虛擬專用網(wǎng)技術(shù)研究與實(shí)現(xiàn)畢業(yè)設(shè)計(jì)

1、<p>　　虛擬專用網(wǎng)技術(shù)研究與實(shí)現(xiàn)</p><p>　　作 者 ***</p><p><b>　　指導(dǎo)教師 ***</b></p><p>　　摘要隨著Internet日新月益的發(fā)展，對(duì)信息基礎(chǔ)設(shè)施的要求越來(lái)越高，虛擬專用網(wǎng)技術(shù)顯得格外重要。本文首先介紹了虛擬專用網(wǎng)技術(shù)定義和研究意義，接著介紹了虛擬專用網(wǎng)技術(shù)的關(guān)鍵技術(shù)（

2、包括隧道技術(shù)、加解密認(rèn)證技術(shù)等）以及實(shí)現(xiàn)虛擬專用網(wǎng)技術(shù)的主要協(xié)議如PPTP/L2TP協(xié)議、IPSet協(xié)議等的進(jìn)行研究分析，最后從中選取一種虛擬專用網(wǎng)技術(shù)進(jìn)行實(shí)現(xiàn)。</p><p>　　關(guān)鍵詞：虛擬專用網(wǎng);隧道技術(shù); L2TP;IPSet</p><p><b>　　目 錄</b></p><p><b>　　引言2</b&

3、gt;</p><p>　　1 VPN的概述3</p><p>　　1.1 VPN的發(fā)生背景3</p><p>　　1.2 VPN的定義3</p><p>　　1.3VPN的工作原理4</p><p>　　2 VPN的應(yīng)用領(lǐng)域和設(shè)計(jì)目標(biāo)5</p><p>　　2.1 VPN的主要應(yīng)

4、用領(lǐng)域5</p><p>　　2.2 VPN的設(shè)計(jì)目標(biāo)5</p><p><b>　　3 隧道技術(shù)6</b></p><p>　　3.1 隧道技術(shù)的概述6</p><p>　　3.2 隧道協(xié)議7</p><p>　　3.2.1 隧道協(xié)議的分類7</p><p>

5、;　　3.2.2 不同隧道協(xié)議優(yōu)缺點(diǎn)10</p><p>　　4 加密技術(shù)以及其它技術(shù)11</p><p>　　4.1 實(shí)現(xiàn)VPN的加密技術(shù)11</p><p>　　4.1.1 認(rèn)證技術(shù)11</p><p>　　4.1.2 加密技術(shù)11</p><p>　　4.1.3 密鑰交換和管理12</p>

6、;<p>　　4.2 QoS技術(shù)12</p><p>　　5 VPN的實(shí)現(xiàn)13</p><p>　　5.1 拓?fù)浣Y(jié)構(gòu)13</p><p>　　5.2 主要實(shí)驗(yàn)步驟13</p><p>　　5.3測(cè)試結(jié)果16</p><p><b>　　結(jié)論17</b></p>

7、;<p><b>　　致謝18</b></p><p><b>　　參考文獻(xiàn)19</b></p><p><b>　　引言</b></p><p>　　隨著Internet和電子商務(wù)行業(yè)的蓬勃發(fā)展，越來(lái)越多的用戶認(rèn)識(shí)到，Internet帶來(lái)極大的經(jīng)濟(jì)效益的同時(shí)也存在著一定的不安全分子

8、，如非法訪問(wèn)和攻擊，竊聽和篡改。由此年來(lái)網(wǎng)絡(luò)通信安全的重要極為重要。</p><p>　　VPN是企業(yè)內(nèi)部網(wǎng)在因特網(wǎng)上的延伸，能過(guò)一個(gè)私用的通道來(lái)建立一個(gè)安全的私有連接，將運(yùn)程用戶、公司分支機(jī)構(gòu)、公司的業(yè)務(wù)伙伴等跟公司的內(nèi)部網(wǎng)連接起來(lái)，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)，通過(guò)虛擬專用網(wǎng)絡(luò)既實(shí)現(xiàn)了傳統(tǒng)專用網(wǎng)絡(luò)所需的性能，同時(shí)相對(duì)于傳統(tǒng)的專用網(wǎng)絡(luò)的運(yùn)營(yíng)成本。對(duì)VPN技術(shù)的實(shí)現(xiàn)方法進(jìn)行比較研究，可以充分發(fā)揮其優(yōu)勢(shì)，為企業(yè)的現(xiàn)代化

9、管理與經(jīng)營(yíng)服務(wù)。</p><p>　　VPN的最終目的是服務(wù)于企業(yè)，為企業(yè)帶來(lái)可觀的經(jīng)濟(jì)效益，為現(xiàn)代企業(yè)的信息交換提供一個(gè)安全的、可靠的網(wǎng)絡(luò)信息傳輸和管理平臺(tái)。隨著骨干網(wǎng)絡(luò)帶寬十倍、百倍提升，以及ADSL等寬帶接入方式的普及，Internet已經(jīng)成為了一個(gè)極為重要的信息傳輸載體，而用戶的注意力也同原來(lái)的關(guān)注網(wǎng)絡(luò)的穩(wěn)定性、可用性逐漸集中到聯(lián)網(wǎng)方案的易用性和安全性上來(lái)。VPN技術(shù)的發(fā)展與成熟，可為企業(yè)的商業(yè)運(yùn)行提供一

10、個(gè)無(wú)處不在的、安全的、可靠的的數(shù)據(jù)傳輸網(wǎng)絡(luò)。</p><p>　　本文主要介紹了VPN的隧道技術(shù)、加密技術(shù)以及選取其中一種方法進(jìn)行VPN技術(shù)的實(shí)現(xiàn)。從而對(duì)VPN技術(shù)有更進(jìn)一步的了解。</p><p><b>　　1 VPN的概述</b></p><p>　　1.1 VPN的發(fā)生背景</p><p>　　在經(jīng)濟(jì)全球化的今

11、天，隨著網(wǎng)絡(luò)，尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，客戶分布日益廣泛，合作伙伴增多，移動(dòng)辦公人員也隨之劇增。傳統(tǒng)企業(yè)網(wǎng)基于固定地點(diǎn)的專線連接方式，已難以適應(yīng)現(xiàn)代企業(yè)的需求。在這樣的背景下，遠(yuǎn)程辦公室、公司各分支機(jī)構(gòu)、公司與合作伙伴、供應(yīng)商、公司與客戶之間都可能要建立連接通道以進(jìn)行信息傳送。</p><p>　　而在傳統(tǒng)的企業(yè)組網(wǎng)方案中，要進(jìn)行遠(yuǎn)程LAN 到 LAN互聯(lián)，除了租用DDN專線或幀中繼之外，并沒有更好的解決方法。對(duì)于移

12、動(dòng)用戶與遠(yuǎn)端用戶而言，只能通過(guò)撥號(hào)線路進(jìn)入企業(yè)各自獨(dú)立的局域網(wǎng)。這樣的方案必然導(dǎo)致高昂的長(zhǎng)途線路租用費(fèi)及長(zhǎng)途電話費(fèi)。于是，虛擬專用網(wǎng)VPN（Virtual Private Network）的概念與市場(chǎng)隨之出現(xiàn)。利用VPN網(wǎng)絡(luò)能夠獲得語(yǔ)音、視頻方面的服務(wù)，如IP電話業(yè)務(wù)、電視會(huì)議、遠(yuǎn)程教學(xué)，甚至證券行業(yè)的網(wǎng)上路演、網(wǎng)上交易等。</p><p>　　1.2 VPN的定義</p><p>　　V

13、PN（Virtual Private Network，虛擬專用網(wǎng)絡(luò)）是一門網(wǎng)絡(luò)新技術(shù)，提供一種通過(guò)公用網(wǎng)絡(luò)安全地對(duì)企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問(wèn)的連接方式。虛擬專用網(wǎng)不是真正的專用網(wǎng)絡(luò)，但卻能實(shí)現(xiàn)專用網(wǎng)絡(luò)的功能。VPN通用一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全的、穩(wěn)定的隧道。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬

14、專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接水可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。</p><p>　　虛擬專用網(wǎng)至少應(yīng)能提供如下功能：</p><p>　　·加密數(shù)據(jù)，以保證通過(guò)公網(wǎng)傳輸?shù)男畔⒓词贡凰麄兘孬@也不會(huì)泄露。</p><p>　　·信息認(rèn)證和身份認(rèn)證

15、，保證信息的完整性、合法性，并能鑒別用戶的身份。</p><p>　　·提供訪問(wèn)控制，不同的用戶不同的訪問(wèn)權(quán)限。</p><p>　　1.3VPN的工作原理</p><p>　　把因特網(wǎng)用作專用廣域網(wǎng)，有兩個(gè)主要障礙。首先經(jīng)常使用多種不同協(xié)議進(jìn)行通信，但因特網(wǎng)只能處理IP流量。所以，VPN就需要提供一種方法，將非IP的協(xié)議進(jìn)行兩個(gè)網(wǎng)絡(luò)中的傳輸。其次，網(wǎng)上傳

16、輸?shù)臄?shù)據(jù)包以明文格式傳輸，因而，只要看到因特網(wǎng)的流量，就能讀取包內(nèi)所含的數(shù)據(jù)。如果公司希望利用因特網(wǎng)傳輸重要的商業(yè)機(jī)密信息，這顯然是一個(gè)極為重要的問(wèn)題。然而，VPN技術(shù)可以很好的解決這兩個(gè)問(wèn)題。</p><p>　　VPN的基本思想很容易理解，假設(shè)公司有兩個(gè)網(wǎng)絡(luò)，相距很遠(yuǎn)，要用VPN連接，由兩個(gè)VPN設(shè)備建立專用通道，數(shù)據(jù)傳輸過(guò)程如下圖所示。</p><p>　　圖1.1 VPN的工作原理

17、</p><p>　　源網(wǎng)絡(luò)建立分組，將其IP地址作為源地址，將目的網(wǎng)絡(luò)的IP地址作為目標(biāo)地址，將分組發(fā)送到源VPN設(shè)備，通常是網(wǎng)關(guān)。</p><p>　　分組到達(dá)源VPN設(shè)備，源VPN設(shè)備在分組中增加一新數(shù)據(jù)頭。在此分組中，將分組的源IP地址寫為自已的IP地址V1，目標(biāo)地址寫為對(duì)等目的VPN設(shè)備的IP地址V2，然后發(fā)送。</p><p>　　分組通過(guò)Interne

18、t到達(dá)目的VPN設(shè)備，目的VPN設(shè)備能夠識(shí)別新增的頭部，對(duì)其進(jìn)行拆除，從而午到第一步由源網(wǎng)絡(luò)生成的原分組，然后根據(jù)分組的IP地址信息，進(jìn)行正常的轉(zhuǎn)發(fā)。</p><p>　　2 VPN的應(yīng)用領(lǐng)域和設(shè)計(jì)目標(biāo)</p><p>　　隨著VPN的發(fā)展，VPN的應(yīng)用領(lǐng)域越來(lái)越廣泛，在很多行業(yè)都到了相當(dāng)重要的作用。</p><p>　　2.1 VPN的主要應(yīng)用領(lǐng)域</p&

19、gt;<p>　　VPN技術(shù)廣泛的應(yīng)用于國(guó)家國(guó)防軍隊(duì)通信和遠(yuǎn)程指揮網(wǎng)絡(luò)平臺(tái)的搭建；應(yīng)用于企業(yè)網(wǎng)Itranet、遠(yuǎn)程訪問(wèn)、企業(yè)外部網(wǎng)Extranet、企業(yè)內(nèi)VPN網(wǎng)絡(luò)的建設(shè)；應(yīng)用于網(wǎng)絡(luò)游戲領(lǐng)域中基于VPN網(wǎng)絡(luò)游戲大型網(wǎng)絡(luò)平臺(tái)的實(shí)施；應(yīng)用于電子商務(wù)領(lǐng)域中公司、分公司于顧客間應(yīng)用平臺(tái)的建設(shè)；同時(shí)隨著教育領(lǐng)域資源共享的開放性程度逐漸擴(kuò)大，VPN技術(shù)也更為廣泛的應(yīng)用于教育事業(yè)、校園網(wǎng)建設(shè)等網(wǎng)絡(luò)的建設(shè)；甚至在未來(lái)的發(fā)展中也將更為廣泛的

20、應(yīng)用于可提供更加安全的、速度更快的、易用性更好的連接平臺(tái)的無(wú)線網(wǎng)絡(luò)。</p><p>　　2.2 VPN的設(shè)計(jì)目標(biāo)</p><p>　　在實(shí)際應(yīng)用中，一個(gè)高效、成功的VPN應(yīng)具備以下特點(diǎn)：</p><p>　　安全保障：VPN保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接，稱之為建立一個(gè)隧道，可以利用加密技術(shù)對(duì)

21、經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者所知道，從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問(wèn)題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。</p><p>　　服務(wù)質(zhì)量保證（QOS）：VPN網(wǎng)絡(luò)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)

22、質(zhì)量保證的要求差別較大。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過(guò)流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。</p><

23、;p>　　可擴(kuò)充性和靈活性：VPN必須能夠支持通過(guò)Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。</p><p>　　可管理性：從用戶角度和運(yùn)營(yíng)商的角度應(yīng)可方便地進(jìn)行管理、維護(hù)。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理主要包括安全管理、設(shè)

24、備管理、配置管理、訪問(wèn)控制列表管理、QoS管理等內(nèi)容。</p><p><b>　　3 隧道技術(shù)</b></p><p>　　3.1 隧道技術(shù)的概述</p><p>　　隧道技術(shù)的基本過(guò)程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)（可以是ISO七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層數(shù)據(jù)）作為負(fù)載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公網(wǎng)的接口處

25、將數(shù)據(jù)解封裝，取出負(fù)載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時(shí)所經(jīng)過(guò)的邏輯路徑被稱之為“隧道”。</p><p>　　隧道技術(shù)是一種能過(guò)使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負(fù)載數(shù)據(jù)能夠能過(guò)互聯(lián)網(wǎng)絡(luò)傳遞。</p><p>　　圖3.1 數(shù)據(jù)在隧道中

26、的傳輸</p><p>　　通過(guò)隧道的建立，可實(shí)現(xiàn)：</p><p>　?、賹?shù)據(jù)流強(qiáng)制送到特定的地址；</p><p>　?、陔[藏私有的網(wǎng)絡(luò)地址；</p><p>　?、墼贗P網(wǎng)上傳遞非IP數(shù)據(jù)包；</p><p>　?、芴峁?shù)據(jù)安全支持。</p><p>　　要使數(shù)據(jù)順利地被封裝、傳送及解封

27、裝，通信協(xié)議是保證的核心。為創(chuàng)建隧道，隧道的客戶機(jī)和服務(wù)器雙方必須使用相同的隧道協(xié)議。</p><p>　　隧道的功能就是在兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)之間提供一條通路，使數(shù)據(jù)報(bào)能夠在這個(gè)通路上透明傳輸。VPN隧道一般是指在PSN（Packet Switched Network）骨干網(wǎng)的VPN節(jié)點(diǎn)（一般指邊緣設(shè)備PE）之間或VPN節(jié)點(diǎn)與用戶節(jié)點(diǎn)之間建立的用來(lái)傳輸VPN數(shù)據(jù)虛擬連接。</p><p><

28、;b>　　3.2 隧道協(xié)議</b></p><p>　　VPN的具體實(shí)現(xiàn)是采用隧道技術(shù)，將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中進(jìn)行傳輸。隧道協(xié)議可分為第二層隧道協(xié)議PPTP、L2F、L2TP、第三層隧道協(xié)議GRE、IPSet和第五層隧道協(xié)議SOCKS v5。它們的本質(zhì)區(qū)別在于用戶的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸?shù)摹?lt;/p><p>　　3.2.1 隧道協(xié)議的分類</p

29、><p><b>　　第二層隧道協(xié)議：</b></p><p>　　(1)PPTP點(diǎn)對(duì)點(diǎn)隧道協(xié)議：PPTP提供PPTP客戶機(jī)和PPTP服務(wù)器之間的加密通信。是由PPTP論壇開發(fā)的點(diǎn)到點(diǎn)的安全隧道協(xié)議，為使用電話上網(wǎng)的用戶提供安全VPN業(yè)務(wù)，1996年成為IETF草案。PPTP是PPP協(xié)議的一種擴(kuò)展，提供了在IP網(wǎng)上建立多協(xié)議的安全VPN的通信方式，遠(yuǎn)端用戶能夠通過(guò)任何支持

30、PPTP的ISP訪問(wèn)企業(yè)的專用網(wǎng)絡(luò)。PPTP提供PPTP客戶機(jī)和PPTP服務(wù)器之間的保密通信。PPTP客戶機(jī)是指運(yùn)行該協(xié)議的PC機(jī)，PPTP服務(wù)器是指運(yùn)行該協(xié)議的服務(wù)器。</p><p>　　(2)L2F第二層轉(zhuǎn)發(fā)協(xié)議：L2F（Layer 2 Forwarding）是由Cisco公司提出的，可以在多種介質(zhì)（如 ATM、幀中繼、IP）上建立多協(xié)議的安全VPN的通信方式。</p><p>　　

31、L2F遠(yuǎn)端用戶能夠通過(guò)任何撥號(hào)方式接入公共IP網(wǎng)絡(luò)。首先，按常規(guī)方式撥號(hào)到ISP的接入服務(wù)器（NAS），建立PPP連接；NAS根據(jù)用戶名等信息發(fā)起第二次連接，呼叫用戶網(wǎng)絡(luò)的服務(wù)器。這種方式下，隧道的配置和建立對(duì)用戶是完全透明的。</p><p>　　L2F允許撥號(hào)服務(wù)器發(fā)送PPP幀，并通過(guò)WAN連接到L2F服務(wù)器。L2F服務(wù)器將包去封裝后，把它們接入到企業(yè)自己的網(wǎng)絡(luò)中。與PPTP和PPP所不同的是，L2F沒有定義

32、客戶。</p><p>　　(3)L2TP第二層隧道協(xié)議：L2TP結(jié)合了L2F和PPTP的優(yōu)點(diǎn)，可以讓用戶從客戶端或接入服務(wù)器端發(fā)起VPN連接。L2TP定義了利用公共網(wǎng)絡(luò)設(shè)施封裝傳輸鏈路層PPP幀的方法。目前用戶撥號(hào)訪問(wèn)因特網(wǎng)時(shí)，必須使用IP協(xié)議，并且其動(dòng)態(tài)得到的IP地址也是合法的。L2TP的好處就在于支持多種協(xié)議，用戶可以保留原來(lái)的IPX、AppleTalk等協(xié)議或企業(yè)原有的IP地址，企業(yè)在原來(lái)非IP網(wǎng)上的投資

33、不致于浪費(fèi)。另外，L2TP還解決了多個(gè)PPP鏈路的捆綁問(wèn)題。</p><p>　　L2TP是用來(lái)整合多協(xié)議撥號(hào)服務(wù)至現(xiàn)有的因特網(wǎng)服務(wù)提供商點(diǎn)。PPP 定義了多協(xié)議跨越第二層點(diǎn)對(duì)點(diǎn)鏈接的一個(gè)封裝機(jī)制。用戶通過(guò)使用眾多技術(shù)之一（如：撥號(hào) POTS、ISDN、ADSL 等）獲得第二層連接到網(wǎng)絡(luò)訪問(wèn)服務(wù)器（NAS），然后在此連接上運(yùn)行 PPP。在這樣的配置中，第二層終端點(diǎn)和 PPP 會(huì)話終點(diǎn)處于相同的物理設(shè)備中</

34、p><p><b>　　第三層隧道協(xié)議：</b></p><p>　　(1)IPSet協(xié)議：IPSec是IETF(Internet Engineer Task Force) 正在完善的安全標(biāo)準(zhǔn)，它把幾種安全技術(shù)結(jié)合在一起形成一個(gè)較為完整的體系，受到了眾多廠商的關(guān)注和支持。通過(guò)對(duì)數(shù)據(jù)加密、認(rèn)證、完整性檢查來(lái)保證數(shù)據(jù)傳輸?shù)目煽啃浴⑺接行院捅Ｃ苄?。IPSec由IP認(rèn)證頭AH(A

35、uthentication Header)、IP安全載荷封載ESP(Encapsulated Security Payload)和密鑰管理協(xié)議組成。</p><p>　　IPSec兼容設(shè)備在OSI模型的第三層提供加密、驗(yàn)證、授權(quán)、管理，對(duì)于用戶來(lái)說(shuō)是透明的，用戶使用時(shí)與平常無(wú)任何區(qū)別。密鑰交換、核對(duì)數(shù)字簽名、加密等都在后臺(tái)自動(dòng)進(jìn)行。</p><p>　　IPSec可用兩種方式對(duì)數(shù)據(jù)流進(jìn)行加

36、密：隧道方式和傳輸方式。兩種對(duì)IP包的封裝形式分別如下：</p><p><b>　　傳輸方式</b></p><p><b>　　隧道方式</b></p><p>　　隧道方式對(duì)整個(gè)IP包進(jìn)行加密，使用一個(gè)新的IPSec包打包。這種隧道協(xié)議是在IP上進(jìn)行的，因此不支持多協(xié)議。傳輸方式時(shí)IP包的地址部分不處理，僅對(duì)數(shù)據(jù)凈荷

37、進(jìn)行加密。IPSec用密碼技術(shù)從三個(gè)方面來(lái)保證數(shù)據(jù)的安全。即：</p><p>　　認(rèn)證：用于對(duì)主機(jī)和端點(diǎn)進(jìn)行身份鑒別；</p><p>　　完整性檢查：用于保證數(shù)據(jù)在通過(guò)網(wǎng)絡(luò)傳輸時(shí)沒有被修改；</p><p>　　加密：加密IP地址和數(shù)據(jù)以保證私有性。</p><p>　　IPSec支持的組網(wǎng)方式包括：主機(jī)之間、主機(jī)與網(wǎng)關(guān)、網(wǎng)關(guān)之間的組網(wǎng)。

38、IPSec還支持對(duì)遠(yuǎn)程訪問(wèn)用戶的支持。IPSec可以和L2TP、GRE等隧道協(xié)議一起使用，給用戶提供更大的靈活性和可靠性。</p><p>　　(2)GRE協(xié)議：GRE主要用于源路由和終路由之間所形成的隧道。GRE隧道使用GRE協(xié)議封裝原始數(shù)據(jù)報(bào)文，基于公共IP網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)的透明傳輸。例如，將通過(guò)隧道的報(bào)文用一個(gè)新的報(bào)文頭（GRE報(bào)文頭）進(jìn)行封裝然后帶著隧道終點(diǎn)地址放入隧道中。當(dāng)報(bào)文到達(dá)隧道終點(diǎn)時(shí)，GRE報(bào)文頭被

39、剝掉，繼續(xù)原始報(bào)文的目標(biāo)地址進(jìn)行尋址。 GRE隧道通常是點(diǎn)到點(diǎn)的，即隧道只有一個(gè)源地址和一個(gè)終地址。GRE建立起來(lái)的隧道只是在隧道源點(diǎn)和隧道終點(diǎn)可見，中間經(jīng)過(guò)的設(shè)備仍按照外層IP在網(wǎng)絡(luò)上進(jìn)行普通的路由轉(zhuǎn)發(fā)。</p><p>　　GRE的隧道由兩端的源IP地址和目的IP地址來(lái)定義，允許用戶使用IP包封裝IP、IPX、AppleTalk包，并支持全部的路由協(xié)議（如RIP2、OSPF等）。通過(guò)GRE，用戶可以利用公共I

40、P網(wǎng)絡(luò)連接IPX網(wǎng)絡(luò)、AppleTalk網(wǎng)絡(luò)，還可以使用保留地址進(jìn)行網(wǎng)絡(luò)互連，或者對(duì)公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。GER只提供了數(shù)據(jù)包的封裝，并沒有加密功能來(lái)防止網(wǎng)絡(luò)偵聽和攻擊，所以在實(shí)際環(huán)境中經(jīng)常與IPSec在一起使用，由IPSec提供用戶數(shù)據(jù)的加密，從而給用戶提供更好的安全性。</p><p>　　圖3.2 數(shù)據(jù)在GRE隧道中傳輸</p><p>　　GRE協(xié)議的主要用途有兩個(gè)：企業(yè)內(nèi)部協(xié)

41、議封裝和私有地址封裝。在國(guó)內(nèi)，由于企業(yè)網(wǎng)幾乎全部采用的是TCP/IP協(xié)議，因此在中國(guó)建立隧道時(shí)沒有對(duì)企業(yè)內(nèi)部協(xié)議封裝的市場(chǎng)需求。企業(yè)使用GRE的唯一理由應(yīng)該是對(duì)內(nèi)部地址的封裝。當(dāng)運(yùn)營(yíng)商向多個(gè)用戶提供這種方式的VPN業(yè)務(wù)時(shí)會(huì)存在地址沖突的可能性。</p><p><b>　　第五層</b></p><p>　　SOCKS v5：SOCKS v5工作在OSI模型中的第五層

42、——會(huì)話層，可作為建立高度安全的VPN的基礎(chǔ)。SOCKS v5協(xié)議的優(yōu)勢(shì)在訪問(wèn)控制，因此適用于安全性較高的VPN。SOCKS v5現(xiàn)在被IETF建議作為VPN的標(biāo)準(zhǔn)。</p><p>　　3.2.2 不同隧道協(xié)議優(yōu)缺點(diǎn)</p><p>　　因?yàn)闀r(shí)間原因，在此只選取其中的幾種實(shí)現(xiàn)VPN的隧道技術(shù)進(jìn)行對(duì)比。</p><p><b>　?、貺2TP協(xié)議</

43、b></p><p>　　優(yōu)點(diǎn)：它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點(diǎn)，能以隧道方式使PPP包通過(guò)各種網(wǎng)絡(luò)協(xié)議，包括ATM、SONET和幀中繼。L2TP可以提供包頭壓縮。當(dāng)壓縮包頭時(shí)，系統(tǒng)開銷占用4個(gè)字節(jié)。</p><p>　　缺點(diǎn)：L2TP沒有任何加密措施。</p><p><b>　?、贗PSet協(xié)議</b></p&

44、gt;<p>　　優(yōu)點(diǎn)：它定義了一套用于保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議，可確保運(yùn)行在TCP/IP協(xié)議上的VPN之間的互操作性。IPSec在傳輸層之下，對(duì)于應(yīng)用程序來(lái)說(shuō)是透明的。當(dāng)在路由器或防火墻上安裝IPSec時(shí)，無(wú)需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。即使在終端系統(tǒng)中執(zhí)行IPSec，應(yīng)用程序一類的上層軟件也不會(huì)被影響。</p><p>　　缺點(diǎn)：除了包過(guò)濾外，它沒有指定其他訪問(wèn)控制方法，對(duì)于采用NAT

45、方式訪問(wèn)公共網(wǎng)絡(luò)的情況難以處理。</p><p><b>　?、跥RE協(xié)議</b></p><p>　　優(yōu)點(diǎn)：它支持多種協(xié)議和多播，能夠用來(lái)創(chuàng)建彈性的VPN，支持多點(diǎn)隧道，能夠?qū)嵤㏎oS。</p><p>　　缺點(diǎn)：缺乏加密機(jī)制，沒有標(biāo)準(zhǔn)的控制協(xié)議來(lái)保持GRE隧道，隧道很消耗CPU，出現(xiàn)問(wèn)題要進(jìn)行EDBUG很困難，MTU和IP分片是一個(gè)問(wèn)題。&

46、lt;/p><p>　?、躍OCKS v5協(xié)議</p><p>　　優(yōu)點(diǎn)：非常詳細(xì)的訪問(wèn)控制。在網(wǎng)絡(luò)層只能根據(jù)源目的的IP地址允許或拒絕被通過(guò)，在會(huì)話層控制手段更多一些，由于工作在會(huì)話層，能同低層協(xié)議如IPv4、IPSet、PPTP、L2TP一起使用；用SOCKS v5的代理服務(wù)器可隱藏網(wǎng)絡(luò)地址結(jié)構(gòu)；能為驗(yàn)證、加密和密鑰管理提供“插件”模塊，讓用戶自由地采用所需要的技術(shù)。SOCKS v5可根據(jù)

47、規(guī)定則過(guò)濾數(shù)據(jù)流，包括Java Applet、Actives控制。</p><p>　　缺點(diǎn)：其性能比低層次協(xié)議差，必須制定更復(fù)雜的安全管理策略。</p><p>　　4 加密技術(shù)以及其它技術(shù)</p><p>　　4.1 實(shí)現(xiàn)VPN的加密技術(shù)</p><p>　　VPN是在不安全的Internet中通信，通信的內(nèi)容可能涉及企業(yè)的機(jī)密數(shù)據(jù)，因

48、此其安全性非常重要。VPN中的安全技術(shù)通常由加密、驗(yàn)證及密鑰交換與管理組成。</p><p>　　4.1.1 認(rèn)證技術(shù)</p><p>　　認(rèn)證技術(shù)可以區(qū)分被偽造、篡改過(guò)的數(shù)據(jù)，這對(duì)于網(wǎng)絡(luò)數(shù)據(jù)傳輸，特別是電子商務(wù)是極其重要的。認(rèn)證技術(shù)防止數(shù)據(jù)的偽造和被篡改采用一種稱為“摘要”的技術(shù)。“摘要”技術(shù)主要采用HASH函數(shù)將一段長(zhǎng)的報(bào)文通過(guò)函數(shù)變換，映射為一段短的報(bào)文即摘要。由于HASH函數(shù)的特征

49、，兩個(gè)不同的報(bào)文具有相同的摘要幾乎不可能。該特性使得摘要技術(shù)在VPN中有兩個(gè)用途：驗(yàn)證數(shù)據(jù)的完整性、用戶驗(yàn)證。</p><p>　　4.1.2 加密技術(shù)</p><p>　　在VPN中為了保證重要的數(shù)據(jù)在公共網(wǎng)上傳輸時(shí)不被他人竊取,采用了加密機(jī)制。IPSec通過(guò)ISAKMP/IKE/Oakley協(xié)商確定幾種可選的數(shù)據(jù)加密方法如DES、3DES。在現(xiàn)代密碼學(xué)中，加密算法被分為對(duì)稱加密算法和非

50、對(duì)稱加密算法。</p><p>　　對(duì)稱加密算法采用同一把密鑰進(jìn)行加密和解密，優(yōu)點(diǎn)是速度快，但密鑰的分發(fā)與交換不便于管理。</p><p>　　目前，常用的數(shù)據(jù)加密算法有：</p><p><b>　　①對(duì)稱加密算法：</b></p><p>　　國(guó)際數(shù)據(jù)加密算法（IDEA）：128位長(zhǎng)密鑰，把64位的明文塊加密成64位

51、的密文塊。</p><p>　　DES和3DES加密算法：EDS有64位長(zhǎng)密鑰，實(shí)際上只使用56位密鑰。</p><p>　　②非對(duì)稱加密算法：RSA加密算法。</p><p>　　4.1.3 密鑰交換和管理</p><p>　　VPN中無(wú)論是認(rèn)證還是加密都需要秘密信息，VPN中密鑰的分發(fā)與管理非常重要。密鑰的分發(fā)有兩種方法：一種是通過(guò)手工配

52、置的方式，另一種采用密鑰交換協(xié)議動(dòng)態(tài)發(fā)布。</p><p><b>　　4.2 QoS技術(shù)</b></p><p>　　QoS(Quality of Service)，中文名為“服務(wù)質(zhì)量”。它是指網(wǎng)絡(luò)提供更高優(yōu)先服務(wù)的一種能力，包括專用帶寬、抖動(dòng)控制和延遲（用于實(shí)時(shí)和交互流量情形）、丟包率的改進(jìn)以及不同WAN、LAN和MAN技術(shù)下的指定網(wǎng)絡(luò)流量等，同時(shí)確保為每種流量提

53、供的優(yōu)先權(quán)不會(huì)阻礙其他流量的進(jìn)程。</p><p>　　QoS通過(guò)隧道技術(shù)和加密技術(shù)，已經(jīng)能夠建立起一個(gè)具有安全性、互操作性的VPN。但是該VPN性能上不穩(wěn)定，管理上不能滿足企業(yè)的要求，這就要加入QoS技術(shù)。實(shí)行QoS應(yīng)該在主機(jī)網(wǎng)絡(luò)中，即VPN所建立的隧道這一段，這樣才能建立一條性能符合用戶要求的隧道。</p><p>　　對(duì)于VPN數(shù)據(jù)的傳輸是加密的，在傳輸過(guò)程以GRE/ESP的封包位于

54、網(wǎng)絡(luò)傳輸協(xié)議的網(wǎng)絡(luò)層，如果我們需要對(duì)VPN的流量做QoS設(shè)定，比如保證VPN傳輸?shù)馁|(zhì)量，我們可以在QoS帶寬管理將GRE/ESP的封包傳輸服務(wù)的優(yōu)先級(jí)別調(diào)到最高級(jí)別來(lái)保證VPN聯(lián)機(jī)的穩(wěn)定暢通。</p><p><b>　　5 VPN的實(shí)現(xiàn)</b></p><p>　　VPN的具體實(shí)現(xiàn)方法有多種，在此我們只舉出一種進(jìn)行簡(jiǎn)單的實(shí)現(xiàn)。</p><p&g

55、t;　　以GRE+IPSet為例：</p><p><b>　　5.1 拓?fù)浣Y(jié)構(gòu)</b></p><p>　　5.2 主要實(shí)驗(yàn)步驟</p><p>　?、倥渲酶髋_(tái)路由器的 IP 地址。</p><p>　　R1(config)#interface s0/0</p><p>　　R1(config-

56、if)#ip address 12.1.1.1 255.255.255.0</p><p>　　R1(config-if)#no shutdown</p><p>　　R1的另一端口的IP地址為1.1.1.1 子網(wǎng)掩碼：255.255.255.0</p><p><b>　　R3配置如上：</b></p><p>　　S

57、0/0口的IP地址：23.1.1.2 子網(wǎng)掩碼：255.255.255.0</p><p>　　另一端口的IP地址是：3.1.1.1 子網(wǎng)掩碼：</p><p>　?、谠?R1 和 R3 上配置靜態(tài)路由。確保 Internet 網(wǎng)絡(luò)骨干可以相互通信。</p><p>　　R1(config)#ip route 0.0.0.0 0.0.0.0 s 0/0</p

58、><p>　　R3(config)#ip route 0.0.0.0 0.0.0.0 s 0/0</p><p>　?、墼?R1 和 R3 路由器上配置 GRE 隧道。</p><p>　　R1路由器配置如下。</p><p>　　R1(config)#interface tunnel 1</p><p>　　R1(con

59、fig-if)#ip address 10.1.1.1 255.255.255.0</p><p>　　R1(config-if)#tunnel destination 23.1.1.2</p><p>　　R1(config-if)#tunnel source serial 0/0</p><p>　　R1(config-if)#no shutdown</p

60、><p>　　R1(config-if)#exit</p><p>　　R3路由器配置如下。</p><p>　　R3(config)#interface tunnel 1</p><p>　　R3(config-if)#ip address 10.1.1.2 255.255.255.0</p><p>　　R3(conf

61、ig-if)#tunnel destination 12.1.1.1</p><p>　　R3(config-if)#tunnel source serial 0/0</p><p>　　R3(config-if)#no shutdown</p><p>　　R3(config-if)#exit</p><p>　?、茉?R1 和 R3 上配

62、置路由，確保 R1 和 R3 可以通過(guò)隧道 PING 通對(duì)方的回環(huán)接口。</p><p>　　R1(config)#ip route 3.3.3.0 255.255.255.0 tunnel 1</p><p>　　R3(config)#ip route 1.1.1.0 255.255.255.0 tunnel 1</p><p>　　⑤在 R1 或是 R3 上使用

63、 PING 命令，檢測(cè)是否可以 PING 對(duì)方的回環(huán)接口。</p><p>　　R1#ping 3.3.3.1</p><p>　　Type escape sequence to abort.</p><p>　　Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:</p>

64、;<p><b>　　!!!!!</b></p><p>　　Success rate is 100 percent (5/5), round-trip min/avg/max = 28/40/60 ms</p><p><b>　　R1#</b></p><p>　?、拊?R1 上配置 IPsec 的傳輸模

65、式。</p><p>　　R1(config)#crypto isakmp enable</p><p>　　R1(config)#crypto isakmp key 0 ciscokey address 23.1.1.2</p><p>　　R1(config)#crypto isakmp policy 1</p><p>　　R1(con

66、fig-isakmp)#encryption des</p><p>　　R1(config-isakmp)#hash md5</p><p>　　R1(config-isakmp)#authentication pre-share</p><p>　　R1(config-isakmp)#group 1</p><p>　　R1(config

67、-isakmp)#exit</p><p>　　R1(config)#crypto ipsec transform-set my_trans esp-des</p><p>　　R1(cfg-crypto-trans)#mode transport</p><p>　　R1(cfg-crypto-trans)#exit</p><p>　　R

68、1(config)#</p><p>　　R1(config)#access-list 100 permit gre host 12.1.1.1 host 23.1.1.2</p><p>　　R1(config)#</p><p>　　R1(config)#crypto map gre_to_R3 10 ipsec-isakmp</p><p&

69、gt;　　% NOTE: This new crypto map will remain disabled until a peer</p><p>　　and a valid access list have been configured.</p><p>　　R1(config-crypto-map)#set peer 23.1.1.2</p><p>　　R

70、1(config-crypto-map)#set transform-set my_trans</p><p>　　R1(config-crypto-map)#match address 100</p><p>　　R1(config-crypto-map)#exit</p><p>　　R1(config)#</p><p>　　R1(co

71、nfig)#interface s0/0</p><p>　　R1(config-if)#crypto map gre_to_R3</p><p>　　R1(config-if)#exit</p><p>　　⑦R3上配置IPSec的傳輸模式。</p><p>　　R3(config)#crypto isakmp enable</p&g

72、t;<p>　　R3(config)#crypto isakmp key 0 ciscokey address 12.1.1.1</p><p>　　R3(config)#crypto isakmp policy 1</p><p>　　R3(config-isakmp)#encryption des</p><p>　　R3(config-isakm

73、p)#hash md5</p><p>　　R3(config-isakmp)#authentication pre-share</p><p>　　R3(config-isakmp)#group 1</p><p>　　R3(config-isakmp)#exit</p><p>　　R3(config)#crypto ipsec tran

74、sform-set my_trans esp-des</p><p>　　R3(cfg-crypto-trans)#mode transport</p><p>　　R3(cfg-crypto-trans)#exit</p><p>　　R3(config)#</p><p>　　R3(config)#access-list 100 perm

75、it gre host 12.1.1.1 host 23.1.1.2</p><p>　　R3(config)#</p><p>　　R3(config)#crypto map gre_to_R1 10 ipsec-isakmp</p><p>　　% NOTE: This new crypto map will remain disabled until a pe

76、er</p><p>　　and a valid access list have been configured.</p><p>　　R3(config-crypto-map)#set peer 12.1.1.1</p><p>　　R3(config-crypto-map)#set transform-set my_trans</p><p

77、>　　R3(config-crypto-map)#match address 100</p><p>　　R3(config-crypto-map)#exit</p><p>　　R3(config)#</p><p>　　R3(config)#interface s0/0</p><p>　　R3(config-if)#crypto

78、map gre_to_R1</p><p>　　R3(config-if)#exit</p><p><b>　　5.3測(cè)試結(jié)果</b></p><p><b>　　結(jié)論</b></p><p>　　經(jīng)過(guò)四個(gè)月的努力，通過(guò)一種隧道技術(shù)基本上完成了對(duì)VPN的實(shí)現(xiàn)。</p><p&g

79、t;　　本論文涉及到了有關(guān)VPN的有種方面的知識(shí)，比如VPN產(chǎn)生的背景、VPN的優(yōu)勢(shì)及特點(diǎn)、VPN的隧道技術(shù)、VPN的加密以及其它技術(shù)等等。其中主要完成了對(duì)VPN的多種隧道實(shí)現(xiàn)技術(shù)的對(duì)比分析，并通過(guò)一種隧道技術(shù)實(shí)現(xiàn)VPN的配置。</p><p>　　經(jīng)過(guò)此次的論文完成過(guò)程，很好的了解到VPN的網(wǎng)絡(luò)實(shí)踐中的廣泛應(yīng)用，充分認(rèn)識(shí)到網(wǎng)絡(luò)通信在當(dāng)今社會(huì)中的重要作用。</p><p><b>

80、;　　致謝</b></p><p>　　本次論文歷經(jīng)時(shí)間四個(gè)月，本論文之所以能夠順利完成，首先要感謝我的導(dǎo)師***老師，她傾注了大量的心血和時(shí)間，從選題到開題報(bào)告，從寫作綱要到每一階段的結(jié)束，她都一遍又一遍地耐心指出每稿中出現(xiàn)的的具體問(wèn)題和不足之處，在此我表示衷心感謝。同時(shí)我還要感謝在我學(xué)習(xí)期間給予我極大關(guān)心和支持的各位老師以及我的同學(xué)和朋友們。</p><p>　　撰寫畢業(yè)論

81、文是再次系統(tǒng)學(xué)習(xí)和整理的過(guò)程，隨著畢業(yè)論文的完成，意味著大學(xué)生活的結(jié)束，新一階段的學(xué)習(xí)生活的開始。三年的時(shí)間就這樣稍縱即逝，我們甚至都來(lái)不及認(rèn)真地話別，就要面臨著各奔東西，然而青春的腳步仍留在校園的每條路上，笑語(yǔ)歡歌飄散在學(xué)校的每一個(gè)角落 。這里的每個(gè)地方，都珍藏著我們的友情，彌漫著我們的夢(mèng)想。</p><p>　　再次衷心的感謝*老師以及各位關(guān)心和幫助過(guò)我的老師和朋友們，雖然三年的大學(xué)生活即將結(jié)束，但是我堅(jiān)信我

82、們的明天會(huì)更美好。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1]E Rescorla,A Schiffman. The secure hypertext trausfer protocol. Draft-wes-shttp-06[R].text,1998,6.</p><p>　　[2]徐國(guó)愛.網(wǎng)絡(luò)安全[M].北京郵

83、電大學(xué)出版社,2004,5.</p><p>　　[3]王祁.淺談網(wǎng)絡(luò)應(yīng)用之VPN技術(shù)[C].2011,1.</p><p>　　[4]佩皮賈克.MPLS和VPN體系結(jié)構(gòu)[M].人民郵電出版社,2004,3.</p><p>　　[5]王春海,宋濤.VPN網(wǎng)絡(luò)組建案例實(shí)錄(第2版)[M].科學(xué)出版社,2011,7.</p><p>　　[6]

84、博蘭普格德,肯哈得德,韋恩納.IPset VPN設(shè)計(jì)[M].人民郵電出版社,2006,5.</p><p>　　[7]王達(dá).虛擬專用(VPN)精解[M].清華大學(xué)出版社,2004,1.</p><p>　　[8]邊倩.虛擬專用網(wǎng)(VPN)的實(shí)現(xiàn)方法[J].現(xiàn)代電子技術(shù),2006,12.</p><p>　　[9]張愛科,曾春.IPsec VPN與SSL VPN的對(duì)比