38、端的安安全性，即即在這種模模式下不會會隱藏路由由信息。隧隧道模式是是最安全的的，但會帶帶來較大的的系統(tǒng)開銷銷。IPSSec現(xiàn)在在還不完全全成熟，但但它得到了了一些路由由器廠商和和硬件廠商商的大力支支持。預(yù)計計它今后將將成為虛擬擬專用網(wǎng)的的主要標(biāo)準(zhǔn)準(zhǔn)。IPSSec有擴擴展能力以以適應(yīng)未來來商業(yè)的需需要。在11997年年底，IEETF安全全工作組完完成了IPPSec 的擴展， 在IPSSec協(xié)議議中加上IISAKMMP(Innternnet SSecurrity Assoociattion and Kay Manaagemeent PProtoocol)協(xié)議，其其中還包括括一個密鑰鑰分配協(xié)議議Oa

39、klley。IISAKMMP/Oaakleyy支持自動動建立加密密信道，密密鑰的自動動安全分發(fā)發(fā)和更新。IPSeec也可用用于連接其其它層己存存在的通信信協(xié)議，如如支持安全全電子交易易(SETT:Seccure Elecctronnic TTranssactiion)協(xié)協(xié)議和SSSL（Seecuree Soccket layeer）協(xié)議議。即使不不用SETT或SSLL,IPSSec 都都能提供認(rèn)認(rèn)證和加密密手段以保保證信息的的傳輸。實例分析VPN的具具體實現(xiàn)方方案有很多多，實際應(yīng)應(yīng)用中應(yīng)根根據(jù)用戶的的需求、用用戶資源現(xiàn)現(xiàn)狀、承載載網(wǎng)絡(luò)資源源現(xiàn)狀、投投資效益以以及相關(guān)技技術(shù)比較等等多種因素素綜合

40、考慮慮，選擇一一種主流的的方案。在在本文中就就以一個中中小型企業(yè)業(yè)為例模擬擬實際環(huán)境境建立一個個基于ISSA的企業(yè)業(yè)VPN網(wǎng)網(wǎng)絡(luò)以滿足足遠程辦公公、分公司司和合作伙伙伴遠程訪訪問的要求求。這個實實驗在理論論的指導(dǎo)下下實現(xiàn)了一一種VPNN的實際應(yīng)應(yīng)用，為中小企業(yè)業(yè)設(shè)計VPPN網(wǎng)絡(luò)提提供參考和和借鑒。4.1 需求分析析隨著公司的的發(fā)展壯大大，廈門某公司在上海海開辦了分分公司來進進一步發(fā)展展業(yè)務(wù)，公公司希望總部和分公公司、總部部與合作伙伙伴可以隨隨時的進行行安全的信息息溝通，而而外出辦公公人員可以以訪問到企企業(yè)內(nèi)部關(guān)關(guān)鍵數(shù)據(jù)，隨隨時隨地共共享商業(yè)信信息，提高高工作效率率。一些大大型跨國公公司解決這這

41、個問題的的方法，就就是在各個個公司之間間租用運營營商的專用用線路。這這個辦法雖雖然能解決決問題，但但是費用昂昂貴，對于于中小企業(yè)業(yè)來說是無無法負(fù)擔(dān)的的，而VPN技技術(shù)能解決決這個問題題。根據(jù)該公司用戶戶的需求，遵遵循著方便便實用、高高效低成本本、安全可可靠、網(wǎng)絡(luò)絡(luò)架構(gòu)彈性性大等相關(guān)關(guān)原則決定定采用ISSA Seerverr VPNN安全方案，以IISA作為為網(wǎng)絡(luò)訪問問的安全控控制。ISA Servver集成成了Winndowss serrver VPN服服務(wù)，提供供一個完善善的防火墻墻和VPNN解決方案案。以 ISAA VPNN作為連接接Inteernett的安全網(wǎng)網(wǎng)關(guān)，并使使用雙網(wǎng)卡卡，隔開

42、內(nèi)內(nèi)外網(wǎng)，增增加網(wǎng)絡(luò)安安全性。ISA具備備了基于策策略的安全全性，并且且能夠加速速和管理對對Inteernett的訪問。防火墻能能對數(shù)據(jù)包包層、鏈路路層和應(yīng)用用層進行數(shù)數(shù)據(jù)過濾、對穿過防防火墻的數(shù)數(shù)據(jù)進行狀狀態(tài)檢查、對訪問策策略進行控控制并對網(wǎng)網(wǎng)絡(luò)通信進進行路由。對于各種種規(guī)模的企企業(yè)來說，IISA SServeer 都可可以增強網(wǎng)網(wǎng)絡(luò)安全性性、貫徹一一致的 IInterrnet 使用策略略、加速 Inteernett 訪問并并實現(xiàn)員工工工作效率率最大化。在ISA中中可以使用用以下三種種協(xié)議來建建立VPNN連接： IPSEEC隧道模模式； L2TPP oveer IPPSec模模式； PPTP

43、P； 下表比較了了這三種協(xié)協(xié)議： 表4-1 ISAA中三種協(xié)協(xié)議對比表表協(xié)議何時使用安全等級備注IPSecc隧道模式式連接到第三三方的VPPN服務(wù)器器高這是唯一一一種可以連連接到非微微軟VPNN服務(wù)器的的方式L2TP overr IPSSec連接到ISSA Seerverr 20000、ISSA Seerverr 20004或者WWindoows VVPN服務(wù)務(wù)器高使用RRAAS。比IIPSecc隧道模式式更容易理理解，但是是要求遠程程VPN服服務(wù)器是IISA SServeer或者WWindoows VVPN服務(wù)務(wù)器。PPTP連接到ISSA Seerverr 20000、ISSA Seerve

44、rr 20004或者WWindoows VVPN服務(wù)務(wù)器中等使用RRAAS，和LL2TP具具有同樣的的限制，但但是更容易易配置。因因為使用IIPSecc加密，LL2TP更更認(rèn)為更安安全。三個站點都都采用ISSA VPPN作為安安全網(wǎng)關(guān)，且且L2TPP oveer IPPSec結(jié)結(jié)合了L22TP 和和 IPSSec的優(yōu)優(yōu)點，所以以在這里采采用L2TTP ovver IIPSecc作為VPPN實施方方案。4.2 方案達到到的目的廈門總部和和分公司之間間以及廈門門總部和合合作伙伴之之間透過VVPN聯(lián)機機采用IPPSec協(xié)協(xié)定，確保保傳輸數(shù)據(jù)據(jù)的安全；在外出差或或想要連回回總部或分分公司的用用戶也可使

45、使用IPSSec方式式連回企業(yè)業(yè)網(wǎng)路；對總部內(nèi)網(wǎng)網(wǎng)實施上網(wǎng)網(wǎng)的訪問控控制，通過過VPN設(shè)設(shè)備的訪問問控制策略略，對訪問問的PC進進行嚴(yán)格的的訪問控制制。對外網(wǎng)可以以抵御黑客客的入侵，起起到Firrewalll作用。具有控制制和限制的的安全機制制和措施，具具備防火墻墻和抗攻擊擊等功能；部署靈活，維維護方便，提提供強大的的管理功能能，以減少少系統(tǒng)的維維護量以適適應(yīng)大規(guī)模模組網(wǎng)需要要。4.3 VPN組建建方案網(wǎng)絡(luò)絡(luò)拓?fù)鋱D圖4-1 VPN組組建網(wǎng)絡(luò)拓拓?fù)鋱D各部分VPPN設(shè)備的的配置公司總部和和分支機構(gòu)構(gòu)之間與公公司總部和和合作伙伴伴之間的VVPN通信信，都是站站點對站點點的方式，只是權(quán)限設(shè)置不一樣，公

46、司總部和分支機構(gòu)要實現(xiàn)的公司分支機構(gòu)共享總部的資源，公司總部和合作伙伴要實現(xiàn)是資源共享和互訪。兩者之間的差別是合作伙伴的VPN接入上設(shè)置了可以總部可以訪問的操作。因為三個站點都采用ISA VPN作為安全網(wǎng)關(guān)，所以以下站點對站點的VPN配置就以公司總部到分支機構(gòu)為例，說明在ISA上實現(xiàn)VPN的具體操作。模擬基本拓拓?fù)鋱D：圖5-1 實驗?zāi)M擬網(wǎng)絡(luò)拓?fù)鋼鋱D5.1 公司總部部到分支機機構(gòu)的ISSA VPPN配置各主機的TTCP/IIP為： 廈門總部外部網(wǎng)絡(luò)： IP：1992.1668.1.1DG：1992.1668.1.1內(nèi)部網(wǎng)絡(luò)： IP：1772.166.1922.1677DG：Noone 分部外部

47、網(wǎng)絡(luò)： IP：1992.1668.1.2DG：1992.1668.1.1內(nèi)部網(wǎng)絡(luò)： IP:1992.1668.3.1DG：Noone 在總部和支支部之間建建立一個基基于IPSSec的站站點到站點點的VPNN連接，由由支部向總總部進行請請求撥號，具體步驟如下： 在總部ISSA服務(wù)器器上建立遠遠程站點； 建立此遠程程站點的網(wǎng)網(wǎng)絡(luò)規(guī)則； 建立此遠程程站點的訪訪問規(guī)則； 在總部為遠遠程站點的的撥入建立立用戶；在支部ISSA服務(wù)器器上建立遠遠程站點； 建立此遠程程站點的網(wǎng)網(wǎng)絡(luò)規(guī)則； 建立此遠程程站點的訪訪問規(guī)則； 測試VPNN連接； 5.1.11 總部部ISA VPNN配置1、在總部部ISA服服務(wù)器上建

48、建立遠程分分支機構(gòu)站站點 打開ISAA Serrver 20044控制臺，點點擊虛擬專專用網(wǎng)絡(luò)，點點擊右邊任任務(wù)面板中中的添加遠遠程站點網(wǎng)網(wǎng)絡(luò)；在歡迎使用用網(wǎng)絡(luò)創(chuàng)建建向?qū)ы?，輸輸入遠程站站點的名字字Brannch，點點擊下一步步； 在VPN協(xié)協(xié)議頁，選選擇IPSSec上的的第二層隧隧道協(xié)議（LL2TP），點擊下一一步； 在遠程站點點網(wǎng)關(guān)頁，輸輸入遠程VVPN服務(wù)務(wù)器的名稱稱或IP地地址，如果果輸入名稱稱，需確?？梢砸哉_解析析，在這里里輸入1992.1668.1.2點擊下一步步； 在網(wǎng)絡(luò)地址址頁，點擊擊添加輸入與此網(wǎng)網(wǎng)卡關(guān)聯(lián)的的IP地址址范圍，在在此輸入1192.1168.33.0和192.1

49、68.3.2555，點擊確定定后，點擊擊下一步繼續(xù)續(xù)； 在正在完成成新建網(wǎng)絡(luò)絡(luò)向?qū)ы?，點點擊完成。 圖5-2 總部建立立的遠程站站點圖打開VPNN客戶端，點點擊配置VVPN客戶戶端訪問，在在常規(guī)頁中，選選擇啟用VVPN客戶戶端訪問，填填入允許的的最大VPPN客戶端端數(shù)量200，在協(xié)議頁，選擇啟啟用PPTTP（N）和啟用用L2TPP/IPSSEC（EE）點擊確定。點擊選擇身身份驗證方方法，選擇擇Micrrosofft加密的的身份驗證證版本2（MMS-CHHAPv22）（M）和允許L2TP連接自定義IPSec策略（L）,輸入預(yù)共享的密鑰main04jsja.點擊定義地地址分配，在在地址分配配頁，選

50、擇擇靜態(tài)地址址池，點擊擊添加，添添加VPNN連接后總總部主機分分配的給客客戶端的IIP地址段段，在這里里輸入2110.344.2122.0-210.34.2212.2255，點擊確定完成設(shè)設(shè)置。（方方便測試連連接，可不不添加）2、在總部部上建立此此遠程站點點的網(wǎng)絡(luò)規(guī)規(guī)則 接下來，我我們需要建建立一條網(wǎng)網(wǎng)絡(luò)規(guī)則，為為遠程站點點和內(nèi)部網(wǎng)網(wǎng)絡(luò)間的訪訪問定義路路由關(guān)系。右鍵點擊配配置下的網(wǎng)絡(luò)，然后后點擊新建建，選擇網(wǎng)絡(luò)絡(luò)規(guī)則； 在新建網(wǎng)絡(luò)絡(luò)規(guī)則向?qū)?dǎo)頁，輸入入規(guī)則名字字，在此命命名為Innternnal tto Brranchh，點擊下一一步;在網(wǎng)絡(luò)通訊訊源頁，點點擊添加，選擇擇網(wǎng)絡(luò)目錄錄下的內(nèi)部，點

51、擊擊下一步； 在網(wǎng)絡(luò)通訊訊目標(biāo)頁，點點擊添加，選擇擇網(wǎng)絡(luò)目錄錄下的Braanch，點點擊下一步步； 在網(wǎng)絡(luò)關(guān)系系頁，選擇擇路由，然后后點擊下一一步； 在正在完成成新建網(wǎng)絡(luò)絡(luò)規(guī)則向?qū)?dǎo)頁，點擊擊完成； 圖5-3 總部網(wǎng)絡(luò)絡(luò)規(guī)則圖3、在總部部上建立此此遠程站點點的訪問規(guī)規(guī)則 現(xiàn)在，我們們需要為遠遠程站點和和內(nèi)部網(wǎng)絡(luò)絡(luò)間的互訪訪建立訪問問規(guī)則，右鍵點擊防防火墻策略略，選擇新建建，點擊訪問問規(guī)則； 在歡迎使用用新建訪問問規(guī)則向?qū)?dǎo)頁，輸入入規(guī)則名稱稱，在此命命名為maain tto brranchh，點擊下一一步； 在規(guī)則操作作頁，選擇擇允許，點擊擊下一步； 在協(xié)議頁，選選擇所選的的協(xié)議，然然后添加H

52、HTTP和和Pingg，(這里可可以再根據(jù)據(jù)實際需要要添加協(xié)議議)點擊下一步步； 在訪問規(guī)則則源頁，點點擊添加，選擇擇網(wǎng)絡(luò)目錄下下的Braanch和和內(nèi)部，點擊擊下一步； 在訪問規(guī)則則目標(biāo)頁，點點擊添加，選擇擇網(wǎng)絡(luò)目錄下下的Braanch和和內(nèi)部，點擊擊下一步；在用戶集頁頁，接受默默認(rèn)的所有有用戶，點點擊下一步步；在正在完完成新建訪訪問規(guī)則向向?qū)ы?，點點擊完成； 最后，點擊擊應(yīng)用以保存存修改和更更新防火墻墻設(shè)置。 此時在警警報里面有有提示，需需要重啟IISA服務(wù)務(wù)器，所以以，我們需需要重啟IISA計算算機。圖5-4 總部訪問問控制圖4、在總部部上為遠程程站點的撥撥入建立用用戶 在重啟總部部IS

53、A服服務(wù)器后，以以管理員身身份登錄，在我的電腦腦上點擊右右鍵，選擇擇管理，選擇在本地用戶戶和組里面面，右擊用用戶，選擇擇新用戶，這這個VPNN撥入用戶戶的名字一一定要和遠遠程站點的的名字一致致，在此是是mainn，輸入密密碼maiin，選中用戶不不能修改密密碼和密碼永不不過期，取取消勾選用用戶必須在在下次登錄錄時修改密密碼，點擊擊創(chuàng)建； 右擊此用戶戶，選擇屬屬性；在用用戶屬性的的撥入標(biāo)簽，選選擇允許訪訪問，點擊擊確定。圖5-5 總部用戶戶創(chuàng)建圖此時，遠程程客戶端撥撥入總部的的用戶賬號就建好了。5.1.22 支部部 ISAA VPPN配置1、在支部部ISA服服務(wù)器上添添加遠程站站點打開ISAA

54、Serrver 20044控制臺，點點擊虛擬專專用網(wǎng)絡(luò)，點點擊右邊任任務(wù)面板中中的添加遠遠程站點網(wǎng)網(wǎng)絡(luò)；在歡迎使用用網(wǎng)絡(luò)創(chuàng)建建向?qū)ы?，輸輸入遠程站站點的名字字Mainn，點擊下一一步； 在VPN協(xié)協(xié)議頁，選選擇IPSSec上的的第二層隧隧道協(xié)議（LL2TP），點擊下一一步； 在遠程站點點網(wǎng)關(guān)頁，輸輸入遠程VVPN服務(wù)務(wù)器的名稱稱或IP地地址，如果果輸入名稱稱，需確保可以以正確解析析，在這里里輸入1992.1668.1.1，點擊擊下一步； 在遠程身份份驗證頁，輸入用用戶名maain，輸入密碼碼mainn，點擊下一步步繼續(xù)； 在網(wǎng)絡(luò)地址址頁，點擊擊添加輸入與此網(wǎng)網(wǎng)卡關(guān)聯(lián)的的IP地址址范圍，在在此輸

55、入1192.1168.33.0和555，點擊確定定后，點擊擊下一步繼續(xù)續(xù)； 在正在完成成新建網(wǎng)絡(luò)絡(luò)向?qū)ы?，點點擊完成。 圖5-6 支部建立立的遠程站站點圖2、建立此此遠程站點點的網(wǎng)絡(luò)規(guī)規(guī)則 接下下來，我們們需要建立立一條網(wǎng)絡(luò)絡(luò)規(guī)則，為為遠程站點點和內(nèi)部網(wǎng)網(wǎng)絡(luò)間的訪訪問定義路路由關(guān)系。右擊配置下下的網(wǎng)絡(luò)，然后后點擊新建建，選擇網(wǎng)絡(luò)絡(luò)規(guī)則；在新建網(wǎng)絡(luò)絡(luò)規(guī)則向?qū)?dǎo)頁，輸入入規(guī)則名字字，在此我我命名為內(nèi)內(nèi)部-Maiin，點擊擊下一步；在網(wǎng)絡(luò)通訊訊源頁，點點擊添加，選擇擇網(wǎng)絡(luò)目錄錄下的內(nèi)部，點擊擊下一步；在網(wǎng)絡(luò)通訊訊目標(biāo)頁，點點擊添加，選擇擇網(wǎng)絡(luò)目錄錄下的Maiin，點擊擊下一步；

56、在網(wǎng)絡(luò)關(guān)系系頁，選擇擇路由，然后后點擊下一一步；在正在完成成新建網(wǎng)絡(luò)絡(luò)規(guī)則向?qū)?dǎo)頁，點擊擊完成；圖5-7 支部的網(wǎng)網(wǎng)絡(luò)規(guī)則圖圖3、建立此此遠程站點點的訪問規(guī)規(guī)則 在創(chuàng)建完遠遠程站點和和遠程站點點的網(wǎng)絡(luò)規(guī)規(guī)則之后，我我們需要為為遠程站點點和內(nèi)部網(wǎng)網(wǎng)絡(luò)間的互互訪建立訪訪問規(guī)則，右擊防火墻墻策略，選選擇新建，點擊擊訪問規(guī)則則；在歡迎使用用新建訪問問規(guī)則向?qū)?dǎo)頁，輸入入規(guī)則名稱稱，在此我我命名為bbrancch too maiin ，點點擊下一步步；在規(guī)則操作作頁，選擇擇允許，點擊擊下一步；在協(xié)議頁，選選擇所選的的協(xié)議，然然后添加HHTTP和和Pingg，點擊下一一步；在訪問規(guī)則則源頁，點點擊添加，選

57、擇擇網(wǎng)絡(luò)目錄下下的Maiin和內(nèi)部，點擊擊下一步；在訪問規(guī)則則目標(biāo)頁，點點擊添加，選擇擇網(wǎng)絡(luò)目錄下下的Maiin和內(nèi)部，點擊擊下一步；在用戶集頁頁，接受默默認(rèn)的所有有用戶，點點擊下一步步；在正在完完成新建訪訪問規(guī)則向向?qū)ы摚c點擊完成；最后，點擊擊應(yīng)用以保存存修改和更更新防火墻墻設(shè)置。圖5-8 支部的訪訪問控制圖圖此時在警報報里面有提提示，需要要重啟ISSA服務(wù)器器，所以，我我們需要重重啟支部IISA計算算機。5.1.33 VPPN連接在支部的路路由和遠程程訪問控制制臺中，展展開服務(wù)器器，點擊網(wǎng)絡(luò)接接口，這時時就會出現(xiàn)現(xiàn)我們創(chuàng)建建的maiin網(wǎng)絡(luò)撥撥號接口，右右鍵點擊屬屬性，在安全頁選擇擇高級

58、設(shè)置置下的IPPSec設(shè)置，在使用預(yù)預(yù)共享的密密鑰作身份份驗證（UU）的選框里里打勾，并并輸入密鑰鑰mainn04jssja, 點擊兩次次確定，完成成密鑰設(shè)置置。右鍵點擊設(shè)設(shè)置憑據(jù)，在在接口憑據(jù)據(jù)頁，輸入入此接口連連接到遠程程路由器使使用的憑據(jù)據(jù)，因為在在遠程ISSA端我們們設(shè)置為mmain 所以這里里輸入的用用戶密碼為為mainn，點擊確定。圖5-9 連接驗證證圖右鍵maiin點擊連接圖5-100 正在進進行連接示示意圖圖5-111 已連接接上示意圖圖到此為止站站點到站點點的VPNN已經(jīng)構(gòu)建建好了，在在上面的設(shè)設(shè)置中，遠遠程的支部部不允許總總部進行訪訪問，如果果要設(shè)成可可以互相訪訪問，支部部

59、的配置只只要參照總總部的配置置就可以實實現(xiàn)了。5.1.44 連接接測試我們之前在在靜態(tài)地址址池里設(shè)置置了VPNN連接后分分配的IPP地址，因因此測試是是否連接時時只要查支支部主機的的IP地址址就可以了了，在測試試的結(jié)果中中，出現(xiàn)了了210.34.2212.22這個VPPN分配的的IP地址址，說明VVPN已成成功連接上上總部的IISA VVPN服務(wù)務(wù)器。圖5-122 支部主主機VPNN連接后的的ipcoonfigg圖在支部的主主機上piing總部部內(nèi)部的某某一主機，如如下所示，雖雖然第一次次連接時間間超時，沒沒有回應(yīng)，但但是接下來來的三個連連接都可以以pingg通，說明明VPN已已經(jīng)成功連連接，

60、并可可以訪問到到總部內(nèi)網(wǎng)網(wǎng)的其他主主機。圖5-133 支部PPING通通總部內(nèi)部部網(wǎng)絡(luò)圖5.2 公司總部部站點到移動動用戶端的的VPN配配置總部外部網(wǎng)絡(luò)： IP：1992.1668.1.1DG：1992.1668.1.1內(nèi)部網(wǎng)絡(luò)： IP：1772.166.1922.1677DG：Noone 移動用戶IP：1992.1668.1.3在總部和移移動用戶之之間建立一一個基于IIPSecc的VPNN連接，具具體步驟如如下： 在總部ISSA服務(wù)器器上建立網(wǎng)網(wǎng)絡(luò)規(guī)則 建立此遠程程站點的訪訪問規(guī)則； 在總部為遠遠程站點的的撥入建立立用戶；在客戶端建建立撥號連連接測試VPNN連接； 5.2.11 總部部ISA