VPN毕业设计论文

摘要VPN(VirtalPrivateNetwork)即虚拟专用网，是一条穿过公共网络的安全的稳定的通道。通过对网络数据的封包和加密传输，在因特网或其它网络上建立一条临时的、安全的、稳定的连接，从而实现在公网上安全地传输私有数据。普通VPN是对公司内部网络的扩展，通过它能够协助远程顾客、公司分支机构、商业伙伴及供应商同公司内部网建立可信的安全连接，并确保数据的安全传输。VPN可用于不停增加的移动顾客的全球因特网接入，以实现安全连接；可用于实现公司网站之间安全通道的虚拟专用线路，用于经济有效地连接到商业伙伴和顾客的安全外联网虚拟专用网。本文首先介绍了VPN的定义和研究影响。然后介绍了核心技术实现的VPN涉及隧道技术，其重要的安全合同，PPTP/L2TP合同，IPSEC合同，GRE合同，全部这些技术构建VPN网络提供理论根据。核心词：VPN、网络、隧道、IPSec、GREAbstractVPN(VirtalPrivateNetwork)isakindofsafeandsteadychannelworkthroughthepublicnetwork.Byencapsulateandencryptionofdata,atemporary,secureandsteadylinkcanbesetuponwhichtheprivatedatacanbetransfferdsafely.Usally,VPNisanextensiontotheenterpriseandvariousprovidersabletoconnecttothecompanyinnernetworkandtransferdatasafely.VPNcanbeusedtoprovidemobileusertoaccessinternetgloblely,andcanbeusedasvirtualprivatelinkfromenterprise,andalsocanbeusedtoeconomicalsecurelinksfromenterprise,andalsocanbeusedtoeconomicalsecurelinksfromenterprisetobusinesspartners.ThispaperfirstintroducesthedefinitionofVPNanditsstudyimplications.AndthenintroducesthekeytechnologiesforimplementingaVPNwhichincludestheTunneltechnologyanditsmainsecureprotocols,PPTP/L2TPprotocol,IPSECprotocol,GREprotocol,AllthesetechnologiesprovidethetheoreticalbasesforbuildingaVPNnetwork.Keyword:VPN,network,tunnel,safely，IPSec，GRE目录TOC\o"1-2"\h\z\u1.绪论 11.1VPN的定义 11.2VPN的课题背景 11.3VPN的设计目的 21.4论文的组织构造 32.VPN的技术分析 42.1VPN的工作原理 42.2VPN的分类 62.3VPN重要合同的介绍 72.4VPN的设计目的 82.5实现VPN的核心技术 102.6VPN两种合同的分析 133.基于GREVPN的架构 203.1基于GRE实验的需求分析 203.2GRE实验的设计 203.3GRE合同的VPN实现配备 214.基于IPSecVPN的架构 234.1基于IPSec实验的需求分析 234.2IPSec实验的设计 234.3IPSec合同的VPN实现环节及配备 245.IPSecoverGREVPN的分析与架构 365.1IPSec合同与GRE合同优缺点的分析 365.2IPSecoverGRE的原理及需求分析 375.3IPSecoverGRE实验的设计 385.4IPSecoverGRE的环节及配备 39致谢 48参考文献 49附录1英文原文 50附录2中文译文 561.绪论1.1VPN的定义VPN（VirtualPrivateNetwork）被定义为通过一种公共网络（普通是因特网）建立一种临时的、安全的连接，是一条穿过混乱的公共网络的安全、稳定的隧道。虚拟专用网是对公司内部网的扩展与延伸。虚拟专用网能够协助远程顾客、公司分支机构、商业合作伙伴及供应商同公司的内部网络建立安全可信的连通通道，并确保数据的安全传输。虚拟专用网可用于不停增加的移动顾客的全球因特网接入，以实现安全连接；可用于实现公司网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和顾客的安全外联网虚拟专用网。1.2VPN的课题背景随着Internet和电子商务的蓬勃发展，经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁，各公司开始允许其生意伙伴、供应商也能够访问本公司的局域网，从而大大简化信息交流的途径，增加信息交换速度。这些合作和联系是动态的，并依靠网络来维持和加强，于是各公司发现，这样的信息交流不仅带来了网络的复杂性，还带来了管理和安全性的问题，由于Internet是一种全球性和开放性的、基于TCP/IP技术的、不可管理的国际互联网络，因此，基于Internet的商务活动就面临非善意的信息威胁和安全隐患。尚有一类顾客，随着本身的发展壮大与跨国化，公司的分支机构不仅越来越多，并且互相间的网络基础设施互不兼容也更为普遍。因此，顾客的信息技术部门在连接分支机构方面也感到日益棘手。顾客的需求正是虚拟专用网技术诞生的直接因素。 即使VPN在理解和应用方面都是高度复杂的技术，甚至拟定其与否合用于我司也一件复杂的事件，但在大多数状况下VPN的多个实现办法都能够应用于每个公司。即使不需要使用加密数据，也可节省开支。因此，在将来几年里，客户和厂商很可能会使用VPN，从而使电子商务重又获得生机，毕竟全球化、信息化、电子化是大势所趋。1.3VPN的设计目的普通来说，公司在选用一种远程网络互联方案时都但愿能够对访问公司资源和信息的规定加以控制，所选用的方案应当既能够实现授权顾客与公司局域网资源的自由连接，不同分支机构之间的资源共享；又能够确保公司数据在公共互联网络或公司内部网络上传输时安全性不受破坏。因此，最低程度，一种成功的vpn方案应当能够满足下列全部方面的规定：(1)顾客验证vpn方案必须能够验证顾客身份并严格控制只有授权顾客才干访问vpn。另外，方案还必须能够提供审计和记费功效，显示何人在何时访问了何种信息。(2)地址管理vpn方案必须能够为顾客分派专用网络上的地址并确保地址的安全性。(3)数据加密对通过公共互联网络传递的数据必须通过加密，确保网络其它未授权的顾客无法读取该信息。(4)密钥管理vpn方案必须能够生成并更新客户端和服务器的加密密钥。(5)多合同支持vpn方案必须支持公共互联网络上普遍使用的基本合同，涉及ip，ipx等。以点对点隧道合同(pptp)或第2层隧道合同(l2tp)为基础的vpn方案既能够满足以上全部的基本规定，又能够充足运用遍及世界各地的internet互联网络的优势。其它方案，涉及安全ip合同(ipsec)，即使不能满足上述全部规定，但是仍然合用于在特定的环境。本文下列部分将重要集中讨论有关vpn的合同和基于两种合同所完毕的实验。

1.4论文的组织构造本文分为五章，具体安排以下：第一章重要介绍VPN是什么，简朴介绍VPN这种技术，VPN由来的背景，VPN的设计的规定。第二章重要是对VPN技术的分析，介绍VPN工作的原理，本论文是基于VPN的何种分类，对VPN一系列合同的简朴介绍，VPN设计实现什么目的，实现VPN都需要有哪些技术，对本论文中两种合同的具体分析。第三章对基于GRE合同的VPN实现了需求、设计，在模拟软件上完毕本实验的操作。第四章基于有限的实验设备制订一种合理的需求分析，在需求产生后设计一种具体的实验，并在具体设备上完毕该实验。第五章基于上述两种实验的缺憾，结合两种合同的使用，合理完毕一种混杂网络上的实验。2.VPN的技术分析2.1VPN的工作原理把因特网用作专用广域网，就要克服两个重要障碍。首先，网络经常使用多个合同如IPX和NetBEUI进行通信，但因特网只能解决IP流量。因此，VPN就需要提供一种办法，将非IP的合同从一种网络传送到另一种网络。另首先，网上传输的数据包以明文格式传输，因而，只要看得到因特网的流量，就能读取包内所含的数据。如果公司但愿运用因特网传输重要的商业机密信息，这显然是一种问题。VPN克服这些障碍的措施就是采用了隧道技术：数据包不是公开在网上传输，而是首先进行加密以确保安全，然后由VPN封装成IP包的形式，通过隧道在网上传输，如图2-1所示：图1-1VPN工作原理图源网络的VPN隧道发起器与目的网络上的VPN隧道发起器进行通信。两者就加密方案达成一致，然后隧道发起器对包进行加密，确保安全（为了加强安全，应采用验证过程，以确保连接顾客拥有进入目的网络的对应的权限。大多数现有的VPN产品支持多个验证方式）。最后，VPN发起器将整个加密包封装成IP包。现在不管原先传输的是何种合同，它都能在纯IP因特网上传输。又由于包进行了加密，因此谁也无法读取原始数据。在目的网络这头，VPN隧道终止器收到包后去掉IP信息，然后根据达成一致的加密方案对包进行解密，将随即获得的包发给远程接入服务器或本地路由器，他们在把隐藏的IPX包发到网络，最后发往对应目的地。2.2VPN的分类从不同的角度看VPN，就能够得到不同的VPN类型,按照应用领域，我们能够把VPN分成下列三类：（1）远程访问（AccessVPN）远程移动顾客通过VPN技术能够在任何时间、任何地点采用拨号、ISDN、DSL、移动IP和电缆技术与公司总部、公司内联网的VPN设备建立起隧道或密道信，实现访问连接，此时的远程顾客终端设备上必须加装对应的VPN软件。推而广之，远程顾客可与任何一台主机或网络在相似方略下运用公共通信网络设施实现远程VPN访问。这种应用类型也叫AccessVPN(或访问型VPN)，这是基本的VPN应用类型。不难证明，其它类型的VPN都是AccessVPN的组合、延伸和扩展。（2）组建内联网（IntranetVPN）一种组织机构的总部或中心网络与跨地区的分支机构网络在公共通信基础设施上采用的隧道技术等VPN技术构成组织机构“内部”的虚拟专用网络，当其将公司全部权的VPN设备配备在各个公司网络与公共网络之间（即连接边界处）时，这样的内联网还含有管理上的自主可控、方略集中配备和分布式安全控制的安全特性。运用VPN组建的内联网也叫IntranetVPN。IntranetVPN是解决内联网构造安全和连接安全、传输安全的重要办法。（3）组建外联网（ExtranetVPN）使用虚拟专用网络技术在公共通信基础设施上将合作伙伴和有共同利益的主机或网络与内联网连接起来，根据安全方略、资源共享商定规则实施内联网内的特定主机和网络资源与外部特定的主机和网络资源互相共享，这在业务机构和含有互相协作关系的内联网之间含有广泛的应用价值。这样组建的外联网也叫ExtranetVPN。ExtranetVPN是解决外联网构造安全和连接安全、传输安全的重要办法。若外联网VPN的连接和传输中使用了加密技术，必须解决其中的密码分发、管理的一致性问题。2.3VPN重要合同的介绍2.3.1IntranetVPN的合用合同组建内联网的重要的合用合同有GRE、IPSecVPN、MPLSVPN三种。GRE合同能够对多个网络层合同的数据报文进行封装，被封装的数据报文能够在IP网络中传输。GRE采用了Tunnel技术，是VPN的三层隧道合同。但是它的安全性低。下文会具体介绍此合同。IPSecVPN是原则的网络安全合同，可觉得IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，从而有效抵抗网络攻击。IPSecVPN在网络的灵活性、安全性、经济性、扩展性等方面极具优势。MPLSVPN是指采用MPLS技术在宽带IP的骨干网络上构建公司IP专网，以实现跨地区、安全、高速、可靠的数据、音频等业务通信。MPLSVPN结合辨别服务、流量工程等有关技术，将公共网络可靠的性能，良好的扩展性，丰富的功效与专用网的安全、灵活、高效地结合在一起，可觉得顾客提供高质量的服务。2.3.2AccessVPN的合用合同远程访问的合用合同重要有IPSecVPN、VPDN、SSLVPN。IPSecVPN是一种很全方面的技术，在远程访问上仍然合用，因此该技术应用很广泛，本文有对IPSecVPN技术的具体叙述。VPDN是VPN业务的一种，具体包含的技术涉及PPTP、L2TP、PPPoE等，是基于拨号顾客的虚拟专用拨号网业务。即顾客以拨号接入的方式联网，并通过CDMA1x分组网络传输数据时，VPDN会对数据进行封装和加密，从而保障数据的私密性，并使VPN有达成私有网络安全级别。VPDN是运用IP网络的承载功效结合对应的认证和授权机制建立起来的一种安全的虚拟专用网，是一种很传统的VPN技术。SSLVPN指的是基于安全套接层合同建立远程安全访问通道的VPN技术。它是一种新兴的技术，随着Web的普及和电子商务、远程办公的兴起而发展起来。2.4VPN的设计目的在实际应用中，普通来说一种高效、成功的VPN应含有下列几个特点：（1）安全保障即使实现VPN的技术和方式诸多，但全部的VPN均应确保通过公用网络平台传输数据的专用性和安全性。在非面对连接的公用IP网络上建立一种逻辑的、点对点的连接，称之为建立一种隧道，能够运用加密技术对通过隧道传输的数据进行加密，以确保数据仅被指定的发送者和接受者理解，从而确保了数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简朴、方便、灵活，但同时其安全问题也更为突出。公司必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要避免非法顾客对网络资源或私有信息的访问。ExtranetVPN将公司网扩展到合作伙伴和客户，对安全性提出了更高的规定。（2）服务质量确保（QoS）VPN网络应当为公司数据提供不同等级的服务质量确保。不同的顾客和业务对服务质量确保的规定差别较大。如移动办公顾客，提供广泛的连接和覆盖性是确保VPN服务的一种重要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部公司网应用则规定网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的规定，如网络时延及误码率等。全部以上网络应用均规定网络根据需要提供不同等级的服务质量。在网络优化方面，构建VPN的另一重要需求是充足有效地运用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不拟定性使其带宽的运用率很低，在流量高峰时引发网络阻塞，产生网络瓶颈，使实时性规定高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制方略，能够按照优先级分派带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并防止阻塞的发生。（3）可扩充性和灵活性VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多个类型的传输媒介，能够满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。（4）可管理性从顾客角度和运行商的角度应可方便地进行管理、维护。在VPN管理方面，VPN规定公司将其网络管理功效从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。即使能够将某些次要的网络管理任务交给服务提供商去完毕，公司自己仍需要完毕许多网络管理任务。因此，一种完善的VPN管理系统是必不可少的。VPN管理的目的为：减小网络风险、含有高扩展性、经济性、高可靠性等优点。事实上，VPN管理重要涉及安全管理、设备管理、配备管理、访问控制列表管理、QoS管理等内容。2.5实现VPN的核心技术（1）隧道技术隧道技术(Tunneling)是VPN的底层支撑技术，所谓隧道，事实上是一种封装，就是将一种合同（合同X）封装在另一种合同（合同Y）中传输，从而实现合同X对公用网络的透明性。这里合同X被称为被封装合同，合同Y被称为封装合同，封装时普通还要加上特定的隧道控制信息，因此隧道合同的普通形式为（（合同Y）隧道头（合同X））。在公用网络（普通指因特网）上传输过程中，只有VPN端口或网关的IP地址暴露在外边。隧道解决了专网与公网的兼容问题，其优点是能够隐藏发送者、接受者的IP地址以及其它合同信息。VPN采用隧道技术向顾客提供了无缝的、安全的、端到端的连接服务，以确保信息资源的安全。VPN区别于普通网络互联的核心是隧道的建立，数据包通过加密后，按隧道合同进行封装、传送以确保安全性。隧道是由隧道合同形成的。隧道合同分为第二、第三层隧道合同，第二层隧道合同如L2TP、PPTP、L2F等，他们工作在OSI体系构造的第二层（即数据链路层）；第三层隧道合同如IPSec，GRE等，工作在OSI体系构造的第三层（即网络层）。第二层隧道和第三层隧道的本质区别在于：顾客的IP数据包被封装在不同的数据包中在隧道中传输。第二层隧道合同是建立在点对点合同PPP的基础上，充足运用PPP合同支持多合同的特点，先把多个网络合同（如IP、IPX等）封装到PPP帧中，再把整个数据包装入隧道合同。PPTP和L2TP合同重要用于远程访问虚拟专用网。第三层隧道合同是把多个网络合同直接装入隧道合同中，形成的数据包依靠网络层合同进行传输。无论从可扩充性，还是安全性、可靠性方面，第三层隧道合同均优于第二层隧道合同。IPSec即IP安全合同是现在实现VPN功效的最佳选择。（2）加解密认证技术加解密技术是VPN的另一核心技术。为了确保数据在传输过程中的安全性，不被非法的顾客窃取或篡改，普通都在传输之迈进行加密，在接受方再对其进行解密。密码技术是确保数据安全传输的核心技术，以密钥为原则，可将密码系统分为单钥密码（又称为对称密码或私钥密码）和双钥密码（又称为非对称密码或公钥密码）。单钥密码的特点是加密和解密都使用同一种密钥，因此，单钥密码体制的安全性就是密钥的安全。其优点是加解密速度快。最有影响的单钥密码就是美国国标局颁布的DES算法（56比特密钥）。而3DES（112比特密钥）被认为是现在不可破译的。双钥密码体制下，加密密钥与解密密钥不同，加密密钥公开，而解密密钥保密，相比单钥体制，其算法复杂且加密速度慢。因此现在的VPN大都采用单钥的DES和3DES作为加解密的重要技术，而以公钥和单钥的混合加密体制(即加解密采用单钥密码，而密钥传送采用双钥密码)来进行网络上密钥交换和管理，不仅能够提高了传输速度，还含有良好的保密功效。认证技术能够避免来自第三方的主动攻击。普通顾客和设备双方在交换数据之前，先核对证书，如果精确无误，双方才开始交换数据。顾客身份认证最惯用的技术是顾客名和密码方式。而设备认证则需要依赖由CA所颁发的电子证书。现在重要有的认证方式有：简朴口令如质询握手验证合同CHAP和密码身份验证合同PAP等；动态口令如动态令牌和X.509数字证书等。简朴口令认证方式的优点是实施简朴、技术成熟、互操作性好，且支持动态地加载VPN设备，可扩展性强。（3）密钥管理技术密钥管理的重要任务就是确保在开放的网络环境中安全地传递密钥，而不被窃取。现在密钥管理的合同涉及ISAKMP、SKIP、MKMP等。Internet密钥交换合同IKE是Internet安全关联和密钥管理合同ISAKMP语言来定义密钥的交换，综合了Oakley和SKEME的密钥交换方案，通过协商安全方略，形成各自的验证加密参数。IKE交换的最后目的是提供一种通过验证的密钥以及建立在双方同意基础上的安全服务。SKIP重要是运用Diffie-Hellman的演算法则，在网络上传输密钥。IKE合同是现在首选的密钥管理原则，较SKIP而言，其重要优势在于定义更灵活，能适应不同的加密密钥。IKE合同的缺点是它即使提供了强大的主机级身份认证，但同时却只能支持有限的顾客级身份认证，并且不支持非对称的顾客认证。（4）访问控制技术虚拟专用网的基本功效就是不同的顾客对不同的主机或服务器的访问权限是不同的。由VPN服务的提供者与最后网络信息资源的提供者共同来协商拟定特定顾客对特定资源的访问权限，以此实现基于顾客的细粒度访问控制，以实现对信息资源的最大程度的保护。访问控制方略能够细分为选择性访问控制和强制性访问控制。选择性访问控制是基于主体或主体所在组的身份，普通被内置于许多操作系统当中。强制性访问控制是基于被访问信息的敏感性。2.6VPN两种合同的分析2.6.1IPSec合同IPSec是IETF提出的IP安全原则[2]它在IP层上对数据包进行安全解决提供数据源验证无连接数据完整性数据机密性抗重播和有限业务流机密性等安全服务多个应用程序完全能够享用IP层提供的安全服务和密钥管理而不必设计和实现自己的安全机制因此减少了密钥协商的开销也减少了产生安全漏洞的可能性IPSec可持续或递归应用在路由器防火墙主机和通信链路上配备实现端到端安全虚拟专用网络(VPN)RoadWarrior和安全隧道技术[1]。IPSec合同由核心合同和支撑模块构成。核心合同涉及AH(验证头)与ESP(封装安全载荷)支撑部分涉及加密算法HASH算法安全方略安全关联IKE密钥交换机制[4~7]IP技术是在原始的IP头部和数据之间插入一种IPSec头部，这样能够对原始IP负载实现加密，同时还能够实现对IPSec头部和原始IP负载的验证，以确保数据的完整性。IPSec的构造是一种框架性的构造，IPSec没有具体的加密和散列函数，它是每一次的IPSec会话所用的具体算法都是通过协商来拟定，这样更含有安全性。还涉及IPSec框架中的封装合同和模式、密钥使用期等内容都是通过协商决定，在两个IPSec对等体之间协商的合同叫做IKE。协商完毕后产生安全关联SA，实现安全通信。IPSec是IETF(InternetEngineerTaskForce)正在完善的安全原则，它把几个安全技术结合在一起形成一种较为完整的体系，受到了众多厂商的关注和支持。通过对数据加密、认证、完整性检查来确保数据传输的可靠性、私有性和保密性。IPSec由IP认证头AH(AuthenticationHeader)、IP安全载荷封载ESP(EncapsulatedSecurityPayload)和密钥管理合同构成。IPSec的体系构造如图2-2所示：IPsec体系IPsec体系封装安全负载（ESP）认证包头（AH）加密算法认证算法解释域密钥管理方略图2-2IPSec的体系构造IPSec合同是一种范畴广泛、开放的虚拟专用网安全合同。IPSec适应向IPv6迁移，它提供全部在网络层上的数据保护，提供透明的安全通信。IPSec用密码技术从三个方面来确保数据的安全。即:认证：用于对主机和端点进行身份鉴别。完整性检查：用于确保数据在通过网络传输时没有被修改。加密：加密IP地址和数据以确保私有性，这样就算被第三方捕获后也无法将其恢复成明文。IPSec合同能够设立成在两种模式下运行:一种是隧道模式，一种是传输模式。在隧道模式下，IPSec把IPv4数据包封装在安全的IP帧中,这样保护从一种防火墙到另一种防火墙时的安全性。在隧道模式下，信息封装是为了保护端到端的安全性，即在这种模式下不会隐藏路由信息。隧道模式是最安全的，但会带来较大的系统开销。IPSec现在还不完全成熟，但它得到了某些路由器厂商和硬件厂商的大力支持。预计它此后将成为虚拟专用网的重要原则。IPSec有扩展能力以适应将来商业的需要。在1997年终，IETF安全工作组完毕了IPSec的扩展，在IPSec合同中加上ISAKMP(InternetSecurityAssociationandKayManagementProtocol)合同，其中还涉及一种密钥分派合同Oakley。ISAKMP/Oakley支持自动建立加密信道，密钥的自动安全分发和更新。IPSec也可用于连接其它层己存在的通信合同，如支持安全电子交易(SET:SecureElectronicTransaction)合同和SSL（SecureSocketlayer）合同。即使不用SET或SSL,IPSec都能提供认证和加密手段以确保信息的传输。2.6.2GRE合同GRE（GenericRoutingEncapsulation，通用路由封装）合同是对某些网络层合同（如_blank\\""IP和IPX）的数据报进行封装，使这些被封装的数据报能够在另一种网络层合同（如IP）中传输。GRE是VPN（VirtualPrivateNetwork）的第三层隧道合同，在合同层之间采用了一种被称之为Tunnel（隧道）的技术。Tunnel是一种虚拟的点对点的连接，在实际中能够当作仅支持点对点连接的虚拟接口，这个接口提供了一条通路使封装的数据报能够在这个通路上传输，并且在一种Tunnel的两端分别对数据报进行封装及解封装。

一种报文要想在Tunnel中传输，必须要通过加封装与解封装两个过程，下面介绍这两个过程如图2-3所示：图2-3IPX网络通过GRE隧道互联(1)加封装过程

连接NovellGroup1的接口收到IPX数据报后首先交由IPX合同解决，IPX合同检查IPX报头中的目的地址域来拟定如何路由此包。若报文的目的地址被发现要路由通过网号为1f的网络（Tunnel的虚拟网号），则将此报文发给网号为1f的Tunnel端口。Tunnel口收到此包后进行GRE封装，封装完毕后交给IP_blank\\""模块解决，在封装IP报文头后，根据此包的目的地址及路由表交由对应的网络接口解决。

(2)解封装的过程

解封装过程和加封装的过程相反。从Tunnel接口收到的IP报文，通过检查目的地址，当发现目的地就是此路由器时，系统剥掉此报文的IP报头，交给GRE合同模块解决（进行检查密钥、检查校验和及报文的序列号等）；GRE合同模块完毕对应的解决后，剥掉GRE报头，再交由IPX合同模块解决，IPX合同模块象看待普通数据报同样对此数据报进行解决。系统收到一种需要封装和路由的数据报，称之为净荷（payload），这个净荷首先被加上GRE封装，成为GRE报文；再被封装在IP报文中，这样就可完全由IP层负责此报文的向前传输（forwarded）。人们常把这个负责向前传输IP合同称为传输合同（deliveryprotocol或者transportprotocol）。

封装好的报文的形式以下图2-4所示：图2-4封装的Tunnel报文格式举例来说，一种封装在IPTunnel中的IPX传输报文的格式以下图2-5所示：图2-5Tunnel中传输报文的格式2.3.3PPTP/L2TP1996年，Microsoft和Ascend等在PPP合同的基础上开发了PPTP，它集成于WindowsNTServer4.0中，WindowsNTWorkstation和Windows9.X也提供对应的客户端软件。PPP支持多个网络合同，可把IP、IPX、AppleTalk或NetBEUI的数据包封装在PPP包中，再将整个报文封装在PPTP隧道合同包中，最后，再嵌入IP报文或帧中继或ATM中进行传输。PPTP提供流量控制，减少拥塞的可能性，避免由于包丢弃而引发包重传的数量。PPTP的加密办法采用Microsoft点对点加密(MPPE:MicrosoftPoint-to-Point)算法，能够选用较弱的40位密钥或强度较大的128位密钥。1996年，Cisco提出L2F(Layer2Forwarding)隧道合同，它也支持多合同，但其重要用于Cisco的路由器和拨号访问服务器。1997年终，Microsoft和Cisco公司把PPTP合同和L2F合同的优点结合在一起，形成了L2TP合同。L2TP支持多合同，运用公共网络封装PPP帧，能够实现和公司原有非IP网的兼容。还继承了PPTP的流量控制，支持MP(MultilinkProtocol)，把多个物理通道捆绑为单一逻辑信道。L2TP使用PPP可靠性发送(RFC1663)实现数据包的可靠发送。L2TP隧道在两端的VPN服务器之间采用口令握手合同CHAP来验证对方的身份.L2TP受到了许多大公司的支持.PPTP/L2TP合同的优点:PPTP/L2TP对用微软操作系统的顾客来说很方便，由于微软己把它作为路由软件的一部分。PPTP/L2TP支持其它网络合同。如NOWELL的IPX,NETBEUI和APPLETALK合同,还支持流量控制。它通过减少丢弃包来改善网络性能，这样可减少重传。PPTP/L2TP合同的缺点:PM和L2TP将不安全的IP包封装在安全的IP包内，它们用IP帧在两台计算机之间创立和打开数据通道，一旦通道打开，源和目的顾客身份就不再需要，这样可能带来问题，它不对两个节点间的信息传输进行监视或控制。PPTP和L2TP限制同时最多只能连接255个顾客，端点顾客需要在连接前手工建立加密信道，认证和加密受到限制，没有强加密和认证支持。PPTP/L2TP最适合于远程访问VPN.3.基于GREVPN的架构3.1基于GRE实验的需求分析山东科技大学有多个校区，涉及青岛校区（总校）、泰安校区、济南校区，总校与分校之间不可避免需要访问彼此私有地址服务器的信息，为了实现彼此数据的安全访问，我们学校使用了VPN技术。因此我对VPN进行了学习，由于两个校区可能用到不同网络合同，因此我采用了GRE技术。通过GRE技术在不同的两个校区之间建立了一种点到点的GRE隧道，前期处在学习阶段，因此在GRE的隧道口上运行了静态路由合同，又来学习彼此的网络路由。两点之间的流量通过GRE隧道封装穿越Internet。3.2GRE实验的设计本实验使用模拟软件所做的PT实验，隧道建立在路由器上，没有专门的VPN网关来管理。在青岛校区和泰安校区之间建立GRE隧道，通过对两边沿路由器的配备，实现两校区之间无障碍通信。下面是实验拓扑图图3-1：图3-1GRE实验拓扑图3.3GRE合同的VPN实现配备3.3.1分别各个路由器端口、PC机和服务器配备地址IP规划表：Internet/24青岛总校/24Internet/24济南校区/24Internet/24泰安校区/24青岛总校54/24服务器/24青岛总校54/24主机2/24青岛总校54/24主机1/24本实验配备的核心在青岛总校，因此下面重要介绍总校的配备。配备以下：interfaceTunnel0ipaddresstunnelsourceFastEthernet0/0tunneldestinationinterfaceTunnel1ipaddresstunnelsourceFastEthernet0/0tunneldestination（iprouteiprouteiproute.0f0/13.3.2重要设备之间连通性测试下面是主机1对连通性的测试图3-2所示：图3-2主机1对服务器的连通性测试4.基于IPSecVPN的架构4.1基于IPSec实验的需求分析山东科技大学的教务管理系统为了实现安全，只允许在校内网上访问，若老师或同窗在校外就无法访问，会带来很大不便。我们可通过建立IPSecVPN的加密隧道，实现出差和假期期间师生和学校之间的信息安全传输。IPSecVPN技术通过隧道技术、加解密技术、密钥管理技术、和认证技术有效的确保了数据在Internet网络传输的安全性，是现在最安全、使用最广泛的VPN技术。4.2IPSec实验的设计PC机模拟出差员工的PC，与VPN设备A（模拟公司出口VPN设备）通过IKE自动协商建立起IPSec的VPN加密隧道。使得PC机能安全访问到VPN设备A所保护的内部服务器。实验时，能够在服务器上开设FTP服务或者Web服务，在VPN隧道建立成功后，PC机将能够访问到这些服务。移动顾客（即PC机）在和VPN设备建立VPN隧道前，需要先获得VPN设备的身份验证许可。该实验所采用的顾客身份验证为口令方式，并且口令账号的颁发由VPN设备A来完毕。移动顾客（即PC机）在通过VPN设备A的身份验证后，VPN设备A会自动将VPN隧道建立（即IKE协商）所需要的配备下发给PC机，然后PC机与VPN设备A之间自动开始IKE协商，协商成功后VPN隧道即建立成功。整个过程系统自动完毕，无需人为干预，是免配备的典型方式。本实验的拓扑图图4-1：图4-1IPSec实验拓扑图4.3IPSec合同的VPN实现环节及配备IPSec合同的VPN实现的具体环节的具体介绍以下：第一步：准备好PC机和服务器。1)实验中即能够通过服务器来管理VPN设备。2)在PC机上安装RG-SRA软件程序。注意：RG-SRA是VPN客户端软件程序，如果PC机上已预装其它厂家的VPN客户端程序，请先卸载其它厂家的VPN客户端程序，否则可能RG-SRA无法正常工作。RG-SRA作为安全产品，安装后会对系统的网卡、端口、合同等方面有改动，因此会和部分防火墙或者防病毒程序不兼容。现在通过测试，已知和市场主流的杀毒软件、防火墙是兼容的有：瑞星、天网、Symentec、微软等产品都兼容。已知的不兼容的软件有：卡巴司基、Sygate。因此建议用于测试的PC机卸载这两个程序。推荐顾客使用没有安装任何第三方防火墙、防病毒程序的机器来作实验。第二步：搭建图示实验拓扑，然后配备PC机、服务器、VPN设备A、route的IP及必要路由。示例以下：VPN设备A的eht1口地址：VPN设备A的eth0口地址：PC机的IP地址：PC机的网关地址：服务器的IP地址：服务器的网关地址：Route的F0/0地址:Route的F0/1地址:VPN设备A接口及缺省路由配备以下：1)通过服务器的超级终端，配备好VPN网关的IP地址显示以下图图4-2：图4-2VPN网关的IP地址2）配备连接服务器的接口eth1，以下图图4-3：图4-3网关的建立显示图4-4网关地址的配备3）建立服务器与VPN网关的连接，进而操作VPN网关。安全网关登录如图4-5所示：图4-5安全网关登录显示4）登录成功页面如图4-6所示：图4-6登录成功显示5)通过服务器上的VPN管理软件登录VPN设备A，然后配备eth0口地址，操作以下图4-7所示：图4-7网络接口显示设立eth0口地址如图4-8所示：图4-8外出接口配备第三步：配备IPSecVPN隧道1、在VPN设备A上进行IPSecVPN隧道配备：1)进入远程移动顾客VPN隧道配备的界面登录VPN设备A的管理界面，选择进入“远程顾客管理”界面，以下图所示：2)首先配备“允许访问子网”图4-9添加可访问的子网显示3)配备“本地顾客数据库”图4-10添加远程顾客注意：添加完顾客后一定要点击“顾客生效”按钮，否则新添加的顾客仍然不可使用。4)配备“虚IP地址池”图4-11虚IP地址池中IP地址的配备显示5)配备“顾客特性码表”图4-12顾客特性码绑定显示配备阐明：“顾客特性码表”是为需要将远程PC的硬件和分派给顾客的身份信息绑定的需求而设计的。选择了“允许接入并自动绑定”功效，则VPN设备会将远程顾客的PC硬件特性码与该顾客的身份认证信息互相绑定，绑定后该顾客将无法用自己的身份信息再在其它PC设备上建立VPN隧道。该实验中我们既能够选择“允许接入”，也能够选择“允许接入并自动绑定”。系统默认配备是“严禁接入”。图示选择的是“允许接入”，这表达该顾客的身份信息不会和其使用的PC硬件绑定。2、在PC机上运行RG-SRA程序，开始建立VPN隧道：1）第一次运行RG-SRA程序后，建立连接：图4-13登录远程顾客添加VPN连接3)运行该隧道连接，建立VPN隧道，并启动隧道连接。图4-14VPN隧道的建立输入身份认证所必须的账号，即在VPN设备A上添加的顾客。图4-15顾客登录点击“连接”按钮后，系统自动进行身份认证，并且开始IKE的协商，以下图4-16所示：图4-16远程顾客登录显示2、在VPN设备A的管理界面也可看到已经建立成功的隧道信息。隧道启动后能够在“隧道协商状态”栏目下看到隧道的协商状态，“隧道状态”显示“第二阶段协商成功”。图4-17登录成功且IKE协商成功第四步：进行隧道通信从PC机上去访问服务器提供的服务，服务应当成功。或者先在PC机上Ping一下服务器的IP，应当能够Ping通。（没有VPN隧道前Ping会是失败的）VPN隧道的通信状况能够在“隧道通信状态”中查看到，以下图4-18所示：图4-18隧道协商状态5.IPSecoverGREVPN的分析与架构5.1IPSec合同与GRE合同优缺点的分析5.1.1IPSec合同的优缺点IPSec合同的优点：①IPsec工作在传输层之下，因此对应用层是透明的，当在路由器或者防火墙上安装IPsec时，无需要更改顾客或服务器系统中的软件设立。即使在终端系统中执行IPsec，应用程序等上层软件也不会受影响。另外，IPsec也可觉得单个顾客提供主机到主机的安全隧道，保护客户的敏感信息。IPsec选择在IP成是一种较好的选择，更加好级别的服务只能保护某一种合同，更低档别的服务则只能保护某一种通信媒体，而IPsec则能够保护IP之上的任何合同和IP之下的任何通信媒体。②IPsec含有模块化的设计，即使选择不同的算法，也不会影响到其它部分的实现，不同顾客群能够根据自己的需求选择适宜的算法集。③IPsec使用包过滤的方式进行访问控制。则按能够减少握手的时间，一次握手就能够传送大量的数据，特别合用于传输数据量大的应用。④VPN交换机的分离通道特性为IPsec客户端提供同时对internet，extranet和本地网络访问的支持，该技术能够设立权限，允许顾客的访问权限，如允许本地打印和文献共享访问，允许直接internet访问和允许安全外网访问，该特性使用顾客在安全条件下合理方便的使用网络资源，现有安全性又有灵活性。IPsec定义了开放的体系构造和框架。IPSec合同的缺点：IPSec需要已知范畴的IP地址或固定范畴的IP地址，因此在动态分派地址时不太适合于IPSec；除了TCP/IP合同以外，IPSec不支持其它合同；除了包过滤外，它没有指定其它访问控制办法；对于采用NAT方式访问公共网络的状况难以解决；IPSec现在还仅支持单播的（Unicast）IP数据包，不支持多播（Multicast）和广播（Broadcast）的IP数据包。5.1.2GRE合同的优缺点GRE合同的优点：①支持加密的多播传输。GRE隧道能够像真实的网络接口那样传递多播数据包，而单独使用IPSec，则无法对多播传输进行加密。多播传输的例子涉及OSPF,EIGRP,以及RIPV2。另外，大量的视频、VoIP以及音乐流程序使用多播。

②支持多个合同无法进行路由，例如NetBIOS或在IP网络上进行非IP传输。例如，能够在IP网络中使用GRE支持IPX或AppleTalk合同。GRE合同的缺点：

由于GRE是将一种数据包封装到另一种数据包中，因此可能会碰到GRE的数据报不小于网络接口所设定的数据包最大尺寸的状况。另外，不能避免网络侦听和攻击。无法确保数据的完整性和保密性。5.2IPSecoverGRE的原理及需求分析GRE（GenericRoutingEncapsulation，通用路由封装）合同是一种隧道合同，使用IP合同号47。GRE普通用来构建站点到站点的VPN隧道，它最大的优点是能够对多个合同、多个类型的报文进行封装，并在隧道中传输。但是GRE不提供对数据的保护（例如加密），它只提供简朴的隧道验证功效。IPSec（IPsecurity，IP安全性）的重要作用是为IP数据通信提供安全服务。IPSec不是一种单独合同，它是一套完整的体系框架，涉及AH、ESP和IKE三个合同。IPSec使用了多个加密算法、散列算法、密钥交换办法等为IP数据流提供安全性，它能够提供数据的机密性、数据的完整性、数据源认证和反重放等安全服务。但是由于IPSec不能够对组播报文进行封装，因此普通的路由合同报文无法在IPSec隧道中传输。这时我们能够结合使用GRE与IPSec，运用GRE对顾客数据和路由合同报文进行隧道封装，然后使用IPSec来保护GRE隧道的安全，即GREoverIPSecVPN。根据上述对两种合同的分析，单独配备基于预共享密钥的IPSecVPN，能够实现不同站点之间的网络互联，但是IPSec工作于网络层，是不能和NAT一起使用的，否则就会造成数据源和目的地址的混乱；并且不能形成内网之间的路由合同。这就需要将IPSec运行在GRE（tunnel）隧道之上，真实物理接口运行NAT进行网络地址转换，这就避免了IPSecVPN和NAT之间的冲突。使用GRE隧道的另外一种好处是能够在各个站点的隧道之间学习路由合同。GRE是通用路由封装合同，能够实现任意一种网络层合同在另一种网络层合同上的封装。5.3IPSecoverGRE实验的设计公司的总部与分部的一端未TCP/IP合同，因此不能够单纯使用IPSec合同，因此我们决定使用IPSecoverGRE。本实验设计的拓扑图以下图5-1所示：图5-1IPSecoverGRE实验拓扑图5.4IPSecoverGRE的环节及配备5.4.1.配备网络互联的基本参数1）配备R2和R3网络之间的基本参数，并启用OSPF路由合同注意：在R2和R3上各配备了一条默认路由指向两边的末梢网络，这样公网就能够访问内网的数据了。图5-2对R2的配备图5-3对R3的配备2）使用showiproute查看R2和R3与否学习到了OSPF路由条目（OSPF路由条目以OIA显示）图5-4R2的路由显示3）配备私网出口路由R1和R4的基本参数，并配备一条默认路由指向公网图5-5对R1的配备图5-6对R4的配备5.4.2.配备GRE隧道，并启用EIGRP路由合同1)在R1和R4上配备tunnel1，并启用EIGRP路由合同。注意：只宣布内网网段和tunnel隧道的网段。图5-7R1上隧道1的建立图5-8R4上隧道1的建立2)使用showiproute查看内网之间学习的EIGRP路由条目（EIGRP的路由条目以D显示）图5-9R4上路由显示5.4.3.配备IPSec，并将其应用到GRE隧道上1)在R1和R4上分别配备IPSecVPN，并应用CryptoMAP到GRE隧道上（Tunnel1）。图5-10R1上对隧道1各合同的配备图5-11R4上对隧道1各合同的配备5.4.4.测试站点之间的连通性下面是ping之前和ping之后加密的数据图5-12连通性测试5.5.5.配备NAT实现网络地址转换1)在R1和R4上配备NAT（PAT），将私网地址全部转换成路由出口公网的IP地址图5-13R1上的NAT转换图5-14R4上的NAT转换2)然后在PC1上分别ping私网的IP地址和公网的IP地址，能够发现ping公网的IP地址都进行了NAT地址转换，而ping私网的IP地址都通过了隧道加密。图5-15连通成功显示致谢随着论文的完毕，近四年的大学生活也即将宣布结束了。我将铭记曾经直接或间接为本论文做出奉献和予以我指导和支持的老师们。在此，我首先向我的指导老师——***老师，表达最衷心的感谢。我在做毕业设计的学习和设计过程中碰到了不少困难，老师总能予以我指导和建议。感谢老师的协助，让我能够顺利的完毕我的毕业设计。另首先，感谢我同组俩位同窗***和***同窗，在我学习VPN的基础知识和做实验过程中，予以我的协助。我们互相学习，共同进步。最后，非常感谢网络工程专业的全部老师四年来对我的辛勤哺育和热心关心。感谢在一起学习一起生活的同窗。参考文献[1]高海英，薛元星，辛阳.VPN技术.第一版.北京.机械工业出版社..1-2[2]StevenBrown著.董小宇，魏鸿，马洁译.构建虚拟专用网.第一版.北京.人民邮电出版社..4-5[3]戴宗坤，唐三平.VPN与网络安全.第一版.北京.电子工业出版社..[4]邱亮，金悦.ISA配备与管理.第一版.北京.清华大学出版社..[5]李思齐.服务器配备全攻略.第一版.北京.清华大学出版社..[6]王达等.虚拟专用网（VPN）精解.北京.清华大学出版社..[7]CarltonR.Davis著.周永彬，冯登国等译.IPSEC:VPN的安全实施.北京.清华大学出版社.[8]科教工作室.局域网组建与维护.第一版.北京.清华大学出版社..[9]李文俊等.网络硬件搭建与配备实践.第一版.北京.电子工业出版社..[10]李莉，童小林译.网络互联技术手册.第四版.北京.人民邮电出版社..[11]高海英，VPN技术，[M]，机械工业出版社，[12]YusufBhaiji，NetworkSecurityTechnologiesandSolutions，[M]，CiscoPress

，附录1英文原文ANewVirtualPrevateNetworkforToday'sMobileWorldKarenHeymanVirtualprivatenetworkswereacriticaltechnologyforturningtheInternetintoanimportantbusinesstool.Today’sVPNsestablishsecureconnectionsbetweenaremoteuserandacorporateorothernetworkviatheencryptionofpacketssentthroughtheInternet,ratherthananexpensiveprivatenetwork.However,theytraditionallyhavelinkedonlyarelativelyfewnodesthatacompany’sITdepartmentcontrolsandcongures.Thisisnotadequateforthemanyorganizationsthatnowmustletmanagers,employees,partners,suppliers,consultants,ecommercecustomers,andothersaccessnetworksfromtheirownPCs,laptops,publiclyavailablecomputerslikethoseatairportkiosks,andevenmobiledevices,manynotcontrolledbytheorganization.VPNsbasedonInternetProtocolsecurity(IPsec)technologywerenotdesignedforandarenotwell-suitedforsuchuses.Insteadofrestrictingremoteuserswhoshouldnothaveaccesstomanypartsofacompany¡network,explainedGrahamTitterington,principalanalystwithmarket-researchfirmOvum,IPsec[generally]connectsusersintoanetworkandgivesthesamesortofaccesstheywouldhaveiftheywerephysicallyontheLAN.¡±OrganizationsarethusincreasinglyadoptingVPNsbasedonSecureSocketsLayertechnologyfromvendorssuchasAventail,CiscoSystems,F5Networks,JuniperNetworks,andNortelNetworks.SSLVPNsenablerelativelyeasydeployment,addedChrisSilva,ananalystatForresterResearch,amarket-researchrm.AcompanycaninstalltheVPNatitsheadquartersandpushanynecessarysoftwaretousers,whothenaccessthenetworkviatheirbrowsers,heexplained.Organizationsthusdonothavetomanage,update,orbuylicensesformultipleclients,yieldinglowercosts,lessmaintenanceandsupport,andgreatersimplicitythanIPsecVPNs,Silvasaid.Fromaremote-accessperspective,IPsecisturningintoalegacytechnology,¡±saidRichCampagna,Juniper¡SSLVPNproductmanagerNonetheless,IPsecVPNsarestillpreferableforsomeuses,suchaslinkingaremote,company-controllednode,perhapsinabranchofce,withthecorporatenetwork.BothVPNflavorsarelikelytocontinuetoourish,withthechoicePublishedbytheIEEEComputerSocietyAnearlyattempttocreateaVPNovertheInternetusedmultiprotocollabelswitching,whichaddslabelstopacketstodesignatetheirnetworkpath.Inessence,allpacketsinadatasettravelthroughdesignatedtunnelstotheirdestinations.However,MPLSVPNsdon'tencryptdata.IPsecandSSLVPNs,ontheotherhand,useencryptedpacketswithcryptographickeysexchangedbetweensenderandreceiveroverthepublicInternet.Onceencrypted,thedatacantakeanyrouteovertheInternettoreachit'snaldestination.Thereisnodedicatedpathway.USDefenseDepartmentcontractorsbeganusingthistechniqueasfarbackasthelate1980s,accordingtoPaulHoffman,directoroftheVPNConsortium.IntroducingIPsecVendorsinitiallyusedproprietaryandotherformsofencryptionwiththeirVPNs.However,toestablishastandardwaytocreateinteroperableVPNs,manyvendorsmovedtoIPsec,whichtheInternetEngineeringTaskForce(IETF)adoptedin1998.WithIPsec,acomputersendsarequestfordatafromaserverthroughagateway,actingessentiallyasarouter,attheedgeofitsnetwork.ThegatewayencryptsthedataandsendsitovertheInternet.Thereceivinggatewayqueriestheincomingpackets,authenticatesthesender'sidentityanddesignatednetwork-accesslevel,andifeverythingchecksout,admitsanddecryptstheinformation.BoththetransmitterandreceivermustsupportIPsecandshareapublicencryptionkeyforauthentication.December17FirewallTerminalservicesDecryptedtrafficFileandmediaserverInternetSSLencryptedRemoteuser:trafficBusinesspartnerKioskuserTemporarystaffTravelingstaffTelecommuterDesktopSSLVPN:AuthenticationAuthorizationDecryptionIntegritycheckWebproxyWebserverE-mailserverFigure1.InanSSLVPN,aremoteuserlogsintoadedicatedWebsitetoaccessacompany’snetwork.Theuser’sbrowserinitiatesthesessionwithacorporateserverordesktopcomputer,whichdownloadsthenecessarysoftwaretotheclient.ThesoftwareusesSSLforencryptingthetransmitteddata.Atthecorporatesite,theVPNsystemauthenticatesusers,determineswhatlevelofnetworkaccesstheyshouldhave,andifeverythingchecksout,decryptsthedataandsendsittothedesireddestination.UnlikeSSL,IPsecisimplementedasafullapplicationinstalledontheclient.Anditdoesn’ttakeadvantageofexistingbrowsercode.IPseclimitationsAccordingtoForrester’sSilva,corporateITdepartmentsincreasinglyneedtoletremoteusersconnecttoenterprisenetworks,whichischallengingwithIPsec.ThenormalpracticeofconguringIPsecVPNstoallowfullaccesstoanetworkcancreatevulnerabilities.Toavoidthis,administratorswouldhavetoconfigurethemtopermitaccessonlytopartsofanetwork,accordingtoPeterSilva,technicalmarketingmanagerforF5NetworksSSLVPNs.IPsecVPNsalsohavetroublelettingcertaintraffictransversefirewalls,heexplained.Thisisn’tusuallyaproblem,asmostcompanieshavethesamebasicportsopenbothinboundandoutbound.However,itispossiblethatonecompanywouldlettrafcoutoveraportthatanotherdoesn'tleaveopenforinbounddata.Bycontrast,thevastmajorityofcompanieshaveport80(dedicated)ComputerOpeninboundandoutbound,socrossing?rewallsisrarelyaproblemforSSLVPNs,whichareWeb-based.IPsecVPNsarefullprogramsandthusarelarge,generally6to8megabytes.Thismeanstheydownloadmoreslowlyanddon'talwaysworkwellonsmallerdevices.ENTERTHESSLVPNThefirstSSLVPNvendorwasNeoteris,purchasedinbyNetScreen,whichJuniperboughtthenextyear,accordingtoJuniper’sCampagna.SSLNetscapeCommunicationsdevelopedSSLandreleasedtherstpublicversionin1994.TheIETFadoptedthetechnologyasastandardin1999,namingitTransportLayerSecurity.However,mostusersstillcallitSSL.Thetechnology,whichoffersthesameencryptionstrengthsasIPsec,hasbeenusedlargelytosecurefinancialtransactionsontheWeb.InanSSLVPN,auserlogsintoadedicatedWebsite.ThebrowserinitiatesthesessionwiththeWebserver,whichdownloadsthenecessarysoftwaretotheclient,generallyusingeitherActiveXorJavacontrols.AdministratorscancongureanSSLVPNgatewaytoconductadditionalchecks,suchaswhethertheconnectingdevicehasthelatestsecurityupgrades.Duringthisprocess,theclientandserveridentifycommonsecurityparameters,suchasciphersandhashfunctions,andusethestrongestonestheybothsupport.TheVPNgatewayidentiesitselfviaadigitalcerti?catethatincludesinformationsuchasthenameofthetrustedauthoritythatissuedthecerticate,whichtheclientcancontactforverification,andtheserver'spublicencryptionkey.Thegatewaythensendsanencryptedsessioncookietothebrowsertostartthecommunications.Togeneratetheencryptionkeyusedforthesession,theclientencryptsarandomnumberwiththeserver’spublickeyandsendstheresulttotheserver,whichdecryptsitwithaprivatekey.Oncetheuser'sidentityisauthenticated,anSSLVPN,likeanIPsecVPN,allowsthelevelof