VPN技術在企業(yè)網(wǎng)絡安全中的應用

PAGE中國最大的論文知識平臺VPＮ技術在企業(yè)網(wǎng)絡平安中的應用內(nèi)容摘要隨著Internet網(wǎng)絡技術的普及，網(wǎng)絡平安越顯重要。為了能更好地解決公司平安問題,讓公司總部服務器最小限度地免受外界網(wǎng)絡攻擊,也為了使企業(yè)用戶便利地從遠程訪問虛擬網(wǎng)、企業(yè)內(nèi)部虛擬網(wǎng)、企業(yè)擴展虛擬網(wǎng)，企業(yè)可以考慮采納VPN技術。VＰＮ技術簡略包括隧道技術、加密技術、用戶身份認證等.本文首先介紹了VＰＮ的基本概念、優(yōu)勢、分類和平安技術等基本內(nèi)容。然后介紹了VPN技術在杭州芝麻開門信息技術有限公司的應用。先介紹了該公司的現(xiàn)狀,以及該公司所面臨的網(wǎng)絡平安問題,接著分析了解決該問題的簡略措施。最后，論文做出了展望并給出了自己的結(jié)論。關鍵詞：ＶＰN技術、網(wǎng)絡平安、網(wǎng)絡設計TＨEAPＰLICＡTIONOFＶＰNTＥCHNＯＬＯＧYINTHENETＷORＫSEＣＵRＩTＹOＦCOMPANＹABSTＲACＴＷiｔhｔhepｏｐｕlaritｙofIｎtｅｒnettechnology，Netwoｒkｓeｃurｉtyｂecomｅsmorｅandmoreimportant.ＷeｃａnｕｓeVＰNｔecｈnologｙtｏsolveｔｈｅｓｅcurｉｔｙproｂlｅmoftheｃｏmpaｎyaｎdｍiｎｉmiｚeattackｓｆrｏｍｅxterｎａlneｔworｋ．TｈeclientscanalsoeｎteｒtｈeInｔrａnｅtVＰNoｒｅxtｒａnetＶPNbｙuｓeit.VＰＮtｅchnoloｇyｉｎcｌudesTｕnnelinｇｔｅｃhnoloｇy，Encryｐtionｔｅchｎｏｌogｙ，ａndＵserauｔhenｔiｃation,ｅtｃ．Aｔｆｉrｓｔ,thispaperiｎtｒoduｃeｓｔhｅbａsｉｃconｃept，ａｄvantagｅs，clasｓｉｆiｃatｉonandsecuriｔyｔｅchnｏlogyoftｈｅVPＮｔｅｃｈnｏlｏｇy。Thｅn，theauｔｈｏranalyzestｈeutｉlizatｉｏnofVPＮtechｎｏｌogybyｇivetheeｘａｍpｌeｏfZimaｋaiｍencｏmｐanyofhaｎgｚｈｏu。Tｈｅauｔhoranalyzesthｅsitｕationaｎdtｈenetwｏｒｋｓｅｃｕblemｏfthｅcｏmpanyfirstly。Ｔhｅn，ｔheautｈortｈiｎkｓtｈaｔthｅcompanｙcanｔａkeａctｉonsｔoｓolｖｅｔｈisproblem．Fiｎaｌｌｙ,theａuｔhｏrgivｅshiscoｎcｌusion.KEYWOＲＤS：VPNTｅchnｏlogｙ,Networksｅcｕritｙ,Netwｏｒkｄeｓign正文名目引言…………1VPN概述……………………2VPN的概念……………2VPN的組成……………２VPＮ技術………………３VPＮ用途………………4VPN在企業(yè)中的應運………６公司簡介………………6公司網(wǎng)絡現(xiàn)有狀況……………………６需求分析………………7需求總結(jié)………………8方案設計………………9實施過程………………11方案的實施效果………１9結(jié)論與啟示…………………2０ＶＰＮ的優(yōu)勢……………20VPN的展望……………２1總結(jié)……………………21參考文獻……………23致謝…………………2４引言現(xiàn)代意義上的計算機網(wǎng)絡是從１９69年美國國防部高級討論計劃局建成的ＡRPＡnet實驗網(wǎng)開頭的雷震甲.網(wǎng)絡工程師教程.清華大學出版社.2004年7月.50頁.。當時只有4個結(jié)點，進展到現(xiàn)在的正如其名所言如蜘蛛網(wǎng)一般的簡潔的萬聯(lián)網(wǎng)。威脅與平安始終都是并存著的。竊聽、假冒、重放、拒絕服務、病毒、誹謗等等的威脅無時無刻攻擊著網(wǎng)絡通信,威脅著我們的信息平安.然而供應這些威脅存在的緣由正是由于操作系統(tǒng)、計算機網(wǎng)絡、數(shù)據(jù)庫管理系統(tǒng)存在著本身的漏洞，這就使得一些非法授權的行為可以“禍起蕭墻”.專家把這些可能使得一個網(wǎng)絡受到破壞的全部行為都認定為攻擊,它可以是主動攻擊、被動攻擊、物理接近攻擊、內(nèi)部人員攻擊和分發(fā)攻擊,全部的一切都威脅著網(wǎng)絡的平安雷震甲.網(wǎng)絡工程師教程.清華大學出版社.2004年7月.50頁.所以Iｎterｎｅt的平安話題始終以來都是發(fā)散而簡潔的。從最初把Iｎtｅrｎeｔ作為科學討論用途，到當今的電子商務炙手可熱之時，平安已然成為網(wǎng)絡進展的絆腳石。所以有更多的平安技術順勢而出，目前的平安措施有數(shù)據(jù)加密、數(shù)字簽名、身份認證、防火墻和內(nèi)容檢查等。這些雖然不能阻止風險的消滅,但可以把風險降到最低。專用網(wǎng)絡指的是企業(yè)內(nèi)部的局域和廣域網(wǎng)絡，是Inｔｅrneｔ等公共網(wǎng)絡上的延長。在過去,大型企業(yè)為了網(wǎng)絡通訊的需求，往往必須投資人力、物力及財力，來建立企業(yè)專用的廣域網(wǎng)絡通訊管道，或采納長途電話甚至國際電話的昂貴撥接方式。在Internｅｔ蓬勃進展的現(xiàn)在，企業(yè)為了維持競爭力，又為了使公司總部和分支、合作伙伴之間信息的平安性受到保障,通常需要將專用網(wǎng)絡與Inteｒneｔ間適當?shù)卣显谝黄?，但是又必須花費一筆Intｅrnet連接的固定費用.基本上Iｎｔｅｒｎｅt是建立在公眾網(wǎng)絡的基礎之上，如果企業(yè)可以將專用網(wǎng)絡中的廣域網(wǎng)絡連結(jié)與遠程撥號連接這兩部份，架構(gòu)在Ｉｎternet這一類的公眾網(wǎng)絡之上,同時又可以維持原有的功能與平安需求的話,則將可以節(jié)省下一筆不算小的通訊費用支出。這個問題的解決方法，就需要虛擬專用網(wǎng)。VPＮ概述VＰN的概念利用公共網(wǎng)絡來構(gòu)建的私人專用網(wǎng)絡稱為虛擬專用網(wǎng)絡（ＶＰＮ,VｉrtualPriｖatｅNetwork),用于構(gòu)建VPＮ的公共網(wǎng)絡包括Ｉｎtｅrneｔ、幀中繼、ＡTM等。在公共網(wǎng)絡上組建的VPＮ像企業(yè)現(xiàn)有的私有網(wǎng)絡一樣能供應平安性、牢靠性和可管理性等?！疤摂M”的概念是相對于傳統(tǒng)專用網(wǎng)絡的構(gòu)建方式而言的。對于廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過遠程撥號連接來實現(xiàn)的，而ＶPN是利用服務供應商所供應的公共網(wǎng)絡來實現(xiàn)遠程的廣域網(wǎng)連接。通過VPN，企業(yè)可以以明顯的、更低的成本連接它們的遠地辦事機構(gòu)、出差工作人員以及業(yè)務合作伙伴。企業(yè)內(nèi)部資源享用者只需連入本地ＩSP的ＰＯP(PointOfPresencｅ，接入服務供應點)，即可相互通信；而利用傳統(tǒng)的WＡN組建技術，彼此之間要有專線相連才可以達到同樣的目的。虛擬網(wǎng)組成后,出差員工和外地客戶只需擁有本地ISP的上網(wǎng)權限就可以訪問企業(yè)內(nèi)部資源；如果接入服務器的用戶身份認證服務器支持漫游的話,甚至不必擁有本地IＳP的上網(wǎng)權限。這對于流淌性很大的出差員工和分布廣泛的客戶與合作伙伴來說是很有意義的。并且企業(yè)開設VPＮ服務所需的設備很少,只需在資源共享處放置一臺ＶPN服務器就可以了。VＰN具有虛擬的特點：VＰＮ并不是某個公司專有的封閉線路或者是租用某個網(wǎng)絡服務商供應的封閉線路，但是,VPN同時又具有專線的數(shù)據(jù)傳輸功能,由于ＶPＮ能夠像專線一樣在公共網(wǎng)絡上處理自己公司的信息。它通過平安的數(shù)據(jù)通道將遠程用戶，公司分支機構(gòu)，公司業(yè)務伙伴等與公司企業(yè)網(wǎng)連接起來,構(gòu)成一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)絡的主機似乎感覺全部主機都在同一個網(wǎng)絡內(nèi)，而沒有察覺公共網(wǎng)絡的存在,同時感到公共網(wǎng)絡為本網(wǎng)絡獨自占用。然而,事實并非如此，所以稱之為虛擬專用網(wǎng)雷震甲.網(wǎng)絡工程師教程.清華大學出版社.2004年7月.319頁.。雷震甲.網(wǎng)絡工程師教程.清華大學出版社.2004年7月.319頁.ＶＰN的組成無論是從VＰＮ技術進展歷程還是應用模式看，VＰＮ技術包含了多種當前新興的網(wǎng)絡技術,涉及到隧道技術、密碼技術、和身份認證技術，是多種技術的結(jié)合體.這決定了用戶在選擇VＰN時必須以應用為導向，以解決方案為實施依據(jù),方可事半功倍.VＰN是一個建立在現(xiàn)有共用網(wǎng)絡基礎上的專網(wǎng)，它由各種網(wǎng)絡節(jié)點、統(tǒng)一的運行機制和與物理接口構(gòu)成,一般包括以下幾個關鍵組成部分：一、VPN服務器ＶPN服務器作為端點的計算機系統(tǒng),可能是防火墻、路由器、專用網(wǎng)關，也可能是一臺運行ＶPN軟件的聯(lián)網(wǎng)計算機,或是一臺聯(lián)網(wǎng)手持設備。二、算法體系算法體系是ＶPN專用網(wǎng)絡的形成的關鍵，常見的有：摘要算法ＭD5或ＳHA1,對稱加密RＣ4、RC５、ＤＥS、３DES、AＥS、IDＥA、BＬOWFＩSH,公用密鑰加密RSA、DSA等。不同類型的VＰN依據(jù)應用特點在實現(xiàn)上使用對應的算法,有的還可以由用戶依據(jù)使用現(xiàn)場臨時更換。三、認證系統(tǒng)ＶPN是一個網(wǎng)絡，要為網(wǎng)絡節(jié)點供應牢靠的連接。如同現(xiàn)實社會交往中強調(diào)的“誠信"原則一樣,當你通過一個網(wǎng)絡去訪問一個網(wǎng)絡資源時，你自然盼望對方是像你要求的那樣是真實的，可以想象，對方也是這樣要求你的，如何認證對方和認證自己，同時還要防止認證信息泄露，這就是認證系統(tǒng)所要解決的問題，是開頭VPN連接的基礎.一般使用的有口令、一次性密碼、RSＡ、SecｕｒID、雙因素令牌、LDAP、WｉnｄｏｗsＡD、Radｉuｓ、證書,一個系統(tǒng)中往往包括一種以上幾種方式來增加靈敏性。四、ＶPN協(xié)議它規(guī)定了VPN產(chǎn)品的特征，主要包括平安程度和與上下層網(wǎng)絡系統(tǒng)的接口形式。平安不僅要靠算法,由于ＶPN強調(diào)的是網(wǎng)絡連接和傳輸,配套的密鑰交換和密鑰保護方法甚至比算法更重要，而接口決定了一個VＰN產(chǎn)品的適用度。常見的有PPTP、Ｌ2TP、MPLSVＰＮ、IＰseｃ、SＯCKS、SSL。VＰＮ技術VＰＮ采納的關鍵技術主要包括隧道技術、加密技術、用戶身份認證技術及訪問掌握技術。一、隧道技術VPN的核心就是隧道技術。隧道是一種通過互聯(lián)網(wǎng)絡在網(wǎng)絡之間傳遞數(shù)據(jù)的一種方式。所傳遞的數(shù)據(jù)在傳送之前就被封裝在相應的隧道協(xié)議里,當?shù)竭_另一端后才被解封。被封裝的數(shù)據(jù)在互聯(lián)網(wǎng)上傳遞時所經(jīng)過的路徑是一條規(guī)律路徑。在VPN中主要有兩種隧道.一種是端到端的隧道，主要實現(xiàn)個人與主機之間的連接,端設備必須完成隧道的建立，對端到端的數(shù)據(jù)進行加密及解密。另一種是節(jié)點到節(jié)點的隧道，主要是用于連接不同地點的LAＮ數(shù)據(jù)到達LＡN邊緣VＰN設備時被加密并傳送到隧道的另一端，在那里被解密并送入相連的LＡＮ。它其實就是邊界路由器在起著關鍵作用，隧道的建立，數(shù)據(jù)的加密、解密都是在邊界路由器里完成的.隧道技術相關的協(xié)議分為其次層隧道協(xié)議和第三層隧道協(xié)議。其次層隧道協(xié)議主要有PPTP、Ｌ2TP和LＺF等，第三層隧道協(xié)議主要有GRＥ以及IＰSｅｃ等。二、加密技術VPN的加密方法主要是發(fā)送者在發(fā)送數(shù)據(jù)之前對要發(fā)送的數(shù)據(jù)進行加密,當數(shù)據(jù)到達接收者時再由接收者對數(shù)據(jù)進行解密的處理過程.加密算法的種類包括:對稱密鑰算法,公共密鑰算法等。三、用戶身份認證技術用戶身份認證技術主要用于遠程訪問的情況.當一個撥號用戶要求建立一個會話時，就會對用戶的身份進行鑒定，以確定該用戶是否是合法用戶以及哪些資源可以被使用.四、訪問掌握技術訪問掌握技術就是確定合法用戶對特定資源的訪問權限，以實現(xiàn)對信息資源的最大限度的保護。VPN的用途一、遠程訪問VPN最適用于用戶從離散的地點訪問固定的網(wǎng)絡資源,如從住宅訪問辦公室內(nèi)的資源;出差員工從外地旅店存取企業(yè)網(wǎng)數(shù)據(jù)；技術支持人員從客戶網(wǎng)絡內(nèi)訪問公司的數(shù)據(jù)庫查詢調(diào)試參數(shù);納稅企業(yè)從本企業(yè)內(nèi)接入互聯(lián)網(wǎng)并通過VＰN進入當?shù)囟悇展芾聿块T進行網(wǎng)上稅金繳納.遠程訪問VPＮ可以完全替代以往昂貴的遠程撥號接入,并加強了數(shù)據(jù)平安。二、內(nèi)聯(lián)網(wǎng)(分支機構(gòu)聯(lián)網(wǎng)）VPN最適用將異地的兩個或多個局域網(wǎng)或主機相連形成一個內(nèi)網(wǎng)，主要用于將用戶的異地ＬＡＮ通過互聯(lián)網(wǎng)上的ＶPN作為一條虛擬專線連接起來，或是將分支機構(gòu)與總部連接起來。內(nèi)聯(lián)網(wǎng)ＶＰN可以替代目前市場上使用幀中繼和ATM等專線構(gòu)成的專網(wǎng),顯著降低網(wǎng)絡建設和運行成本，極大提高了部署和擴展靈敏性。三、平安平臺將相同工作性質(zhì)的，離散地理位置的終端設備、局域網(wǎng)內(nèi)的主機或局域網(wǎng)連接形成一個專網(wǎng)，滿意協(xié)同工作的要求,如總公司銷售部門的LAN與下屬單位的銷售部門的PC，以及外出銷售人員的筆記本之間構(gòu)成一個平安銷售網(wǎng),共享ＣRM、文檔和IP電話，滿意用戶動態(tài)、業(yè)務導向化的組網(wǎng)要求，這是其他方案難以實現(xiàn)的。四、替代專線內(nèi)聯(lián)網(wǎng)VPN的簡化版，簡潔地將兩個主機相連實現(xiàn)聯(lián)機、遙控，或一個主機與一個LAN相連，或替代現(xiàn)有專網(wǎng)的某一條專線成為專網(wǎng)的一部分。五、用戶認證利用ＶＰＮ用戶認證機制和ＶPN的平安性，強化用戶認證的平安，如上網(wǎng)計費系統(tǒng),認證后的數(shù)據(jù)傳輸平安不是重點。六、網(wǎng)絡資源訪問掌握將VPN用戶認證機制和VＰN網(wǎng)關對網(wǎng)絡訪問的調(diào)度能力結(jié)合起來，依據(jù)預定的平安策略給與不同用戶不同的資源訪問權限，強化網(wǎng)絡資源的合理配置和平安性.ＶPN在企業(yè)中的應運公司簡介杭州芝麻開門信息技術有限公司系專業(yè)行業(yè)性B2Ｂ和B２C平臺運營商,公司下設兩家分公司，運營兩個網(wǎng)站:wｗw。ｃn—ｐeｎ.com和ＨＹPERＬINK”hｔtp:／／ｗww.ｚmkｍ．cn”wwｗ.zｍｋｍ。ｃn，現(xiàn)在公司主要是和中國制筆協(xié)會共同開發(fā)中國筆業(yè)貿(mào)易網(wǎng)HＹPERＬINK”http:/／www．ｃｎ—pｅｎ．ｃｏｍ”www．ｃn—pen．com．公司匯聚了眾多IT界的精英，直接出擊日益擴張的全球市場。公司的目的是將傳統(tǒng)的國內(nèi)、國際性選購及貿(mào)易活動轉(zhuǎn)變成一個高效率、高效益、低成本的新型電子商務模式,并依據(jù)企業(yè)的商務活動的實際狀況,推出一系列適合于供應商及選購商進行商業(yè)信息溝通與溝通的平臺，促進并達到讓制筆行業(yè)的企業(yè)利用HＹPＥRLＩNK"htｔp://ｗ—pen.coｍ"ｗww．cｎ－peｎ.cｏｍ得到更多的商業(yè)服務和最大限度的商業(yè)資訊。中國筆業(yè)貿(mào)易網(wǎng)的信息具有傳遞快、大容量、準時更換等特點,可以飛快發(fā)布行業(yè)內(nèi)的供求、人才、新產(chǎn)品、新技術專利等信息。并建立了制筆行業(yè)進出口統(tǒng)計、行業(yè)標準、政策法規(guī)、技術知識、人才中心等信息數(shù)據(jù)庫,為寬闊的制筆企業(yè)及全球選購商供應了真正有用的電子商務大平臺。公司現(xiàn)有的網(wǎng)絡狀況首先來了解一下關于杭州芝麻開門信息技術有限公司的網(wǎng)絡拓撲結(jié)構(gòu)。如圖3—1所示。圖3－1杭州芝麻開門信息技術有限公司的網(wǎng)絡圖從圖看出總公司和分公司、銀行、合作伙伴,分公司和銀行、合作伙伴,出差員工或者在家辦公人員和總公司、分公司之間,這三種關系的連接都是經(jīng)過Interｎet的?？偣臼峭ㄟ^Ciｓcｏ2６00系列路由器作為邊界網(wǎng)關與外界Iｎternet等公共網(wǎng)相連,并配置放火墻。內(nèi)部則由兩臺CiｓcoＣrystal２950系列交換機做為中心交換機把辦公大樓、營銷中心、ＦTＰ服務器、ＷＷW服務器、E—maiｌ服務器、數(shù)據(jù)庫服務器等聯(lián)系起來。網(wǎng)管站直接和交換機相連,并管理路由器、中心交換機、服務器等.如圖3-2所示。圖３－２總部內(nèi)網(wǎng)麗水分支和杭州分支是通過撥號上網(wǎng),與總公司聯(lián)系。它們簡略是先經(jīng)AＤＳLＭodｅm連到24接口阿爾法AFＲ-Ｋ24路由器（內(nèi)配置防火墻),再接24接口阿爾法ＡFS-３０２6交換機和個人電腦相連。公司通過防火墻接入Inｔerｎｅｔ。目前公司全部應用僅限于公司局域網(wǎng)內(nèi),出差員工不能訪問?？偛烤W(wǎng)絡內(nèi)建設WWＷ、文件共享服務、Eｘcｈange、公司ＥＲP系統(tǒng)，總部各部門局域網(wǎng)絡實現(xiàn)接入Ｉntｅｒnｅｔ,但沒有實現(xiàn)內(nèi)部網(wǎng)絡互聯(lián)。杭州分支公司:電腦接入Iｎｔerｎet，實現(xiàn)了辦公網(wǎng)絡半自動化。麗水分支公司：電腦接入Internet,實現(xiàn)了辦公網(wǎng)絡半自動化.需求分析杭州芝麻開門信息技術有限公司自１996年創(chuàng)建以來，所擁有的客戶群已越來越浩大。而作為以網(wǎng)站服務和維護為主的公司，其客戶需要頻繁地訪問公司內(nèi)部網(wǎng)，訪問服務器。從平安性上講，通過Intｅｒnｅt等公共網(wǎng)的連接,勢必會帶來一些危險：從客戶端帶來的威脅會有病毒、陷門和木馬、非授權訪問、假冒、重放、誹謗等。從服務器端的威脅就有數(shù)據(jù)完整性破壞、信息篡改等。依據(jù)公司工程技術人員的深化了解和分析,杭州芝麻開門信息技術有限公司需要一種平安的接入機制來保障通信的平安,并達到以下要求:＝１\＊CHINESEＮUM３一、企業(yè)必需要確保其ＶＰN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡資源或私有信息的訪問.ＥxtranetVPN將企業(yè)網(wǎng)擴展到合作伙伴和客戶；=2\＊CＨINEＳEＮUM３二、要求企業(yè)將其網(wǎng)絡管理功能從局域網(wǎng)無縫地延長到公用網(wǎng),甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡管理任務交給服務供應商去完成，企業(yè)自己仍需要完成很多網(wǎng)絡管理任務；=３＼＊CＨINＥＳENＵＭ３三、構(gòu)建VPＮ的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源,為重要數(shù)據(jù)供應牢靠的帶寬；=４\＊ＣＨＩNEＳENUM３四、總部通過多條線路連接廣域網(wǎng),保證分點財務核算數(shù)據(jù)的連接平安，也節(jié)省了寬帶接入成本;=5\＊ＣHINESＥＮUM３五、支持從各種網(wǎng)絡條件下的平安接入；=6\＊CHINESEＮUM３六、通過隧道技術在網(wǎng)絡協(xié)議的越下層實現(xiàn)更高的數(shù)據(jù)平安性；＝7\＊CHＩＮEＳENＵM３七、通過路由器對用戶實行統(tǒng)一的管理，對訪問權限實行分級管理等要求，實現(xiàn)流量掌握、端口鏡象等要求，通過路由器的相關防火墻功能實現(xiàn)網(wǎng)絡的平安管理；＝８\*CHＩNEＳＥＮＵM３八、出差員工利用公司筆記公共電腦（如機場侯機廳的計算機)也能夠較平安地訪問公司內(nèi)部網(wǎng)絡資源；＝９\＊CHＩNESENUM3九、總部保證內(nèi)網(wǎng)至少１０0臺電腦接入Inteｒｎet，還要考慮到公司以后的進展接入點的增加，同時實現(xiàn)一級分部通過相關設備在連到總部網(wǎng)絡的同時還供應訪問公司FTP服務器，連接公司EＲP系統(tǒng)提交與查詢相關信息等要求；=1０\*CHIＮESENUＭ3十、杭州、麗水分支機構(gòu)２個辦事處電腦接入Internet，同時考慮到公司以后的進展接入點的增加,同時實現(xiàn)與總部實現(xiàn)互聯(lián)同時還供應訪問公司ＦTＰ服務器,連接公司ＥRP系統(tǒng)提交與查詢相關信息等要求；=1１\*CHINＥSＥNＵM3十一、在各分支機構(gòu)和總公司之間制造一個集成化的辦公環(huán)境，為工作人員供應多功能的桌面辦公環(huán)境,解決辦公人員處理不同事務需要使用不同工作環(huán)境的問題。需求總結(jié)針對以上的需求，通過VPＮ的配置可以解決互聯(lián)問題,另外對VPN加以相應配置可以實現(xiàn)資料傳輸?shù)钠桨残詥栴}.以現(xiàn)有技術來說，所謂最優(yōu)選擇其實必須依據(jù)遠程訪問的需求與目標而定。目前主流VPＮ方案有兩種：IPＳec／IＫE和SSLVPN。當前企業(yè)需要平安的點對點連接,或用單一裝置進行遠程訪問,并且讓企業(yè)擁有管理全部遠程訪問使用能力,IＰSec／IKE是最適合的解決方案。比較那種傳輸方法比較好更重要的問題是：那種平安技術最符合遠程接入方案的需求，IＰSec可以保護任何ＩP流量，而SSＬ專注于應用層流量。IPSec適合長期的連接,即寬帶、持續(xù)和網(wǎng)絡層連接要求。SSＬ僅適合于個別的，對應用層和資源的連接，而且支持的應用沒有IＰＳec多。實現(xiàn)外出出差員工通過PPＴP撥號連接公司網(wǎng)絡完成相關工作。方案設計＝1\*CＨＩＮESＥNUM３一、設備選擇由于VPＮ的應用受到網(wǎng)管者的歡迎,因此技術也不斷演進。一般常見的ＶＰN協(xié)定有PPTP、IＰSec、ＳSL等。其中PＰTＰ為微軟支持的協(xié)定，設定較便利，但保全性不夠;IＰSｅc公認是最平安的協(xié)定，但是設定和配置簡潔,一般的用戶不容易操作;ＳＳL則需在服務器端進行介面轉(zhuǎn)換，并不是全部的應用程序都可支持。在實際操作上，VPN的架設還面臨其他的問題:例如當互聯(lián)網(wǎng)聯(lián)機掉線時,再平安的VPN也沒有作用;中國由于IP資源有限,因此VPＮ聯(lián)機必須基于雙方為動態(tài)IP的基礎上建立;由于幅員寬闊，網(wǎng)管人員要跑遍各個分公司的成本太高，VPＮ的設定最好簡潔清楚,略有網(wǎng)絡知識者即可完成;每個ＩSP的IP分派方式都不同，ＩPSec并不肯定都能穿透?，F(xiàn)在市場上的ＶPN產(chǎn)品繁多,而且功能各不相同，本著遵循著便利有用、高效低成本、平安牢靠、網(wǎng)絡架構(gòu)彈性大等相關原則，同時對杭州芝麻開門信息技術有限公司的需求分析,在選擇VPＮ連接設備上推舉市場上思科公司的Ｃiscｏ26００系列VPN防火墻路由器產(chǎn)品。Cｉsco2600系列ＶＰＮ防火墻路由器產(chǎn)品支持IPSecＶPN連接，供應適用于各辦公室,事業(yè)伙伴及遠程使用者使用的平安便利的網(wǎng)絡加密方式,包括３DＥS,DＥＳ,以及AＨ/ＥSＰ加密方式.ＶＰN功能供應了各分支點間或大多數(shù)遠程使用者采ＶＰN方式，將資料自動加密解密的通訊方式，支持GatewaｙTｏGatewａy，ClｉentＴoGaｔewａy與GrｏupVPNs等模式。具備ＰPＴP服務器功能,具備聯(lián)機狀態(tài)顯示,可以滿意在外出差或想要連回總部或分公司的用戶也可使用PPTＰ或IPSeｃ方式連回企業(yè)網(wǎng)絡,相對來說PPＴP要比IPSec易配制，對移動辦公用戶比較適合。Ｃiｓcｏ２６00系列VPN防火墻路由器產(chǎn)品內(nèi)建進階型防火墻功能,能夠阻絕大多數(shù)的網(wǎng)絡攻擊行為，使用了ＳPI封包主動偵測檢驗技術（StatｅfulＰａcketInｓpectｉon），封包檢驗型防火墻主要運作在網(wǎng)絡層，執(zhí)行對每個連接的動態(tài)檢驗，也擁有應用程序的警示功能，讓封包檢驗型防火墻可以拒絕非標準的通訊協(xié)議所使用的連結(jié),預設自動偵測并阻擋.Ciscｏ2６00亦同時支持使用網(wǎng)絡地址轉(zhuǎn)換ＮeｔｗｏrｋAddｒｅssTrａｎｓlａt(yī)ｉon（NAＴ）功能以及Roｕting路由模式,使網(wǎng)絡環(huán)境架構(gòu)更為彈性,易于規(guī)劃管理?？偛烤W(wǎng)絡通過光纖連接外網(wǎng),連接路由器交換機選擇三層千兆交換機,三層千兆交換機之間用光纖連接,以滿意內(nèi)部網(wǎng)絡VＬAＮ的劃分，同時考慮到今后公司的進展，信息點擴充的需要。=２\*CＨIＮＥＳＥNUM３二、設計原則ＶＰN的設計包含以下原則：=１\＊ＧB4㈠平安性ＶＰＮ直接構(gòu)建在公用網(wǎng)上，實現(xiàn)簡潔、便利、靈敏,但同時其平安問題也更為突出。企業(yè)必需要確保其VＰN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且要防止非法用戶對網(wǎng)絡資源或私有信息的訪問。ExｔrａnetVPN將企業(yè)網(wǎng)擴展到合作伙伴和客戶,對平安性提出了更高的要求.簡略的有隧道與加密、數(shù)據(jù)驗證、用戶身份驗證、防火墻與攻擊檢測。㈡網(wǎng)絡優(yōu)化構(gòu)建VＰN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)供應牢靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網(wǎng)絡堵塞，產(chǎn)生網(wǎng)絡瓶頸，使實時性要求高的數(shù)據(jù)得不到準時發(fā)送;而在流量低谷時又造成大量的網(wǎng)絡帶寬空閑。QOＳ通過流量猜測與流量掌握策略，可以依據(jù)優(yōu)先級安排帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送,并預防堵塞的發(fā)生.一般地，二層和三層的ＱOS具有以下功能：=１＼*GＢ1⒈流分類:依據(jù)不同的用戶、應用、服務器或URL地址等對數(shù)據(jù)流進行分類,然后才可以在不同的數(shù)據(jù)流上實施不同的QOS策略。流分類是實現(xiàn)帶寬管理以及其他QOS功能的基礎.AＣL就是流分類的手段之一.=2\＊GB1⒉流量整形與監(jiān)管:流量整形是指依據(jù)數(shù)據(jù)流的優(yōu)先級，在流量高峰時先盡量保證優(yōu)先級高的數(shù)據(jù)流的接收/發(fā)送，而將超過流量限制的優(yōu)先級低的數(shù)據(jù)流丟棄或滯后到流量低谷時接收／發(fā)送,使網(wǎng)絡上的流量趨于穩(wěn)定;流量監(jiān)管則是指帶寬大的路由器限制出口的發(fā)送速率，從而避開下游帶寬小的路由器丟棄超過其帶寬限制的數(shù)據(jù)包，消除網(wǎng)絡瓶頸。=３\＊ＧB1⒊擁塞管理與帶寬安排：依據(jù)肯定的比例給不同的優(yōu)先級的數(shù)據(jù)流安排不同的帶寬資源，并對網(wǎng)絡上的流量進行猜測，在流量達到上限之前丟棄若干數(shù)據(jù)包，避開過多的數(shù)據(jù)包因發(fā)送失敗的同時進行重傳而引起更嚴重的資源緊張，進而提高網(wǎng)絡的總體流量。=３＼*GB４㈢ＶPＮ管理VＰN要求企業(yè)將其網(wǎng)絡管理功能從局域網(wǎng)無縫地延長到公用網(wǎng)，甚至是客戶和合作伙伴.可以將一些次要的網(wǎng)絡管理任務交給服務供應商去完成，企業(yè)自己就可完成很多網(wǎng)絡管理任務。所以,一個完善的VPN管理系統(tǒng)是必不行少的。VPN管理的目標為：=１\＊GＢ１⒈減小網(wǎng)絡風險:從傳統(tǒng)的專線網(wǎng)絡擴展到公用網(wǎng)絡基礎設施上,ＶPＮ面臨著新的平安與監(jiān)控的挑戰(zhàn)。網(wǎng)絡管理需要做到在允許公司分部、客戶和合作伙伴對VPN訪問的同時，還要確保公司數(shù)據(jù)資源的完整性.=２＼＊GB１⒉擴展性：ＶＰＮ管理需要對日益增多的客戶和合作伙伴作出迅捷的反應,包括網(wǎng)絡硬、軟件的升級、網(wǎng)絡質(zhì)量保證、平安策略維護等。=３＼＊GB1⒊經(jīng)濟性：保證ＶPＮ管理的擴展性的同時不應過多地增加操作和維護成本。＝４＼*GＢ1⒋牢靠性：VPN構(gòu)建于公用網(wǎng)之上，不同于傳統(tǒng)的專線廣域網(wǎng),其受控性大大降低,故ＶＰN牢靠而穩(wěn)定地運行是VPN管理必需考慮的問題。=5＼*ＧB1⒌ＶＰN管理主要包括平安管理、設備管理、配置管理、ACL管理、QOS管理等內(nèi)容。實施過程=１\＊CＨＩNESENUM3一、網(wǎng)絡結(jié)構(gòu)企業(yè)通過Inｔernet數(shù)據(jù)傳輸平臺,實施加密的VPN實現(xiàn)接入的方法有多種，針對杭州芝麻開門信息技術有限公司的網(wǎng)絡現(xiàn)狀,我們采納IPＳecＶPＮ和ＰPTＰVＰＮ相結(jié)合的方法。總公司以一條光纖聯(lián)機(ＩＳＰ安排的固定ＩP地址），而分公司以用光纖或ADSＬ聯(lián)機均可(公網(wǎng)動態(tài)IP），作為聯(lián)機的基礎?？偣具x擇Cｉｓｃo26００機型，連接四條光纖（ADSL可選，ADSL可連接同一網(wǎng)絡營運商來做備援服務，以避開單一營運商掉線的風險及不同運營商網(wǎng)絡之間的互連);分公司也可采納Cｉsｃｏ２６０0,各地分支機構(gòu)可以選擇不同網(wǎng)絡營運商的線路。ＶPＮ聯(lián)機采納ＩＰSｅc協(xié)定，以保障聯(lián)機的平安。網(wǎng)管人員只要將設備寄到分支機構(gòu),并供應總公司VPN通道IP、用戶名及密碼，即可由具一般計算機操作能力用戶完成設定。在外出差或想要連回總部或分公司的用戶也可使用ＰＰTP或ＩPSec方式連回企業(yè)網(wǎng)絡，相對來說PPTＰ要比IPSec易配制，對移動辦公用戶比較適合?？偛浚?０信息點接入,選用Ｃiscｏ２600，內(nèi)置３00條ipsｅc，100條pｐtp。杭州分支：40—50信息點接入，選用Cｉｓco2６０0,內(nèi)置5０條iｐseｃ。麗水分支:２0信息點接入,選用Cｉｓｃｏ2600，內(nèi)置50條ipｓｅc。=2\＊CHＩNESＥNUM３二、VPN相關組件的安裝首先要正確觀念,VPＮ服務器并不是獨立成體的,此組件只是在遠程用戶訪問過程中起到了中轉(zhuǎn)角色,如果對方的用戶名和密碼正確及為其開出一個直線通道。其實建立一臺VPN服務器很簡潔，只要短短幾步即可完成.=1\＊GB4㈠服務器端VPN的建立

步驟一、依次打開開頭－程序-管理工具，在路由和遠程訪問窗口中單擊操作按鈕，并在彈出的菜單中選擇配置并啟用路由和遠程訪問,載入創(chuàng)建一個新服務器的向?qū)?，選擇“自定義配置"（使用者可以依據(jù)自己的需求進行選擇性配置，建議主機內(nèi)安有雙網(wǎng)卡的用戶可以選擇虛擬專用網(wǎng)絡ＶPN訪問NAＴ)。

步驟二、右擊右邊樹形名目里的本地服務器名，選擇[屬性］并切換到IP選項卡，在這里按提示諑步填入相關ＩＰ地址及內(nèi)容，這樣一個簡潔的ＶPN服務端建立完成了。=2＼*GB4㈡客戶ＶPN的建立網(wǎng)絡客戶連接服務器也格外簡潔，打開[我的電腦]選中掌握面板中的[網(wǎng)絡連接］,在其內(nèi)選擇[網(wǎng)絡和iｎteｒｎeｔ連接］［新建網(wǎng)絡連接］,創(chuàng)建一個新的連接到一個商業(yè)網(wǎng)絡(VPN）這樣就可以連接到服務端了，在彈出的下一步對話框中輸入網(wǎng)絡用戶名（這里任意命名)接下來輸入用戶名和密碼（為了使用便利點擊保存密碼并發(fā)送到桌面快捷方式），客戶端由此產(chǎn)生了。=３\＊CHINESEＮUM3三、IＰＳecＶPN的配置=１＼*GB４㈠IPSｅc的實現(xiàn)IPSec實現(xiàn)的ＶPＮ有四個配置部分:=1\*GＢ１⒈為IPSec做籌備為ＩPＳｅc做籌備涉及到簡略的加密策略,包括確定我們要保護的主機和網(wǎng)絡,選擇一種認證,確定有關ＩPSec對等體的簡略信息，確定我們所需要的ＩＰSｅｃ的特性,并且確認現(xiàn)有的訪問掌握列表允許ＩPＳec數(shù)據(jù)流的通過。步驟一：依據(jù)對等體的數(shù)量與位置在IPＳec對等體之間確定一個IKＥ策略。步驟二：確定IPSｅｃ策略，包括ＩPSec對等體的簡略信息，就如IＰ地址以及ＩPSｅc變換集和模式.步驟三：用ｓｈｏw命令來檢查當前的配置。步驟四：確認在誒有加密前網(wǎng)絡能夠正常使用,用“pｉｎｇ"命令并在加密前運行測試數(shù)據(jù)流來排解基本的路由故障。步驟五：確認在邊界路由器和防火墻中已經(jīng)有的訪問掌握列表允許ＩＰＳec數(shù)據(jù)流通過，或者想要的數(shù)據(jù)流將可以被過濾出來。=2\*GB1⒉配置IKE配置ＩKE涉及到啟用IKE（IKE和isakmｐ是同義詞），創(chuàng)建IKE策略,驗證我們的配置。＝1\＊GB２⑴用”iｓａkmpｅｎablｅ”命令來啟用或者關閉IKＥ；=2＼*GＢ２⑵用“isaｋmppolｉcｙ”命令創(chuàng)建IKＥ策略;=３\＊GB２⑶用“iｓakｍpkey"命令和相關命令來配置預共享密鑰；=4\＊GB２⑷用“sｈｏwisakｍｐ［pｏlicy］”命令來驗證IＫE的配置。＝3\＊GＢ１⒊配置IPSeｃＩＰSec配置包括創(chuàng)建加密用訪問掌握列表、定義變換集、創(chuàng)建加密圖條目、并將加密集應用到接口上去。＝1\＊GＢ2⑴用acceｓｓ－ｌisｔ命令來配置加密用訪問掌握列表;=２\＊GB2⑵用ｃryptoipｓectrａｎsfｏrm。Ｓet命令配置變換集；=３＼＊GB2⑶（任選）用cryptｏiｐsecsecurｉty－ａsｓoｃiａｔiｏnlifeｔｉme命令來配置全局性的IPＳec平安關聯(lián)的生存期;=4＼＊ＧB２⑷用cryｐtomａp命令來配置加密圖；=5\＊GB2⑸用iｎterｆace命令和cryptｏmapｍａp.Nameiｎterｆacｅ應用到接口上;=6\＊GＢ2⑹用各種可用的sｈoｗ命令來驗證ＩＰSeｃ的配置。=4\＊GB1⒋測試和驗證ＩPSec使用“show”、“ｄｅbug”和相關的命令來測試和驗證IＰSｅｃ加密工作是否正常，并且用來排解故障。＝2＼*GＢ4㈡路由器端的配置本部分的配置主要是針對路由器IPSｅc的配置,對于路由器中開頭部分已簡略。路由器之間的地址安排如表３—１所示。表３-1地址安排圖總部分支機構(gòu)(杭州）分支機構(gòu)(麗水）內(nèi)部網(wǎng)段網(wǎng)號１72．２2.1．０172.22。2.017２．２2。3.0互聯(lián)網(wǎng)段網(wǎng)號１6８．1．1。０167.1。1．０16６．1.１.0路由器內(nèi)部端口IP地址172．2２．1.1001７２.22。２.1０0172。22．3．100路由器Iｎtｅrｎeｔ端口IP地址168。1．１．1１67.1.1．11６6.1．1。1路由器串口IP地址20２．９6.１．１202。96．1.2202．9６.1.3隧道端口地址1９２.168。1.1１9２。16８．１.２１92.１68。1．3總部端路由器和兩分支端路由器配置分別如下:=1\*GB１⒈總部與杭州分支間的配置,其簡圖如圖３－3所示.圖３-3總部與杭州分支的網(wǎng)絡簡圖=1＼*GB2⑴總部路由器配置當前路由器提示,視圖依次輸入的配置命令,//后為簡潔說明。cryptｏiｓakｍｐｐｏｌiｃy1/／配置IKＥ策略1autheｎticａt(yī)ｉonｐｒｅ—sｈare//IＫE１的驗證方法設為pｒｅ—shareｇrouｐ2；１０2４-biｔＤｉffiｅ－Hellman//加密算法未設置則取默認值:DＥＳcryptoisakmpkeytest123addreｓs２0２．９6。１。2//設置ｐre－ｓhａre的密鑰為test１23,此值兩端需全都crｙptoiｐｓecｔｒansform—seｔVPＮｔagah－mｄ5-ｈｍａｃasp－dｅs／/設置AH散列算法為ｍd5,！ＥＳＰ加密算法為DＥＳｃｒyptomapVＰNdemo10ipsec－ｉｓakmp//定義cryptoｍapsetpeｅｒ２０2.96。1．２／／設置隧道對端IP地址sｅttraｎsｆoｒm－setVPNｔaｇ／/設置隧道ＡＨ及EＳＰmaｔcｈaｄdrｅｓs１０1！ｉntｅrfaceＴｕｎnel0／／定義隧道接口ｉpaｄdｒess１92.168．1.１２５5．255。255.０//隧道端口IP地址noipdirecteｄ－ｂroadcaｓttunnｅｌsｏurｃe20２.９6.1.１//隧道源端IP地址tｕｎｎeldｅsｔｉnａt(yī)ion２０2．96.1.2／/隧道目的端IP地址cryptｏｍapVＰNdeｍｏ//應用VPＮｄeｍo于此端口ｉnｔeｒｆａｃeSｅｒial０/0ipａddress２０２.96.１．１2５５.255.25５.2５2／/串口IｎterｎｅtIP地址nｏiｐｄireｃteｄ－ｂroadcaｓtcrｙptomapVPNdemo//應用VＰNdemo于此串口！IｎteｒfaｃeＥtherｎｅt0/1Ｉpadｄresｓ１6８．1.1.1２5５．２５5。２５5。0//外部端口IＰ地址nｏｉｐdirected—broadｃaｓtInｔerfａｃeＥtherｎeｔ0/０Iｐaddress17２.22。1.100255．２5５.255.０／／內(nèi)部端口ＩP地址noipdiｒｅctｅｄ—ｂroａｄｃast!IpcｌasｓｌesｓIｐrｏuｔe0.0．０．0０.0.０.0202．１96．1．2／/默認路由Ipｒoｕte１７2。22．１。１０02５５.２55．２５５.0//到內(nèi)網(wǎng)靜態(tài)路由（經(jīng)過隧道)Accｅss.ｌｉｓｔ101pｅrｍitgｒehoｓｔ202．９6。1.1host20２.96．1．２//定義存取列表＝2\＊GB2⑵杭州分支的路由器配置cｒyptoｉｓakmｐpｏlｉｃｙ1/／配置ＩKE策略1aｕthenticatｉｏnpre－ｓhare/／IKE１的驗證方法設為prｅ-shａrｅgroup2;1０２4-bｉｔDiｆfｉe—Hellman/／加密算法未設置則取默認值：ＤEScryptoisａkｍｐkｅyｔeｓｔ１２３addresｓ２０２。96．1。1／/設置pｒｅ—ｓhａrｅ的密鑰為tｅｓt１23，此值兩端需全都ｃｒyｐtｏipsectrａnsfｏrｍ-ｓeｔＶPNｔagah-ｍd5-ｈｍａｃasp-des／/設置AH散列算法為md５,！ESP加密算法為DＥScｒyptomａｐVPＮdeｍo10ipｓec－isakmp/／定義cｒyptｏmaｐｓｅtｐeer２0２.9６．1.1／／設置隧道對端IＰ地址settｒansfoｒｍ-setＶPＮtag/／設置隧道AＨ及ESＰmaｔchadｄreｓs１０１！iｎｔｅrfaceTuｎneｌ０//定義隧道接口iｐａddress192．1６8。１.2255．255．255。0／／隧道端口IP地址nｏiｐdirected－ｂrｏａｄcasttｕnnｅlsourcｅ202．96．1.2//隧道源端ＩP地址tｕnｎelｄｅstｉnaｔioｎ2０２.9６。１.1//隧道目的端IP地址cryptomaｐVＰＮdｅmo/／應用VＰNdeｍo于此端口iｎteｒfaceSerial０/0ipａdｄress202．96。1.２255.255．2５5．252//串口InｔerneｔIP地址ｎｏipdirected—ｂroadcａstｃrypｔｏmapＶＰNｄｅmｏ／/應用VＰNdｅmo于此串口！IｎｔｅrfaceEtｈｅrnｅt0/１Ｉpaddresｓ16７．1.1．1255.25５.２55。0/／外部端口IＰ地址ｎoiｐdiｒeｃｔed-bｒoａdcastInteｒfaceEtheｒｎｅｔ0/0Ipadｄreｓｓ172。22.2。100２５5.255．２５5．0／/內(nèi)部端口ＩP地址nｏiｐdirｅcｔｅd－broａdcａst!IpcｌａsslｅssＩｐｒｏｕte０．0．0.00。0．０.０２02。196。1．1/／默認路由Ipｒouｔe172.2２。1．１０02５５.２５5.２５5.0／／到內(nèi)網(wǎng)靜態(tài)路由（經(jīng)過隧道)Ａccess．lｉｓt1０1ｐeｒmｉtgｒｅｈｏsｔ２02.９6．1.2host2０2。96．１.1//定義存取列表=2\＊GＢ１⒉總部與麗水分支之間的配置,其簡圖如圖3—4所示。圖3—４總部與麗水分支的網(wǎng)絡簡圖=1\*GB2⑴總部路由器配置ｃｒｙｐｔoisakmppolicy１／/配置IＫＥ策略１aｕthenｔicatiｏｎpｒｅ－ｓharｅ／/ＩKE1的驗證方法設為pｒe-shａregｒｏup2;１0２4—bitDｉffｉｅ－Hellmａn//加密算法未設置則取默認值：DＥSｃｒｙpｔoｉｓakmpｋｅｙtest123ａｄｄｒess202．９6.１．3//設置pｒe—sharｅ的密鑰為tesｔ123，此值兩端需全都cｒyptoipｓｅｃtransｆoｒｍ-setVPNtagah-md5-ｈmａcａｓｐ－ｄｅs／/設置ＡH散列算法為ｍd5,!ESP加密算法為DESｃｒypｔoｍapVPNdｅmo10ｉpｓeｃ－isａkmp／/定義cryptoｍａpseｔpeer202.９6.1.３／／設置隧道對端IP地址ｓeｔtｒansｆｏrm－sｅｔＶPNtａg//設置隧道AH及ESPmａt(yī)chaddｒess１01!ｉnteｒｆaceTunnel0/／定義隧道接口ｉpaddｒｅss１9２．1６8。1。1２5５.２5５。2５5。0／/隧道端口IP地址nｏipdｉｒecｔed-bｒｏadcastｔｕnnelsourｃe2０２．９６．1.1/／隧道源端IP地址tｕｎneldｅstｉnation20２。9６.1。3/／隧道目的端ＩP地址cryptoｍapVPNdｅｍo/／應用VPNｄｅｍo于此端口interfaceSｅｒial０/0ipａddｒｅss202.96．１。１255。25５.2５5。２52//串口InterｎｅtＩP地址ｎoｉｐdireｃｔeｄ-broadｃastcrｙｐtｏｍａpVＰＮdｅmｏ//應用VＰNｄemo于此串口!InｔeｒｆaceEｔhernet0／1Ipaｄｄress168.１．1．12５5。２55．2５5。０／／外部端口IＰ地址ｎｏipｄｉreｃtｅd—ｂrｏaｄcastInterfaceＥthｅrnｅt0/0Ipａddｒesｓ１72．22.1。１０0255.25５.25５.0/／內(nèi)部端口ＩP地址noipdｉrecteｄ－brｏadｃａｓｔ!ＩpclａsslｅssIｐroutｅ０.0。0．00．0.0。0202．1９6.１。３／/默認路由Iprouｔe１72．２2．1．１00255.２5５．2５５.0//到內(nèi)網(wǎng)靜態(tài)路由（經(jīng)過隧道）Aｃceｓs.lｉst１０１ｐｅrmiｔgｒeｈoｓt２0２．96。1。１ｈost202.９6．1。３//定義存取列表＝2\＊GB２⑵麗水分支的路由器配置ｃryｐｔoisaｋｍppolicy1//配置IＫE策略1auｔhｅnticａｔionｐre－ｓｈare/／IKＥ1的驗證方法設為pｒｅ—sharｅｇrｏuｐ2;1０24-bｉｔDiffie－Hｅｌlｍaｎ//加密算法未設置則取默認值：DEＳcrｙpｔoisakmｐkeytｅｓt123adｄresｓ202．９6.1。1//設置ｐｒe－share的密鑰為tesｔ12３，此值兩端需全都cryｐｔoｉｐsｅｃtrａnsｆorm-seｔＶPNtagａh-mｄ5－h(huán)macａsp-des／/設置AＨ散列算法為md５,！ESＰ加密算法為DEScrｙptomａｐVPNｄemｏ10ｉｐsec—isakmp//定義cryptｏmａｐsetｐeｅr２02。９６.1。1／/設置隧道對端IP地址ｓｅttraｎsｆｏrｍ—setVＰNｔag//設置隧道AH及ＥSPｍａt(yī)ｃｈaddｒｅss101!iｎterfａceTｕｎnel0//定義隧道接口ipaddｒｅｓs192.16８.１.32５５.２５5。2５5．0//隧道端口IP地址ｎoipｄiｒected-ｂrｏadｃasttｕnnelｓｏurce202．９6。1．3／/隧道源端IP地址tuｎneldｅsｔiｎａt(yī)ｉon202。96．１.1/／隧道目的端IP地址cryptomａpVＰNｄｅmo//應用ＶＰNｄemo于此端口inｔｅｒfaｃeＳｅrial0/0ｉpaｄdｒesｓ２02。96．１。3２５5.255。255。252//串口IntｅrnetIP地址ｎoiｐdirectｅd-brｏａdcａstcryｐtomaｐVPNdｅmｏ/／應用VPNｄemｏ于此串口！InｔｅrｆａｃeEthernｅｔ0/1Ipadｄｒeｓs166．1。1。125５.255.２５５.０//外部端口IP地址nｏｉpｄiｒeｃｔｅd－broaｄｃaｓtIntｅrfaｃeEthernet0/0Ipａddrｅsｓ1７2.２２。3.１0025５．２5５。２5５.０/／內(nèi)部端口IP地址ｎoipdirected—ｂrｏａdcast!ＩpcｌａｓslesｓIｐｒoute0．0.0.００。0.0．020２。196.1．１/／默認路由Iｐｒoute17２．22.１。10０２55.２5５。2５5．０／/到內(nèi)網(wǎng)靜態(tài)路由(經(jīng)過隧道）Acceｓｓ．lisｔ１01permｉtgrｅhｏst２0２。9６。1。3host202。９６.１．1/／定義存取列表＝3\＊ＧB４㈢工作過程簡介遠程撥號用戶首先與本地ISＰ（NSP）的遠程訪問服務(NAS)建立PＰP連接,再與中心ＬAN網(wǎng)關之間建立隧道從而建立數(shù)據(jù)鏈路連接，在此過程中,由ISＰ的遠程訪問服務器對遠程用戶的用戶名和密碼進行認證，身份確認后安排給遠程用戶一個ＩＰ地址，這個IP地址就是Ｉntｅｒnｅｔ全局ＩＰ地址，用它可以訪問Inｔerｎet；中心網(wǎng)關也對遠程撥號用戶的用戶名和口令進行認證（一般而言，用戶在ＩSP注冊的身份和在中心網(wǎng)關注冊的身份是全都的)，并安排給撥號用戶一個IＰ地址，這個IＰ地址即是訪問中心LAＮ的IP地址，也是訪問其內(nèi)部的IP地址，遠程用戶在獵取該地址后,就可以訪問中心LAN服務器在建立隧道的過程中,PPP幀被封裝成PPTP幀,再將PPTP幀封裝成ＩP報文,在IＰ報文中,源IP地址是本地的ISP安排的Iｎterｎet全局IP地址,目地IP地址是由中心LAN網(wǎng)關安排的ＩP地址報文經(jīng)Ｉｎｔｅｒnet到達中心LＡＮ網(wǎng)關后，中心ＬＡN網(wǎng)關依據(jù)ＩP報文的目地地址將報文轉(zhuǎn)發(fā)給中心LAN內(nèi)的服務器，同時分離出ＰPTP幀，再從PＰTP幀中分離出ＰPP幀，然后對遠程用戶的ＰPP幀進行處理.中心服務器對接收到的用戶信息進行處理，同時給出答復信息，該信息被封裝成ＩP報文在這個IＰ報文中，源ＩP地址是服務器在中心LAＮ內(nèi)的IP地址,目的IP地址是中心LＡN網(wǎng)關安排給遠程用戶的IＰ地址中心LAN網(wǎng)關依據(jù)報文的目地地址獲知該報文傳輸必須通過隧道傳輸，并將該報文封裝成PPＰ幀格式，然后將ＰPＰ幀格式封裝成PPTP幀格式，再嵌入IＰ報頭形成ＩP報文,轉(zhuǎn)發(fā)給Inｔｅrneｔ,在這個報文中,源IP地址是由中心LAN網(wǎng)關安排的全局IＰ地址，目的IP地址是ISP安排給遠程撥號用戶的Inｔerｎet全局IP地址.方案的實施效果使用VＰN結(jié)構(gòu)，可以實現(xiàn)兩個辦公室之間的聯(lián)機，可通過VPN建立的隧道,經(jīng)由先進的加密技術平安地相互傳送，不會被惡意第三者截取分析；非標準TＣＰ/IP的應用，也可通過VＰＮ專有隧道連通,就像在同一個局域網(wǎng)一樣；在外移動的行動用戶,只要可以連上網(wǎng)路，即可通過VPN設定連回公司,使用各種辦公室應用;辦公室間的傳輸，例如視頻會議、語音通訊，通過VＰN即不受到網(wǎng)路運行商的管制，帶寬不會受到限制.VＰN上的設施和服務完全掌握在企業(yè)手中。企業(yè)可以把撥號訪問權交給NSP去做，而自己負責用戶的查驗、訪問權、網(wǎng)絡地址、平安性和網(wǎng)絡變化管理等重要工作。通過采納“隧道”技術，在公眾網(wǎng)中形成企業(yè)的平安、機密、順暢的專用鏈路。企業(yè)不必租用長途專線建設專網(wǎng),不必大量的網(wǎng)絡維護人員和設備投資,節(jié)省成本。結(jié)論與啟示VPＮ的優(yōu)勢通過組網(wǎng),我們體會到了VＰN的優(yōu)勢主要在以下四個方面:一、降低成本：同傳統(tǒng)的專用網(wǎng)絡相比，虛擬專用網(wǎng)的一個顯著優(yōu)勢就是成本低