VPN技术在企业网络安全中的应用

PAGE中国最大的论文知识平台VPＮ技术在企业网络平安中的应用内容摘要随着Internet网络技术的普及，网络平安越显重要。为了能更好地解决公司平安问题,让公司总部服务器最小限度地免受外界网络攻击,也为了使企业用户便利地从远程访问虚拟网、企业内部虚拟网、企业扩展虚拟网，企业可以考虑采纳VPN技术。VＰＮ技术简略包括隧道技术、加密技术、用户身份认证等.本文首先介绍了VＰＮ的基本概念、优势、分类和平安技术等基本内容。然后介绍了VPN技术在杭州芝麻开门信息技术有限公司的应用。先介绍了该公司的现状,以及该公司所面临的网络平安问题,接着分析了解决该问题的简略措施。最后，论文做出了展望并给出了自己的结论。关键词：ＶＰN技术、网络平安、网络设计TＨEAPＰLICＡTIONOFＶＰNTＥCHNＯＬＯＧYINTHENETＷORＫSEＣＵRＩTＹOＦCOMPANＹABSTＲACＴＷiｔhｔhepｏｐｕlaritｙofIｎtｅｒnettechnology，Netwoｒkｓeｃurｉtyｂecomｅsmorｅandmoreimportant.ＷeｃａnｕｓeVＰNｔecｈnologｙtｏsolveｔｈｅｓｅcurｉｔｙproｂlｅmoftheｃｏmpaｎyaｎdｍiｎｉmiｚeattackｓｆrｏｍｅxterｎａlneｔworｋ．TｈeclientscanalsoeｎteｒtｈeInｔrａnｅtVＰNoｒｅxtｒａnetＶPNbｙuｓeit.VＰＮtｅchnoloｇyｉｎcｌudesTｕnnelinｇｔｅｃhnoloｇy，Encryｐtionｔｅchｎｏｌogｙ，ａndＵserauｔhenｔiｃation,ｅtｃ．Aｔｆｉrｓｔ,thispaperiｎtｒoduｃeｓｔhｅbａsｉｃconｃept，ａｄvantagｅs，clasｓｉｆiｃatｉonandsecuriｔyｔｅchnｏlogyoftｈｅVPＮｔｅｃｈnｏlｏｇy。Thｅn，theauｔｈｏranalyzestｈeutｉlizatｉｏnofVPＮtechｎｏｌogybyｇivetheeｘａｍpｌeｏfZimaｋaiｍencｏmｐanyofhaｎgｚｈｏu。Tｈｅauｔhoranalyzesthｅsitｕationaｎdtｈenetwｏｒｋｓｅｃｕblemｏfthｅcｏmpanyfirstly。Ｔhｅn，ｔheautｈortｈiｎkｓtｈaｔthｅcompanｙcanｔａkeａctｉonsｔoｓolｖｅｔｈisproblem．Fiｎaｌｌｙ,theａuｔhｏrgivｅshiscoｎcｌusion.KEYWOＲＤS：VPNTｅchnｏlogｙ,Networksｅcｕritｙ,Netwｏｒkｄeｓign正文名目引言…………1VPN概述……………………2VPN的概念……………2VPN的组成……………２VPＮ技术………………３VPＮ用途………………4VPN在企业中的应运………６公司简介………………6公司网络现有状况……………………６需求分析………………7需求总结………………8方案设计………………9实施过程………………11方案的实施效果………１9结论与启示…………………2０ＶＰＮ的优势……………20VPN的展望……………２1总结……………………21参考文献……………23致谢…………………2４引言现代意义上的计算机网络是从１９69年美国国防部高级讨论计划局建成的ＡRPＡnet实验网开头的雷震甲.网络工程师教程.清华大学出版社.2004年7月.50页.。当时只有4个结点，进展到现在的正如其名所言如蜘蛛网一般的简洁的万联网。威胁与平安始终都是并存着的。窃听、假冒、重放、拒绝服务、病毒、诽谤等等的威胁无时无刻攻击着网络通信,威胁着我们的信息平安.然而供应这些威胁存在的缘由正是由于操作系统、计算机网络、数据库管理系统存在着本身的漏洞，这就使得一些非法授权的行为可以“祸起萧墙”.专家把这些可能使得一个网络受到破坏的全部行为都认定为攻击,它可以是主动攻击、被动攻击、物理接近攻击、内部人员攻击和分发攻击,全部的一切都威胁着网络的平安雷震甲.网络工程师教程.清华大学出版社.2004年7月.50页.所以Iｎterｎｅt的平安话题始终以来都是发散而简洁的。从最初把Iｎtｅrｎeｔ作为科学讨论用途，到当今的电子商务炙手可热之时，平安已然成为网络进展的绊脚石。所以有更多的平安技术顺势而出，目前的平安措施有数据加密、数字签名、身份认证、防火墙和内容检查等。这些虽然不能阻止风险的消灭,但可以把风险降到最低。专用网络指的是企业内部的局域和广域网络，是Inｔｅrneｔ等公共网络上的延长。在过去,大型企业为了网络通讯的需求，往往必须投资人力、物力及财力，来建立企业专用的广域网络通讯管道，或采纳长途电话甚至国际电话的昂贵拨接方式。在Internｅｔ蓬勃进展的现在，企业为了维持竞争力，又为了使公司总部和分支、合作伙伴之间信息的平安性受到保障,通常需要将专用网络与Inteｒneｔ间适当地整合在一起，但是又必须花费一笔Intｅrnet连接的固定费用.基本上Iｎｔｅｒｎｅt是建立在公众网络的基础之上，如果企业可以将专用网络中的广域网络连结与远程拨号连接这两部份，架构在Ｉｎternet这一类的公众网络之上,同时又可以维持原有的功能与平安需求的话,则将可以节省下一笔不算小的通讯费用支出。这个问题的解决方法，就需要虚拟专用网。VPＮ概述VＰN的概念利用公共网络来构建的私人专用网络称为虚拟专用网络（ＶＰＮ,VｉrtualPriｖatｅNetwork),用于构建VPＮ的公共网络包括Ｉｎtｅrneｔ、帧中继、ＡTM等。在公共网络上组建的VPＮ像企业现有的私有网络一样能供应平安性、牢靠性和可管理性等。“虚拟”的概念是相对于传统专用网络的构建方式而言的。对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，而ＶPN是利用服务供应商所供应的公共网络来实现远程的广域网连接。通过VPN，企业可以以明显的、更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴。企业内部资源享用者只需连入本地ＩSP的ＰＯP(PointOfPresencｅ，接入服务供应点)，即可相互通信；而利用传统的WＡN组建技术，彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后,出差员工和外地客户只需拥有本地ISP的上网权限就可以访问企业内部资源；如果接入服务器的用户身份认证服务器支持漫游的话,甚至不必拥有本地IＳP的上网权限。这对于流淌性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPＮ服务所需的设备很少,只需在资源共享处放置一台ＶPN服务器就可以了。VＰN具有虚拟的特点：VＰＮ并不是某个公司专有的封闭线路或者是租用某个网络服务商供应的封闭线路，但是,VPN同时又具有专线的数据传输功能,由于ＶPＮ能够像专线一样在公共网络上处理自己公司的信息。它通过平安的数据通道将远程用户，公司分支机构，公司业务伙伴等与公司企业网连接起来,构成一个扩展的公司企业网。在该网络的主机似乎感觉全部主机都在同一个网络内，而没有察觉公共网络的存在,同时感到公共网络为本网络独自占用。然而,事实并非如此，所以称之为虚拟专用网雷震甲.网络工程师教程.清华大学出版社.2004年7月.319页.。雷震甲.网络工程师教程.清华大学出版社.2004年7月.319页.ＶＰN的组成无论是从VＰＮ技术进展历程还是应用模式看，VＰＮ技术包含了多种当前新兴的网络技术,涉及到隧道技术、密码技术、和身份认证技术，是多种技术的结合体.这决定了用户在选择VＰN时必须以应用为导向，以解决方案为实施依据,方可事半功倍.VＰN是一个建立在现有共用网络基础上的专网，它由各种网络节点、统一的运行机制和与物理接口构成,一般包括以下几个关键组成部分：一、VPN服务器ＶPN服务器作为端点的计算机系统,可能是防火墙、路由器、专用网关，也可能是一台运行ＶPN软件的联网计算机,或是一台联网手持设备。二、算法体系算法体系是ＶPN专用网络的形成的关键，常见的有：摘要算法ＭD5或ＳHA1,对称加密RＣ4、RC５、ＤＥS、３DES、AＥS、IDＥA、BＬOWFＩSH,公用密钥加密RSA、DSA等。不同类型的VＰN依据应用特点在实现上使用对应的算法,有的还可以由用户依据使用现场临时更换。三、认证系统ＶPN是一个网络，要为网络节点供应牢靠的连接。如同现实社会交往中强调的“诚信"原则一样,当你通过一个网络去访问一个网络资源时，你自然盼望对方是像你要求的那样是真实的，可以想象，对方也是这样要求你的，如何认证对方和认证自己，同时还要防止认证信息泄露，这就是认证系统所要解决的问题，是开头VPN连接的基础.一般使用的有口令、一次性密码、RSＡ、SecｕｒID、双因素令牌、LDAP、WｉnｄｏｗsＡD、Radｉuｓ、证书,一个系统中往往包括一种以上几种方式来增加灵敏性。四、ＶPN协议它规定了VPN产品的特征，主要包括平安程度和与上下层网络系统的接口形式。平安不仅要靠算法,由于ＶPN强调的是网络连接和传输,配套的密钥交换和密钥保护方法甚至比算法更重要，而接口决定了一个VＰN产品的适用度。常见的有PPTP、Ｌ2TP、MPLSVＰＮ、IＰseｃ、SＯCKS、SSL。VＰＮ技术VＰＮ采纳的关键技术主要包括隧道技术、加密技术、用户身份认证技术及访问掌握技术。一、隧道技术VPN的核心就是隧道技术。隧道是一种通过互联网络在网络之间传递数据的一种方式。所传递的数据在传送之前就被封装在相应的隧道协议里,当到达另一端后才被解封。被封装的数据在互联网上传递时所经过的路径是一条规律路径。在VPN中主要有两种隧道.一种是端到端的隧道，主要实现个人与主机之间的连接,端设备必须完成隧道的建立，对端到端的数据进行加密及解密。另一种是节点到节点的隧道，主要是用于连接不同地点的LAＮ数据到达LＡN边缘VＰN设备时被加密并传送到隧道的另一端，在那里被解密并送入相连的LＡＮ。它其实就是边界路由器在起着关键作用，隧道的建立，数据的加密、解密都是在边界路由器里完成的.隧道技术相关的协议分为其次层隧道协议和第三层隧道协议。其次层隧道协议主要有PPTP、Ｌ2TP和LＺF等，第三层隧道协议主要有GRＥ以及IＰSｅｃ等。二、加密技术VPN的加密方法主要是发送者在发送数据之前对要发送的数据进行加密,当数据到达接收者时再由接收者对数据进行解密的处理过程.加密算法的种类包括:对称密钥算法,公共密钥算法等。三、用户身份认证技术用户身份认证技术主要用于远程访问的情况.当一个拨号用户要求建立一个会话时，就会对用户的身份进行鉴定，以确定该用户是否是合法用户以及哪些资源可以被使用.四、访问掌握技术访问掌握技术就是确定合法用户对特定资源的访问权限，以实现对信息资源的最大限度的保护。VPN的用途一、远程访问VPN最适用于用户从离散的地点访问固定的网络资源,如从住宅访问办公室内的资源;出差员工从外地旅店存取企业网数据；技术支持人员从客户网络内访问公司的数据库查询调试参数;纳税企业从本企业内接入互联网并通过VＰN进入当地税务管理部门进行网上税金缴纳.远程访问VPＮ可以完全替代以往昂贵的远程拨号接入,并加强了数据平安。二、内联网(分支机构联网）VPN最适用将异地的两个或多个局域网或主机相连形成一个内网，主要用于将用户的异地ＬＡＮ通过互联网上的ＶPN作为一条虚拟专线连接起来，或是将分支机构与总部连接起来。内联网ＶＰN可以替代目前市场上使用帧中继和ATM等专线构成的专网,显著降低网络建设和运行成本，极大提高了部署和扩展灵敏性。三、平安平台将相同工作性质的，离散地理位置的终端设备、局域网内的主机或局域网连接形成一个专网，满意协同工作的要求,如总公司销售部门的LAN与下属单位的销售部门的PC，以及外出销售人员的笔记本之间构成一个平安销售网,共享ＣRM、文档和IP电话，满意用户动态、业务导向化的组网要求，这是其他方案难以实现的。四、替代专线内联网VPN的简化版，简洁地将两个主机相连实现联机、遥控，或一个主机与一个LAN相连，或替代现有专网的某一条专线成为专网的一部分。五、用户认证利用ＶＰＮ用户认证机制和ＶPN的平安性，强化用户认证的平安，如上网计费系统,认证后的数据传输平安不是重点。六、网络资源访问掌握将VPN用户认证机制和VＰN网关对网络访问的调度能力结合起来，依据预定的平安策略给与不同用户不同的资源访问权限，强化网络资源的合理配置和平安性.ＶPN在企业中的应运公司简介杭州芝麻开门信息技术有限公司系专业行业性B2Ｂ和B２C平台运营商,公司下设两家分公司，运营两个网站:wｗw。ｃn—ｐeｎ.com和ＨＹPERＬINK”hｔtp:／／ｗww.ｚmkｍ．cn”wwｗ.zｍｋｍ。ｃn，现在公司主要是和中国制笔协会共同开发中国笔业贸易网HＹPERＬINK”http:/／www．ｃｎ—pｅｎ．ｃｏｍ”www．ｃn—pen．com．公司汇聚了众多IT界的精英，直接出击日益扩张的全球市场。公司的目的是将传统的国内、国际性选购及贸易活动转变成一个高效率、高效益、低成本的新型电子商务模式,并依据企业的商务活动的实际状况,推出一系列适合于供应商及选购商进行商业信息沟通与沟通的平台，促进并达到让制笔行业的企业利用HＹPＥRLＩNK"htｔp://ｗ—pen.coｍ"ｗww．cｎ－peｎ.cｏｍ得到更多的商业服务和最大限度的商业资讯。中国笔业贸易网的信息具有传递快、大容量、准时更换等特点,可以飞快发布行业内的供求、人才、新产品、新技术专利等信息。并建立了制笔行业进出口统计、行业标准、政策法规、技术知识、人才中心等信息数据库,为宽阔的制笔企业及全球选购商供应了真正有用的电子商务大平台。公司现有的网络状况首先来了解一下关于杭州芝麻开门信息技术有限公司的网络拓扑结构。如图3—1所示。图3－1杭州芝麻开门信息技术有限公司的网络图从图看出总公司和分公司、银行、合作伙伴,分公司和银行、合作伙伴,出差员工或者在家办公人员和总公司、分公司之间,这三种关系的连接都是经过Interｎet的。总公司是通过Ciｓcｏ2６00系列路由器作为边界网关与外界Iｎternet等公共网相连,并配置放火墙。内部则由两台CiｓcoＣrystal２950系列交换机做为中心交换机把办公大楼、营销中心、ＦTＰ服务器、ＷＷW服务器、E—maiｌ服务器、数据库服务器等联系起来。网管站直接和交换机相连,并管理路由器、中心交换机、服务器等.如图3-2所示。图３－２总部内网丽水分支和杭州分支是通过拨号上网,与总公司联系。它们简略是先经AＤＳLＭodｅm连到24接口阿尔法AFＲ-Ｋ24路由器（内配置防火墙),再接24接口阿尔法ＡFS-３０２6交换机和个人电脑相连。公司通过防火墙接入Inｔerｎｅｔ。目前公司全部应用仅限于公司局域网内,出差员工不能访问。总部网络内建设WWＷ、文件共享服务、Eｘcｈange、公司ＥＲP系统，总部各部门局域网络实现接入Ｉntｅｒnｅｔ,但没有实现内部网络互联。杭州分支公司:电脑接入Iｎｔerｎet，实现了办公网络半自动化。丽水分支公司：电脑接入Internet,实现了办公网络半自动化.需求分析杭州芝麻开门信息技术有限公司自１996年创建以来，所拥有的客户群已越来越浩大。而作为以网站服务和维护为主的公司，其客户需要频繁地访问公司内部网，访问服务器。从平安性上讲，通过Intｅｒnｅt等公共网的连接,势必会带来一些危险：从客户端带来的威胁会有病毒、陷门和木马、非授权访问、假冒、重放、诽谤等。从服务器端的威胁就有数据完整性破坏、信息篡改等。依据公司工程技术人员的深化了解和分析,杭州芝麻开门信息技术有限公司需要一种平安的接入机制来保障通信的平安,并达到以下要求:＝１\＊CHINESEＮUM３一、企业必需要确保其ＶＰN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问.ＥxtranetVPN将企业网扩展到合作伙伴和客户；=2\＊CＨINEＳEＮUM３二、要求企业将其网络管理功能从局域网无缝地延长到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务供应商去完成，企业自己仍需要完成很多网络管理任务；=３＼＊CＨINＥＳENＵＭ３三、构建VPＮ的另一重要需求是充分有效地利用有限的广域网资源,为重要数据供应牢靠的带宽；=４\＊ＣＨＩNEＳENUM３四、总部通过多条线路连接广域网,保证分点财务核算数据的连接平安，也节省了宽带接入成本;=5\＊ＣHINESＥＮUM３五、支持从各种网络条件下的平安接入；=6\＊CHINESEＮUM３六、通过隧道技术在网络协议的越下层实现更高的数据平安性；＝7\＊CHＩＮEＳENＵM３七、通过路由器对用户实行统一的管理，对访问权限实行分级管理等要求，实现流量掌握、端口镜象等要求，通过路由器的相关防火墙功能实现网络的平安管理；＝８\*CHＩNEＳＥＮＵM３八、出差员工利用公司笔记公共电脑（如机场侯机厅的计算机)也能够较平安地访问公司内部网络资源；＝９\＊CHＩNESENUM3九、总部保证内网至少１０0台电脑接入Inteｒｎet，还要考虑到公司以后的进展接入点的增加，同时实现一级分部通过相关设备在连到总部网络的同时还供应访问公司FTP服务器，连接公司EＲP系统提交与查询相关信息等要求；=1０\*CHIＮESENUＭ3十、杭州、丽水分支机构２个办事处电脑接入Internet，同时考虑到公司以后的进展接入点的增加,同时实现与总部实现互联同时还供应访问公司ＦTＰ服务器,连接公司ＥRP系统提交与查询相关信息等要求；=1１\*CHINＥSＥNＵM3十一、在各分支机构和总公司之间制造一个集成化的办公环境，为工作人员供应多功能的桌面办公环境,解决办公人员处理不同事务需要使用不同工作环境的问题。需求总结针对以上的需求，通过VPＮ的配置可以解决互联问题,另外对VPN加以相应配置可以实现资料传输的平安性问题.以现有技术来说，所谓最优选择其实必须依据远程访问的需求与目标而定。目前主流VPＮ方案有两种：IPＳec／IＫE和SSLVPN。当前企业需要平安的点对点连接,或用单一装置进行远程访问,并且让企业拥有管理全部远程访问使用能力,IＰSec／IKE是最适合的解决方案。比较那种传输方法比较好更重要的问题是：那种平安技术最符合远程接入方案的需求，IＰSec可以保护任何ＩP流量，而SSＬ专注于应用层流量。IPSec适合长期的连接,即宽带、持续和网络层连接要求。SSＬ仅适合于个别的，对应用层和资源的连接，而且支持的应用没有IＰＳec多。实现外出出差员工通过PPＴP拨号连接公司网络完成相关工作。方案设计＝1\*CＨＩＮESＥNUM３一、设备选择由于VPＮ的应用受到网管者的欢迎,因此技术也不断演进。一般常见的ＶＰN协定有PPTP、IＰSec、ＳSL等。其中PＰTＰ为微软支持的协定，设定较便利，但保全性不够;IＰSｅc公认是最平安的协定，但是设定和配置简洁,一般的用户不容易操作;ＳＳL则需在服务器端进行介面转换，并不是全部的应用程序都可支持。在实际操作上，VPN的架设还面临其他的问题:例如当互联网联机掉线时,再平安的VPN也没有作用;中国由于IP资源有限,因此VPＮ联机必须基于双方为动态IP的基础上建立;由于幅员宽阔，网管人员要跑遍各个分公司的成本太高，VPＮ的设定最好简洁清楚,略有网络知识者即可完成;每个ＩSP的IP分派方式都不同，ＩPSec并不肯定都能穿透。现在市场上的ＶPN产品繁多,而且功能各不相同，本着遵循着便利有用、高效低成本、平安牢靠、网络架构弹性大等相关原则，同时对杭州芝麻开门信息技术有限公司的需求分析,在选择VPＮ连接设备上推举市场上思科公司的Ｃiscｏ26００系列VPN防火墙路由器产品。Cｉsco2600系列ＶＰＮ防火墙路由器产品支持IPSecＶPN连接，供应适用于各办公室,事业伙伴及远程使用者使用的平安便利的网络加密方式,包括３DＥS,DＥＳ,以及AＨ/ＥSＰ加密方式.ＶＰN功能供应了各分支点间或大多数远程使用者采ＶＰN方式，将资料自动加密解密的通讯方式，支持GatewaｙTｏGatewａy，ClｉentＴoGaｔewａy与GrｏupVPNs等模式。具备ＰPＴP服务器功能,具备联机状态显示,可以满意在外出差或想要连回总部或分公司的用户也可使用PPTＰ或IPSeｃ方式连回企业网络,相对来说PPＴP要比IPSec易配制，对移动办公用户比较适合。Ｃiｓcｏ２６00系列VPN防火墙路由器产品内建进阶型防火墙功能,能够阻绝大多数的网络攻击行为，使用了ＳPI封包主动侦测检验技术（StatｅfulＰａcketInｓpectｉon），封包检验型防火墙主要运作在网络层，执行对每个连接的动态检验，也拥有应用程序的警示功能，让封包检验型防火墙可以拒绝非标准的通讯协议所使用的连结,预设自动侦测并阻挡.Ciscｏ2６00亦同时支持使用网络地址转换ＮeｔｗｏrｋAddｒｅssTrａｎｓlａtｉon（NAＴ）功能以及Roｕting路由模式,使网络环境架构更为弹性,易于规划管理。总部网络通过光纤连接外网,连接路由器交换机选择三层千兆交换机,三层千兆交换机之间用光纤连接,以满意内部网络VＬAＮ的划分，同时考虑到今后公司的进展，信息点扩充的需要。=２\*CＨIＮＥＳＥNUM３二、设计原则ＶＰN的设计包含以下原则：=１\＊ＧB4㈠平安性ＶＰＮ直接构建在公用网上，实现简洁、便利、灵敏,但同时其平安问题也更为突出。企业必需要确保其VＰN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExｔrａnetVPN将企业网扩展到合作伙伴和客户,对平安性提出了更高的要求.简略的有隧道与加密、数据验证、用户身份验证、防火墙与攻击检测。㈡网络优化构建VＰN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据供应牢靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络堵塞，产生网络瓶颈，使实时性要求高的数据得不到准时发送;而在流量低谷时又造成大量的网络带宽空闲。QOＳ通过流量猜测与流量掌握策略，可以依据优先级安排带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送,并预防堵塞的发生.一般地，二层和三层的ＱOS具有以下功能：=１＼*GＢ1⒈流分类:依据不同的用户、应用、服务器或URL地址等对数据流进行分类,然后才可以在不同的数据流上实施不同的QOS策略。流分类是实现带宽管理以及其他QOS功能的基础.AＣL就是流分类的手段之一.=2\＊GB1⒉流量整形与监管:流量整形是指依据数据流的优先级，在流量高峰时先尽量保证优先级高的数据流的接收/发送，而将超过流量限制的优先级低的数据流丢弃或滞后到流量低谷时接收／发送,使网络上的流量趋于稳定;流量监管则是指带宽大的路由器限制出口的发送速率，从而避开下游带宽小的路由器丢弃超过其带宽限制的数据包，消除网络瓶颈。=３\＊ＧB1⒊拥塞管理与带宽安排：依据肯定的比例给不同的优先级的数据流安排不同的带宽资源，并对网络上的流量进行猜测，在流量达到上限之前丢弃若干数据包，避开过多的数据包因发送失败的同时进行重传而引起更严重的资源紧张，进而提高网络的总体流量。=３＼*GB４㈢ＶPＮ管理VＰN要求企业将其网络管理功能从局域网无缝地延长到公用网，甚至是客户和合作伙伴.可以将一些次要的网络管理任务交给服务供应商去完成，企业自己就可完成很多网络管理任务。所以,一个完善的VPN管理系统是必不行少的。VPN管理的目标为：=１\＊GＢ１⒈减小网络风险:从传统的专线网络扩展到公用网络基础设施上,ＶPＮ面临着新的平安与监控的挑战。网络管理需要做到在允许公司分部、客户和合作伙伴对VPN访问的同时，还要确保公司数据资源的完整性.=２＼＊GB１⒉扩展性：ＶＰＮ管理需要对日益增多的客户和合作伙伴作出迅捷的反应,包括网络硬、软件的升级、网络质量保证、平安策略维护等。=３＼＊GB1⒊经济性：保证ＶPＮ管理的扩展性的同时不应过多地增加操作和维护成本。＝４＼*GＢ1⒋牢靠性：VPN构建于公用网之上，不同于传统的专线广域网,其受控性大大降低,故ＶＰN牢靠而稳定地运行是VPN管理必需考虑的问题。=5＼*ＧB1⒌ＶＰN管理主要包括平安管理、设备管理、配置管理、ACL管理、QOS管理等内容。实施过程=１\＊CＨＩNESENUM3一、网络结构企业通过Inｔernet数据传输平台,实施加密的VPN实现接入的方法有多种，针对杭州芝麻开门信息技术有限公司的网络现状,我们采纳IPＳecＶPＮ和ＰPTＰVＰＮ相结合的方法。总公司以一条光纤联机(ＩＳＰ安排的固定ＩP地址），而分公司以用光纤或ADSＬ联机均可(公网动态IP），作为联机的基础。总公司选择Cｉｓｃo26００机型，连接四条光纤（ADSL可选，ADSL可连接同一网络营运商来做备援服务，以避开单一营运商掉线的风险及不同运营商网络之间的互连);分公司也可采纳Cｉsｃｏ２６０0,各地分支机构可以选择不同网络营运商的线路。ＶPＮ联机采纳ＩＰSｅc协定，以保障联机的平安。网管人员只要将设备寄到分支机构,并供应总公司VPN通道IP、用户名及密码，即可由具一般计算机操作能力用户完成设定。在外出差或想要连回总部或分公司的用户也可使用ＰＰTP或ＩPSec方式连回企业网络，相对来说PPTＰ要比IPSec易配制，对移动办公用户比较适合。总部１0０信息点接入,选用Ｃiscｏ２600，内置３00条ipsｅc，100条pｐtp。杭州分支：40—50信息点接入，选用Cｉｓco2６０0,内置5０条iｐseｃ。丽水分支:２0信息点接入,选用Cｉｓｃｏ2600，内置50条ipｓｅc。=2\＊CHＩNESＥNUM３二、VPN相关组件的安装首先要正确观念,VPＮ服务器并不是独立成体的,此组件只是在远程用户访问过程中起到了中转角色,如果对方的用户名和密码正确及为其开出一个直线通道。其实建立一台VPN服务器很简洁，只要短短几步即可完成.=1\＊GB4㈠服务器端VPN的建立

步骤一、依次打开开头－程序-管理工具，在路由和远程访问窗口中单击操作按钮，并在弹出的菜单中选择配置并启用路由和远程访问,载入创建一个新服务器的向导，选择“自定义配置"（使用者可以依据自己的需求进行选择性配置，建议主机内安有双网卡的用户可以选择虚拟专用网络ＶPN访问NAＴ)。

步骤二、右击右边树形名目里的本地服务器名，选择[属性］并切换到IP选项卡，在这里按提示诼步填入相关ＩＰ地址及内容，这样一个简洁的ＶPN服务端建立完成了。=2＼*GB4㈡客户ＶPN的建立网络客户连接服务器也格外简洁，打开[我的电脑]选中掌握面板中的[网络连接］,在其内选择[网络和iｎteｒｎeｔ连接］［新建网络连接］,创建一个新的连接到一个商业网络(VPN）这样就可以连接到服务端了，在弹出的下一步对话框中输入网络用户名（这里任意命名)接下来输入用户名和密码（为了使用便利点击保存密码并发送到桌面快捷方式），客户端由此产生了。=３\＊CHINESEＮUM3三、IＰＳecＶPN的配置=１＼*GB４㈠IPSｅc的实现IPSec实现的ＶPＮ有四个配置部分:=1\*GＢ１⒈为IPSec做筹备为ＩPＳｅc做筹备涉及到简略的加密策略,包括确定我们要保护的主机和网络,选择一种认证,确定有关ＩPSec对等体的简略信息，确定我们所需要的ＩＰSｅｃ的特性,并且确认现有的访问掌握列表允许ＩPＳec数据流的通过。步骤一：依据对等体的数量与位置在IPＳec对等体之间确定一个IKＥ策略。步骤二：确定IPSｅｃ策略，包括ＩPSec对等体的简略信息，就如IＰ地址以及ＩPSｅc变换集和模式.步骤三：用ｓｈｏw命令来检查当前的配置。步骤四：确认在诶有加密前网络能够正常使用,用“pｉｎｇ"命令并在加密前运行测试数据流来排解基本的路由故障。步骤五：确认在边界路由器和防火墙中已经有的访问掌握列表允许ＩＰＳec数据流通过，或者想要的数据流将可以被过滤出来。=2\*GB1⒉配置IKE配置ＩKE涉及到启用IKE（IKE和isakmｐ是同义词），创建IKE策略,验证我们的配置。＝1\＊GB２⑴用”iｓａkmpｅｎablｅ”命令来启用或者关闭IKＥ；=2＼*GＢ２⑵用“isaｋmppolｉcｙ”命令创建IKＥ策略;=３\＊GB２⑶用“iｓakｍpkey"命令和相关命令来配置预共享密钥；=4\＊GB２⑷用“sｈｏwisakｍｐ［pｏlicy］”命令来验证IＫE的配置。＝3\＊GＢ１⒊配置IPSeｃＩＰSec配置包括创建加密用访问掌握列表、定义变换集、创建加密图条目、并将加密集应用到接口上去。＝1\＊GＢ2⑴用acceｓｓ－ｌisｔ命令来配置加密用访问掌握列表;=２\＊GB2⑵用ｃryptoipｓectrａｎsfｏrm。Ｓet命令配置变换集；=３＼＊GB2⑶（任选）用cryptｏiｐsecsecurｉty－ａsｓoｃiａｔiｏnlifeｔｉme命令来配置全局性的IPＳec平安关联的生存期;=4＼＊ＧB２⑷用cryｐtomａp命令来配置加密图；=5\＊GB2⑸用iｎterｆace命令和cryptｏmapｍａp.Nameiｎterｆacｅ应用到接口上;=6\＊GＢ2⑹用各种可用的sｈoｗ命令来验证ＩＰSeｃ的配置。=4\＊GB1⒋测试和验证ＩPSec使用“show”、“ｄｅbug”和相关的命令来测试和验证IＰSｅｃ加密工作是否正常，并且用来排解故障。＝2＼*GＢ4㈡路由器端的配置本部分的配置主要是针对路由器IPSｅc的配置,对于路由器中开头部分已简略。路由器之间的地址安排如表３—１所示。表３-1地址安排图总部分支机构(杭州）分支机构(丽水）内部网段网号１72．２2.1．０172.22。2.017２．２2。3.0互联网段网号１6８．1．1。０167.1。1．０16６．1.１.0路由器内部端口IP地址172．2２．1.1001７２.22。２.1０0172。22．3．100路由器Iｎtｅrｎeｔ端口IP地址168。1．１．1１67.1.1．11６6.1．1。1路由器串口IP地址20２．９6.１．１202。96．1.2202．9６.1.3隧道端口地址1９２.168。1.1１9２。16８．１.２１92.１68。1．3总部端路由器和两分支端路由器配置分别如下:=1\*GB１⒈总部与杭州分支间的配置,其简图如图３－3所示.图３-3总部与杭州分支的网络简图=1＼*GB2⑴总部路由器配置当前路由器提示,视图依次输入的配置命令,//后为简洁说明。cryptｏiｓakｍｐｐｏｌiｃy1/／配置IKＥ策略1autheｎticａtｉonｐｒｅ—sｈare//IＫE１的验证方法设为pｒｅ—shareｇrouｐ2；１０2４-biｔＤｉffiｅ－Hellman//加密算法未设置则取默认值:DＥＳcryptoisakmpkeytest123addreｓs２0２．９6。１。2//设置ｐre－ｓhａre的密钥为test１23,此值两端需全都crｙptoiｐｓecｔｒansform—seｔVPＮｔagah－mｄ5-ｈｍａｃasp－dｅs／/设置AH散列算法为ｍd5,！ＥＳＰ加密算法为DＥＳｃｒyptomapVＰNdemo10ipsec－ｉｓakmp//定义cryptoｍapsetpeｅｒ２０2.96。1．２／／设置隧道对端IP地址sｅttraｎsｆoｒm－setVPNｔaｇ／/设置隧道ＡＨ及EＳＰmaｔcｈaｄdrｅｓs１０1！ｉntｅrfaceＴｕｎnel0／／定义隧道接口ｉpaｄdｒess１92.168．1.１２５5．255。255.０//隧道端口IP地址noipdirecteｄ－ｂroadcaｓttunnｅｌsｏurｃe20２.９6.1.１//隧道源端IP地址tｕｎｎeldｅsｔｉnａtion２０2．96.1.2／/隧道目的端IP地址cryptｏｍapVＰNdeｍｏ//应用VPＮｄeｍo于此端口ｉnｔeｒｆａｃeSｅｒial０/0ipａddress２０２.96.１．１2５５.255.25５.2５2／/串口IｎterｎｅtIP地址nｏiｐｄireｃteｄ－ｂroadcaｓtcrｙptomapVPNdemo//应用VＰNdemo于此串口！IｎteｒfaｃeＥtherｎｅt0/1Ｉpadｄresｓ１6８．1.1.1２5５．２５5。２５5。0//外部端口IＰ地址nｏｉｐdirected—broadｃaｓtInｔerfａｃeＥtherｎeｔ0/０Iｐaddress17２.22。1.100255．２5５.255.０／／内部端口ＩP地址noipdiｒｅctｅｄ—ｂroａｄｃast!IpcｌasｓｌesｓIｐrｏuｔe0.0．０．0０.0.０.0202．１96．1．2／/默认路由Ipｒoｕte１７2。22．１。１０02５５.２55．２５５.0//到内网静态路由（经过隧道)Accｅss.ｌｉｓｔ101pｅrｍitgｒehoｓｔ202．９6。1.1host20２.96．1．２//定义存取列表＝2\＊GB2⑵杭州分支的路由器配置cｒyptoｉｓakmｐpｏlｉｃｙ1/／配置ＩKE策略1aｕthenticatｉｏnpre－ｓhare/／IKE１的验证方法设为prｅ-shａrｅgroup2;1０２4-bｉｔDiｆfｉe—Hellman/／加密算法未设置则取默认值：ＤEScryptoisａkｍｐkｅyｔeｓｔ１２３addresｓ２０２。96．1。1／/设置pｒｅ—ｓhａrｅ的密钥为tｅｓt１23，此值两端需全都ｃｒyｐtｏipsectrａnsfｏrｍ-ｓeｔＶPNｔagah-ｍd5-ｈｍａｃasp-des／/设置AH散列算法为md５,！ESP加密算法为DＥScｒyptomａｐVPＮdeｍo10ipｓec－isakmp/／定义cｒyptｏmaｐｓｅtｐeer２0２.9６．1.1／／设置隧道对端IＰ地址settｒansfoｒｍ-setＶPＮtag/／设置隧道AＨ及ESＰmaｔchadｄreｓs１０１！iｎｔｅrfaceTuｎneｌ０//定义隧道接口iｐａddress192．1６8。１.2255．255．255。0／／隧道端口IP地址nｏiｐdirected－ｂrｏａｄcasttｕnnｅlsourcｅ202．96．1.2//隧道源端ＩP地址tｕnｎelｄｅstｉnaｔioｎ2０２.9６。１.1//隧道目的端IP地址cryptomaｐVＰＮdｅmo/／应用VＰNdeｍo于此端口iｎteｒfaceSerial０/0ipａdｄress202．96。1.２255.255．2５5．252//串口InｔerneｔIP地址ｎｏipdirected—ｂroadcａstｃrypｔｏmapＶＰNｄｅmｏ／/应用VＰNdｅmo于此串口！IｎｔｅrfaceEtｈｅrnｅt0/１Ｉpaddresｓ16７．1.1．1255.25５.２55。0/／外部端口IＰ地址ｎoiｐdiｒeｃｔed-bｒoａdcastInteｒfaceEtheｒｎｅｔ0/0Ipadｄreｓｓ172。22.2。100２５5.255．２５5．0／/内部端口ＩP地址nｏiｐdirｅcｔｅd－broａdcａst!IpcｌａsslｅssＩｐｒｏｕte０．0．0.00。0．０.０２02。196。1．1/／默认路由Ipｒouｔe172.2２。1．１０02５５.２５5.２５5.0／／到内网静态路由（经过隧道)Ａccess．lｉｓt1０1ｐeｒmｉtgｒｅｈｏsｔ２02.９6．1.2host2０2。96．１.1//定义存取列表=2\＊GＢ１⒉总部与丽水分支之间的配置,其简图如图3—4所示。图3—４总部与丽水分支的网络简图=1\*GB2⑴总部路由器配置ｃｒｙｐｔoisakmppolicy１／/配置IＫＥ策略１aｕthenｔicatiｏｎpｒｅ－ｓharｅ／/ＩKE1的验证方法设为pｒe-shａregｒｏup2;１0２4—bitDｉffｉｅ－Hellmａn//加密算法未设置则取默认值：DＥSｃｒｙpｔoｉｓakmpｋｅｙtest123ａｄｄｒess202．９6.１．3//设置pｒe—sharｅ的密钥为tesｔ123，此值两端需全都cｒyptoipｓｅｃtransｆoｒｍ-setVPNtagah-md5-ｈmａcａｓｐ－ｄｅs／/设置ＡH散列算法为ｍd5,!ESP加密算法为DESｃｒypｔoｍapVPNdｅmo10ｉpｓeｃ－isａkmp／/定义cryptoｍａpseｔpeer202.９6.1.３／／设置隧道对端IP地址ｓeｔtｒansｆｏrm－sｅｔＶPNtａg//设置隧道AH及ESPmａtchaddｒess１01!ｉnteｒｆaceTunnel0/／定义隧道接口ｉpaddｒｅss１9２．1６8。1。1２5５.２5５。2５5。0／/隧道端口IP地址nｏipdｉｒecｔed-bｒｏadcastｔｕnnelsourｃe2０２．９６．1.1/／隧道源端IP地址tｕｎneldｅstｉnation20２。9６.1。3/／隧道目的端ＩP地址cryptoｍapVPNdｅｍo/／应用VPNｄｅｍo于此端口interfaceSｅｒial０/0ipａddｒｅss202.96．１。１255。25５.2５5。２52//串口InterｎｅtＩP地址ｎoｉｐdireｃｔeｄ-broadｃastcrｙｐtｏｍａpVＰＮdｅmｏ//应用VＰNｄemo于此串口!InｔeｒｆaceEｔhernet0／1Ipaｄｄress168.１．1．12５5。２55．2５5。０／／外部端口IＰ地址ｎｏipｄｉreｃtｅd—ｂrｏaｄcastInterfaceＥthｅrnｅt0/0Ipａddｒesｓ１72．22.1。１０0255.25５.25５.0/／内部端口ＩP地址noipdｉrecteｄ－brｏadｃａｓｔ!ＩpclａsslｅssIｐroutｅ０.0。0．00．0.0。0202．1９6.１。３／/默认路由Iprouｔe１72．２2．1．１00255.２5５．2５５.0//到内网静态路由（经过隧道）Aｃceｓs.lｉst１０１ｐｅrmiｔgｒeｈoｓt２0２．96。1。１ｈost202.９6．1。３//定义存取列表＝2\＊GB２⑵丽水分支的路由器配置ｃryｐｔoisaｋｍppolicy1//配置IＫE策略1auｔhｅnticａｔionｐre－ｓｈare/／IKＥ1的验证方法设为pｒｅ—sharｅｇrｏuｐ2;1０24-bｉｔDiffie－Hｅｌlｍaｎ//加密算法未设置则取默认值：DEＳcrｙpｔoisakmｐkeytｅｓt123adｄresｓ202．９6.1。1//设置ｐｒe－share的密钥为tesｔ12３，此值两端需全都cryｐｔoｉｐsｅｃtrａnsｆorm-seｔＶPNtagａh-mｄ5－hmacａsp-des／/设置AＨ散列算法为md５,！ESＰ加密算法为DEScrｙptomａｐVPNｄemｏ10ｉｐsec—isakmp//定义cryptｏmａｐsetｐeｅr２02。９６.1。1／/设置隧道对端IP地址ｓｅttraｎsｆｏrｍ—setVＰNｔag//设置隧道AH及ＥSPｍａtｃｈaddｒｅss101!iｎterfａceTｕｎnel0//定义隧道接口ipaddｒｅｓs192.16８.１.32５５.２５5。2５5．0//隧道端口IP地址ｎoipｄiｒected-ｂrｏadｃasttｕnnelｓｏurce202．９6。1．3／/隧道源端IP地址tuｎneldｅsｔiｎａtｉon202。96．１.1/／隧道目的端IP地址cryptomａpVＰNｄｅmo//应用ＶＰNｄemo于此端口inｔｅｒfaｃeＳｅrial0/0ｉpaｄdｒesｓ２02。96．１。3２５5.255。255。252//串口IntｅrnetIP地址ｎoiｐdirectｅd-brｏａdcａstcryｐtomaｐVPNdｅmｏ/／应用VPNｄemｏ于此串口！InｔｅrｆａｃeEthernｅｔ0/1Ipadｄｒeｓs166．1。1。125５.255.２５５.０//外部端口IP地址nｏｉpｄiｒeｃｔｅd－broaｄｃaｓtIntｅrfaｃeEthernet0/0Ipａddrｅsｓ1７2.２２。3.１0025５．２5５。２5５.０/／内部端口IP地址ｎoipdirected—ｂrｏａdcast!ＩpcｌａｓslesｓIｐｒoute0．0.0.００。0.0．020２。196.1．１/／默认路由Iｐｒoute17２．22.１。10０２55.２5５。2５5．０／/到内网静态路由(经过隧道）Acceｓｓ．lisｔ１01permｉtgrｅhｏst２0２。9６。1。3host202。９６.１．1/／定义存取列表＝3\＊ＧB４㈢工作过程简介远程拨号用户首先与本地ISＰ（NSP）的远程访问服务(NAS)建立PＰP连接,再与中心ＬAN网关之间建立隧道从而建立数据链路连接，在此过程中,由ISＰ的远程访问服务器对远程用户的用户名和密码进行认证，身份确认后安排给远程用户一个ＩＰ地址，这个IP地址就是Ｉntｅｒnｅｔ全局ＩＰ地址，用它可以访问Inｔerｎet；中心网关也对远程拨号用户的用户名和口令进行认证（一般而言，用户在ＩSP注册的身份和在中心网关注册的身份是全都的)，并安排给拨号用户一个IＰ地址，这个IＰ地址即是访问中心LAＮ的IP地址，也是访问其内部的IP地址，远程用户在猎取该地址后,就可以访问中心LAN服务器在建立隧道的过程中,PPP帧被封装成PPTP帧,再将PPTP帧封装成ＩP报文,在IＰ报文中,源IP地址是本地的ISP安排的Iｎterｎet全局IP地址,目地IP地址是由中心LAN网关安排的ＩP地址报文经Ｉｎｔｅｒnet到达中心LＡＮ网关后，中心ＬＡN网关依据ＩP报文的目地地址将报文转发给中心LAN内的服务器，同时分离出ＰPTP帧，再从PＰTP帧中分离出ＰPP帧，然后对远程用户的ＰPP帧进行处理.中心服务器对接收到的用户信息进行处理，同时给出答复信息，该信息被封装成ＩP报文在这个IＰ报文中，源ＩP地址是服务器在中心LAＮ内的IP地址,目的IP地址是中心LＡN网关安排给远程用户的IＰ地址中心LAN网关依据报文的目地地址获知该报文传输必须通过隧道传输，并将该报文封装成PPＰ帧格式，然后将ＰPＰ帧格式封装成PPTP帧格式，再嵌入IＰ报头形成ＩP报文,转发给Inｔｅrneｔ,在这个报文中,源IP地址是由中心LAN网关安排的全局IＰ地址，目的IP地址是ISP安排给远程拨号用户的Inｔerｎet全局IP地址.方案的实施效果使用VＰN结构，可以实现两个办公室之间的联机，可通过VPN建立的隧道,经由先进的加密技术平安地相互传送，不会被恶意第三者截取分析；非标准TＣＰ/IP的应用，也可通过VＰＮ专有隧道连通,就像在同一个局域网一样；在外移动的行动用户,只要可以连上网路，即可通过VPN设定连回公司,使用各种办公室应用;办公室间的传输，例如视频会议、语音通讯，通过VＰN即不受到网路运行商的管制，带宽不会受到限制.VＰN上的设施和服务完全掌握在企业手中。企业可以把拨号访问权交给NSP去做，而自己负责用户的查验、访问权、网络地址、平安性和网络变化管理等重要工作。通过采纳“隧道”技术，在公众网中形成企业的平安、机密、顺畅的专用链路。企业不必租用长途专线建设专网,不必大量的网络维护人员和设备投资,节省成本。结论与启示VPＮ的优势通过组网,我们体会到了VＰN的优势主要在以下四个方面:一、降低成本：同传统的专用网络相比，虚拟专用网的一个显著优势就是成本低