VPN畢業(yè)設計論文

摘要VPN(VirtalPrivateNetwork)即虛擬專用網(wǎng)，是一條穿過公共網(wǎng)絡的安全的穩(wěn)定的通道。通過對網(wǎng)絡數(shù)據(jù)的封包和加密傳輸，在因特網(wǎng)或其它網(wǎng)絡上建立一條臨時的、安全的、穩(wěn)定的連接，從而實現(xiàn)在公網(wǎng)上安全地傳輸私有數(shù)據(jù)。普通VPN是對公司內(nèi)部網(wǎng)絡的擴展，通過它能夠協(xié)助遠程顧客、公司分支機構(gòu)、商業(yè)伙伴及供應商同公司內(nèi)部網(wǎng)建立可信的安全連接，并確保數(shù)據(jù)的安全傳輸。VPN可用于不停增加的移動顧客的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)公司網(wǎng)站之間安全通道的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和顧客的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。本文首先介紹了VPN的定義和研究影響。然后介紹了核心技術實現(xiàn)的VPN涉及隧道技術，其重要的安全合同，PPTP/L2TP合同，IPSEC合同，GRE合同，全部這些技術構(gòu)建VPN網(wǎng)絡提供理論根據(jù)。核心詞：VPN、網(wǎng)絡、隧道、IPSec、GREAbstractVPN(VirtalPrivateNetwork)isakindofsafeandsteadychannelworkthroughthepublicnetwork.Byencapsulateandencryptionofdata,atemporary,secureandsteadylinkcanbesetuponwhichtheprivatedatacanbetransfferdsafely.Usally,VPNisanextensiontotheenterpriseandvariousprovidersabletoconnecttothecompanyinnernetworkandtransferdatasafely.VPNcanbeusedtoprovidemobileusertoaccessinternetgloblely,andcanbeusedasvirtualprivatelinkfromenterprise,andalsocanbeusedtoeconomicalsecurelinksfromenterprise,andalsocanbeusedtoeconomicalsecurelinksfromenterprisetobusinesspartners.ThispaperfirstintroducesthedefinitionofVPNanditsstudyimplications.AndthenintroducesthekeytechnologiesforimplementingaVPNwhichincludestheTunneltechnologyanditsmainsecureprotocols,PPTP/L2TPprotocol,IPSECprotocol,GREprotocol,AllthesetechnologiesprovidethetheoreticalbasesforbuildingaVPNnetwork.Keyword:VPN,network,tunnel,safely，IPSec，GRE目錄TOC\o"1-2"\h\z\u1.緒論 11.1VPN的定義 11.2VPN的課題背景 11.3VPN的設計目的 21.4論文的組織構(gòu)造 32.VPN的技術分析 42.1VPN的工作原理 42.2VPN的分類 62.3VPN重要合同的介紹 72.4VPN的設計目的 82.5實現(xiàn)VPN的核心技術 102.6VPN兩種合同的分析 133.基于GREVPN的架構(gòu) 203.1基于GRE實驗的需求分析 203.2GRE實驗的設計 203.3GRE合同的VPN實現(xiàn)配備 214.基于IPSecVPN的架構(gòu) 234.1基于IPSec實驗的需求分析 234.2IPSec實驗的設計 234.3IPSec合同的VPN實現(xiàn)環(huán)節(jié)及配備 245.IPSecoverGREVPN的分析與架構(gòu) 365.1IPSec合同與GRE合同優(yōu)缺點的分析 365.2IPSecoverGRE的原理及需求分析 375.3IPSecoverGRE實驗的設計 385.4IPSecoverGRE的環(huán)節(jié)及配備 39致謝 48參考文獻 49附錄1英文原文 50附錄2中文譯文 561.緒論1.1VPN的定義VPN（VirtualPrivateNetwork）被定義為通過一種公共網(wǎng)絡（普通是因特網(wǎng)）建立一種臨時的、安全的連接，是一條穿過混亂的公共網(wǎng)絡的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對公司內(nèi)部網(wǎng)的擴展與延伸。虛擬專用網(wǎng)能夠協(xié)助遠程顧客、公司分支機構(gòu)、商業(yè)合作伙伴及供應商同公司的內(nèi)部網(wǎng)絡建立安全可信的連通通道，并確保數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不停增加的移動顧客的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)公司網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和顧客的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。1.2VPN的課題背景隨著Internet和電子商務的蓬勃發(fā)展，經(jīng)濟全球化的最佳途徑是發(fā)展基于Internet的商務應用。隨著商務活動的日益頻繁，各公司開始允許其生意伙伴、供應商也能夠訪問本公司的局域網(wǎng)，從而大大簡化信息交流的途徑，增加信息交換速度。這些合作和聯(lián)系是動態(tài)的，并依靠網(wǎng)絡來維持和加強，于是各公司發(fā)現(xiàn)，這樣的信息交流不僅帶來了網(wǎng)絡的復雜性，還帶來了管理和安全性的問題，由于Internet是一種全球性和開放性的、基于TCP/IP技術的、不可管理的國際互聯(lián)網(wǎng)絡，因此，基于Internet的商務活動就面臨非善意的信息威脅和安全隱患。尚有一類顧客，隨著本身的發(fā)展壯大與跨國化，公司的分支機構(gòu)不僅越來越多，并且互相間的網(wǎng)絡基礎設施互不兼容也更為普遍。因此，顧客的信息技術部門在連接分支機構(gòu)方面也感到日益棘手。顧客的需求正是虛擬專用網(wǎng)技術誕生的直接因素。 即使VPN在理解和應用方面都是高度復雜的技術，甚至擬定其與否合用于我司也一件復雜的事件，但在大多數(shù)狀況下VPN的多個實現(xiàn)辦法都能夠應用于每個公司。即使不需要使用加密數(shù)據(jù)，也可節(jié)省開支。因此，在將來幾年里，客戶和廠商很可能會使用VPN，從而使電子商務重又獲得生機，畢竟全球化、信息化、電子化是大勢所趨。1.3VPN的設計目的普通來說，公司在選用一種遠程網(wǎng)絡互聯(lián)方案時都但愿能夠?qū)υL問公司資源和信息的規(guī)定加以控制，所選用的方案應當既能夠?qū)崿F(xiàn)授權顧客與公司局域網(wǎng)資源的自由連接，不同分支機構(gòu)之間的資源共享；又能夠確保公司數(shù)據(jù)在公共互聯(lián)網(wǎng)絡或公司內(nèi)部網(wǎng)絡上傳輸時安全性不受破壞。因此，最低程度，一種成功的vpn方案應當能夠滿足下列全部方面的規(guī)定：(1)顧客驗證vpn方案必須能夠驗證顧客身份并嚴格控制只有授權顧客才干訪問vpn。另外，方案還必須能夠提供審計和記費功效，顯示何人在何時訪問了何種信息。(2)地址管理vpn方案必須能夠為顧客分派專用網(wǎng)絡上的地址并確保地址的安全性。(3)數(shù)據(jù)加密對通過公共互聯(lián)網(wǎng)絡傳遞的數(shù)據(jù)必須通過加密，確保網(wǎng)絡其它未授權的顧客無法讀取該信息。(4)密鑰管理vpn方案必須能夠生成并更新客戶端和服務器的加密密鑰。(5)多合同支持vpn方案必須支持公共互聯(lián)網(wǎng)絡上普遍使用的基本合同，涉及ip，ipx等。以點對點隧道合同(pptp)或第2層隧道合同(l2tp)為基礎的vpn方案既能夠滿足以上全部的基本規(guī)定，又能夠充足運用遍及世界各地的internet互聯(lián)網(wǎng)絡的優(yōu)勢。其它方案，涉及安全ip合同(ipsec)，即使不能滿足上述全部規(guī)定，但是仍然合用于在特定的環(huán)境。本文下列部分將重要集中討論有關vpn的合同和基于兩種合同所完畢的實驗。

1.4論文的組織構(gòu)造本文分為五章，具體安排以下：第一章重要介紹VPN是什么，簡樸介紹VPN這種技術，VPN由來的背景，VPN的設計的規(guī)定。第二章重要是對VPN技術的分析，介紹VPN工作的原理，本論文是基于VPN的何種分類，對VPN一系列合同的簡樸介紹，VPN設計實現(xiàn)什么目的，實現(xiàn)VPN都需要有哪些技術，對本論文中兩種合同的具體分析。第三章對基于GRE合同的VPN實現(xiàn)了需求、設計，在模擬軟件上完畢本實驗的操作。第四章基于有限的實驗設備制訂一種合理的需求分析，在需求產(chǎn)生后設計一種具體的實驗，并在具體設備上完畢該實驗。第五章基于上述兩種實驗的缺憾，結(jié)合兩種合同的使用，合理完畢一種混雜網(wǎng)絡上的實驗。2.VPN的技術分析2.1VPN的工作原理把因特網(wǎng)用作專用廣域網(wǎng)，就要克服兩個重要障礙。首先，網(wǎng)絡經(jīng)常使用多個合同如IPX和NetBEUI進行通信，但因特網(wǎng)只能解決IP流量。因此，VPN就需要提供一種辦法，將非IP的合同從一種網(wǎng)絡傳送到另一種網(wǎng)絡。另首先，網(wǎng)上傳輸?shù)臄?shù)據(jù)包以明文格式傳輸，因而，只要看得到因特網(wǎng)的流量，就能讀取包內(nèi)所含的數(shù)據(jù)。如果公司但愿運用因特網(wǎng)傳輸重要的商業(yè)機密信息，這顯然是一種問題。VPN克服這些障礙的措施就是采用了隧道技術：數(shù)據(jù)包不是公開在網(wǎng)上傳輸，而是首先進行加密以確保安全，然后由VPN封裝成IP包的形式，通過隧道在網(wǎng)上傳輸，如圖2-1所示：圖1-1VPN工作原理圖源網(wǎng)絡的VPN隧道發(fā)起器與目的網(wǎng)絡上的VPN隧道發(fā)起器進行通信。兩者就加密方案達成一致，然后隧道發(fā)起器對包進行加密，確保安全（為了加強安全，應采用驗證過程，以確保連接顧客擁有進入目的網(wǎng)絡的對應的權限。大多數(shù)現(xiàn)有的VPN產(chǎn)品支持多個驗證方式）。最后，VPN發(fā)起器將整個加密包封裝成IP包?，F(xiàn)在不管原先傳輸?shù)氖呛畏N合同，它都能在純IP因特網(wǎng)上傳輸。又由于包進行了加密，因此誰也無法讀取原始數(shù)據(jù)。在目的網(wǎng)絡這頭，VPN隧道終止器收到包后去掉IP信息，然后根據(jù)達成一致的加密方案對包進行解密，將隨即獲得的包發(fā)給遠程接入服務器或本地路由器，他們在把隱藏的IPX包發(fā)到網(wǎng)絡，最后發(fā)往對應目的地。2.2VPN的分類從不同的角度看VPN，就能夠得到不同的VPN類型,按照應用領域，我們能夠把VPN分成下列三類：（1）遠程訪問（AccessVPN）遠程移動顧客通過VPN技術能夠在任何時間、任何地點采用撥號、ISDN、DSL、移動IP和電纜技術與公司總部、公司內(nèi)聯(lián)網(wǎng)的VPN設備建立起隧道或密道信，實現(xiàn)訪問連接，此時的遠程顧客終端設備上必須加裝對應的VPN軟件。推而廣之，遠程顧客可與任何一臺主機或網(wǎng)絡在相似方略下運用公共通信網(wǎng)絡設施實現(xiàn)遠程VPN訪問。這種應用類型也叫AccessVPN(或訪問型VPN)，這是基本的VPN應用類型。不難證明，其它類型的VPN都是AccessVPN的組合、延伸和擴展。（2）組建內(nèi)聯(lián)網(wǎng)（IntranetVPN）一種組織機構(gòu)的總部或中心網(wǎng)絡與跨地區(qū)的分支機構(gòu)網(wǎng)絡在公共通信基礎設施上采用的隧道技術等VPN技術構(gòu)成組織機構(gòu)“內(nèi)部”的虛擬專用網(wǎng)絡，當其將公司全部權的VPN設備配備在各個公司網(wǎng)絡與公共網(wǎng)絡之間（即連接邊界處）時，這樣的內(nèi)聯(lián)網(wǎng)還含有管理上的自主可控、方略集中配備和分布式安全控制的安全特性。運用VPN組建的內(nèi)聯(lián)網(wǎng)也叫IntranetVPN。IntranetVPN是解決內(nèi)聯(lián)網(wǎng)構(gòu)造安全和連接安全、傳輸安全的重要辦法。（3）組建外聯(lián)網(wǎng)（ExtranetVPN）使用虛擬專用網(wǎng)絡技術在公共通信基礎設施上將合作伙伴和有共同利益的主機或網(wǎng)絡與內(nèi)聯(lián)網(wǎng)連接起來，根據(jù)安全方略、資源共享商定規(guī)則實施內(nèi)聯(lián)網(wǎng)內(nèi)的特定主機和網(wǎng)絡資源與外部特定的主機和網(wǎng)絡資源互相共享，這在業(yè)務機構(gòu)和含有互相協(xié)作關系的內(nèi)聯(lián)網(wǎng)之間含有廣泛的應用價值。這樣組建的外聯(lián)網(wǎng)也叫ExtranetVPN。ExtranetVPN是解決外聯(lián)網(wǎng)構(gòu)造安全和連接安全、傳輸安全的重要辦法。若外聯(lián)網(wǎng)VPN的連接和傳輸中使用了加密技術，必須解決其中的密碼分發(fā)、管理的一致性問題。2.3VPN重要合同的介紹2.3.1IntranetVPN的合用合同組建內(nèi)聯(lián)網(wǎng)的重要的合用合同有GRE、IPSecVPN、MPLSVPN三種。GRE合同能夠?qū)Χ鄠€網(wǎng)絡層合同的數(shù)據(jù)報文進行封裝，被封裝的數(shù)據(jù)報文能夠在IP網(wǎng)絡中傳輸。GRE采用了Tunnel技術，是VPN的三層隧道合同。但是它的安全性低。下文會具體介紹此合同。IPSecVPN是原則的網(wǎng)絡安全合同，可覺得IP網(wǎng)絡通信提供透明的安全服務，保護TCP/IP通信免遭竊聽和篡改，從而有效抵抗網(wǎng)絡攻擊。IPSecVPN在網(wǎng)絡的靈活性、安全性、經(jīng)濟性、擴展性等方面極具優(yōu)勢。MPLSVPN是指采用MPLS技術在寬帶IP的骨干網(wǎng)絡上構(gòu)建公司IP專網(wǎng)，以實現(xiàn)跨地區(qū)、安全、高速、可靠的數(shù)據(jù)、音頻等業(yè)務通信。MPLSVPN結(jié)合辨別服務、流量工程等有關技術，將公共網(wǎng)絡可靠的性能，良好的擴展性，豐富的功效與專用網(wǎng)的安全、靈活、高效地結(jié)合在一起，可覺得顧客提供高質(zhì)量的服務。2.3.2AccessVPN的合用合同遠程訪問的合用合同重要有IPSecVPN、VPDN、SSLVPN。IPSecVPN是一種很全方面的技術，在遠程訪問上仍然合用，因此該技術應用很廣泛，本文有對IPSecVPN技術的具體敘述。VPDN是VPN業(yè)務的一種，具體包含的技術涉及PPTP、L2TP、PPPoE等，是基于撥號顧客的虛擬專用撥號網(wǎng)業(yè)務。即顧客以撥號接入的方式聯(lián)網(wǎng)，并通過CDMA1x分組網(wǎng)絡傳輸數(shù)據(jù)時，VPDN會對數(shù)據(jù)進行封裝和加密，從而保障數(shù)據(jù)的私密性，并使VPN有達成私有網(wǎng)絡安全級別。VPDN是運用IP網(wǎng)絡的承載功效結(jié)合對應的認證和授權機制建立起來的一種安全的虛擬專用網(wǎng)，是一種很傳統(tǒng)的VPN技術。SSLVPN指的是基于安全套接層合同建立遠程安全訪問通道的VPN技術。它是一種新興的技術，隨著Web的普及和電子商務、遠程辦公的興起而發(fā)展起來。2.4VPN的設計目的在實際應用中，普通來說一種高效、成功的VPN應含有下列幾個特點：（1）安全保障即使實現(xiàn)VPN的技術和方式諸多，但全部的VPN均應確保通過公用網(wǎng)絡平臺傳輸數(shù)據(jù)的專用性和安全性。在非面對連接的公用IP網(wǎng)絡上建立一種邏輯的、點對點的連接，稱之為建立一種隧道，能夠運用加密技術對通過隧道傳輸?shù)臄?shù)據(jù)進行加密，以確保數(shù)據(jù)僅被指定的發(fā)送者和接受者理解，從而確保了數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實現(xiàn)簡樸、方便、靈活，但同時其安全問題也更為突出。公司必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要避免非法顧客對網(wǎng)絡資源或私有信息的訪問。ExtranetVPN將公司網(wǎng)擴展到合作伙伴和客戶，對安全性提出了更高的規(guī)定。（2）服務質(zhì)量確保（QoS）VPN網(wǎng)絡應當為公司數(shù)據(jù)提供不同等級的服務質(zhì)量確保。不同的顧客和業(yè)務對服務質(zhì)量確保的規(guī)定差別較大。如移動辦公顧客，提供廣泛的連接和覆蓋性是確保VPN服務的一種重要因素；而對于擁有眾多分支機構(gòu)的專線VPN網(wǎng)絡，交互式的內(nèi)部公司網(wǎng)應用則規(guī)定網(wǎng)絡能提供良好的穩(wěn)定性；對于其它應用（如視頻等）則對網(wǎng)絡提出了更明確的規(guī)定，如網(wǎng)絡時延及誤碼率等。全部以上網(wǎng)絡應用均規(guī)定網(wǎng)絡根據(jù)需要提供不同等級的服務質(zhì)量。在網(wǎng)絡優(yōu)化方面，構(gòu)建VPN的另一重要需求是充足有效地運用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不擬定性使其帶寬的運用率很低，在流量高峰時引發(fā)網(wǎng)絡阻塞，產(chǎn)生網(wǎng)絡瓶頸，使實時性規(guī)定高的數(shù)據(jù)得不到及時發(fā)送；而在流量低谷時又造成大量的網(wǎng)絡帶寬空閑。QoS通過流量預測與流量控制方略，能夠按照優(yōu)先級分派帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并防止阻塞的發(fā)生。（3）可擴充性和靈活性VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多個類型的傳輸媒介，能夠滿足同時傳輸語音、圖像和數(shù)據(jù)等新應用對高質(zhì)量傳輸以及帶寬增加的需求。（4）可管理性從顧客角度和運行商的角度應可方便地進行管理、維護。在VPN管理方面，VPN規(guī)定公司將其網(wǎng)絡管理功效從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。即使能夠?qū)⒛承┐我木W(wǎng)絡管理任務交給服務提供商去完畢，公司自己仍需要完畢許多網(wǎng)絡管理任務。因此，一種完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目的為：減小網(wǎng)絡風險、含有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。事實上，VPN管理重要涉及安全管理、設備管理、配備管理、訪問控制列表管理、QoS管理等內(nèi)容。2.5實現(xiàn)VPN的核心技術（1）隧道技術隧道技術(Tunneling)是VPN的底層支撐技術，所謂隧道，事實上是一種封裝，就是將一種合同（合同X）封裝在另一種合同（合同Y）中傳輸，從而實現(xiàn)合同X對公用網(wǎng)絡的透明性。這里合同X被稱為被封裝合同，合同Y被稱為封裝合同，封裝時普通還要加上特定的隧道控制信息，因此隧道合同的普通形式為（（合同Y）隧道頭（合同X））。在公用網(wǎng)絡（普通指因特網(wǎng)）上傳輸過程中，只有VPN端口或網(wǎng)關的IP地址暴露在外邊。隧道解決了專網(wǎng)與公網(wǎng)的兼容問題，其優(yōu)點是能夠隱藏發(fā)送者、接受者的IP地址以及其它合同信息。VPN采用隧道技術向顧客提供了無縫的、安全的、端到端的連接服務，以確保信息資源的安全。VPN區(qū)別于普通網(wǎng)絡互聯(lián)的核心是隧道的建立，數(shù)據(jù)包通過加密后，按隧道合同進行封裝、傳送以確保安全性。隧道是由隧道合同形成的。隧道合同分為第二、第三層隧道合同，第二層隧道合同如L2TP、PPTP、L2F等，他們工作在OSI體系構(gòu)造的第二層（即數(shù)據(jù)鏈路層）；第三層隧道合同如IPSec，GRE等，工作在OSI體系構(gòu)造的第三層（即網(wǎng)絡層）。第二層隧道和第三層隧道的本質(zhì)區(qū)別在于：顧客的IP數(shù)據(jù)包被封裝在不同的數(shù)據(jù)包中在隧道中傳輸。第二層隧道合同是建立在點對點合同PPP的基礎上，充足運用PPP合同支持多合同的特點，先把多個網(wǎng)絡合同（如IP、IPX等）封裝到PPP幀中，再把整個數(shù)據(jù)包裝入隧道合同。PPTP和L2TP合同重要用于遠程訪問虛擬專用網(wǎng)。第三層隧道合同是把多個網(wǎng)絡合同直接裝入隧道合同中，形成的數(shù)據(jù)包依靠網(wǎng)絡層合同進行傳輸。無論從可擴充性，還是安全性、可靠性方面，第三層隧道合同均優(yōu)于第二層隧道合同。IPSec即IP安全合同是現(xiàn)在實現(xiàn)VPN功效的最佳選擇。（2）加解密認證技術加解密技術是VPN的另一核心技術。為了確保數(shù)據(jù)在傳輸過程中的安全性，不被非法的顧客竊取或篡改，普通都在傳輸之邁進行加密，在接受方再對其進行解密。密碼技術是確保數(shù)據(jù)安全傳輸?shù)暮诵募夹g，以密鑰為原則，可將密碼系統(tǒng)分為單鑰密碼（又稱為對稱密碼或私鑰密碼）和雙鑰密碼（又稱為非對稱密碼或公鑰密碼）。單鑰密碼的特點是加密和解密都使用同一種密鑰，因此，單鑰密碼體制的安全性就是密鑰的安全。其優(yōu)點是加解密速度快。最有影響的單鑰密碼就是美國國標局頒布的DES算法（56比特密鑰）。而3DES（112比特密鑰）被認為是現(xiàn)在不可破譯的。雙鑰密碼體制下，加密密鑰與解密密鑰不同，加密密鑰公開，而解密密鑰保密，相比單鑰體制，其算法復雜且加密速度慢。因此現(xiàn)在的VPN大都采用單鑰的DES和3DES作為加解密的重要技術，而以公鑰和單鑰的混合加密體制(即加解密采用單鑰密碼，而密鑰傳送采用雙鑰密碼)來進行網(wǎng)絡上密鑰交換和管理，不僅能夠提高了傳輸速度，還含有良好的保密功效。認證技術能夠避免來自第三方的主動攻擊。普通顧客和設備雙方在交換數(shù)據(jù)之前，先核對證書，如果精確無誤，雙方才開始交換數(shù)據(jù)。顧客身份認證最慣用的技術是顧客名和密碼方式。而設備認證則需要依賴由CA所頒發(fā)的電子證書。現(xiàn)在重要有的認證方式有：簡樸口令如質(zhì)詢握手驗證合同CHAP和密碼身份驗證合同PAP等；動態(tài)口令如動態(tài)令牌和X.509數(shù)字證書等。簡樸口令認證方式的優(yōu)點是實施簡樸、技術成熟、互操作性好，且支持動態(tài)地加載VPN設備，可擴展性強。（3）密鑰管理技術密鑰管理的重要任務就是確保在開放的網(wǎng)絡環(huán)境中安全地傳遞密鑰，而不被竊取?，F(xiàn)在密鑰管理的合同涉及ISAKMP、SKIP、MKMP等。Internet密鑰交換合同IKE是Internet安全關聯(lián)和密鑰管理合同ISAKMP語言來定義密鑰的交換，綜合了Oakley和SKEME的密鑰交換方案，通過協(xié)商安全方略，形成各自的驗證加密參數(shù)。IKE交換的最后目的是提供一種通過驗證的密鑰以及建立在雙方同意基礎上的安全服務。SKIP重要是運用Diffie-Hellman的演算法則，在網(wǎng)絡上傳輸密鑰。IKE合同是現(xiàn)在首選的密鑰管理原則，較SKIP而言，其重要優(yōu)勢在于定義更靈活，能適應不同的加密密鑰。IKE合同的缺點是它即使提供了強大的主機級身份認證，但同時卻只能支持有限的顧客級身份認證，并且不支持非對稱的顧客認證。（4）訪問控制技術虛擬專用網(wǎng)的基本功效就是不同的顧客對不同的主機或服務器的訪問權限是不同的。由VPN服務的提供者與最后網(wǎng)絡信息資源的提供者共同來協(xié)商擬定特定顧客對特定資源的訪問權限，以此實現(xiàn)基于顧客的細粒度訪問控制，以實現(xiàn)對信息資源的最大程度的保護。訪問控制方略能夠細分為選擇性訪問控制和強制性訪問控制。選擇性訪問控制是基于主體或主體所在組的身份，普通被內(nèi)置于許多操作系統(tǒng)當中。強制性訪問控制是基于被訪問信息的敏感性。2.6VPN兩種合同的分析2.6.1IPSec合同IPSec是IETF提出的IP安全原則[2]它在IP層上對數(shù)據(jù)包進行安全解決提供數(shù)據(jù)源驗證無連接數(shù)據(jù)完整性數(shù)據(jù)機密性抗重播和有限業(yè)務流機密性等安全服務多個應用程序完全能夠享用IP層提供的安全服務和密鑰管理而不必設計和實現(xiàn)自己的安全機制因此減少了密鑰協(xié)商的開銷也減少了產(chǎn)生安全漏洞的可能性IPSec可持續(xù)或遞歸應用在路由器防火墻主機和通信鏈路上配備實現(xiàn)端到端安全虛擬專用網(wǎng)絡(VPN)RoadWarrior和安全隧道技術[1]。IPSec合同由核心合同和支撐模塊構(gòu)成。核心合同涉及AH(驗證頭)與ESP(封裝安全載荷)支撐部分涉及加密算法HASH算法安全方略安全關聯(lián)IKE密鑰交換機制[4~7]IP技術是在原始的IP頭部和數(shù)據(jù)之間插入一種IPSec頭部，這樣能夠?qū)υ糏P負載實現(xiàn)加密，同時還能夠?qū)崿F(xiàn)對IPSec頭部和原始IP負載的驗證，以確保數(shù)據(jù)的完整性。IPSec的構(gòu)造是一種框架性的構(gòu)造，IPSec沒有具體的加密和散列函數(shù)，它是每一次的IPSec會話所用的具體算法都是通過協(xié)商來擬定，這樣更含有安全性。還涉及IPSec框架中的封裝合同和模式、密鑰使用期等內(nèi)容都是通過協(xié)商決定，在兩個IPSec對等體之間協(xié)商的合同叫做IKE。協(xié)商完畢后產(chǎn)生安全關聯(lián)SA，實現(xiàn)安全通信。IPSec是IETF(InternetEngineerTaskForce)正在完善的安全原則，它把幾個安全技術結(jié)合在一起形成一種較為完整的體系，受到了眾多廠商的關注和支持。通過對數(shù)據(jù)加密、認證、完整性檢查來確保數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性。IPSec由IP認證頭AH(AuthenticationHeader)、IP安全載荷封載ESP(EncapsulatedSecurityPayload)和密鑰管理合同構(gòu)成。IPSec的體系構(gòu)造如圖2-2所示：IPsec體系IPsec體系封裝安全負載（ESP）認證包頭（AH）加密算法認證算法解釋域密鑰管理方略圖2-2IPSec的體系構(gòu)造IPSec合同是一種范疇廣泛、開放的虛擬專用網(wǎng)安全合同。IPSec適應向IPv6遷移，它提供全部在網(wǎng)絡層上的數(shù)據(jù)保護，提供透明的安全通信。IPSec用密碼技術從三個方面來確保數(shù)據(jù)的安全。即:認證：用于對主機和端點進行身份鑒別。完整性檢查：用于確保數(shù)據(jù)在通過網(wǎng)絡傳輸時沒有被修改。加密：加密IP地址和數(shù)據(jù)以確保私有性，這樣就算被第三方捕獲后也無法將其恢復成明文。IPSec合同能夠設立成在兩種模式下運行:一種是隧道模式，一種是傳輸模式。在隧道模式下，IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀中,這樣保護從一種防火墻到另一種防火墻時的安全性。在隧道模式下，信息封裝是為了保護端到端的安全性，即在這種模式下不會隱藏路由信息。隧道模式是最安全的，但會帶來較大的系統(tǒng)開銷。IPSec現(xiàn)在還不完全成熟，但它得到了某些路由器廠商和硬件廠商的大力支持。預計它此后將成為虛擬專用網(wǎng)的重要原則。IPSec有擴展能力以適應將來商業(yè)的需要。在1997年終，IETF安全工作組完畢了IPSec的擴展，在IPSec合同中加上ISAKMP(InternetSecurityAssociationandKayManagementProtocol)合同，其中還涉及一種密鑰分派合同Oakley。ISAKMP/Oakley支持自動建立加密信道，密鑰的自動安全分發(fā)和更新。IPSec也可用于連接其它層己存在的通信合同，如支持安全電子交易(SET:SecureElectronicTransaction)合同和SSL（SecureSocketlayer）合同。即使不用SET或SSL,IPSec都能提供認證和加密手段以確保信息的傳輸。2.6.2GRE合同GRE（GenericRoutingEncapsulation，通用路由封裝）合同是對某些網(wǎng)絡層合同（如_blank\\""IP和IPX）的數(shù)據(jù)報進行封裝，使這些被封裝的數(shù)據(jù)報能夠在另一種網(wǎng)絡層合同（如IP）中傳輸。GRE是VPN（VirtualPrivateNetwork）的第三層隧道合同，在合同層之間采用了一種被稱之為Tunnel（隧道）的技術。Tunnel是一種虛擬的點對點的連接，在實際中能夠當作僅支持點對點連接的虛擬接口，這個接口提供了一條通路使封裝的數(shù)據(jù)報能夠在這個通路上傳輸，并且在一種Tunnel的兩端分別對數(shù)據(jù)報進行封裝及解封裝。

一種報文要想在Tunnel中傳輸，必須要通過加封裝與解封裝兩個過程，下面介紹這兩個過程如圖2-3所示：圖2-3IPX網(wǎng)絡通過GRE隧道互聯(lián)(1)加封裝過程

連接NovellGroup1的接口收到IPX數(shù)據(jù)報后首先交由IPX合同解決，IPX合同檢查IPX報頭中的目的地址域來擬定如何路由此包。若報文的目的地址被發(fā)現(xiàn)要路由通過網(wǎng)號為1f的網(wǎng)絡（Tunnel的虛擬網(wǎng)號），則將此報文發(fā)給網(wǎng)號為1f的Tunnel端口。Tunnel口收到此包后進行GRE封裝，封裝完畢后交給IP_blank\\""模塊解決，在封裝IP報文頭后，根據(jù)此包的目的地址及路由表交由對應的網(wǎng)絡接口解決。

(2)解封裝的過程

解封裝過程和加封裝的過程相反。從Tunnel接口收到的IP報文，通過檢查目的地址，當發(fā)現(xiàn)目的地就是此路由器時，系統(tǒng)剝掉此報文的IP報頭，交給GRE合同模塊解決（進行檢查密鑰、檢查校驗和及報文的序列號等）；GRE合同模塊完畢對應的解決后，剝掉GRE報頭，再交由IPX合同模塊解決，IPX合同模塊象看待普通數(shù)據(jù)報同樣對此數(shù)據(jù)報進行解決。系統(tǒng)收到一種需要封裝和路由的數(shù)據(jù)報，稱之為凈荷（payload），這個凈荷首先被加上GRE封裝，成為GRE報文；再被封裝在IP報文中，這樣就可完全由IP層負責此報文的向前傳輸（forwarded）。人們常把這個負責向前傳輸IP合同稱為傳輸合同（deliveryprotocol或者transportprotocol）。

封裝好的報文的形式以下圖2-4所示：圖2-4封裝的Tunnel報文格式舉例來說，一種封裝在IPTunnel中的IPX傳輸報文的格式以下圖2-5所示：圖2-5Tunnel中傳輸報文的格式2.3.3PPTP/L2TP1996年，Microsoft和Ascend等在PPP合同的基礎上開發(fā)了PPTP，它集成于WindowsNTServer4.0中，WindowsNTWorkstation和Windows9.X也提供對應的客戶端軟件。PPP支持多個網(wǎng)絡合同，可把IP、IPX、AppleTalk或NetBEUI的數(shù)據(jù)包封裝在PPP包中，再將整個報文封裝在PPTP隧道合同包中，最后，再嵌入IP報文或幀中繼或ATM中進行傳輸。PPTP提供流量控制，減少擁塞的可能性，避免由于包丟棄而引發(fā)包重傳的數(shù)量。PPTP的加密辦法采用Microsoft點對點加密(MPPE:MicrosoftPoint-to-Point)算法，能夠選用較弱的40位密鑰或強度較大的128位密鑰。1996年，Cisco提出L2F(Layer2Forwarding)隧道合同，它也支持多合同，但其重要用于Cisco的路由器和撥號訪問服務器。1997年終，Microsoft和Cisco公司把PPTP合同和L2F合同的優(yōu)點結(jié)合在一起，形成了L2TP合同。L2TP支持多合同，運用公共網(wǎng)絡封裝PPP幀，能夠?qū)崿F(xiàn)和公司原有非IP網(wǎng)的兼容。還繼承了PPTP的流量控制，支持MP(MultilinkProtocol)，把多個物理通道捆綁為單一邏輯信道。L2TP使用PPP可靠性發(fā)送(RFC1663)實現(xiàn)數(shù)據(jù)包的可靠發(fā)送。L2TP隧道在兩端的VPN服務器之間采用口令握手合同CHAP來驗證對方的身份.L2TP受到了許多大公司的支持.PPTP/L2TP合同的優(yōu)點:PPTP/L2TP對用微軟操作系統(tǒng)的顧客來說很方便，由于微軟己把它作為路由軟件的一部分。PPTP/L2TP支持其它網(wǎng)絡合同。如NOWELL的IPX,NETBEUI和APPLETALK合同,還支持流量控制。它通過減少丟棄包來改善網(wǎng)絡性能，這樣可減少重傳。PPTP/L2TP合同的缺點:PM和L2TP將不安全的IP包封裝在安全的IP包內(nèi)，它們用IP幀在兩臺計算機之間創(chuàng)立和打開數(shù)據(jù)通道，一旦通道打開，源和目的顧客身份就不再需要，這樣可能帶來問題，它不對兩個節(jié)點間的信息傳輸進行監(jiān)視或控制。PPTP和L2TP限制同時最多只能連接255個顧客，端點顧客需要在連接前手工建立加密信道，認證和加密受到限制，沒有強加密和認證支持。PPTP/L2TP最適合于遠程訪問VPN.3.基于GREVPN的架構(gòu)3.1基于GRE實驗的需求分析山東科技大學有多個校區(qū)，涉及青島校區(qū)（總校）、泰安校區(qū)、濟南校區(qū)，總校與分校之間不可避免需要訪問彼此私有地址服務器的信息，為了實現(xiàn)彼此數(shù)據(jù)的安全訪問，我們學校使用了VPN技術。因此我對VPN進行了學習，由于兩個校區(qū)可能用到不同網(wǎng)絡合同，因此我采用了GRE技術。通過GRE技術在不同的兩個校區(qū)之間建立了一種點到點的GRE隧道，前期處在學習階段，因此在GRE的隧道口上運行了靜態(tài)路由合同，又來學習彼此的網(wǎng)絡路由。兩點之間的流量通過GRE隧道封裝穿越Internet。3.2GRE實驗的設計本實驗使用模擬軟件所做的PT實驗，隧道建立在路由器上，沒有專門的VPN網(wǎng)關來管理。在青島校區(qū)和泰安校區(qū)之間建立GRE隧道，通過對兩邊沿路由器的配備，實現(xiàn)兩校區(qū)之間無障礙通信。下面是實驗拓撲圖圖3-1：圖3-1GRE實驗拓撲圖3.3GRE合同的VPN實現(xiàn)配備3.3.1分別各個路由器端口、PC機和服務器配備地址IP規(guī)劃表：Internet/24青島總校/24Internet/24濟南校區(qū)/24Internet/24泰安校區(qū)/24青島總校54/24服務器/24青島總校54/24主機2/24青島總校54/24主機1/24本實驗配備的核心在青島總校，因此下面重要介紹總校的配備。配備以下：interfaceTunnel0ipaddresstunnelsourceFastEthernet0/0tunneldestinationinterfaceTunnel1ipaddresstunnelsourceFastEthernet0/0tunneldestination（iprouteiprouteiproute.0f0/13.3.2重要設備之間連通性測試下面是主機1對連通性的測試圖3-2所示：圖3-2主機1對服務器的連通性測試4.基于IPSecVPN的架構(gòu)4.1基于IPSec實驗的需求分析山東科技大學的教務管理系統(tǒng)為了實現(xiàn)安全，只允許在校內(nèi)網(wǎng)上訪問，若老師或同窗在校外就無法訪問，會帶來很大不便。我們可通過建立IPSecVPN的加密隧道，實現(xiàn)出差和假期期間師生和學校之間的信息安全傳輸。IPSecVPN技術通過隧道技術、加解密技術、密鑰管理技術、和認證技術有效的確保了數(shù)據(jù)在Internet網(wǎng)絡傳輸?shù)陌踩?，是現(xiàn)在最安全、使用最廣泛的VPN技術。4.2IPSec實驗的設計PC機模擬出差員工的PC，與VPN設備A（模擬公司出口VPN設備）通過IKE自動協(xié)商建立起IPSec的VPN加密隧道。使得PC機能安全訪問到VPN設備A所保護的內(nèi)部服務器。實驗時，能夠在服務器上開設FTP服務或者Web服務，在VPN隧道建立成功后，PC機將能夠訪問到這些服務。移動顧客（即PC機）在和VPN設備建立VPN隧道前，需要先獲得VPN設備的身份驗證許可。該實驗所采用的顧客身份驗證為口令方式，并且口令賬號的頒發(fā)由VPN設備A來完畢。移動顧客（即PC機）在通過VPN設備A的身份驗證后，VPN設備A會自動將VPN隧道建立（即IKE協(xié)商）所需要的配備下發(fā)給PC機，然后PC機與VPN設備A之間自動開始IKE協(xié)商，協(xié)商成功后VPN隧道即建立成功。整個過程系統(tǒng)自動完畢，無需人為干預，是免配備的典型方式。本實驗的拓撲圖圖4-1：圖4-1IPSec實驗拓撲圖4.3IPSec合同的VPN實現(xiàn)環(huán)節(jié)及配備IPSec合同的VPN實現(xiàn)的具體環(huán)節(jié)的具體介紹以下：第一步：準備好PC機和服務器。1)實驗中即能夠通過服務器來管理VPN設備。2)在PC機上安裝RG-SRA軟件程序。注意：RG-SRA是VPN客戶端軟件程序，如果PC機上已預裝其它廠家的VPN客戶端程序，請先卸載其它廠家的VPN客戶端程序，否則可能RG-SRA無法正常工作。RG-SRA作為安全產(chǎn)品，安裝后會對系統(tǒng)的網(wǎng)卡、端口、合同等方面有改動，因此會和部分防火墻或者防病毒程序不兼容。現(xiàn)在通過測試，已知和市場主流的殺毒軟件、防火墻是兼容的有：瑞星、天網(wǎng)、Symentec、微軟等產(chǎn)品都兼容。已知的不兼容的軟件有：卡巴司基、Sygate。因此建議用于測試的PC機卸載這兩個程序。推薦顧客使用沒有安裝任何第三方防火墻、防病毒程序的機器來作實驗。第二步：搭建圖示實驗拓撲，然后配備PC機、服務器、VPN設備A、route的IP及必要路由。示例以下：VPN設備A的eht1口地址：VPN設備A的eth0口地址：PC機的IP地址：PC機的網(wǎng)關地址：服務器的IP地址：服務器的網(wǎng)關地址：Route的F0/0地址:Route的F0/1地址:VPN設備A接口及缺省路由配備以下：1)通過服務器的超級終端，配備好VPN網(wǎng)關的IP地址顯示以下圖圖4-2：圖4-2VPN網(wǎng)關的IP地址2）配備連接服務器的接口eth1，以下圖圖4-3：圖4-3網(wǎng)關的建立顯示圖4-4網(wǎng)關地址的配備3）建立服務器與VPN網(wǎng)關的連接，進而操作VPN網(wǎng)關。安全網(wǎng)關登錄如圖4-5所示：圖4-5安全網(wǎng)關登錄顯示4）登錄成功頁面如圖4-6所示：圖4-6登錄成功顯示5)通過服務器上的VPN管理軟件登錄VPN設備A，然后配備eth0口地址，操作以下圖4-7所示：圖4-7網(wǎng)絡接口顯示設立eth0口地址如圖4-8所示：圖4-8外出接口配備第三步：配備IPSecVPN隧道1、在VPN設備A上進行IPSecVPN隧道配備：1)進入遠程移動顧客VPN隧道配備的界面登錄VPN設備A的管理界面，選擇進入“遠程顧客管理”界面，以下圖所示：2)首先配備“允許訪問子網(wǎng)”圖4-9添加可訪問的子網(wǎng)顯示3)配備“本地顧客數(shù)據(jù)庫”圖4-10添加遠程顧客注意：添加完顧客后一定要點擊“顧客生效”按鈕，否則新添加的顧客仍然不可使用。4)配備“虛IP地址池”圖4-11虛IP地址池中IP地址的配備顯示5)配備“顧客特性碼表”圖4-12顧客特性碼綁定顯示配備闡明：“顧客特性碼表”是為需要將遠程PC的硬件和分派給顧客的身份信息綁定的需求而設計的。選擇了“允許接入并自動綁定”功效，則VPN設備會將遠程顧客的PC硬件特性碼與該顧客的身份認證信息互相綁定，綁定后該顧客將無法用自己的身份信息再在其它PC設備上建立VPN隧道。該實驗中我們既能夠選擇“允許接入”，也能夠選擇“允許接入并自動綁定”。系統(tǒng)默認配備是“嚴禁接入”。圖示選擇的是“允許接入”，這表達該顧客的身份信息不會和其使用的PC硬件綁定。2、在PC機上運行RG-SRA程序，開始建立VPN隧道：1）第一次運行RG-SRA程序后，建立連接：圖4-13登錄遠程顧客添加VPN連接3)運行該隧道連接，建立VPN隧道，并啟動隧道連接。圖4-14VPN隧道的建立輸入身份認證所必須的賬號，即在VPN設備A上添加的顧客。圖4-15顧客登錄點擊“連接”按鈕后，系統(tǒng)自動進行身份認證，并且開始IKE的協(xié)商，以下圖4-16所示：圖4-16遠程顧客登錄顯示2、在VPN設備A的管理界面也可看到已經(jīng)建立成功的隧道信息。隧道啟動后能夠在“隧道協(xié)商狀態(tài)”欄目下看到隧道的協(xié)商狀態(tài)，“隧道狀態(tài)”顯示“第二階段協(xié)商成功”。圖4-17登錄成功且IKE協(xié)商成功第四步：進行隧道通信從PC機上去訪問服務器提供的服務，服務應當成功。或者先在PC機上Ping一下服務器的IP，應當能夠Ping通。（沒有VPN隧道前Ping會是失敗的）VPN隧道的通信狀況能夠在“隧道通信狀態(tài)”中查看到，以下圖4-18所示：圖4-18隧道協(xié)商狀態(tài)5.IPSecoverGREVPN的分析與架構(gòu)5.1IPSec合同與GRE合同優(yōu)缺點的分析5.1.1IPSec合同的優(yōu)缺點IPSec合同的優(yōu)點：①IPsec工作在傳輸層之下，因此對應用層是透明的，當在路由器或者防火墻上安裝IPsec時，無需要更改顧客或服務器系統(tǒng)中的軟件設立。即使在終端系統(tǒng)中執(zhí)行IPsec，應用程序等上層軟件也不會受影響。另外，IPsec也可覺得單個顧客提供主機到主機的安全隧道，保護客戶的敏感信息。IPsec選擇在IP成是一種較好的選擇，更加好級別的服務只能保護某一種合同，更低檔別的服務則只能保護某一種通信媒體，而IPsec則能夠保護IP之上的任何合同和IP之下的任何通信媒體。②IPsec含有模塊化的設計，即使選擇不同的算法，也不會影響到其它部分的實現(xiàn)，不同顧客群能夠根據(jù)自己的需求選擇適宜的算法集。③IPsec使用包過濾的方式進行訪問控制。則按能夠減少握手的時間，一次握手就能夠傳送大量的數(shù)據(jù)，特別合用于傳輸數(shù)據(jù)量大的應用。④VPN交換機的分離通道特性為IPsec客戶端提供同時對internet，extranet和本地網(wǎng)絡訪問的支持，該技術能夠設立權限，允許顧客的訪問權限，如允許本地打印和文獻共享訪問，允許直接internet訪問和允許安全外網(wǎng)訪問，該特性使用顧客在安全條件下合理方便的使用網(wǎng)絡資源，現(xiàn)有安全性又有靈活性。IPsec定義了開放的體系構(gòu)造和框架。IPSec合同的缺點：IPSec需要已知范疇的IP地址或固定范疇的IP地址，因此在動態(tài)分派地址時不太適合于IPSec；除了TCP/IP合同以外，IPSec不支持其它合同；除了包過濾外，它沒有指定其它訪問控制辦法；對于采用NAT方式訪問公共網(wǎng)絡的狀況難以解決；IPSec現(xiàn)在還僅支持單播的（Unicast）IP數(shù)據(jù)包，不支持多播（Multicast）和廣播（Broadcast）的IP數(shù)據(jù)包。5.1.2GRE合同的優(yōu)缺點GRE合同的優(yōu)點：①支持加密的多播傳輸。GRE隧道能夠像真實的網(wǎng)絡接口那樣傳遞多播數(shù)據(jù)包，而單獨使用IPSec，則無法對多播傳輸進行加密。多播傳輸?shù)睦由婕癘SPF,EIGRP,以及RIPV2。另外，大量的視頻、VoIP以及音樂流程序使用多播。

②支持多個合同無法進行路由，例如NetBIOS或在IP網(wǎng)絡上進行非IP傳輸。例如，能夠在IP網(wǎng)絡中使用GRE支持IPX或AppleTalk合同。GRE合同的缺點：

由于GRE是將一種數(shù)據(jù)包封裝到另一種數(shù)據(jù)包中，因此可能會碰到GRE的數(shù)據(jù)報不小于網(wǎng)絡接口所設定的數(shù)據(jù)包最大尺寸的狀況。另外，不能避免網(wǎng)絡偵聽和攻擊。無法確保數(shù)據(jù)的完整性和保密性。5.2IPSecoverGRE的原理及需求分析GRE（GenericRoutingEncapsulation，通用路由封裝）合同是一種隧道合同，使用IP合同號47。GRE普通用來構(gòu)建站點到站點的VPN隧道，它最大的優(yōu)點是能夠?qū)Χ鄠€合同、多個類型的報文進行封裝，并在隧道中傳輸。但是GRE不提供對數(shù)據(jù)的保護（例如加密），它只提供簡樸的隧道驗證功效。IPSec（IPsecurity，IP安全性）的重要作用是為IP數(shù)據(jù)通信提供安全服務。IPSec不是一種單獨合同，它是一套完整的體系框架，涉及AH、ESP和IKE三個合同。IPSec使用了多個加密算法、散列算法、密鑰交換辦法等為IP數(shù)據(jù)流提供安全性，它能夠提供數(shù)據(jù)的機密性、數(shù)據(jù)的完整性、數(shù)據(jù)源認證和反重放等安全服務。但是由于IPSec不能夠?qū)M播報文進行封裝，因此普通的路由合同報文無法在IPSec隧道中傳輸。這時我們能夠結(jié)合使用GRE與IPSec，運用GRE對顧客數(shù)據(jù)和路由合同報文進行隧道封裝，然后使用IPSec來保護GRE隧道的安全，即GREoverIPSecVPN。根據(jù)上述對兩種合同的分析，單獨配備基于預共享密鑰的IPSecVPN，能夠?qū)崿F(xiàn)不同站點之間的網(wǎng)絡互聯(lián)，但是IPSec工作于網(wǎng)絡層，是不能和NAT一起使用的，否則就會造成數(shù)據(jù)源和目的地址的混亂；并且不能形成內(nèi)網(wǎng)之間的路由合同。這就需要將IPSec運行在GRE（tunnel）隧道之上，真實物理接口運行NAT進行網(wǎng)絡地址轉(zhuǎn)換，這就避免了IPSecVPN和NAT之間的沖突。使用GRE隧道的另外一種好處是能夠在各個站點的隧道之間學習路由合同。GRE是通用路由封裝合同，能夠?qū)崿F(xiàn)任意一種網(wǎng)絡層合同在另一種網(wǎng)絡層合同上的封裝。5.3IPSecoverGRE實驗的設計公司的總部與分部的一端未TCP/IP合同，因此不能夠單純使用IPSec合同，因此我們決定使用IPSecoverGRE。本實驗設計的拓撲圖以下圖5-1所示：圖5-1IPSecoverGRE實驗拓撲圖5.4IPSecoverGRE的環(huán)節(jié)及配備5.4.1.配備網(wǎng)絡互聯(lián)的基本參數(shù)1）配備R2和R3網(wǎng)絡之間的基本參數(shù)，并啟用OSPF路由合同注意：在R2和R3上各配備了一條默認路由指向兩邊的末梢網(wǎng)絡，這樣公網(wǎng)就能夠訪問內(nèi)網(wǎng)的數(shù)據(jù)了。圖5-2對R2的配備圖5-3對R3的配備2）使用showiproute查看R2和R3與否學習到了OSPF路由條目（OSPF路由條目以OIA顯示）圖5-4R2的路由顯示3）配備私網(wǎng)出口路由R1和R4的基本參數(shù)，并配備一條默認路由指向公網(wǎng)圖5-5對R1的配備圖5-6對R4的配備5.4.2.配備GRE隧道，并啟用EIGRP路由合同1)在R1和R4上配備tunnel1，并啟用EIGRP路由合同。注意：只宣布內(nèi)網(wǎng)網(wǎng)段和tunnel隧道的網(wǎng)段。圖5-7R1上隧道1的建立圖5-8R4上隧道1的建立2)使用showiproute查看內(nèi)網(wǎng)之間學習的EIGRP路由條目（EIGRP的路由條目以D顯示）圖5-9R4上路由顯示5.4.3.配備IPSec，并將其應用到GRE隧道上1)在R1和R4上分別配備IPSecVPN，并應用CryptoMAP到GRE隧道上（Tunnel1）。圖5-10R1上對隧道1各合同的配備圖5-11R4上對隧道1各合同的配備5.4.4.測試站點之間的連通性下面是ping之前和ping之后加密的數(shù)據(jù)圖5-12連通性測試5.5.5.配備NAT實現(xiàn)網(wǎng)絡地址轉(zhuǎn)換1)在R1和R4上配備NAT（PAT），將私網(wǎng)地址全部轉(zhuǎn)換成路由出口公網(wǎng)的IP地址圖5-13R1上的NAT轉(zhuǎn)換圖5-14R4上的NAT轉(zhuǎn)換2)然后在PC1上分別ping私網(wǎng)的IP地址和公網(wǎng)的IP地址，能夠發(fā)現(xiàn)ping公網(wǎng)的IP地址都進行了NAT地址轉(zhuǎn)換，而ping私網(wǎng)的IP地址都通過了隧道加密。圖5-15連通成功顯示致謝隨著論文的完畢，近四年的大學生活也即將宣布結(jié)束了。我將銘記曾經(jīng)直接或間接為本論文做出奉獻和予以我指導和支持的老師們。在此，我首先向我的指導老師——***老師，表達最衷心的感謝。我在做畢業(yè)設計的學習和設計過程中碰到了不少困難，老師總能予以我指導和建議。感謝老師的協(xié)助，讓我能夠順利的完畢我的畢業(yè)設計。另首先，感謝我同組倆位同窗***和***同窗，在我學習VPN的基礎知識和做實驗過程中，予以我的協(xié)助。我們互相學習，共同進步。最后，非常感謝網(wǎng)絡工程專業(yè)的全部老師四年來對我的辛勤哺育和熱心關心。感謝在一起學習一起生活的同窗。參考文獻[1]高海英，薛元星，辛陽.VPN技術.第一版.北京.機械工業(yè)出版社..1-2[2]StevenBrown著.董小宇，魏鴻，馬潔譯.構(gòu)建虛擬專用網(wǎng).第一版.北京.人民郵電出版社..4-5[3]戴宗坤，唐三平.VPN與網(wǎng)絡安全.第一版.北京.電子工業(yè)出版社..[4]邱亮，金悅.ISA配備與管理.第一版.北京.清華大學出版社..[5]李思齊.服務器配備全攻略.第一版.北京.清華大學出版社..[6]王達等.虛擬專用網(wǎng)（VPN）精解.北京.清華大學出版社..[7]CarltonR.Davis著.周永彬，馮登國等譯.IPSEC:VPN的安全實施.北京.清華大學出版社.[8]科教工作室.局域網(wǎng)組建與維護.第一版.北京.清華大學出版社..[9]李文俊等.網(wǎng)絡硬件搭建與配備實踐.第一版.北京.電子工業(yè)出版社..[10]李莉，童小林譯.網(wǎng)絡互聯(lián)技術手冊.第四版.北京.人民郵電出版社..[11]高海英，VPN技術，[M]，機械工業(yè)出版社，[12]YusufBhaiji，NetworkSecurityTechnologiesandSolutions，[M]，CiscoPress

，附錄1英文原文ANewVirtualPrevateNetworkforToday'sMobileWorldKarenHeymanVirtualprivatenetworkswereacriticaltechnologyforturningtheInternetintoanimportantbusinesstool.Today’sVPNsestablishsecureconnectionsbetweenaremoteuserandacorporateorothernetworkviatheencryptionofpacketssentthroughtheInternet,ratherthananexpensiveprivatenetwork.However,theytraditionallyhavelinkedonlyarelativelyfewnodesthatacompany’sITdepartmentcontrolsandcongures.Thisisnotadequateforthemanyorganizationsthatnowmustletmanagers,employees,partners,suppliers,consultants,ecommercecustomers,andothersaccessnetworksfromtheirownPCs,laptops,publiclyavailablecomputerslikethoseatairportkiosks,andevenmobiledevices,manynotcontrolledbytheorganization.VPNsbasedonInternetProtocolsecurity(IPsec)technologywerenotdesignedforandarenotwell-suitedforsuchuses.Insteadofrestrictingremoteuserswhoshouldnothaveaccesstomanypartsofacompany?network,explainedGrahamTitterington,principalanalystwithmarket-researchfirmOvum,IPsec[generally]connectsusersintoanetworkandgivesthesamesortofaccesstheywouldhaveiftheywerephysicallyontheLAN.?±OrganizationsarethusincreasinglyadoptingVPNsbasedonSecureSocketsLayertechnologyfromvendorssuchasAventail,CiscoSystems,F5Networks,JuniperNetworks,andNortelNetworks.SSLVPNsenablerelativelyeasydeployment,addedChrisSilva,ananalystatForresterResearch,amarket-researchrm.AcompanycaninstalltheVPNatitsheadquartersandpushanynecessarysoftwaretousers,whothenaccessthenetworkviatheirbrowsers,heexplained.Organizationsthusdonothavetomanage,update,orbuylicensesformultipleclients,yieldinglowercosts,lessmaintenanceandsupport,andgreatersimplicitythanIPsecVPNs,Silvasaid.Fromaremote-accessperspective,IPsecisturningintoalegacytechnology,?±saidRichCampagna,Juniper?SSLVPNproductmanagerNonetheless,IPsecVPNsarestillpreferableforsomeuses,suchaslinkingaremote,company-controllednode,perhapsinabranchofce,withthecorporatenetwork.BothVPNflavorsarelikelytocontinuetoourish,withthechoicePublishedbytheIEEEComputerSocietyAnearlyattempttocreateaVPNovertheInternetusedmultiprotocollabelswitching,whichaddslabelstopacketstodesignatetheirnetworkpath.Inessence,allpacketsinadatasettravelthroughdesignatedtunnelstotheirdestinations.However,MPLSVPNsdon'tencryptdata.IPsecandSSLVPNs,ontheotherhand,useencryptedpacketswithcryptographickeysexchangedbetweensenderandreceiveroverthepublicInternet.Onceencrypted,thedatacantakeanyrouteovertheInternettoreachit'snaldestination.Thereisnodedicatedpathway.USDefenseDepartmentcontractorsbeganusingthistechniqueasfarbackasthelate1980s,accordingtoPaulHoffman,directoroftheVPNConsortium.IntroducingIPsecVendorsinitiallyusedproprietaryandotherformsofencryptionwiththeirVPNs.However,toestablishastandardwaytocreateinteroperableVPNs,manyvendorsmovedtoIPsec,whichtheInternetEngineeringTaskForce(IETF)adoptedin1998.WithIPsec,acomputersendsarequestfordatafromaserverthroughagateway,actingessentiallyasarouter,attheedgeofitsnetwork.ThegatewayencryptsthedataandsendsitovertheInternet.Thereceivinggatewayqueriestheincomingpackets,authenticatesthesender'sidentityanddesignatednetwork-accesslevel,andifeverythingchecksout,admitsanddecryptstheinformation.BoththetransmitterandreceivermustsupportIPsecandshareapublicencryptionkeyforauthentication.December17FirewallTerminalservicesDecryptedtrafficFileandmediaserverInternetSSLencryptedRemoteuser:trafficBusinesspartnerKioskuserTemporarystaffTravelingstaffTelecommuterDesktopSSLVPN:AuthenticationAuthorizationDecryptionIntegritycheckWebproxyWebserverE-mailserverFigure1.InanSSLVPN,aremoteuserlogsintoadedicatedWebsitetoaccessacompany’snetwork.Theuser’sbrowserinitiatesthesessionwithacorporateserverordesktopcomputer,whichdownloadsthenecessarysoftwaretotheclient.ThesoftwareusesSSLforencryptingthetransmitteddata.Atthecorporatesite,theVPNsystemauthenticatesusers,determineswhatlevelofnetworkaccesstheyshouldhave,andifeverythingchecksout,decryptsthedataandsendsittothedesireddestination.UnlikeSSL,IPsecisimplementedasafullapplicationinstalledontheclient.Anditdoesn’ttakeadvantageofexistingbrowsercode.IPseclimitationsAccordingtoForrester’sSilva,corporateITdepartmentsincreasinglyneedtoletremoteusersconnecttoenterprisenetworks,whichischallengingwithIPsec.ThenormalpracticeofconguringIPsecVPNstoallowfullaccesstoanetworkcancreatevulnerabilities.Toavoidthis,administratorswouldhavetoconfigurethemtopermitaccessonlytopartsofanetwork,accordingtoPeterSilva,technicalmarketingmanagerforF5NetworksSSLVPNs.IPsecVPNsalsohavetroublelettingcertaintraffictransversefirewalls,heexplained.Thisisn’tusuallyaproblem,asmostcompanieshavethesamebasicportsopenbothinboundandoutbound.However,itispossiblethatonecompanywouldlettrafcoutoveraportthatanotherdoesn'tleaveopenforinbounddata.Bycontrast,thevastmajorityofcompanieshaveport80(dedicated)ComputerOpeninboundandoutbound,socrossing?rewallsisrarelyaproblemforSSLVPNs,whichareWeb-based.IPsecVPNsarefullprogramsandthusarelarge,generally6to8megabytes.Thismeanstheydownloadmoreslowlyanddon'talwaysworkwellonsmallerdevices.ENTERTHESSLVPNThefirstSSLVPNvendorwasNeoteris,purchasedinbyNetScreen,whichJuniperboughtthenextyear,accordingtoJuniper’sCampagna.SSLNetscapeCommunicationsdevelopedSSLandreleasedtherstpublicversionin1994.TheIETFadoptedthetechnologyasastandardin1999,namingitTransportLayerSecurity.However,mostusersstillcallitSSL.Thetechnology,whichoffersthesameencryptionstrengthsasIPsec,hasbeenusedlargelytosecurefinancialtransactionsontheWeb.InanSSLVPN,auserlogsintoadedicatedWebsite.ThebrowserinitiatesthesessionwiththeWebserver,whichdownloadsthenecessarysoftwaretotheclient,generallyusingeitherActiveXorJavacontrols.AdministratorscancongureanSSLVPNgatewaytoconductadditionalchecks,suchaswhethertheconnectingdevicehasthelatestsecurityupgrades.Duringthisprocess,theclientandserveridentifycommonsecurityparameters,suchasciphersandhashfunctions,andusethestrongestonestheybothsupport.TheVPNgatewayidentiesitselfviaadigitalcerti?catethatincludesinformationsuchasthenameofthetrustedauthoritythatissuedthecerticate,whichtheclientcancontactforverification,andtheserver'spublicencryptionkey.Thegatewaythensendsanencryptedsessioncookietothebrowsertostartthecommunications.Togeneratetheencryptionkeyusedforthesession,theclientencryptsarandomnumberwiththeserver’spublickeyandsendstheresulttotheserver,whichdecryptsitwithaprivatekey.Oncetheuser'sidentityisauthenticated,anSSLVPN,likeanIPsecVPN,allowsthelevelof