vpn虛擬專用網(wǎng)畢業(yè)論文

1、<p>　　VPN虛擬專用網(wǎng)畢業(yè)論文</p><p><b>　　摘 要</b></p><p>　　本文首先介紹了VPN的定義和研究意義，接著介紹了實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)（包括隧道技術(shù),加解密認(rèn)證技術(shù)，密鑰管理技術(shù)，訪問(wèn)控制技術(shù)）以及實(shí)現(xiàn)VPN的主要安全協(xié)議，PPTP/ L2TP協(xié)議、IPSec協(xié)議，為VPN組網(wǎng)提供了理論指導(dǎo)。最后通過(guò)構(gòu)建中小企業(yè)的虛擬專用

2、網(wǎng)，全面介紹了在Windows server 2003 ISA 2004環(huán)境下站點(diǎn)到站點(diǎn)和站點(diǎn)到客戶端的VPN的配置，為企業(yè)的VPN構(gòu)建提供參考和借鑒。</p><p>　　關(guān)鍵詞：隧道，L2TP ，PPTP ，IPSec</p><p><b>　　Abstract</b></p><p>　　This paper first introdu

3、ces the definition of VPN and its study implications. And then introduces the key technologies for implementing a VPN which includes the Tunnel technology and its main secure protocols, PPTP/L2TP protocol, IPSEC protocol

4、, SOCKSv5 protocol, All these technologies provide the theoretical bases for building a VPN network. Finally, by constructing an enterprise virtual private network, I introduced the configuration of site to site and site

5、 to client VPN under the Windows ser</p><p>　　Key words: Tunnel, L2TP, PPTP, IPSec</p><p><b>　　目錄</b></p><p><b>　　1緒論1</b></p><p>　　1.1 VPN的定

6、義1</p><p>　　1.2 VPN的工作原理1</p><p>　　1.3 VPN的研究背景和意義2</p><p>　　2VPN的應(yīng)用領(lǐng)域和設(shè)計(jì)目標(biāo)4</p><p>　　2.1 VPN的主要應(yīng)用領(lǐng)域4</p><p>　　2.2 VPN的設(shè)計(jì)目標(biāo)5</p><p>

7、;　　3實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)和主要協(xié)議7</p><p>　　3.1 實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)7</p><p>　　3.2 VPN的主要安全協(xié)議9</p><p>　　3.2.1　PPTP/L2TP9</p><p>　　3.2.2　IPSec協(xié)議10</p><p><b>　　4實(shí)例分析

8、12</b></p><p>　　4.1 需求分析12</p><p>　　4.2 方案達(dá)到的目的13</p><p>　　4.3 VPN組建方案網(wǎng)絡(luò)拓?fù)鋱D14</p><p>　　5各部分VPN設(shè)備的配置15</p><p>　　5.1 公司總部到分支機(jī)構(gòu)的ISA VPN配置15<

9、;/p><p>　　5.1.1 總部ISA VPN配置17</p><p>　　5.1.2 支部 ISA VPN配置20</p><p>　　5.1.3 VPN連接22</p><p>　　5.1.4 連接測(cè)試23</p><p>　　5.2 公司總部站點(diǎn)到移動(dòng)用戶端的VPN配置24</p&g

10、t;<p>　　5.2.1 總部ISA VPN配置25</p><p>　　5.2.2 移動(dòng)用戶端VPN配置27</p><p>　　5.2.3 連接測(cè)試27</p><p><b>　　致謝29</b></p><p><b>　　參考文獻(xiàn)30</b></p&

11、gt;<p><b>　　緒論</b></p><p>　　1.1 VPN的定義</p><p>　　VPN（ Virtual Private Network）被定義為通過(guò)一個(gè)公共網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公共網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴

12、及供應(yīng)商同公司的內(nèi)部網(wǎng)絡(luò)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過(guò)將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上，一個(gè)企業(yè)的虛擬專用網(wǎng)解決方案也將大幅度的減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時(shí)，這將簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理，加速連接新的用戶和網(wǎng)站。另外，虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)

13、現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。</p><p>　　1.2 VPN的工作原理</p><p>　　把因特網(wǎng)用作專用廣域網(wǎng)，就要克服兩個(gè)主要障礙。首先，網(wǎng)絡(luò)經(jīng)常使用多種協(xié)議如IPX和NetBEUI進(jìn)行通信，但因特網(wǎng)只能處理IP流量。所以，VPN就需要提供一種方法，將非IP的協(xié)議從一個(gè)網(wǎng)絡(luò)傳送到另一個(gè)網(wǎng)絡(luò)。

14、其次，網(wǎng)上傳輸?shù)臄?shù)據(jù)包以明文格式傳輸，因而，只要看得到因特網(wǎng)的流量，就能讀取包內(nèi)所含的數(shù)據(jù)。如果公司希望利用因特網(wǎng)傳輸重要的商業(yè)機(jī)密信息，這顯然是一個(gè)問(wèn)題。VPN克服這些障礙的辦法就是采用了隧道技術(shù)：數(shù)據(jù)包不是公開在網(wǎng)上傳輸，而是首先進(jìn)行加密以確保安全，然后由VPN封裝成IP包的形式，通過(guò)隧道在網(wǎng)上傳輸，如圖1-1所示：</p><p>　　圖1-1 VPN工作原理圖</p><p>　　

15、源網(wǎng)絡(luò)的VPN隧道發(fā)起器與目標(biāo)網(wǎng)絡(luò)上的VPN隧道發(fā)起器進(jìn)行通信。兩者就加密方案達(dá)成一致，然后隧道發(fā)起器對(duì)包進(jìn)行加密，確保安全（為了加強(qiáng)安全，應(yīng)采用驗(yàn)證過(guò)程，以確保連接用戶擁有進(jìn)入目標(biāo)網(wǎng)絡(luò)的相應(yīng)的權(quán)限。大多數(shù)現(xiàn)有的VPN產(chǎn)品支持多種驗(yàn)證方式）。</p><p>　　最后，VPN發(fā)起器將整個(gè)加密包封裝成IP包?，F(xiàn)在不管原先傳輸?shù)氖呛畏N協(xié)議，它都能在純IP因特網(wǎng)上傳輸。又因?yàn)榘M(jìn)行了加密，所以誰(shuí)也無(wú)法讀取原始數(shù)據(jù)。&l

16、t;/p><p>　　在目標(biāo)網(wǎng)絡(luò)這頭，VPN隧道終結(jié)器收到包后去掉IP信息，然后根據(jù)達(dá)成一致的加密方案對(duì)包進(jìn)行解密，將隨后獲得的包發(fā)給遠(yuǎn)程接入服務(wù)器或本地路由器，他們?cè)诎央[藏的IPX包發(fā)到網(wǎng)絡(luò)，最終發(fā)往相應(yīng)目的地。</p><p>　　1.3 VPN的研究背景和意義</p><p>　　隨著網(wǎng)絡(luò)，尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，企業(yè)日益擴(kuò)張，客戶分布日益廣泛，合作伙伴日益增多，

17、這種情況促使了企業(yè)的效益日益增長(zhǎng)，另一方面也越來(lái)越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷：傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點(diǎn)的專線連接方式已難以適應(yīng)現(xiàn)代企業(yè)的需求。于是企業(yè)對(duì)于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求，主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面。在這樣的背景下，VPN以其獨(dú)具特色的優(yōu)勢(shì)贏得了越來(lái)越多的企業(yè)的青睞，令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運(yùn)行與維護(hù)，而更多地致力于企業(yè)的商業(yè)目標(biāo)的實(shí)現(xiàn)。</p><p>　　雖然VPN在

18、理解和應(yīng)用方面都是高度復(fù)雜的技術(shù)，甚至確定其是否適用于本公司也一件復(fù)雜的事件，但在大多數(shù)情況下VPN的各種實(shí)現(xiàn)方法都可以應(yīng)用于每個(gè)公司。即使不需要使用加密數(shù)據(jù)，也可節(jié)省開支。因此，在未來(lái)幾年里，客戶和廠商很可能會(huì)使用VPN，從而使電子商務(wù)重又獲得生機(jī)，畢竟全球化、信息化、電子化是大勢(shì)所趨。</p><p>　　VPN的應(yīng)用領(lǐng)域和設(shè)計(jì)目標(biāo)</p><p>　　2.1 VPN的主要應(yīng)用領(lǐng)域&

19、lt;/p><p>　　利用VPN技術(shù)幾乎可以解決所有利用公共通信網(wǎng)絡(luò)進(jìn)行通信的虛擬專用網(wǎng)絡(luò)連接的問(wèn)題。歸納起來(lái)，有以下幾種主要應(yīng)用領(lǐng)域。</p><p><b>　?。?）遠(yuǎn)程訪問(wèn)</b></p><p>　　遠(yuǎn)程移動(dòng)用戶通過(guò)VPN技術(shù)可以在任何時(shí)間、任何地點(diǎn)采用撥號(hào)、ISDN、DSL、移動(dòng)IP和電纜技術(shù)與公司總部、公司內(nèi)聯(lián)網(wǎng)的VPN設(shè)備建立起隧

20、道或密道信，實(shí)現(xiàn)訪問(wèn)連接，此時(shí)的遠(yuǎn)程用戶終端設(shè)備上必須加裝相應(yīng)的VPN軟件。推而廣之，遠(yuǎn)程用戶可與任何一臺(tái)主機(jī)或網(wǎng)絡(luò)在相同策略下利用公共通信網(wǎng)絡(luò)設(shè)施實(shí)現(xiàn)遠(yuǎn)程VPN訪問(wèn)。這種應(yīng)用類型也叫Access VPN(或訪問(wèn)型VPN)，這是基本的VPN應(yīng)用類型。不難證明，其他類型的VPN都是Access VPN的組合、延伸和擴(kuò)展。</p><p><b>　?。?）組建內(nèi)聯(lián)網(wǎng)</b></p>

21、<p>　　一個(gè)組織機(jī)構(gòu)的總部或中心網(wǎng)絡(luò)與跨地域的分支機(jī)構(gòu)網(wǎng)絡(luò)在公共通信基礎(chǔ)設(shè)施上采用的隧道技術(shù)等VPN技術(shù)構(gòu)成組織機(jī)構(gòu)“內(nèi)部”的虛擬專用網(wǎng)絡(luò)，當(dāng)其將公司所有權(quán)的VPN設(shè)備配置在各個(gè)公司網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間（即連接邊界處）時(shí)，這樣的內(nèi)聯(lián)網(wǎng)還具有管理上的自主可控、策略集中配置和分布式安全控制的安全特性。利用VPN組建的內(nèi)聯(lián)網(wǎng)也叫Intranet VPN。Intranet VPN是解決內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法

22、。</p><p><b>　?。?）組建外聯(lián)網(wǎng) </b></p><p>　　使用虛擬專用網(wǎng)絡(luò)技術(shù)在公共通信基礎(chǔ)設(shè)施上將合作伙伴和有共同利益的主機(jī)或網(wǎng)絡(luò)與內(nèi)聯(lián)網(wǎng)連接起來(lái)，根據(jù)安全策略、資源共享約定規(guī)則實(shí)施內(nèi)聯(lián)網(wǎng)內(nèi)的特定主機(jī)和網(wǎng)絡(luò)資源與外部特定的主機(jī)和網(wǎng)絡(luò)資源相互共享，這在業(yè)務(wù)機(jī)構(gòu)和具有相互協(xié)作關(guān)系的內(nèi)聯(lián)網(wǎng)之間具有廣泛的應(yīng)用價(jià)值。這樣組建的外聯(lián)網(wǎng)也叫Extranet

23、VPN。Extranet VPN是解決外聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。若外聯(lián)網(wǎng)VPN的連接和傳輸中使用了加密技術(shù)，必須解決其中的密碼分發(fā)、管理的一致性問(wèn)題。</p><p>　　2.2 VPN的設(shè)計(jì)目標(biāo)</p><p>　　在實(shí)際應(yīng)用中，一般來(lái)說(shuō)一個(gè)高效、成功的VPN應(yīng)具備以下幾個(gè)特點(diǎn)：</p><p><b>　?。?）安全保障</

24、b></p><p>　　雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接，稱之為建立一個(gè)隧道，可以利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問(wèn)題也更為突出

25、。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。Extranet VPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶，對(duì)安全性提出了更高的要求。</p><p>　?。?）服務(wù)質(zhì)量保證（QoS）</p><p>　　VPN網(wǎng)絡(luò)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。如移動(dòng)辦公用戶，提供廣泛的連接和覆蓋性是

26、保證VPN服務(wù)的一個(gè)主要因素；而對(duì)于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對(duì)于其它應(yīng)用（如視頻等）則對(duì)網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時(shí)延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實(shí)

27、時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過(guò)流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。</p><p>　?。?）可擴(kuò)充性和靈活性</p><p>　　VPN必須能夠支持通過(guò)Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足

28、同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。</p><p><b>　?。?）可管理性</b></p><p>　　從用戶角度和運(yùn)營(yíng)商的角度應(yīng)可方便地進(jìn)行管理、維護(hù)。在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無(wú)縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理

29、任務(wù)。所以，一個(gè)完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問(wèn)控制列表管理、QoS管理等內(nèi)容。</p><p>　　實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)和主要協(xié)議</p><p>　　3.1 實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)</p><p><b>　?。?）隧道

30、技術(shù)</b></p><p>　　隧道技術(shù)(Tunneling)是VPN的底層支撐技術(shù)，所謂隧道，實(shí)際上是一種封裝，就是將一種協(xié)議（協(xié)議X）封裝在另一種協(xié)議（協(xié)議Y）中傳輸，從而實(shí)現(xiàn)協(xié)議X對(duì)公用網(wǎng)絡(luò)的透明性。這里協(xié)議X被稱為被封裝協(xié)議，協(xié)議Y被稱為封裝協(xié)議，封裝時(shí)一般還要加上特定的隧道控制信息，因此隧道協(xié)議的一般形式為（（協(xié)議Y）隧道頭（協(xié)議X））。在公用網(wǎng)絡(luò)（一般指因特網(wǎng)）上傳輸過(guò)程中，只有VPN端

31、口或網(wǎng)關(guān)的IP地址暴露在外邊。</p><p>　　隧道解決了專網(wǎng)與公網(wǎng)的兼容問(wèn)題，其優(yōu)點(diǎn)是能夠隱藏發(fā)送者、接受者的IP地址以及其它協(xié)議信息。VPN采用隧道技術(shù)向用戶提供了無(wú)縫的、安全的、端到端的連接服務(wù)，以確保信息資源的安全。</p><p>　　隧道是由隧道協(xié)議形成的。隧道協(xié)議分為第二、第三層隧道協(xié)議，第二層隧道協(xié)議如L2TP、PPTP、L2F等，他們工作在OSI體系結(jié)構(gòu)的第二層（即數(shù)

32、據(jù)鏈路層）；第三層隧道協(xié)議如IPSec，GRE等，工作在OSI體系結(jié)構(gòu)的第三層（即網(wǎng)絡(luò)層）。第二層隧道和第三層隧道的本質(zhì)區(qū)別在于：用戶的IP數(shù)據(jù)包被封裝在不同的數(shù)據(jù)包中在隧道中傳輸。</p><p>　　第二層隧道協(xié)議是建立在點(diǎn)對(duì)點(diǎn)協(xié)議PPP的基礎(chǔ)上，充分利用PPP協(xié)議支持多協(xié)議的特點(diǎn)，先把各種網(wǎng)絡(luò)協(xié)議（如IP、IPX等）封裝到PPP幀中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議。PPTP和L2TP協(xié)議主要用于遠(yuǎn)程訪問(wèn)虛擬專用

33、網(wǎng)。</p><p>　　第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠網(wǎng)絡(luò)層協(xié)議進(jìn)行傳輸。無(wú)論從可擴(kuò)充性，還是安全性、可靠性方面，第三層隧道協(xié)議均優(yōu)于第二層隧道協(xié)議。IPSec即IP安全協(xié)議是目前實(shí)現(xiàn)VPN功能的最佳選擇。</p><p>　?。?）加解密認(rèn)證技術(shù)</p><p>　　加解密技術(shù)是VPN的另一核心技術(shù)。為了保證數(shù)據(jù)在傳輸過(guò)程中的

34、安全性，不被非法的用戶竊取或篡改，一般都在傳輸之前進(jìn)行加密，在接受方再對(duì)其進(jìn)行解密。</p><p>　　密碼技術(shù)是保證數(shù)據(jù)安全傳輸?shù)年P(guān)鍵技術(shù)，以密鑰為標(biāo)準(zhǔn)，可將密碼系統(tǒng)分為單鑰密碼（又稱為對(duì)稱密碼或私鑰密碼）和雙鑰密碼（又稱為非對(duì)稱密碼或公鑰密碼）。單鑰密碼的特點(diǎn)是加密和解密都使用同一個(gè)密鑰，因此，單鑰密碼體制的安全性就是密鑰的安全。其優(yōu)點(diǎn)是加解密速度快。最有影響的單鑰密碼就是美國(guó)國(guó)家標(biāo)準(zhǔn)局頒布的DES算法（5

35、6比特密鑰）。而3DES（112比特密鑰）被認(rèn)為是目前不可破譯的。雙鑰密碼體制下，加密密鑰與解密密鑰不同，加密密鑰公開，而解密密鑰保密，相比單鑰體制，其算法復(fù)雜且加密速度慢。所以現(xiàn)在的VPN大都采用單鑰的DES和3DES作為加解密的主要技術(shù)，而以公鑰和單鑰的混合加密體制(即加解密采用單鑰密碼，而密鑰傳送采用雙鑰密碼)來(lái)進(jìn)行網(wǎng)絡(luò)上密鑰交換和管理，不但可以提高了傳輸速度，還具有良好的保密功能。認(rèn)證技術(shù)可以防止來(lái)自第三方的主動(dòng)攻擊。一般用戶和

36、設(shè)備雙方在交換數(shù)據(jù)之前，先核對(duì)證書，如果準(zhǔn)確無(wú)誤，雙方才開始交換數(shù)據(jù)。用戶身份認(rèn)證最常用的技術(shù)是用戶名和密碼方式。而設(shè)備認(rèn)證則需要依賴由CA所頒發(fā)的電子證書。</p><p>　　目前主要有的認(rèn)證方式有：簡(jiǎn)單口令如質(zhì)詢握手驗(yàn)證協(xié)議CHAP和密碼身份驗(yàn)證協(xié)議PAP等；動(dòng)態(tài)口令如動(dòng)態(tài)令牌和X.509數(shù)字證書等。簡(jiǎn)單口令認(rèn)證方式的優(yōu)點(diǎn)是實(shí)施簡(jiǎn)單、技術(shù)成熟、互操作性好，且支持動(dòng)態(tài)地加載VPN設(shè)備，可擴(kuò)展性強(qiáng)。</p

37、><p><b>　?。?）密鑰管理技術(shù)</b></p><p>　　密鑰管理的主要任務(wù)就是保證在開放的網(wǎng)絡(luò)環(huán)境中安全地傳遞密鑰，而不被竊取。目前密鑰管理的協(xié)議包括ISAKMP、SKIP、MKMP等。Internet密鑰交換協(xié)議IKE是Internet安全關(guān)聯(lián)和密鑰管理協(xié)議ISAKMP語(yǔ)言來(lái)定義密鑰的交換，綜合了Oakley和SKEME的密鑰交換方案，通過(guò)協(xié)商安全策略，形

38、成各自的驗(yàn)證加密參數(shù)。IKE交換的最終目的是提供一個(gè)通過(guò)驗(yàn)證的密鑰以及建立在雙方同意基礎(chǔ)上的安全服務(wù)。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰。</p><p>　　IKE協(xié)議是目前首選的密鑰管理標(biāo)準(zhǔn)，較SKIP而言，其主要優(yōu)勢(shì)在于定義更靈活，能適應(yīng)不同的加密密鑰。IKE協(xié)議的缺點(diǎn)是它雖然提供了強(qiáng)大的主機(jī)級(jí)身份認(rèn)證，但同時(shí)卻只能支持有限的用戶級(jí)身份認(rèn)證，并且不支持非對(duì)稱的用戶認(rèn)證

39、。</p><p><b>　　（4）訪問(wèn)控制技術(shù)</b></p><p>　　虛擬專用網(wǎng)的基本功能就是不同的用戶對(duì)不同的主機(jī)或服務(wù)器的訪問(wèn)權(quán)限是不一樣的。由VPN服務(wù)的提供者與最終網(wǎng)絡(luò)信息資源的提供者共同來(lái)協(xié)商確定特定用戶對(duì)特定資源的訪問(wèn)權(quán)限，以此實(shí)現(xiàn)基于用戶的細(xì)粒度訪問(wèn)控制，以實(shí)現(xiàn)對(duì)信息資源的最大限度的保護(hù)。 </p><p>　　訪問(wèn)控制

40、策略可以細(xì)分為選擇性訪問(wèn)控制和強(qiáng)制性訪問(wèn)控制。選擇性訪問(wèn)控制是基于主體或主體所在組的身份，一般被內(nèi)置于許多操作系統(tǒng)當(dāng)中。強(qiáng)制性訪問(wèn)控制是基于被訪問(wèn)信息的敏感性。</p><p>　　3.2 VPN的主要安全協(xié)議</p><p>　　在實(shí)施信息安全的過(guò)程中，為了給通過(guò)非信任網(wǎng)絡(luò)的私有數(shù)據(jù)提供安全保護(hù)，通訊的雙方首先進(jìn)行身份認(rèn)證，這中間要經(jīng)過(guò)大量的協(xié)商，在此基礎(chǔ)上，發(fā)送方將數(shù)據(jù)加密后發(fā)出，接

41、受端先對(duì)數(shù)據(jù)進(jìn)行完整性檢查，然后解密，使用。這要求雙方事先確定要使用的加密和完整性檢查算法。由此可見，整個(gè)過(guò)程必須在雙方共同遵守的規(guī)范( 協(xié)議) 下進(jìn)行。</p><p>　　VPN區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵是隧道的建立，數(shù)據(jù)包經(jīng)過(guò)加密后，按隧道協(xié)議進(jìn)行封裝、傳送以保證安全性。一般，在數(shù)據(jù)鏈路層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層隧道協(xié)議，常用的有PPTP , L2TP 等;在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議，如IP

42、Sec。另外，SOCKSv5協(xié)議則在TCP層實(shí)現(xiàn)數(shù)據(jù)安全。</p><p>　　3.2.1　PPTP/L2TP </p><p>　　1996年，Microsoft和Ascend等在PPP 協(xié)議的基礎(chǔ)上開發(fā)了PPTP ， 它集成于Windows NT Server4.0中，Windows NT Workstation 和Windows 9.X也提供相應(yīng)的客戶端軟件。PPP支持多種網(wǎng)絡(luò)協(xié)議，

43、可把IP 、IPX、AppleTalk或NetBEUI的數(shù)據(jù)包封裝在PPP包中，再將整個(gè)報(bào)文封裝在PPTP隧道協(xié)議包中，最后，再嵌入IP報(bào)文或幀中繼或ATM中進(jìn)行傳輸。PPTP提供流量控制，減少擁塞的可能性，避免由于包丟棄而引發(fā)包重傳的數(shù)量。PPTP的加密方法采用Microsoft點(diǎn)對(duì)點(diǎn)加密(MPPE: Microsoft Point-to- Point) 算法，可以選用較弱的40位密鑰或強(qiáng)度較大的128位密鑰。1996年， Cisc

44、o提出L2F(Layer 2 Forwarding)隧道協(xié)議，它也支持多協(xié)議，但其主要用于Cisco的路由器和撥號(hào)訪問(wèn)服務(wù)器。1997年底，Microsoft 和Cisco公司把PPTP 協(xié)議和L2F協(xié)議的優(yōu)點(diǎn)結(jié)合在一起，形成了L2TP協(xié)議。L2TP支持多協(xié)議，利用公共網(wǎng)絡(luò)封裝PPP幀，可以實(shí)現(xiàn)和企業(yè)</p><p>　　PPTP/L2TP協(xié)議的優(yōu)點(diǎn): PPTP/L2TP對(duì)用微軟操作系統(tǒng)的 用戶來(lái)說(shuō)很方便，因?yàn)槲?/p>

45、軟己把它作為路由軟件的一部分。PPTP/ L2TP支持其它網(wǎng)絡(luò)協(xié)議。如NOWELL的IPX,NETBEUI和APPLETALK協(xié)議,還支持流量控制。 它通過(guò)減少丟棄包來(lái)改善網(wǎng)絡(luò)性能，這樣可減少重傳。</p><p>　　PPTP/ L2TP協(xié)議的缺點(diǎn):PM和L2TP 將不安全的IP包封裝在安全的IP包內(nèi)，它們用IP幀在兩臺(tái)計(jì)算機(jī)之間創(chuàng)建和打開數(shù)據(jù)通道，一旦通道打開，源和目的用戶身份就不再需要，這樣可能帶來(lái)問(wèn)題，它

46、不對(duì)兩個(gè)節(jié)點(diǎn)間的信息傳輸進(jìn)行監(jiān)視或控制。PPTP和L2TP限制同時(shí)最多只能連接255個(gè)用戶，端點(diǎn)用戶需要在連接前手工建立加密信道，認(rèn)證和加密受到限制，沒(méi)有強(qiáng)加密和認(rèn)證支持。</p><p>　　PPTP/ L2TP最適合于遠(yuǎn)程訪問(wèn)VPN.</p><p>　　3.2.2　IPSec協(xié)議　</p><p>　　IPSec是IETF(Internet Engineer

47、Task Force) 正在完善的安全標(biāo)準(zhǔn)，它把幾種安全技術(shù)結(jié)合在一起形成一個(gè)較為完整的體系，受到了眾多廠商的關(guān)注和支持。通過(guò)對(duì)數(shù)據(jù)加密、認(rèn)證、完整性檢查來(lái)保證數(shù)據(jù)傳輸?shù)目煽啃浴⑺接行院捅Ｃ苄?。IPSec由IP認(rèn)證頭AH(Authentication Header)、IP安全載荷封載ESP(Encapsulated Security Payload)和密鑰管理協(xié)議組成。</p><p>　　IPSec協(xié)議是一個(gè)范

48、圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議。IPSec 適應(yīng)向IPv6遷移， 它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，提供透明的安全通信。IPSec用密碼技術(shù)從三個(gè)方面來(lái)保證數(shù)據(jù)的安全。即:</p><p>　　認(rèn)證：用于對(duì)主機(jī)和端點(diǎn)進(jìn)行身份鑒別。</p><p>　　完整性檢查：用于保證數(shù)據(jù)在通過(guò)網(wǎng)絡(luò)傳輸時(shí)沒(méi)有被修改。</p><p>　　加密：加密IP地址和數(shù)據(jù)以保證私有性。&l

49、t;/p><p>　　IPSec協(xié)議可以設(shè)置成在兩種模式下運(yùn)行:一種是隧道模式，一種是傳輸模式。 在隧道模式下，IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀 中,這樣保護(hù)從一個(gè)防火墻到另一個(gè)防火墻時(shí)的安全性。在隧道模式下，信息封裝是為了保護(hù)端到端的安全性，即在這種模式下不會(huì)隱藏路由信息。隧道模式是最安全的，但會(huì)帶來(lái)較大的系統(tǒng)開銷。IPSec現(xiàn)在還不完全成熟，但它得到了一些路由器廠商和硬件廠商的大力支持。預(yù)計(jì)它今后將成

50、為虛擬專用網(wǎng)的主要標(biāo)準(zhǔn)。IPSec有擴(kuò)展能力以適應(yīng)未來(lái)商業(yè)的需要。在1997年底，IETF安全工作組完成了IPSec 的擴(kuò)展， 在IPSec協(xié)議中加上ISAKMP(Internet Security Association and Kay Management Protocol)協(xié)議，其中還包括一個(gè)密鑰分配協(xié)議Oakley。ISAKMP/Oakley支持自動(dòng)建立加密信道，密鑰的自動(dòng)安全分發(fā)和更新。IPSec也可用于連接其它層己存在的通信

51、協(xié)議，如支持安全電子交易(SET:Secure Electronic Transaction)協(xié)議和SSL（Secure Socket layer）協(xié)議。即使不用</p><p><b>　　實(shí)例分析</b></p><p>　　VPN的具體實(shí)現(xiàn)方案有很多，實(shí)際應(yīng)用中應(yīng)根據(jù)用戶的需求、用戶資源現(xiàn)狀、承載網(wǎng)絡(luò)資源現(xiàn)狀、投資效益以及相關(guān)技術(shù)比較等多種因素綜合考慮，選擇一種

52、主流的方案。在本文中就以一個(gè)中小型企業(yè)為例模擬實(shí)際環(huán)境建立一個(gè)基于ISA的企業(yè)VPN網(wǎng)絡(luò)以滿足遠(yuǎn)程辦公、分公司和合作伙伴遠(yuǎn)程訪問(wèn)的要求。這個(gè)實(shí)驗(yàn)在理論的指導(dǎo)下實(shí)現(xiàn)了一種VPN的實(shí)際應(yīng)用，為中小企業(yè)設(shè)計(jì)VPN網(wǎng)絡(luò)提供參考和借鑒。</p><p><b>　　4.1 需求分析</b></p><p>　　隨著公司的發(fā)展壯大，廈門某公司在上海開辦了分公司來(lái)進(jìn)一步發(fā)展業(yè)務(wù)，

53、公司希望總部和分公司、總部與合作伙伴可以隨時(shí)的進(jìn)行安全的信息溝通，而外出辦公人員可以訪問(wèn)到企業(yè)內(nèi)部關(guān)鍵數(shù)據(jù)，隨時(shí)隨地共享商業(yè)信息，提高工作效率。一些大型跨國(guó)公司解決這個(gè)問(wèn)題的方法，就是在各個(gè)公司之間租用運(yùn)營(yíng)商的專用線路。這個(gè)辦法雖然能解決問(wèn)題，但是費(fèi)用昂貴，對(duì)于中小企業(yè)來(lái)說(shuō)是無(wú)法負(fù)擔(dān)的，而VPN技術(shù)能解決這個(gè)問(wèn)題。根據(jù)該公司用戶的需求，遵循著方便實(shí)用、高效低成本、安全可靠、網(wǎng)絡(luò)架構(gòu)彈性大等相關(guān)原則決定采用ISA Server VPN安全

54、方案，以ISA作為網(wǎng)絡(luò)訪問(wèn)的安全控制。ISA Server集成了Windows server VPN服務(wù)，提供一個(gè)完善的防火墻和VPN解決方案。以 ISA VPN作為連接Internet的安全網(wǎng)關(guān)，并使用雙網(wǎng)卡，隔開內(nèi)外網(wǎng)，增加網(wǎng)絡(luò)安全性。ISA具備了基于策略的安全性，并且能夠加速和管理對(duì)Internet的訪問(wèn)。防火墻能對(duì)數(shù)據(jù)包層、鏈路層和應(yīng)用層進(jìn)行數(shù)據(jù)過(guò)濾、對(duì)穿過(guò)防火墻的數(shù)據(jù)進(jìn)行狀態(tài)檢查、對(duì)訪問(wèn)策略進(jìn)行控制并對(duì)網(wǎng)絡(luò)通信進(jìn)行路由。對(duì)于

55、各種規(guī)模的企業(yè)來(lái)說(shuō)，ISA Server 都可以增強(qiáng)網(wǎng)</p><p>　　在ISA中可以使用以下三種協(xié)議來(lái)建立VPN連接： </p><p>　　?IPSEC隧道模式； </p><p>　　?L2TP over IPSec模式； </p><p><b>　　?PPTP； </b></p><p&

56、gt;　　下表比較了這三種協(xié)議： </p><p>　　表4-1 ISA中三種協(xié)議對(duì)比表</p><p>　　三個(gè)站點(diǎn)都采用ISA VPN作為安全網(wǎng)關(guān)，且L2TP over IPSec結(jié)合了L2TP 和 IPSec的優(yōu)點(diǎn)，所以在這里采用L2TP over IPSec作為VPN實(shí)施方案。</p><p>　　4.2 方案達(dá)到的目的</p><p

57、>　　廈門總部和分公司之間以及廈門總部和合作伙伴之間透過(guò)VPN聯(lián)機(jī)采用IPSec協(xié)定，確保傳輸數(shù)據(jù)的安全；</p><p>　　在外出差或想要連回總部或分公司的用戶也可使用IPSec方式連回企業(yè)網(wǎng)路；</p><p>　　對(duì)總部?jī)?nèi)網(wǎng)實(shí)施上網(wǎng)的訪問(wèn)控制，通過(guò)VPN設(shè)備的訪問(wèn)控制策略，對(duì)訪問(wèn)的PC進(jìn)行嚴(yán)格的訪問(wèn)控制。</p><p>　　對(duì)外網(wǎng)可以抵御黑客的入侵，

58、起到Firewall作用。具有控制和限制的安全機(jī)制和措施，具備防火墻和抗攻擊等功能；</p><p>　　部署靈活，維護(hù)方便，提供強(qiáng)大的管理功能，以減少系統(tǒng)的維護(hù)量以適應(yīng)大規(guī)模組網(wǎng)需要。</p><p>　　4.3 VPN組建方案網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　圖4-1 VPN組建網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　各部分VPN設(shè)備的配置<

59、;/p><p>　　公司總部和分支機(jī)構(gòu)之間與公司總部和合作伙伴之間的VPN通信，都是站點(diǎn)對(duì)站點(diǎn)的方式，只是權(quán)限設(shè)置不一樣，公司總部和分支機(jī)構(gòu)要實(shí)現(xiàn)的公司分支機(jī)構(gòu)共享總部的資源，公司總部和合作伙伴要實(shí)現(xiàn)是資源共享和互訪。兩者之間的差別是合作伙伴的VPN接入上設(shè)置了可以總部可以訪問(wèn)的操作。因?yàn)槿齻€(gè)站點(diǎn)都采用ISA VPN作為安全網(wǎng)關(guān)，所以以下站點(diǎn)對(duì)站點(diǎn)的VPN配置就以公司總部到分支機(jī)構(gòu)為例，說(shuō)明在ISA上實(shí)現(xiàn)VPN的具體

60、操作。</p><p><b>　　模擬基本拓?fù)鋱D：</b></p><p>　　圖5-1 實(shí)驗(yàn)?zāi)M網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　5.1 公司總部到分支機(jī)構(gòu)的ISA VPN配置</p><p>　　各主機(jī)的TCP/IP為： </p><p><b>　　廈門總部</b>&

61、lt;/p><p><b>　　外部網(wǎng)絡(luò)： </b></p><p>　　IP：192.168.1.1</p><p>　　DG：192.168.1.1</p><p><b>　　內(nèi)部網(wǎng)絡(luò)： </b></p><p>　　IP：172.16.192.167</p>

62、<p><b>　　DG：None </b></p><p><b>　　分部</b></p><p><b>　　外部網(wǎng)絡(luò)： </b></p><p>　　IP：192.168.1.2</p><p>　　DG：192.168.1.1</p><

63、;p><b>　　內(nèi)部網(wǎng)絡(luò)： </b></p><p>　　IP:192.168.3.1</p><p><b>　　DG：None </b></p><p>　　在總部和支部之間建立一個(gè)基于IPSec的站點(diǎn)到站點(diǎn)的VPN連接，由支部向總部進(jìn)行請(qǐng)求撥號(hào)，具體步驟如下： </p><p>　　在

64、總部ISA服務(wù)器上建立遠(yuǎn)程站點(diǎn)； </p><p>　　建立此遠(yuǎn)程站點(diǎn)的網(wǎng)絡(luò)規(guī)則； </p><p>　　建立此遠(yuǎn)程站點(diǎn)的訪問(wèn)規(guī)則； </p><p>　　在總部為遠(yuǎn)程站點(diǎn)的撥入建立用戶；</p><p>　　在支部ISA服務(wù)器上建立遠(yuǎn)程站點(diǎn)； </p><p>　　建立此遠(yuǎn)程站點(diǎn)的網(wǎng)絡(luò)規(guī)則； </p>

65、<p>　　建立此遠(yuǎn)程站點(diǎn)的訪問(wèn)規(guī)則； </p><p><b>　　測(cè)試VPN連接； </b></p><p>　　5.1.1 總部ISA VPN配置</p><p>　　1、在總部ISA服務(wù)器上建立遠(yuǎn)程分支機(jī)構(gòu)站點(diǎn) </p><p>　　打開ISA Server 2004控制臺(tái)，點(diǎn)擊虛擬專用網(wǎng)絡(luò)，點(diǎn)擊右

66、邊任務(wù)面板中的添加遠(yuǎn)程站點(diǎn)網(wǎng)絡(luò)；</p><p>　　在歡迎使用網(wǎng)絡(luò)創(chuàng)建向?qū)ы?yè)，輸入遠(yuǎn)程站點(diǎn)的名字Branch，點(diǎn)擊下一步； </p><p>　　在VPN協(xié)議頁(yè)，選擇IPSec上的第二層隧道協(xié)議（L2TP），點(diǎn)擊下一步； </p><p>　　在遠(yuǎn)程站點(diǎn)網(wǎng)關(guān)頁(yè)，輸入遠(yuǎn)程VPN服務(wù)器的名稱或IP地址，如果輸入名稱，需確?？梢哉_解析，在這里輸入192.168.1.2

67、點(diǎn)擊下一步； </p><p>　　在網(wǎng)絡(luò)地址頁(yè)，點(diǎn)擊添加輸入與此網(wǎng)卡關(guān)聯(lián)的IP地址范圍，在此輸入192.168.3.0和192.168.3.255，點(diǎn)擊確定后，點(diǎn)擊下一步繼續(xù)； </p><p>　　在正在完成新建網(wǎng)絡(luò)向?qū)ы?yè)，點(diǎn)擊完成。 </p><p>　　圖5-2 總部建立的遠(yuǎn)程站點(diǎn)圖</p><p>　　打開VPN客戶端，點(diǎn)擊配置VP

68、N客戶端訪問(wèn)，在常規(guī)頁(yè)中，選擇啟用VPN客戶端訪問(wèn)，填入允許的最大VPN客戶端數(shù)量20，在協(xié)議頁(yè)，選擇啟用PPTP（N）和啟用L2TP/IPSEC（E）點(diǎn)擊確定。</p><p>　　點(diǎn)擊選擇身份驗(yàn)證方法，選擇Microsoft加密的身份驗(yàn)證版本2（MS-CHAPv2）（M）和允許L2TP連接自定義IPSec策略（L）,輸入預(yù)共享的密鑰main04jsja.</p><p>　　點(diǎn)擊定義地

69、址分配，在地址分配頁(yè)，選擇靜態(tài)地址池，點(diǎn)擊添加，添加VPN連接后總部主機(jī)分配的給客戶端的IP地址段，在這里輸入210.34.212.0-210.34.212.255，點(diǎn)擊確定完成設(shè)置。（方便測(cè)試連接，可不添加）</p><p>　　2、在總部上建立此遠(yuǎn)程站點(diǎn)的網(wǎng)絡(luò)規(guī)則 </p><p>　　接下來(lái)，我們需要建立一條網(wǎng)絡(luò)規(guī)則，為遠(yuǎn)程站點(diǎn)和內(nèi)部網(wǎng)絡(luò)間的訪問(wèn)定義路由關(guān)系。</p>

70、<p>　　右鍵點(diǎn)擊配置下的網(wǎng)絡(luò)，然后點(diǎn)擊新建，選擇網(wǎng)絡(luò)規(guī)則； </p><p>　　在新建網(wǎng)絡(luò)規(guī)則向?qū)ы?yè)，輸入規(guī)則名字，在此命名為Internal to Branch，點(diǎn)擊下一步;</p><p>　　在網(wǎng)絡(luò)通訊源頁(yè)，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的內(nèi)部，點(diǎn)擊下一步； </p><p>　　在網(wǎng)絡(luò)通訊目標(biāo)頁(yè)，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的Branch，點(diǎn)擊下一步；

71、 </p><p>　　在網(wǎng)絡(luò)關(guān)系頁(yè)，選擇路由，然后點(diǎn)擊下一步； </p><p>　　在正在完成新建網(wǎng)絡(luò)規(guī)則向?qū)ы?yè)，點(diǎn)擊完成； </p><p>　　圖5-3 總部網(wǎng)絡(luò)規(guī)則圖</p><p>　　3、在總部上建立此遠(yuǎn)程站點(diǎn)的訪問(wèn)規(guī)則 </p><p>　　現(xiàn)在，我們需要為遠(yuǎn)程站點(diǎn)和內(nèi)部網(wǎng)絡(luò)間的互訪建立訪問(wèn)規(guī)則，<

72、;/p><p>　　右鍵點(diǎn)擊防火墻策略，選擇新建，點(diǎn)擊訪問(wèn)規(guī)則； </p><p>　　在歡迎使用新建訪問(wèn)規(guī)則向?qū)ы?yè)，輸入規(guī)則名稱，在此命名為main to branch，點(diǎn)擊下一步； </p><p>　　在規(guī)則操作頁(yè)，選擇允許，點(diǎn)擊下一步； </p><p>　　在協(xié)議頁(yè)，選擇所選的協(xié)議，然后添加HTTP和Ping，(這里可以再根據(jù)實(shí)際需要添

73、加協(xié)議)點(diǎn)擊下一步； </p><p>　　在訪問(wèn)規(guī)則源頁(yè)，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的Branch和內(nèi)部，點(diǎn)擊下一步； </p><p>　　在訪問(wèn)規(guī)則目標(biāo)頁(yè)，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的Branch和內(nèi)部，點(diǎn)擊下一步；</p><p>　　在用戶集頁(yè)，接受默認(rèn)的所有用戶，點(diǎn)擊下一步；在正在完成新建訪問(wèn)規(guī)則向?qū)ы?yè)，點(diǎn)擊完成； </p><p>

74、　　最后，點(diǎn)擊應(yīng)用以保存修改和更新防火墻設(shè)置。 此時(shí)在警報(bào)里面有提示，需要重啟ISA服務(wù)器，所以，我們需要重啟ISA計(jì)算機(jī)。</p><p>　　圖5-4 總部訪問(wèn)控制圖</p><p>　　4、在總部上為遠(yuǎn)程站點(diǎn)的撥入建立用戶 </p><p>　　在重啟總部ISA服務(wù)器后，以管理員身份登錄，</p><p>　　在我的電腦上點(diǎn)擊右鍵，選

75、擇管理，選擇在本地用戶和組里面，右擊用戶，選擇新用戶，這個(gè)VPN撥入用戶的名字一定要和遠(yuǎn)程站點(diǎn)的名字一致，在此是main，輸入密碼main，選中用戶不能修改密碼和密碼永不過(guò)期，取消勾選用戶必須在下次登錄時(shí)修改密碼，點(diǎn)擊創(chuàng)建； </p><p>　　右擊此用戶，選擇屬性；在用戶屬性的撥入標(biāo)簽，選擇允許訪問(wèn)，點(diǎn)擊確定。</p><p>　　圖5-5 總部用戶創(chuàng)建圖</p><

76、;p>　　此時(shí)，遠(yuǎn)程客戶端撥入總部的用戶賬號(hào)就建好了。</p><p>　　5.1.2 支部 ISA VPN配置</p><p>　　1、在支部ISA服務(wù)器上添加遠(yuǎn)程站點(diǎn)</p><p>　　打開ISA Server 2004控制臺(tái)，點(diǎn)擊虛擬專用網(wǎng)絡(luò)，點(diǎn)擊右邊任務(wù)面板中的添加遠(yuǎn)程站點(diǎn)網(wǎng)絡(luò)；</p><p>　　在歡迎使用網(wǎng)絡(luò)創(chuàng)建向?qū)?/p>

77、頁(yè)，輸入遠(yuǎn)程站點(diǎn)的名字Main，點(diǎn)擊下一步； </p><p>　　在VPN協(xié)議頁(yè)，選擇IPSec上的第二層隧道協(xié)議（L2TP），點(diǎn)擊下一步； </p><p>　　在遠(yuǎn)程站點(diǎn)網(wǎng)關(guān)頁(yè)，輸入遠(yuǎn)程VPN服務(wù)器的名稱或IP地址，如果輸入名稱，需確保可以正確解析，在這里輸入192.168.1.1，點(diǎn)擊下一步； </p><p>　　在遠(yuǎn)程身份驗(yàn)證頁(yè)，輸入用戶名main，輸入

78、密碼main，點(diǎn)擊下一步繼續(xù)； </p><p>　　在網(wǎng)絡(luò)地址頁(yè)，點(diǎn)擊添加輸入與此網(wǎng)卡關(guān)聯(lián)的IP地址范圍，在此輸入192.168.3.0和192.168.3.255，點(diǎn)擊確定后，點(diǎn)擊下一步繼續(xù)； </p><p>　　在正在完成新建網(wǎng)絡(luò)向?qū)ы?yè)，點(diǎn)擊完成。 </p><p>　　圖5-6 支部建立的遠(yuǎn)程站點(diǎn)圖</p><p>　　2、建立此遠(yuǎn)

79、程站點(diǎn)的網(wǎng)絡(luò)規(guī)則 接下來(lái)，我們需要建立一條網(wǎng)絡(luò)規(guī)則，為遠(yuǎn)程站點(diǎn)和內(nèi)部網(wǎng)絡(luò)間的訪問(wèn)定義路由關(guān)系。</p><p>　　右擊配置下的網(wǎng)絡(luò)，然后點(diǎn)擊新建，選擇網(wǎng)絡(luò)規(guī)則；</p><p>　　在新建網(wǎng)絡(luò)規(guī)則向?qū)ы?yè)，輸入規(guī)則名字，在此我命名為內(nèi)部->Main，點(diǎn)擊下一步；</p><p>　　在網(wǎng)絡(luò)通訊源頁(yè)，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的內(nèi)部，點(diǎn)擊下一步；</p&g

80、t;<p>　　在網(wǎng)絡(luò)通訊目標(biāo)頁(yè)，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的Main，點(diǎn)擊下一步；</p><p>　　在網(wǎng)絡(luò)關(guān)系頁(yè)，選擇路由，然后點(diǎn)擊下一步；</p><p>　　在正在完成新建網(wǎng)絡(luò)規(guī)則向?qū)ы?yè)，點(diǎn)擊完成；</p><p>　　圖5-7 支部的網(wǎng)絡(luò)規(guī)則圖</p><p>　　3、建立此遠(yuǎn)程站點(diǎn)的訪問(wèn)規(guī)則 </p>

81、<p>　　在創(chuàng)建完遠(yuǎn)程站點(diǎn)和遠(yuǎn)程站點(diǎn)的網(wǎng)絡(luò)規(guī)則之后，我們需要為遠(yuǎn)程站點(diǎn)和內(nèi)部網(wǎng)絡(luò)間的互訪建立訪問(wèn)規(guī)則，</p><p>　　右擊防火墻策略，選擇新建，點(diǎn)擊訪問(wèn)規(guī)則；</p><p>　　在歡迎使用新建訪問(wèn)規(guī)則向?qū)ы?yè)，輸入規(guī)則名稱，在此我命名為branch to main ，點(diǎn)擊下一步；</p><p>　　在規(guī)則操作頁(yè)，選擇允許，點(diǎn)擊下一步；</p

82、><p>　　在協(xié)議頁(yè)，選擇所選的協(xié)議，然后添加HTTP和Ping，點(diǎn)擊下一步；</p><p>　　在訪問(wèn)規(guī)則源頁(yè)，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的Main和內(nèi)部，點(diǎn)擊下一步；</p><p>　　在訪問(wèn)規(guī)則目標(biāo)頁(yè)，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的Main和內(nèi)部，點(diǎn)擊下一步；</p><p>　　在用戶集頁(yè)，接受默認(rèn)的所有用戶，點(diǎn)擊下一步；在正在完成新建訪

83、問(wèn)規(guī)則向?qū)ы?yè)，點(diǎn)擊完成；</p><p>　　最后，點(diǎn)擊應(yīng)用以保存修改和更新防火墻設(shè)置。</p><p>　　圖5-8 支部的訪問(wèn)控制圖</p><p>　　此時(shí)在警報(bào)里面有提示，需要重啟ISA服務(wù)器，所以，我們需要重啟支部ISA計(jì)算機(jī)。</p><p>　　5.1.3 VPN連接</p><p>　　在支部的路由和

84、遠(yuǎn)程訪問(wèn)控制臺(tái)中，展開服務(wù)器，</p><p>　　點(diǎn)擊網(wǎng)絡(luò)接口，這時(shí)就會(huì)出現(xiàn)我們創(chuàng)建的main網(wǎng)絡(luò)撥號(hào)接口，右鍵點(diǎn)擊屬性，在安全頁(yè)選擇高級(jí)設(shè)置下的IPSec設(shè)置，在使用預(yù)共享的密鑰作身份驗(yàn)證（U）的選框里打勾，并輸入密鑰main04jsja, 點(diǎn)擊兩次確定，完成密鑰設(shè)置。</p><p>　　右鍵點(diǎn)擊設(shè)置憑據(jù)，在接口憑據(jù)頁(yè)，輸入此接口連接到遠(yuǎn)程路由器使用的憑據(jù)，因?yàn)樵谶h(yuǎn)程ISA端我們?cè)O(shè)置

85、為main 所以這里輸入的用戶密碼為main，點(diǎn)擊確定。</p><p>　　圖5-9 連接驗(yàn)證圖</p><p>　　右鍵main點(diǎn)擊連接</p><p>　　圖5-10 正在進(jìn)行連接示意圖</p><p>　　圖5-11 已連接上示意圖</p><p>　　到此為止站點(diǎn)到站點(diǎn)的VPN已經(jīng)構(gòu)建好了，在上面的設(shè)置中，遠(yuǎn)

86、程的支部不允許總部進(jìn)行訪問(wèn)，如果要設(shè)成可以互相訪問(wèn)，支部的配置只要參照總部的配置就可以實(shí)現(xiàn)了。</p><p>　　5.1.4 連接測(cè)試</p><p>　　我們之前在靜態(tài)地址池里設(shè)置了VPN連接后分配的IP地址，因此測(cè)試是否連接時(shí)只要查支部主機(jī)的IP地址就可以了，在測(cè)試的結(jié)果中，出現(xiàn)了210.34.212.2這個(gè)VPN分配的IP地址，說(shuō)明VPN已成功連接上總部的ISA VPN服務(wù)器。&

87、lt;/p><p>　　圖5-12 支部主機(jī)VPN連接后的ipconfig圖</p><p>　　在支部的主機(jī)上ping總部?jī)?nèi)部的某一主機(jī)，如下所示，雖然第一次連接時(shí)間超時(shí)，沒(méi)有回應(yīng)，但是接下來(lái)的三個(gè)連接都可以ping通，說(shuō)明VPN已經(jīng)成功連接，并可以訪問(wèn)到總部?jī)?nèi)網(wǎng)的其他主機(jī)。</p><p>　　圖5-13 支部PING通總部?jī)?nèi)部網(wǎng)絡(luò)圖</p><

88、p>　　5.2 公司總部站點(diǎn)到移動(dòng)用戶端的VPN配置</p><p><b>　　總部</b></p><p><b>　　外部網(wǎng)絡(luò)： </b></p><p>　　IP：192.168.1.1</p><p>　　DG：192.168.1.1</p><p><

89、;b>　　內(nèi)部網(wǎng)絡(luò)： </b></p><p>　　IP：172.16.192.167</p><p><b>　　DG：None </b></p><p><b>　　移動(dòng)用戶</b></p><p>　　IP：192.168.1.3</p><p>　　

90、在總部和移動(dòng)用戶之間建立一個(gè)基于IPSec的VPN連接，具體步驟如下： </p><p>　　在總部ISA服務(wù)器上建立網(wǎng)絡(luò)規(guī)則 </p><p>　　建立此遠(yuǎn)程站點(diǎn)的訪問(wèn)規(guī)則； </p><p>　　在總部為遠(yuǎn)程站點(diǎn)的撥入建立用戶；</p><p>　　在客戶端建立撥號(hào)連接</p><p><b>　　測(cè)試V

91、PN連接； </b></p><p>　　5.2.1 總部ISA VPN配置</p><p>　　1、創(chuàng)建遠(yuǎn)程訪問(wèn)移動(dòng)客戶端</p><p>　　打開ISA Server 2004控制臺(tái)，點(diǎn)擊虛擬專用網(wǎng)絡(luò)，點(diǎn)擊右邊任務(wù)面板中常規(guī)VPN配置中的選擇訪問(wèn)網(wǎng)絡(luò)</p><p>　　在虛擬專用網(wǎng)絡(luò)（VPN）屬性頁(yè) 選擇訪問(wèn)網(wǎng)絡(luò),選中外

92、部和所有網(wǎng)絡(luò)（和本地主機(jī)）</p><p>　　選擇地址分配頁(yè)，這里需要在靜態(tài)地址池里面添加分給VPN撥入用戶的IP地址，因?yàn)樵谡军c(diǎn)對(duì)站點(diǎn)的設(shè)置里已經(jīng)配置過(guò)，所以這里直接點(diǎn)確定點(diǎn)擊確定；</p><p>　　點(diǎn)擊VPN客戶端任務(wù)里的配置VPN客戶端訪問(wèn)選項(xiàng)，點(diǎn)擊啟用VPN客戶端訪問(wèn)，設(shè)置允許的最大VPN客戶端數(shù)量20。</p><p>　　點(diǎn)擊協(xié)議選項(xiàng)，選擇啟用PP

93、TP（N）和啟用L2TP/IPSEC（E）點(diǎn)擊確定。</p><p>　　2、創(chuàng)建移動(dòng)客戶端的訪問(wèn)規(guī)則</p><p>　　現(xiàn)在，我們需要為遠(yuǎn)程站點(diǎn)和內(nèi)部網(wǎng)絡(luò)間的互訪建立訪問(wèn)規(guī)則，</p><p>　　右鍵點(diǎn)擊防火墻策略，在任務(wù)面板上選擇創(chuàng)建新的訪問(wèn)規(guī)則；</p><p>　　在歡迎使用新建訪問(wèn)規(guī)則向?qū)ы?yè)，輸入規(guī)則名稱Allow move V

94、PN，點(diǎn)擊下一步；</p><p>　　在規(guī)則操作頁(yè)，選擇允許，點(diǎn)擊下一步；</p><p>　　在協(xié)議頁(yè)，選擇所選的協(xié)議，然后添加HTTP 和PING，點(diǎn)擊下一步；</p><p>　　在訪問(wèn)規(guī)則源頁(yè)，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的外部，點(diǎn)擊下一步；</p><p>　　在訪問(wèn)規(guī)則目標(biāo)頁(yè)，點(diǎn)擊添加，選擇網(wǎng)絡(luò)集目錄下的所有網(wǎng)絡(luò)（和本地主機(jī)），點(diǎn)擊

95、下一步；</p><p>　　在用戶集頁(yè)，接受默認(rèn)的所有用戶，點(diǎn)擊下一步；在正在完成新建訪問(wèn)規(guī)則向?qū)ы?yè)，點(diǎn)擊完成；</p><p>　　最后，點(diǎn)擊應(yīng)用以保存修改和更新防火墻設(shè)置。</p><p>　　圖5-14 總部移動(dòng)用戶訪問(wèn)控制圖</p><p>　　3、在總部上為移動(dòng)用戶創(chuàng)建撥入建立帳號(hào)</p><p>　　在重

96、啟總部ISA服務(wù)器后，以管理員身份登錄，</p><p>　　在我的電腦上點(diǎn)擊右鍵，選擇管理，選擇在本地用戶和組里面，右擊用戶，選擇新用戶，輸入用戶名movevpn，輸入密碼movevpn，選擇用戶必須在下次登錄時(shí)修改密碼，點(diǎn)擊創(chuàng)建； </p><p>　　右擊此用戶，選擇屬性；在用戶屬性的撥入標(biāo)簽，選擇允許訪問(wèn)，點(diǎn)擊確定。</p><p>　　圖5-15 總部移動(dòng)

97、用戶創(chuàng)建圖</p><p>　　5.2.2 移動(dòng)用戶端VPN配置</p><p>　　1、VPN 客戶端的配置</p><p>　　點(diǎn)擊 開始->所有程序->附件->通訊->新建連接向?qū)?lt;/p><p>　　在新建連接向?qū)ы?yè)，點(diǎn)擊下一步</p><p>　　在網(wǎng)絡(luò)連接類型頁(yè)，選擇連接到我的工

98、作場(chǎng)所的網(wǎng)絡(luò)點(diǎn)擊下一步</p><p>　　在網(wǎng)絡(luò)連接頁(yè)，選擇虛擬專用網(wǎng)連接點(diǎn)擊下一步</p><p>　　在連接名頁(yè)面，輸入連接的名稱，如“XMUT”，點(diǎn)擊下一步</p><p>　　在公用網(wǎng)絡(luò)頁(yè)，選擇不撥初始連接，點(diǎn)擊下一步</p><p>　　在VPN服務(wù)器選擇頁(yè)，輸入主機(jī)名或IP地址192.168.1.1, 點(diǎn)擊下一步</p&g

99、t;<p>　　在可用連接頁(yè)，根據(jù)需要進(jìn)行選擇，然后單擊下一步按鈕繼續(xù)。 </p><p>　　在完成網(wǎng)絡(luò)連接向?qū)ы?yè)，勾選中在我的桌面添加快捷方式復(fù)選框，然后單擊完成按鈕。</p><p>　　2、設(shè)置XUMT的連接屬性</p><p>　　右鍵XMUT連接，點(diǎn)擊屬性，在安全頁(yè)選擇高級(jí)設(shè)置下的IPSEC設(shè)置，在使用預(yù)共享的密鑰作身份驗(yàn)證（U）的選框里打

100、勾，并輸入密鑰main04jsja, 點(diǎn)擊兩次確定。</p><p>　　到此為止，站點(diǎn)對(duì)站點(diǎn)的VPN和站點(diǎn)對(duì)客戶端的VPN已經(jīng)都建立好了，具體的訪問(wèn)控制和網(wǎng)絡(luò)規(guī)則都可以隨實(shí)際的應(yīng)用而更改。</p><p>　　5.2.3 連接測(cè)試</p><p>　　在VPN客戶端主機(jī)上輸入ipconfig,得到一個(gè)靜態(tài)地址210.34.212.4，說(shuō)明已連接成功。</p

101、><p>　　圖5-16 移動(dòng)用戶VPN連接后ipconfig圖</p><p><b>　　致謝</b></p><p>　　隨著論文的完成，近四年的大學(xué)生活也即將宣告結(jié)束了。我將銘記曾經(jīng)直接或間接為本論文做出貢獻(xiàn)和給予我指導(dǎo)和支持的老師們。</p><p>　　最后，非常感謝計(jì)算機(jī)科學(xué)與技術(shù)系的所有老師四年來(lái)對(duì)我的辛勤培

102、育和熱心關(guān)懷。感謝在一起學(xué)習(xí)一起生活的同學(xué)。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1]高海英，薛元星，辛陽(yáng) .VPN技術(shù) .第一版.北京.機(jī)械工業(yè)出版社.2004.1-2</p><p>　　[2]Steven Brown著. 董小宇，魏鴻，馬潔譯.構(gòu)建虛擬專用網(wǎng).第一版.北京.人民郵電出版社.2000.4-5&

103、lt;/p><p>　　[3]戴宗坤，唐三平.VPN與網(wǎng)絡(luò)安全.第一版.北京.電子工業(yè)出版社.2002.</p><p>　　[4]邱亮，金悅.ISA配置與管理.第一版.北京.清華大學(xué)出版社.2002.</p><p>　　[5]李思齊.服務(wù)器配置全攻略.第一版.北京.清華大學(xué)出版社.2006.</p><p>　　[6]王達(dá)等.虛擬專用網(wǎng)（VP

104、N）精解.北京.清華大學(xué)出版社.2004.</p><p>　　[7]Carlton R. Davis 著.周永彬，馮登國(guó)等譯.IPSEC:VPN的安全實(shí)施.北京.清華大學(xué)出版社.2001</p><p>　　[8]科教工作室.局域網(wǎng)組建與維護(hù).第一版.北京.清華大學(xué)出版社.2008.</p><p>　　[9]李文俊等.網(wǎng)絡(luò)硬件搭建與配置實(shí)踐.第一版.北京.電子工