VPN虛擬專用網(wǎng)畢業(yè)論文_第1頁
VPN虛擬專用網(wǎng)畢業(yè)論文_第2頁
VPN虛擬專用網(wǎng)畢業(yè)論文_第3頁
VPN虛擬專用網(wǎng)畢業(yè)論文_第4頁
VPN虛擬專用網(wǎng)畢業(yè)論文_第5頁
已閱讀5頁,還剩37頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、PAGE VPAGE 畢業(yè)設(shè)計(jì)(論文)誠信聲明書本人鄭重聲明:在畢業(yè)設(shè)計(jì)(論文)工作中嚴(yán)格遵守學(xué)校有關(guān)規(guī)定,恪守學(xué)術(shù)規(guī)范;我所提交的畢業(yè)設(shè)計(jì)(論文)是本人在 指導(dǎo)教師的指導(dǎo)下獨(dú)立研究、撰寫的成果,設(shè)計(jì)(論文)中所引用他人的文字、研究成果,均已在設(shè)計(jì)(論文)中加以說明;在本人的畢業(yè)設(shè)計(jì)(論文)中未剽竊、抄襲他人的學(xué)術(shù)觀點(diǎn)、思想和成果,未篡改實(shí)驗(yàn)數(shù)據(jù)。本設(shè)計(jì)(論文)和資料若有不實(shí)之處,本人愿承擔(dān)一切相關(guān)責(zé)任。學(xué)生簽名: 年 月 日摘 要本文首先介紹了VPN的定義和研究意義,接著介紹了實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)(包括隧道技術(shù),加解密認(rèn)證技術(shù),密鑰管理技術(shù),訪問控制技術(shù))以及實(shí)現(xiàn)VPN的主要安全協(xié)議,PPT

2、P/ L2TP協(xié)議、IPSec協(xié)議,為VPN組網(wǎng)提供了理論指導(dǎo)。最后通過構(gòu)建中小企業(yè)的虛擬專用網(wǎng),全面介紹了在Windows server 2003 ISA 2004環(huán)境下站點(diǎn)到站點(diǎn)和站點(diǎn)到客戶端的VPN的配置,為企業(yè)的VPN構(gòu)建提供參考和借鑒。關(guān)鍵詞:隧道,L2TP ,PPTP ,IPSecAbstractThis paper first introduces the definition of VPN and its study implications. And then introduces the key technologies for implementing a VPN whi

3、ch includes the Tunnel technology and its main secure protocols, PPTP/L2TP protocol, IPSEC protocol, SOCKSv5 protocol, All these technologies provide the theoretical bases for building a VPN network. Finally, by constructing an enterprise virtual private network, I introduced the configuration of si

4、te to site and site to client VPN under the Windows server 2003 ISA 2004 environment, it provides the referential guideline to the VPN construction in enterprises.Key words: Tunnel, L2TP, PPTP, IPSec目錄 TOC o 1-3 u 1緒論 PAGEREF _Toc200425633 h 11.1 VPN的定義 PAGEREF _Toc200425634 h 11.2 VPN的工作原理 PAGEREF

5、_Toc200425635 h 11.3 VPN的研究背景和意義 PAGEREF _Toc200425636 h 22VPN的應(yīng)用領(lǐng)域和設(shè)計(jì)目標(biāo) PAGEREF _Toc200425637 h 42.1 VPN的主要應(yīng)用領(lǐng)域 PAGEREF _Toc200425638 h 42.2 VPN的設(shè)計(jì)目標(biāo) PAGEREF _Toc200425639 h 53實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)和主要協(xié)議 PAGEREF _Toc200425640 h 73.1 實(shí)現(xiàn)VPN的關(guān)鍵技術(shù) PAGEREF _Toc200425641 h 73.2 VPN的主要安全協(xié)議 PAGEREF _Toc200425642 h 93.

6、2.1PPTP/L2TP PAGEREF _Toc200425643 h 93.2.2IPSec協(xié)議 PAGEREF _Toc200425644 h 104實(shí)例分析 PAGEREF _Toc200425645 h 124.1 需求分析 PAGEREF _Toc200425646 h 124.2 方案達(dá)到的目的 PAGEREF _Toc200425647 h 134.3 VPN組建方案網(wǎng)絡(luò)拓?fù)鋱D PAGEREF _Toc200425648 h 145各部分VPN設(shè)備的配置 PAGEREF _Toc200425649 h 155.1 公司總部到分支機(jī)構(gòu)的ISA VPN配置 PAGEREF _Toc

7、200425650 h 155.1.1 總部ISA VPN配置 PAGEREF _Toc200425651 h 175.1.2 支部 ISA VPN配置 PAGEREF _Toc200425652 h 205.1.3 VPN連接 PAGEREF _Toc200425653 h 225.1.4 連接測試 PAGEREF _Toc200425654 h 235.2 公司總部站點(diǎn)到移動(dòng)用戶端的VPN配置 PAGEREF _Toc200425655 h 245.2.1 總部ISA VPN配置 PAGEREF _Toc200425656 h 255.2.2 移動(dòng)用戶端VPN配置 PAGEREF _Toc

8、200425657 h 275.2.3 連接測試 PAGEREF _Toc200425658 h 27致謝 PAGEREF _Toc200425659 h 29參考文獻(xiàn) PAGEREF _Toc200425660 h 30緒論1.1 VPN的定義VPN( Virtual Private Network)被定義為通過一個(gè)公共網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公共網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)絡(luò)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上,一

9、個(gè)企業(yè)的虛擬專用網(wǎng)解決方案也將大幅度的減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時(shí),這將簡化網(wǎng)絡(luò)的設(shè)計(jì)和管理,加速連接新的用戶和網(wǎng)站。另外,虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展,企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上,而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。1.2 VPN的工作原理把因特網(wǎng)用作專用廣域網(wǎng),就要克服兩個(gè)主要障礙。首先,網(wǎng)絡(luò)經(jīng)常使用多種協(xié)議如IPX和NetBEUI進(jìn)行通信,但因特網(wǎng)只能處理

10、IP流量。所以,VPN就需要提供一種方法,將非IP的協(xié)議從一個(gè)網(wǎng)絡(luò)傳送到另一個(gè)網(wǎng)絡(luò)。其次,網(wǎng)上傳輸?shù)臄?shù)據(jù)包以明文格式傳輸,因而,只要看得到因特網(wǎng)的流量,就能讀取包內(nèi)所含的數(shù)據(jù)。如果公司希望利用因特網(wǎng)傳輸重要的商業(yè)機(jī)密信息,這顯然是一個(gè)問題。VPN克服這些障礙的辦法就是采用了隧道技術(shù):數(shù)據(jù)包不是公開在網(wǎng)上傳輸,而是首先進(jìn)行加密以確保安全,然后由VPN封裝成IP包的形式,通過隧道在網(wǎng)上傳輸,如圖1-1所示:圖1-1 VPN工作原理圖源網(wǎng)絡(luò)的VPN隧道發(fā)起器與目標(biāo)網(wǎng)絡(luò)上的VPN隧道發(fā)起器進(jìn)行通信。兩者就加密方案達(dá)成一致,然后隧道發(fā)起器對包進(jìn)行加密,確保安全(為了加強(qiáng)安全,應(yīng)采用驗(yàn)證過程,以確保連接用

11、戶擁有進(jìn)入目標(biāo)網(wǎng)絡(luò)的相應(yīng)的權(quán)限。大多數(shù)現(xiàn)有的VPN產(chǎn)品支持多種驗(yàn)證方式)。最后,VPN發(fā)起器將整個(gè)加密包封裝成IP包?,F(xiàn)在不管原先傳輸?shù)氖呛畏N協(xié)議,它都能在純IP因特網(wǎng)上傳輸。又因?yàn)榘M(jìn)行了加密,所以誰也無法讀取原始數(shù)據(jù)。在目標(biāo)網(wǎng)絡(luò)這頭,VPN隧道終結(jié)器收到包后去掉IP信息,然后根據(jù)達(dá)成一致的加密方案對包進(jìn)行解密,將隨后獲得的包發(fā)給遠(yuǎn)程接入服務(wù)器或本地路由器,他們在把隱藏的IPX包發(fā)到網(wǎng)絡(luò),最終發(fā)往相應(yīng)目的地。1.3 VPN的研究背景和意義隨著網(wǎng)絡(luò),尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展,企業(yè)日益擴(kuò)張,客戶分布日益廣泛,合作伙伴日益增多,這種情況促使了企業(yè)的效益日益增長,另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷

12、:傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點(diǎn)的專線連接方式已難以適應(yīng)現(xiàn)代企業(yè)的需求。于是企業(yè)對于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求,主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面。在這樣的背景下,VPN以其獨(dú)具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞,令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運(yùn)行與維護(hù),而更多地致力于企業(yè)的商業(yè)目標(biāo)的實(shí)現(xiàn)。雖然VPN在理解和應(yīng)用方面都是高度復(fù)雜的技術(shù),甚至確定其是否適用于本公司也一件復(fù)雜的事件,但在大多數(shù)情況下VPN的各種實(shí)現(xiàn)方法都可以應(yīng)用于每個(gè)公司。即使不需要使用加密數(shù)據(jù),也可節(jié)省開支。因此,在未來幾年里,客戶和廠商很可能會(huì)使用VPN,從而使電子商務(wù)重又獲得生機(jī),畢竟全球化、信息化、電子化是

13、大勢所趨。VPN的應(yīng)用領(lǐng)域和設(shè)計(jì)目標(biāo)2.1 VPN的主要應(yīng)用領(lǐng)域利用VPN技術(shù)幾乎可以解決所有利用公共通信網(wǎng)絡(luò)進(jìn)行通信的虛擬專用網(wǎng)絡(luò)連接的問題。歸納起來,有以下幾種主要應(yīng)用領(lǐng)域。(1)遠(yuǎn)程訪問遠(yuǎn)程移動(dòng)用戶通過VPN技術(shù)可以在任何時(shí)間、任何地點(diǎn)采用撥號、ISDN、DSL、移動(dòng)IP和電纜技術(shù)與公司總部、公司內(nèi)聯(lián)網(wǎng)的VPN設(shè)備建立起隧道或密道信,實(shí)現(xiàn)訪問連接,此時(shí)的遠(yuǎn)程用戶終端設(shè)備上必須加裝相應(yīng)的VPN軟件。推而廣之,遠(yuǎn)程用戶可與任何一臺(tái)主機(jī)或網(wǎng)絡(luò)在相同策略下利用公共通信網(wǎng)絡(luò)設(shè)施實(shí)現(xiàn)遠(yuǎn)程VPN訪問。這種應(yīng)用類型也叫Access VPN(或訪問型VPN),這是基本的VPN應(yīng)用類型。不難證明,其他類型的

14、VPN都是Access VPN的組合、延伸和擴(kuò)展。(2)組建內(nèi)聯(lián)網(wǎng)一個(gè)組織機(jī)構(gòu)的總部或中心網(wǎng)絡(luò)與跨地域的分支機(jī)構(gòu)網(wǎng)絡(luò)在公共通信基礎(chǔ)設(shè)施上采用的隧道技術(shù)等VPN技術(shù)構(gòu)成組織機(jī)構(gòu)“內(nèi)部”的虛擬專用網(wǎng)絡(luò),當(dāng)其將公司所有權(quán)的VPN設(shè)備配置在各個(gè)公司網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間(即連接邊界處)時(shí),這樣的內(nèi)聯(lián)網(wǎng)還具有管理上的自主可控、策略集中配置和分布式安全控制的安全特性。利用VPN組建的內(nèi)聯(lián)網(wǎng)也叫Intranet VPN。Intranet VPN是解決內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。(3)組建外聯(lián)網(wǎng) 使用虛擬專用網(wǎng)絡(luò)技術(shù)在公共通信基礎(chǔ)設(shè)施上將合作伙伴和有共同利益的主機(jī)或網(wǎng)絡(luò)與內(nèi)聯(lián)網(wǎng)連接起來,根據(jù)安全

15、策略、資源共享約定規(guī)則實(shí)施內(nèi)聯(lián)網(wǎng)內(nèi)的特定主機(jī)和網(wǎng)絡(luò)資源與外部特定的主機(jī)和網(wǎng)絡(luò)資源相互共享,這在業(yè)務(wù)機(jī)構(gòu)和具有相互協(xié)作關(guān)系的內(nèi)聯(lián)網(wǎng)之間具有廣泛的應(yīng)用價(jià)值。這樣組建的外聯(lián)網(wǎng)也叫Extranet VPN。Extranet VPN是解決外聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。若外聯(lián)網(wǎng)VPN的連接和傳輸中使用了加密技術(shù),必須解決其中的密碼分發(fā)、管理的一致性問題。2.2 VPN的設(shè)計(jì)目標(biāo)在實(shí)際應(yīng)用中,一般來說一個(gè)高效、成功的VPN應(yīng)具備以下幾個(gè)特點(diǎn):(1)安全保障雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多,但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的

16、、點(diǎn)對點(diǎn)的連接,稱之為建立一個(gè)隧道,可以利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密,以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解,從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面,由于VPN直接構(gòu)建在公用網(wǎng)上,實(shí)現(xiàn)簡單、方便、靈活,但同時(shí)其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。Extranet VPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶,對安全性提出了更高的要求。 (2)服務(wù)質(zhì)量保證(QoS)VPN網(wǎng)絡(luò)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對服務(wù)質(zhì)量保證的要求差別較大。如移動(dòng)辦公用戶,提供廣泛的連接和覆蓋性是保證

17、VPN服務(wù)的一個(gè)主要因素;而對于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò),交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性;對于其它應(yīng)用(如視頻等)則對網(wǎng)絡(luò)提出了更明確的要求,如網(wǎng)絡(luò)時(shí)延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面,構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源,為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低,在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞,產(chǎn)生網(wǎng)絡(luò)瓶頸,使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送;而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過流量預(yù)測與流量控制策略,可以按照優(yōu)先級分配帶寬資源,實(shí)現(xiàn)帶寬管理,使得各類數(shù)據(jù)能夠

18、被合理地先后發(fā)送,并預(yù)防阻塞的發(fā)生。(3)可擴(kuò)充性和靈活性VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流,方便增加新的節(jié)點(diǎn),支持多種類型的傳輸媒介,可以滿足同時(shí)傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。(4)可管理性從用戶角度和運(yùn)營商的角度應(yīng)可方便地進(jìn)行管理、維護(hù)。在VPN管理方面,VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng),甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成,企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以,一個(gè)完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)為:減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、

19、高可靠性等優(yōu)點(diǎn)。事實(shí)上,VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)和主要協(xié)議3.1 實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)(1)隧道技術(shù)隧道技術(shù)(Tunneling)是VPN的底層支撐技術(shù),所謂隧道,實(shí)際上是一種封裝,就是將一種協(xié)議(協(xié)議X)封裝在另一種協(xié)議(協(xié)議Y)中傳輸,從而實(shí)現(xiàn)協(xié)議X對公用網(wǎng)絡(luò)的透明性。這里協(xié)議X被稱為被封裝協(xié)議,協(xié)議Y被稱為封裝協(xié)議,封裝時(shí)一般還要加上特定的隧道控制信息,因此隧道協(xié)議的一般形式為(協(xié)議Y)隧道頭(協(xié)議X)。在公用網(wǎng)絡(luò)(一般指因特網(wǎng))上傳輸過程中,只有VPN端口或網(wǎng)關(guān)的IP地址暴露在外邊。隧道解決了專網(wǎng)與公網(wǎng)的兼

20、容問題,其優(yōu)點(diǎn)是能夠隱藏發(fā)送者、接受者的IP地址以及其它協(xié)議信息。VPN采用隧道技術(shù)向用戶提供了無縫的、安全的、端到端的連接服務(wù),以確保信息資源的安全。隧道是由隧道協(xié)議形成的。隧道協(xié)議分為第二、第三層隧道協(xié)議,第二層隧道協(xié)議如L2TP、PPTP、L2F等,他們工作在OSI體系結(jié)構(gòu)的第二層(即數(shù)據(jù)鏈路層);第三層隧道協(xié)議如IPSec,GRE等,工作在OSI體系結(jié)構(gòu)的第三層(即網(wǎng)絡(luò)層)。第二層隧道和第三層隧道的本質(zhì)區(qū)別在于:用戶的IP數(shù)據(jù)包被封裝在不同的數(shù)據(jù)包中在隧道中傳輸。第二層隧道協(xié)議是建立在點(diǎn)對點(diǎn)協(xié)議PPP的基礎(chǔ)上,充分利用PPP協(xié)議支持多協(xié)議的特點(diǎn),先把各種網(wǎng)絡(luò)協(xié)議(如IP、IPX等)封裝

21、到PPP幀中,再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議。PPTP和L2TP協(xié)議主要用于遠(yuǎn)程訪問虛擬專用網(wǎng)。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中,形成的數(shù)據(jù)包依靠網(wǎng)絡(luò)層協(xié)議進(jìn)行傳輸。無論從可擴(kuò)充性,還是安全性、可靠性方面,第三層隧道協(xié)議均優(yōu)于第二層隧道協(xié)議。IPSec即IP安全協(xié)議是目前實(shí)現(xiàn)VPN功能的最佳選擇。(2)加解密認(rèn)證技術(shù)加解密技術(shù)是VPN的另一核心技術(shù)。為了保證數(shù)據(jù)在傳輸過程中的安全性,不被非法的用戶竊取或篡改,一般都在傳輸之前進(jìn)行加密,在接受方再對其進(jìn)行解密。密碼技術(shù)是保證數(shù)據(jù)安全傳輸?shù)年P(guān)鍵技術(shù),以密鑰為標(biāo)準(zhǔn),可將密碼系統(tǒng)分為單鑰密碼(又稱為對稱密碼或私鑰密碼)和雙鑰密碼(又稱為非對

22、稱密碼或公鑰密碼)。單鑰密碼的特點(diǎn)是加密和解密都使用同一個(gè)密鑰,因此,單鑰密碼體制的安全性就是密鑰的安全。其優(yōu)點(diǎn)是加解密速度快。最有影響的單鑰密碼就是美國國家標(biāo)準(zhǔn)局頒布的DES算法(56比特密鑰)。而3DES(112比特密鑰)被認(rèn)為是目前不可破譯的。雙鑰密碼體制下,加密密鑰與解密密鑰不同,加密密鑰公開,而解密密鑰保密,相比單鑰體制,其算法復(fù)雜且加密速度慢。所以現(xiàn)在的VPN大都采用單鑰的DES和3DES作為加解密的主要技術(shù),而以公鑰和單鑰的混合加密體制(即加解密采用單鑰密碼,而密鑰傳送采用雙鑰密碼)來進(jìn)行網(wǎng)絡(luò)上密鑰交換和管理,不但可以提高了傳輸速度,還具有良好的保密功能。認(rèn)證技術(shù)可以防止來自第三

23、方的主動(dòng)攻擊。一般用戶和設(shè)備雙方在交換數(shù)據(jù)之前,先核對證書,如果準(zhǔn)確無誤,雙方才開始交換數(shù)據(jù)。用戶身份認(rèn)證最常用的技術(shù)是用戶名和密碼方式。而設(shè)備認(rèn)證則需要依賴由CA所頒發(fā)的電子證書。目前主要有的認(rèn)證方式有:簡單口令如質(zhì)詢握手驗(yàn)證協(xié)議CHAP和密碼身份驗(yàn)證協(xié)議PAP等;動(dòng)態(tài)口令如動(dòng)態(tài)令牌和X.509數(shù)字證書等。簡單口令認(rèn)證方式的優(yōu)點(diǎn)是實(shí)施簡單、技術(shù)成熟、互操作性好,且支持動(dòng)態(tài)地加載VPN設(shè)備,可擴(kuò)展性強(qiáng)。(3)密鑰管理技術(shù)密鑰管理的主要任務(wù)就是保證在開放的網(wǎng)絡(luò)環(huán)境中安全地傳遞密鑰,而不被竊取。目前密鑰管理的協(xié)議包括ISAKMP、SKIP、MKMP等。Internet密鑰交換協(xié)議IKE是Inter

24、net安全關(guān)聯(lián)和密鑰管理協(xié)議ISAKMP語言來定義密鑰的交換,綜合了Oakley和SKEME的密鑰交換方案,通過協(xié)商安全策略,形成各自的驗(yàn)證加密參數(shù)。IKE交換的最終目的是提供一個(gè)通過驗(yàn)證的密鑰以及建立在雙方同意基礎(chǔ)上的安全服務(wù)。SKIP主要是利用Diffie-Hellman的演算法則,在網(wǎng)絡(luò)上傳輸密鑰。IKE協(xié)議是目前首選的密鑰管理標(biāo)準(zhǔn),較SKIP而言,其主要優(yōu)勢在于定義更靈活,能適應(yīng)不同的加密密鑰。IKE協(xié)議的缺點(diǎn)是它雖然提供了強(qiáng)大的主機(jī)級身份認(rèn)證,但同時(shí)卻只能支持有限的用戶級身份認(rèn)證,并且不支持非對稱的用戶認(rèn)證。(4)訪問控制技術(shù)虛擬專用網(wǎng)的基本功能就是不同的用戶對不同的主機(jī)或服務(wù)器的訪

25、問權(quán)限是不一樣的。由VPN服務(wù)的提供者與最終網(wǎng)絡(luò)信息資源的提供者共同來協(xié)商確定特定用戶對特定資源的訪問權(quán)限,以此實(shí)現(xiàn)基于用戶的細(xì)粒度訪問控制,以實(shí)現(xiàn)對信息資源的最大限度的保護(hù)。 訪問控制策略可以細(xì)分為選擇性訪問控制和強(qiáng)制性訪問控制。選擇性訪問控制是基于主體或主體所在組的身份,一般被內(nèi)置于許多操作系統(tǒng)當(dāng)中。強(qiáng)制性訪問控制是基于被訪問信息的敏感性。3.2 VPN的主要安全協(xié)議在實(shí)施信息安全的過程中,為了給通過非信任網(wǎng)絡(luò)的私有數(shù)據(jù)提供安全保護(hù),通訊的雙方首先進(jìn)行身份認(rèn)證,這中間要經(jīng)過大量的協(xié)商,在此基礎(chǔ)上,發(fā)送方將數(shù)據(jù)加密后發(fā)出,接受端先對數(shù)據(jù)進(jìn)行完整性檢查,然后解密,使用。這要求雙方事先確定要使用

26、的加密和完整性檢查算法。由此可見,整個(gè)過程必須在雙方共同遵守的規(guī)范( 協(xié)議) 下進(jìn)行。VPN區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵是隧道的建立,數(shù)據(jù)包經(jīng)過加密后,按隧道協(xié)議進(jìn)行封裝、傳送以保證安全性。一般,在數(shù)據(jù)鏈路層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層隧道協(xié)議,常用的有PPTP , L2TP 等;在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議,如IPSec。另外,SOCKSv5協(xié)議則在TCP層實(shí)現(xiàn)數(shù)據(jù)安全。3.2.1PPTP/L2TP 1996年,Microsoft和Ascend等在PPP 協(xié)議的基礎(chǔ)上開發(fā)了PPTP , 它集成于Windows NT Server4.0中,Windows NT Workstation

27、和Windows 9.X也提供相應(yīng)的客戶端軟件。PPP支持多種網(wǎng)絡(luò)協(xié)議,可把IP 、IPX、AppleTalk或NetBEUI的數(shù)據(jù)包封裝在PPP包中,再將整個(gè)報(bào)文封裝在PPTP隧道協(xié)議包中,最后,再嵌入IP報(bào)文或幀中繼或ATM中進(jìn)行傳輸。PPTP提供流量控制,減少擁塞的可能性,避免由于包丟棄而引發(fā)包重傳的數(shù)量。PPTP的加密方法采用Microsoft點(diǎn)對點(diǎn)加密(MPPE: Microsoft Point-to- Point) 算法,可以選用較弱的40位密鑰或強(qiáng)度較大的128位密鑰。1996年, Cisco提出L2F(Layer 2 Forwarding)隧道協(xié)議,它也支持多協(xié)議,但其主要用于

28、Cisco的路由器和撥號訪問服務(wù)器。1997年底,Microsoft 和Cisco公司把PPTP 協(xié)議和L2F協(xié)議的優(yōu)點(diǎn)結(jié)合在一起,形成了L2TP協(xié)議。L2TP支持多協(xié)議,利用公共網(wǎng)絡(luò)封裝PPP幀,可以實(shí)現(xiàn)和企業(yè)原有非IP網(wǎng)的兼容。還繼承了PPTP的流量控制,支持MP(Multilink Protocol),把多個(gè)物理通道捆綁為單一邏輯信道。L2TP使用PPP可靠性發(fā)送(RFC 1663)實(shí)現(xiàn)數(shù)據(jù)包的可靠發(fā)送。L2TP隧道在兩端的VPN服務(wù)器之間采用口令握手協(xié)議CHAP來驗(yàn)證對方的身份.L2TP受到了許多大公司的支持.PPTP/L2TP協(xié)議的優(yōu)點(diǎn): PPTP/L2TP對用微軟操作系統(tǒng)的 用戶來

29、說很方便,因?yàn)槲④浖喊阉鳛槁酚绍浖囊徊糠?。PPTP/ L2TP支持其它網(wǎng)絡(luò)協(xié)議。如NOWELL的IPX,NETBEUI和APPLETALK協(xié)議,還支持流量控制。 它通過減少丟棄包來改善網(wǎng)絡(luò)性能,這樣可減少重傳。PPTP/ L2TP協(xié)議的缺點(diǎn):PM和L2TP 將不安全的IP包封裝在安全的IP包內(nèi),它們用IP幀在兩臺(tái)計(jì)算機(jī)之間創(chuàng)建和打開數(shù)據(jù)通道,一旦通道打開,源和目的用戶身份就不再需要,這樣可能帶來問題,它不對兩個(gè)節(jié)點(diǎn)間的信息傳輸進(jìn)行監(jiān)視或控制。PPTP和L2TP限制同時(shí)最多只能連接255個(gè)用戶,端點(diǎn)用戶需要在連接前手工建立加密信道,認(rèn)證和加密受到限制,沒有強(qiáng)加密和認(rèn)證支持。PPTP/ L2T

30、P最適合于遠(yuǎn)程訪問VPN.3.2.2IPSec協(xié)議IPSec是IETF(Internet Engineer Task Force) 正在完善的安全標(biāo)準(zhǔn),它把幾種安全技術(shù)結(jié)合在一起形成一個(gè)較為完整的體系,受到了眾多廠商的關(guān)注和支持。通過對數(shù)據(jù)加密、認(rèn)證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性。IPSec由IP認(rèn)證頭AH(Authentication Header)、IP安全載荷封載ESP(Encapsulated Security Payload)和密鑰管理協(xié)議組成。IPSec協(xié)議是一個(gè)范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議。IPSec 適應(yīng)向IPv6遷移, 它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)

31、,提供透明的安全通信。IPSec用密碼技術(shù)從三個(gè)方面來保證數(shù)據(jù)的安全。即:認(rèn)證:用于對主機(jī)和端點(diǎn)進(jìn)行身份鑒別。完整性檢查:用于保證數(shù)據(jù)在通過網(wǎng)絡(luò)傳輸時(shí)沒有被修改。加密:加密IP地址和數(shù)據(jù)以保證私有性。IPSec協(xié)議可以設(shè)置成在兩種模式下運(yùn)行:一種是隧道模式,一種是傳輸模式。 在隧道模式下,IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀 中,這樣保護(hù)從一個(gè)防火墻到另一個(gè)防火墻時(shí)的安全性。在隧道模式下,信息封裝是為了保護(hù)端到端的安全性,即在這種模式下不會(huì)隱藏路由信息。隧道模式是最安全的,但會(huì)帶來較大的系統(tǒng)開銷。IPSec現(xiàn)在還不完全成熟,但它得到了一些路由器廠商和硬件廠商的大力支持。預(yù)計(jì)它今后將成為

32、虛擬專用網(wǎng)的主要標(biāo)準(zhǔn)。IPSec有擴(kuò)展能力以適應(yīng)未來商業(yè)的需要。在1997年底,IETF安全工作組完成了IPSec 的擴(kuò)展, 在IPSec協(xié)議中加上ISAKMP(Internet Security Association and Kay Management Protocol)協(xié)議,其中還包括一個(gè)密鑰分配協(xié)議Oakley。ISAKMP/Oakley支持自動(dòng)建立加密信道,密鑰的自動(dòng)安全分發(fā)和更新。IPSec也可用于連接其它層己存在的通信協(xié)議,如支持安全電子交易(SET:Secure Electronic Transaction)協(xié)議和SSL(Secure Socket layer)協(xié)議。即使不用

33、SET或SSL,IPSec 都能提供認(rèn)證和加密手段以保證信息的傳輸。實(shí)例分析VPN的具體實(shí)現(xiàn)方案有很多,實(shí)際應(yīng)用中應(yīng)根據(jù)用戶的需求、用戶資源現(xiàn)狀、承載網(wǎng)絡(luò)資源現(xiàn)狀、投資效益以及相關(guān)技術(shù)比較等多種因素綜合考慮,選擇一種主流的方案。在本文中就以一個(gè)中小型企業(yè)為例模擬實(shí)際環(huán)境建立一個(gè)基于ISA的企業(yè)VPN網(wǎng)絡(luò)以滿足遠(yuǎn)程辦公、分公司和合作伙伴遠(yuǎn)程訪問的要求。這個(gè)實(shí)驗(yàn)在理論的指導(dǎo)下實(shí)現(xiàn)了一種VPN的實(shí)際應(yīng)用,為中小企業(yè)設(shè)計(jì)VPN網(wǎng)絡(luò)提供參考和借鑒。4.1 需求分析隨著公司的發(fā)展壯大,廈門某公司在上海開辦了分公司來進(jìn)一步發(fā)展業(yè)務(wù),公司希望總部和分公司、總部與合作伙伴可以隨時(shí)的進(jìn)行安全的信息溝通,而外出辦公

34、人員可以訪問到企業(yè)內(nèi)部關(guān)鍵數(shù)據(jù),隨時(shí)隨地共享商業(yè)信息,提高工作效率。一些大型跨國公司解決這個(gè)問題的方法,就是在各個(gè)公司之間租用運(yùn)營商的專用線路。這個(gè)辦法雖然能解決問題,但是費(fèi)用昂貴,對于中小企業(yè)來說是無法負(fù)擔(dān)的,而VPN技術(shù)能解決這個(gè)問題。根據(jù)該公司用戶的需求,遵循著方便實(shí)用、高效低成本、安全可靠、網(wǎng)絡(luò)架構(gòu)彈性大等相關(guān)原則決定采用ISA Server VPN安全方案,以ISA作為網(wǎng)絡(luò)訪問的安全控制。ISA Server集成了Windows server VPN服務(wù),提供一個(gè)完善的防火墻和VPN解決方案。以 ISA VPN作為連接Internet的安全網(wǎng)關(guān),并使用雙網(wǎng)卡,隔開內(nèi)外網(wǎng),增加網(wǎng)絡(luò)安全

35、性。ISA具備了基于策略的安全性,并且能夠加速和管理對Internet的訪問。防火墻能對數(shù)據(jù)包層、鏈路層和應(yīng)用層進(jìn)行數(shù)據(jù)過濾、對穿過防火墻的數(shù)據(jù)進(jìn)行狀態(tài)檢查、對訪問策略進(jìn)行控制并對網(wǎng)絡(luò)通信進(jìn)行路由。對于各種規(guī)模的企業(yè)來說,ISA Server 都可以增強(qiáng)網(wǎng)絡(luò)安全性、貫徹一致的 Internet 使用策略、加速 Internet 訪問并實(shí)現(xiàn)員工工作效率最大化。在ISA中可以使用以下三種協(xié)議來建立VPN連接: IPSEC隧道模式; L2TP over IPSec模式; PPTP; 下表比較了這三種協(xié)議: 表4-1 ISA中三種協(xié)議對比表協(xié)議何時(shí)使用安全等級備注IPSec隧道模式連接到第三方的VPN

36、服務(wù)器高這是唯一一種可以連接到非微軟VPN服務(wù)器的方式L2TP over IPSec連接到ISA Server 2000、ISA Server 2004或者Windows VPN服務(wù)器高使用RRAS。比IPSec隧道模式更容易理解,但是要求遠(yuǎn)程VPN服務(wù)器是ISA Server或者Windows VPN服務(wù)器。PPTP連接到ISA Server 2000、ISA Server 2004或者Windows VPN服務(wù)器中等使用RRAS,和L2TP具有同樣的限制,但是更容易配置。因?yàn)槭褂肐PSec加密,L2TP更認(rèn)為更安全。三個(gè)站點(diǎn)都采用ISA VPN作為安全網(wǎng)關(guān),且L2TP over IPSec

37、結(jié)合了L2TP 和 IPSec的優(yōu)點(diǎn),所以在這里采用L2TP over IPSec作為VPN實(shí)施方案。4.2 方案達(dá)到的目的廈門總部和分公司之間以及廈門總部和合作伙伴之間透過VPN聯(lián)機(jī)采用IPSec協(xié)定,確保傳輸數(shù)據(jù)的安全;在外出差或想要連回總部或分公司的用戶也可使用IPSec方式連回企業(yè)網(wǎng)路;對總部內(nèi)網(wǎng)實(shí)施上網(wǎng)的訪問控制,通過VPN設(shè)備的訪問控制策略,對訪問的PC進(jìn)行嚴(yán)格的訪問控制。對外網(wǎng)可以抵御黑客的入侵,起到Firewall作用。具有控制和限制的安全機(jī)制和措施,具備防火墻和抗攻擊等功能;部署靈活,維護(hù)方便,提供強(qiáng)大的管理功能,以減少系統(tǒng)的維護(hù)量以適應(yīng)大規(guī)模組網(wǎng)需要。4.3 VPN組建方案

38、網(wǎng)絡(luò)拓?fù)鋱D圖4-1 VPN組建網(wǎng)絡(luò)拓?fù)鋱D各部分VPN設(shè)備的配置公司總部和分支機(jī)構(gòu)之間與公司總部和合作伙伴之間的VPN通信,都是站點(diǎn)對站點(diǎn)的方式,只是權(quán)限設(shè)置不一樣,公司總部和分支機(jī)構(gòu)要實(shí)現(xiàn)的公司分支機(jī)構(gòu)共享總部的資源,公司總部和合作伙伴要實(shí)現(xiàn)是資源共享和互訪。兩者之間的差別是合作伙伴的VPN接入上設(shè)置了可以總部可以訪問的操作。因?yàn)槿齻€(gè)站點(diǎn)都采用ISA VPN作為安全網(wǎng)關(guān),所以以下站點(diǎn)對站點(diǎn)的VPN配置就以公司總部到分支機(jī)構(gòu)為例,說明在ISA上實(shí)現(xiàn)VPN的具體操作。模擬基本拓?fù)鋱D:圖5-1 實(shí)驗(yàn)?zāi)M網(wǎng)絡(luò)拓?fù)鋱D5.1 公司總部到分支機(jī)構(gòu)的ISA VPN配置各主機(jī)的TCP/IP為: 廈門總部外部網(wǎng)絡(luò)

39、: IP:DG:內(nèi)部網(wǎng)絡(luò): IP:67DG:None 分部外部網(wǎng)絡(luò): IP:DG:內(nèi)部網(wǎng)絡(luò): IP:DG:None 在總部和支部之間建立一個(gè)基于IPSec的站點(diǎn)到站點(diǎn)的VPN連接,由支部向總部進(jìn)行請求撥號,具體步驟如下: 在總部ISA服務(wù)器上建立遠(yuǎn)程站點(diǎn); 建立此遠(yuǎn)程站點(diǎn)的網(wǎng)絡(luò)規(guī)則; 建立此遠(yuǎn)程站點(diǎn)的訪問規(guī)則; 在總部為遠(yuǎn)程站點(diǎn)的撥入建立用戶;在支部ISA服務(wù)器上建立遠(yuǎn)程站點(diǎn); 建立此遠(yuǎn)程站點(diǎn)的網(wǎng)絡(luò)規(guī)則; 建立此遠(yuǎn)程站點(diǎn)的訪問規(guī)則; 測試VPN連接; 5.1.1 總部ISA VPN配置1、在總部ISA服務(wù)器上建立遠(yuǎn)程分支機(jī)構(gòu)站點(diǎn) 打開ISA Server 2004控制臺(tái),點(diǎn)擊虛擬專用網(wǎng)絡(luò),點(diǎn)擊

40、右邊任務(wù)面板中的添加遠(yuǎn)程站點(diǎn)網(wǎng)絡(luò);在歡迎使用網(wǎng)絡(luò)創(chuàng)建向?qū)ы摚斎脒h(yuǎn)程站點(diǎn)的名字Branch,點(diǎn)擊下一步; 在VPN協(xié)議頁,選擇IPSec上的第二層隧道協(xié)議(L2TP),點(diǎn)擊下一步; 在遠(yuǎn)程站點(diǎn)網(wǎng)關(guān)頁,輸入遠(yuǎn)程VPN服務(wù)器的名稱或IP地址,如果輸入名稱,需確??梢哉_解析,在這里輸入點(diǎn)擊下一步; 在網(wǎng)絡(luò)地址頁,點(diǎn)擊添加輸入與此網(wǎng)卡關(guān)聯(lián)的IP地址范圍,在此輸入和55,點(diǎn)擊確定后,點(diǎn)擊下一步繼續(xù); 在正在完成新建網(wǎng)絡(luò)向?qū)ы?,點(diǎn)擊完成。 圖5-2 總部建立的遠(yuǎn)程站點(diǎn)圖打開VPN客戶端,點(diǎn)擊配置VPN客戶端訪問,在常規(guī)頁中,選擇啟用VPN客戶端訪問,填入允許的最大VPN客戶端數(shù)量20,在協(xié)議頁,選擇啟用

41、PPTP(N)和啟用L2TP/IPSEC(E)點(diǎn)擊確定。點(diǎn)擊選擇身份驗(yàn)證方法,選擇Microsoft加密的身份驗(yàn)證版本2(MS-CHAPv2)(M)和允許L2TP連接自定義IPSec策略(L),輸入預(yù)共享的密鑰main04jsja.點(diǎn)擊定義地址分配,在地址分配頁,選擇靜態(tài)地址池,點(diǎn)擊添加,添加VPN連接后總部主機(jī)分配的給客戶端的IP地址段,在這里輸入-55,點(diǎn)擊確定完成設(shè)置。(方便測試連接,可不添加)2、在總部上建立此遠(yuǎn)程站點(diǎn)的網(wǎng)絡(luò)規(guī)則 接下來,我們需要建立一條網(wǎng)絡(luò)規(guī)則,為遠(yuǎn)程站點(diǎn)和內(nèi)部網(wǎng)絡(luò)間的訪問定義路由關(guān)系。右鍵點(diǎn)擊配置下的網(wǎng)絡(luò),然后點(diǎn)擊新建,選擇網(wǎng)絡(luò)規(guī)則; 在新建網(wǎng)絡(luò)規(guī)則向?qū)ы?,輸入?guī)則

42、名字,在此命名為Internal to Branch,點(diǎn)擊下一步;在網(wǎng)絡(luò)通訊源頁,點(diǎn)擊添加,選擇網(wǎng)絡(luò)目錄下的內(nèi)部,點(diǎn)擊下一步; 在網(wǎng)絡(luò)通訊目標(biāo)頁,點(diǎn)擊添加,選擇網(wǎng)絡(luò)目錄下的Branch,點(diǎn)擊下一步; 在網(wǎng)絡(luò)關(guān)系頁,選擇路由,然后點(diǎn)擊下一步; 在正在完成新建網(wǎng)絡(luò)規(guī)則向?qū)ы?,點(diǎn)擊完成; 圖5-3 總部網(wǎng)絡(luò)規(guī)則圖3、在總部上建立此遠(yuǎn)程站點(diǎn)的訪問規(guī)則 現(xiàn)在,我們需要為遠(yuǎn)程站點(diǎn)和內(nèi)部網(wǎng)絡(luò)間的互訪建立訪問規(guī)則,右鍵點(diǎn)擊防火墻策略,選擇新建,點(diǎn)擊訪問規(guī)則; 在歡迎使用新建訪問規(guī)則向?qū)ы?,輸入?guī)則名稱,在此命名為main to branch,點(diǎn)擊下一步; 在規(guī)則操作頁,選擇允許,點(diǎn)擊下一步; 在協(xié)議頁,選擇所

43、選的協(xié)議,然后添加HTTP和Ping,(這里可以再根據(jù)實(shí)際需要添加協(xié)議)點(diǎn)擊下一步; 在訪問規(guī)則源頁,點(diǎn)擊添加,選擇網(wǎng)絡(luò)目錄下的Branch和內(nèi)部,點(diǎn)擊下一步; 在訪問規(guī)則目標(biāo)頁,點(diǎn)擊添加,選擇網(wǎng)絡(luò)目錄下的Branch和內(nèi)部,點(diǎn)擊下一步;在用戶集頁,接受默認(rèn)的所有用戶,點(diǎn)擊下一步;在正在完成新建訪問規(guī)則向?qū)ы?,點(diǎn)擊完成; 最后,點(diǎn)擊應(yīng)用以保存修改和更新防火墻設(shè)置。 此時(shí)在警報(bào)里面有提示,需要重啟ISA服務(wù)器,所以,我們需要重啟ISA計(jì)算機(jī)。圖5-4 總部訪問控制圖4、在總部上為遠(yuǎn)程站點(diǎn)的撥入建立用戶 在重啟總部ISA服務(wù)器后,以管理員身份登錄,在我的電腦上點(diǎn)擊右鍵,選擇管理,選擇在本地用戶和組

44、里面,右擊用戶,選擇新用戶,這個(gè)VPN撥入用戶的名字一定要和遠(yuǎn)程站點(diǎn)的名字一致,在此是main,輸入密碼main,選中用戶不能修改密碼和密碼永不過期,取消勾選用戶必須在下次登錄時(shí)修改密碼,點(diǎn)擊創(chuàng)建; 右擊此用戶,選擇屬性;在用戶屬性的撥入標(biāo)簽,選擇允許訪問,點(diǎn)擊確定。圖5-5 總部用戶創(chuàng)建圖此時(shí),遠(yuǎn)程客戶端撥入總部的用戶賬號就建好了。5.1.2 支部 ISA VPN配置1、在支部ISA服務(wù)器上添加遠(yuǎn)程站點(diǎn)打開ISA Server 2004控制臺(tái),點(diǎn)擊虛擬專用網(wǎng)絡(luò),點(diǎn)擊右邊任務(wù)面板中的添加遠(yuǎn)程站點(diǎn)網(wǎng)絡(luò);在歡迎使用網(wǎng)絡(luò)創(chuàng)建向?qū)ы?,輸入遠(yuǎn)程站點(diǎn)的名字Main,點(diǎn)擊下一步; 在VPN協(xié)議頁,選擇IPS

45、ec上的第二層隧道協(xié)議(L2TP),點(diǎn)擊下一步; 在遠(yuǎn)程站點(diǎn)網(wǎng)關(guān)頁,輸入遠(yuǎn)程VPN服務(wù)器的名稱或IP地址,如果輸入名稱,需確??梢哉_解析,在這里輸入,點(diǎn)擊下一步; 在遠(yuǎn)程身份驗(yàn)證頁,輸入用戶名main,輸入密碼main,點(diǎn)擊下一步繼續(xù); 在網(wǎng)絡(luò)地址頁,點(diǎn)擊添加輸入與此網(wǎng)卡關(guān)聯(lián)的IP地址范圍,在此輸入和55,點(diǎn)擊確定后,點(diǎn)擊下一步繼續(xù); 在正在完成新建網(wǎng)絡(luò)向?qū)ы?,點(diǎn)擊完成。 圖5-6 支部建立的遠(yuǎn)程站點(diǎn)圖2、建立此遠(yuǎn)程站點(diǎn)的網(wǎng)絡(luò)規(guī)則 接下來,我們需要建立一條網(wǎng)絡(luò)規(guī)則,為遠(yuǎn)程站點(diǎn)和內(nèi)部網(wǎng)絡(luò)間的訪問定義路由關(guān)系。右擊配置下的網(wǎng)絡(luò),然后點(diǎn)擊新建,選擇網(wǎng)絡(luò)規(guī)則;在新建網(wǎng)絡(luò)規(guī)則向?qū)ы?,輸入?guī)則名字,在此

46、我命名為內(nèi)部-Main,點(diǎn)擊下一步;在網(wǎng)絡(luò)通訊源頁,點(diǎn)擊添加,選擇網(wǎng)絡(luò)目錄下的內(nèi)部,點(diǎn)擊下一步;在網(wǎng)絡(luò)通訊目標(biāo)頁,點(diǎn)擊添加,選擇網(wǎng)絡(luò)目錄下的Main,點(diǎn)擊下一步;在網(wǎng)絡(luò)關(guān)系頁,選擇路由,然后點(diǎn)擊下一步;在正在完成新建網(wǎng)絡(luò)規(guī)則向?qū)ы?,點(diǎn)擊完成;圖5-7 支部的網(wǎng)絡(luò)規(guī)則圖3、建立此遠(yuǎn)程站點(diǎn)的訪問規(guī)則 在創(chuàng)建完遠(yuǎn)程站點(diǎn)和遠(yuǎn)程站點(diǎn)的網(wǎng)絡(luò)規(guī)則之后,我們需要為遠(yuǎn)程站點(diǎn)和內(nèi)部網(wǎng)絡(luò)間的互訪建立訪問規(guī)則,右擊防火墻策略,選擇新建,點(diǎn)擊訪問規(guī)則;在歡迎使用新建訪問規(guī)則向?qū)ы?,輸入?guī)則名稱,在此我命名為branch to main ,點(diǎn)擊下一步;在規(guī)則操作頁,選擇允許,點(diǎn)擊下一步;在協(xié)議頁,選擇所選的協(xié)議,然后添加

47、HTTP和Ping,點(diǎn)擊下一步;在訪問規(guī)則源頁,點(diǎn)擊添加,選擇網(wǎng)絡(luò)目錄下的Main和內(nèi)部,點(diǎn)擊下一步;在訪問規(guī)則目標(biāo)頁,點(diǎn)擊添加,選擇網(wǎng)絡(luò)目錄下的Main和內(nèi)部,點(diǎn)擊下一步;在用戶集頁,接受默認(rèn)的所有用戶,點(diǎn)擊下一步;在正在完成新建訪問規(guī)則向?qū)ы?,點(diǎn)擊完成;最后,點(diǎn)擊應(yīng)用以保存修改和更新防火墻設(shè)置。圖5-8 支部的訪問控制圖此時(shí)在警報(bào)里面有提示,需要重啟ISA服務(wù)器,所以,我們需要重啟支部ISA計(jì)算機(jī)。5.1.3 VPN連接在支部的路由和遠(yuǎn)程訪問控制臺(tái)中,展開服務(wù)器,點(diǎn)擊網(wǎng)絡(luò)接口,這時(shí)就會(huì)出現(xiàn)我們創(chuàng)建的main網(wǎng)絡(luò)撥號接口,右鍵點(diǎn)擊屬性,在安全頁選擇高級設(shè)置下的IPSec設(shè)置,在使用預(yù)共享的密

48、鑰作身份驗(yàn)證(U)的選框里打勾,并輸入密鑰main04jsja, 點(diǎn)擊兩次確定,完成密鑰設(shè)置。右鍵點(diǎn)擊設(shè)置憑據(jù),在接口憑據(jù)頁,輸入此接口連接到遠(yuǎn)程路由器使用的憑據(jù),因?yàn)樵谶h(yuǎn)程ISA端我們設(shè)置為main 所以這里輸入的用戶密碼為main,點(diǎn)擊確定。圖5-9 連接驗(yàn)證圖右鍵main點(diǎn)擊連接圖5-10 正在進(jìn)行連接示意圖圖5-11 已連接上示意圖到此為止站點(diǎn)到站點(diǎn)的VPN已經(jīng)構(gòu)建好了,在上面的設(shè)置中,遠(yuǎn)程的支部不允許總部進(jìn)行訪問,如果要設(shè)成可以互相訪問,支部的配置只要參照總部的配置就可以實(shí)現(xiàn)了。5.1.4 連接測試我們之前在靜態(tài)地址池里設(shè)置了VPN連接后分配的IP地址,因此測試是否連接時(shí)只要查支部主

49、機(jī)的IP地址就可以了,在測試的結(jié)果中,出現(xiàn)了這個(gè)VPN分配的IP地址,說明VPN已成功連接上總部的ISA VPN服務(wù)器。圖5-12 支部主機(jī)VPN連接后的ipconfig圖在支部的主機(jī)上ping總部內(nèi)部的某一主機(jī),如下所示,雖然第一次連接時(shí)間超時(shí),沒有回應(yīng),但是接下來的三個(gè)連接都可以ping通,說明VPN已經(jīng)成功連接,并可以訪問到總部內(nèi)網(wǎng)的其他主機(jī)。圖5-13 支部PING通總部內(nèi)部網(wǎng)絡(luò)圖5.2 公司總部站點(diǎn)到移動(dòng)用戶端的VPN配置總部外部網(wǎng)絡(luò): IP:DG:內(nèi)部網(wǎng)絡(luò): IP:67DG:None 移動(dòng)用戶IP:在總部和移動(dòng)用戶之間建立一個(gè)基于IPSec的VPN連接,具體步驟如下: 在總部ISA

50、服務(wù)器上建立網(wǎng)絡(luò)規(guī)則 建立此遠(yuǎn)程站點(diǎn)的訪問規(guī)則; 在總部為遠(yuǎn)程站點(diǎn)的撥入建立用戶;在客戶端建立撥號連接測試VPN連接; 5.2.1 總部ISA VPN配置1、創(chuàng)建遠(yuǎn)程訪問移動(dòng)客戶端打開ISA Server 2004控制臺(tái),點(diǎn)擊虛擬專用網(wǎng)絡(luò),點(diǎn)擊右邊任務(wù)面板中常規(guī)VPN配置中的選擇訪問網(wǎng)絡(luò)在虛擬專用網(wǎng)絡(luò)(VPN)屬性頁 選擇訪問網(wǎng)絡(luò),選中外部和所有網(wǎng)絡(luò)(和本地主機(jī))選擇地址分配頁,這里需要在靜態(tài)地址池里面添加分給VPN撥入用戶的IP地址,因?yàn)樵谡军c(diǎn)對站點(diǎn)的設(shè)置里已經(jīng)配置過,所以這里直接點(diǎn)確定點(diǎn)擊確定;點(diǎn)擊VPN客戶端任務(wù)里的配置VPN客戶端訪問選項(xiàng),點(diǎn)擊啟用VPN客戶端訪問,設(shè)置允許的最大VPN

51、客戶端數(shù)量20。點(diǎn)擊協(xié)議選項(xiàng),選擇啟用PPTP(N)和啟用L2TP/IPSEC(E)點(diǎn)擊確定。2、創(chuàng)建移動(dòng)客戶端的訪問規(guī)則現(xiàn)在,我們需要為遠(yuǎn)程站點(diǎn)和內(nèi)部網(wǎng)絡(luò)間的互訪建立訪問規(guī)則,右鍵點(diǎn)擊防火墻策略,在任務(wù)面板上選擇創(chuàng)建新的訪問規(guī)則;在歡迎使用新建訪問規(guī)則向?qū)ы?,輸入?guī)則名稱Allow move VPN,點(diǎn)擊下一步;在規(guī)則操作頁,選擇允許,點(diǎn)擊下一步;在協(xié)議頁,選擇所選的協(xié)議,然后添加HTTP 和PING,點(diǎn)擊下一步;在訪問規(guī)則源頁,點(diǎn)擊添加,選擇網(wǎng)絡(luò)目錄下的外部,點(diǎn)擊下一步;在訪問規(guī)則目標(biāo)頁,點(diǎn)擊添加,選擇網(wǎng)絡(luò)集目錄下的所有網(wǎng)絡(luò)(和本地主機(jī)),點(diǎn)擊下一步;在用戶集頁,接受默認(rèn)的所有用戶,點(diǎn)擊下

52、一步;在正在完成新建訪問規(guī)則向?qū)ы?,點(diǎn)擊完成;最后,點(diǎn)擊應(yīng)用以保存修改和更新防火墻設(shè)置。圖5-14 總部移動(dòng)用戶訪問控制圖3、在總部上為移動(dòng)用戶創(chuàng)建撥入建立帳號在重啟總部ISA服務(wù)器后,以管理員身份登錄,在我的電腦上點(diǎn)擊右鍵,選擇管理,選擇在本地用戶和組里面,右擊用戶,選擇新用戶,輸入用戶名movevpn,輸入密碼movevpn,選擇用戶必須在下次登錄時(shí)修改密碼,點(diǎn)擊創(chuàng)建; 右擊此用戶,選擇屬性;在用戶屬性的撥入標(biāo)簽,選擇允許訪問,點(diǎn)擊確定。圖5-15 總部移動(dòng)用戶創(chuàng)建圖5.2.2 移動(dòng)用戶端VPN配置1、VPN 客戶端的配置點(diǎn)擊 開始-所有程序-附件-通訊-新建連接向?qū)г谛陆ㄟB接向?qū)ы?,點(diǎn)擊

53、下一步在網(wǎng)絡(luò)連接類型頁,選擇連接到我的工作場所的網(wǎng)絡(luò)點(diǎn)擊下一步在網(wǎng)絡(luò)連接頁,選擇虛擬專用網(wǎng)連接點(diǎn)擊下一步在連接名頁面,輸入連接的名稱,如“XMUT”,點(diǎn)擊下一步在公用網(wǎng)絡(luò)頁,選擇不撥初始連接,點(diǎn)擊下一步在VPN服務(wù)器選擇頁,輸入主機(jī)名或IP地址, 點(diǎn)擊下一步在可用連接頁,根據(jù)需要進(jìn)行選擇,然后單擊下一步按鈕繼續(xù)。 在完成網(wǎng)絡(luò)連接向?qū)ы?,勾選中在我的桌面添加快捷方式復(fù)選框,然后單擊完成按鈕。2、設(shè)置XUMT的連接屬性右鍵XMUT連接,點(diǎn)擊屬性,在安全頁選擇高級設(shè)置下的IPSEC設(shè)置,在使用預(yù)共享的密鑰作身份驗(yàn)證(U)的選框里打勾,并輸入密鑰main04jsja, 點(diǎn)擊兩次確定。到此為止,站點(diǎn)對站

54、點(diǎn)的VPN和站點(diǎn)對客戶端的VPN已經(jīng)都建立好了,具體的訪問控制和網(wǎng)絡(luò)規(guī)則都可以隨實(shí)際的應(yīng)用而更改。5.2.3 連接測試在VPN客戶端主機(jī)上輸入ipconfig,得到一個(gè)靜態(tài)地址,說明已連接成功。圖5-16 移動(dòng)用戶VPN連接后ipconfig圖致謝隨著論文的完成,近四年的大學(xué)生活也即將宣告結(jié)束了。我將銘記曾經(jīng)直接或間接為本論文做出貢獻(xiàn)和給予我指導(dǎo)和支持的老師們。 最后,非常感謝計(jì)算機(jī)科學(xué)與技術(shù)系的所有老師四年來對我的辛勤培育和熱心關(guān)懷。感謝在一起學(xué)習(xí)一起生活的同學(xué)。參考文獻(xiàn)1高海英,薛元星,辛陽 .VPN技術(shù) .第一版.北京.機(jī)械工業(yè)出版社.2004.1-22Steven Brown著. 董小

55、宇,魏鴻,馬潔譯.構(gòu)建虛擬專用網(wǎng).第一版.北京.人民郵電出版社.2000.4-53戴宗坤,唐三平.VPN與網(wǎng)絡(luò)安全.第一版.北京.電子工業(yè)出版社.2002.4邱亮,金悅.ISA配置與管理.第一版.北京.清華大學(xué)出版社.2002.5李思齊.服務(wù)器配置全攻略.第一版.北京.清華大學(xué)出版社.2006.6王達(dá)等.虛擬專用網(wǎng)(VPN)精解.北京.清華大學(xué)出版社.2004.7Carlton R. Davis 著.周永彬,馮登國等譯.IPSEC:VPN的安全實(shí)施.北京.清華大學(xué)出版社.20018科教工作室.局域網(wǎng)組建與維護(hù).第一版.北京.清華大學(xué)出版社.2008.9李文俊等.網(wǎng)絡(luò)硬件搭建與配置實(shí)踐.第一版.

56、北京.電子工業(yè)出版社.2007.10李莉,童小林譯.網(wǎng)絡(luò)互聯(lián)技術(shù)手冊.第四版.北京.人民郵電出版社.2004.附錄資料:不需要的可以自行刪除 VIW虛擬因特網(wǎng)教室概述( )因特網(wǎng)教室,是一個(gè)在局域網(wǎng)環(huán)境中模擬因特網(wǎng)的教學(xué)系統(tǒng),它采用多種先進(jìn)的網(wǎng)絡(luò)技術(shù),把因特網(wǎng)帶進(jìn)校園,讓學(xué)校的師生在校園網(wǎng)中即可模擬上因特網(wǎng),無須撥號,也不必通過代理服務(wù)器,只要在任一瀏覽器中敲入所需網(wǎng)址,就可完成恰似在因特網(wǎng)上才能實(shí)現(xiàn)的全部功能,從而實(shí)現(xiàn)信息的交換、發(fā)布與檢索。這樣,學(xué)生和老師在花費(fèi)極少的校園網(wǎng)環(huán)境中就可遨游樂趣無窮的:搜索瀏覽自己感興趣的網(wǎng)站,查詢收集與課題相關(guān)的信息以輔助教學(xué)或?qū)W習(xí),使用電子郵件進(jìn)行交流與溝通,在上貼帖子,對某些問題發(fā)表自己獨(dú)特的見解,在談天說地中暢所欲言,大侃特侃,在下載專區(qū)中下載各種軟件,在留言板中提出你的意見等等,讓師生們在校園局域網(wǎng)中充分過把上癮。提供了包羅萬象的 網(wǎng)站和功能強(qiáng)大的系統(tǒng)管理程序。此網(wǎng)站中的因特網(wǎng)基礎(chǔ)知識一欄,為學(xué)生們進(jìn)入上好第一堂入門課。為緊密配合教學(xué),還集成了十多個(gè)與教學(xué)有關(guān)的網(wǎng)站,使你幾乎在瞬間便可瀏覽眾多網(wǎng)站。同時(shí),在下載專區(qū)里提供了一系列流行的常用軟件工具,讓你快速下載到本地計(jì)算機(jī)上。另外, 還展示了五花八門的網(wǎng)頁特技, 讓你耳目一新,躍躍欲試。在基于操作系統(tǒng)的服務(wù)器上,增加了系統(tǒng)管理主程序(該程序還可在網(wǎng)站管理頻道中直接調(diào)用),包括

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論