1、安徽中澳科技职业学院毕业设计(论文)基于 IPSec VPN 网络的规划与设计学生姓名: 系 部: 信息技术与艺术传媒系专 业: 12 级计算机网络技术指导教师: 日 期: 2014 年 6 月安徽中澳科技职业学院摘 要目前,TCP/IP 几乎是所有网络通信的基础,而 IP 本身是没有提供“安全”的,在传输过程中,IP 包可以被伪造、篡改或者窥视。针对这些问题, IPSec 可有效地保护 IP 数据报的安全,它提供了一种标准的、健壮的以及包容广泛的机制,可用它为 IP 及上层协议(如 UDP 和 TCP)提供安全保证。 目前许多电信运营商采用 IPSec 隧道加密技术,在宽带业务的基础上推出主
2、要针对商用客户的 VPN 新业务,为商用客户既提供了高带宽低资费的企业网络联网服务,又提供了在公用网络上拥有私有 VPN 网络的数据传输安全保障服务,赢得了广大商用客户的青睐。本文将研究 IPSec 体系结构、技术原理和 VPN 基本技术,分析了 IPSec VPN 的主要实现方式。关键词:IPSec vpn ,加密, 隧道, 安全。AbstractCurrently, TCP / IP network traffic is almost all of the foundation, and IP itself does not provide “security“, in the trans
3、mission process, IP packets can be forged, altered, or prying eyes. To solve these problems, IPSec can effectively protect the security of IP datagrams, which provides astandard, robust and inclusive mechanisms, can use it for the IP and upper layer protocol (such as UDP and TCP) to provide security
4、 guarantees. Many telecom operators using IPSec tunnel encryption technology, on the basis of the introduction of broadband services for business customers VPN major new business, both for commercial customers to provide a high-bandwidth network with low rates of enterprise network services, also pr
5、ovided in the public network has a private VPN network data security services, won the majority of commercial customers. This paper will study the architecture of IPSec, VPN technology principles and basic technology, analyzes the main way to achieve IPSec VPNKeyword: IPSec vpn ,Encryption ,Tunnel ,
6、Security。安徽中澳科技职业学院目录引言 .1第 1 章 VPN 的概述 .11.1 VPN 的基本概念 .11.2 VPN 的类型 .21.2.1 RemoteAccessVPN(远程访问虚拟专用网) .21.2.2 IntranetVPN(企业内部虚拟专用网) .21.2.3 ExtranetVPN(外连虚拟专用网) .21.3 VPN 的相关技术 .21.3.1 典型的隧道技术协议 .31.3.2 隧道协议的比较分析 .31.4 VPN 技术的优点 .41.4.1 安全保障 .41.4.2 服务质量保证(QoS) .5第 2 章 IPSec 技术基础 .52.1 IPSec 简介
7、.52.2 IPSec 体系结构 .62.2.1 IPSec AH(认证头协议) .62.2.2 IPSec ESP:封装安全负载 .62.2.3 IPSec IKE(密钥交换协议) .72.2.4 IPSec ISAKMP(安全连接和密钥管理协议 ) .72.3 IPSec 的运行模式 .82.3.1 隧道模式 .82.3.2 传送模式 .92.4 IPSecVPN 的优点 .9第 3 章 基于 IPSec VPN 的设计方案 .93.1 设计背景 .93.2 需求分析 .103.3 仿真实验设备选型 .103.4 网络拓扑设计 .103.5 IP 地址规划 .10第 4 章基于 IPSec
8、 VPN 的配置方案 .114.1 路由器的基本配置 .114.2 VPN 基本配置 .124.3 网络接口启用 VPN .13第 5 章 VPN 测试 .14结束语 .15致 谢 .16参考文献 .17安徽中澳科技职业学院1引言随着计算机网络的迅猛发展,网络在为人们提供便利和带来效益的同时,也使人们面临着信息安全的巨大挑战。网络安全问题已成为计算机网络研究的热点问题之一,现在网络发展的趋势是所有的网络,无论是 ATM、卫星网、无线网等的构建都向基于TCP/IP 协议的网络发展, TCP/IP 协议几乎成为 Internet 的统一实现标准, 因此网络协议层次的安全性分析集中在 TCP/IP
9、协议簇上, 由于 TCP/IP 的安全和控制机 制是依赖于 IP地址的认证,然而一个数据包的源 IP 地址是很容易被伪造和篡改的。更糟的是网络控制特别是路由协议根本就没有认证机制。另一个主要 缺点是 TCP/IP 协议没有能力保护网上数据的隐私性,协议数据是明文传输的,乏保密机制。这样,TCP/IP 就不能保证网上传输信息的机密性、完整性、与真实性。 VPN 技术是近年来用于解决网络安全问题的新技术之一。它将专用网建立在公用网基础上,通过相关的安全技术实现移动用户与企业网,各分支机构与总部及企业与合作伙伴之间的安全通信 VPN 就是针对通信安全尤其是企业分散子网间 通信安全问题的一种解决办法。
10、它通过采用在公用网上建立加密的隧道的方式,虚拟不同的专线来连接分布在各地的企业子网,甚至移动用户。隧道是一种 虚拟的点到点的连接, 这个连接可以为隧道的两个端点提供了认证、加密和访问控制。可以在不同的协议 层上来实现隧道技术。在每个协议层上的实现具有不同的实现难度,也提供了不同强度的安全保护。 IPSec 即 “Internet 协议安全性 ”是一种开放标准的框架协议,通过使用加密的安全服务以确保在 Internet 协议(IP)网络(Internet 就是全球最大的 IP 网络)上进行保密而安全的通讯。IPSec 协议本不是一个单独的协议,它给出了应用于 IP 层上网络数据安全的一整套体系结
11、构,包括网络认证协议 Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP) 、密钥管理协议 Internet Key Exchange(IKE)和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。安徽中澳科技职业学院2第 1 章 VPN 的概述1.1 VPN 的基本概念VPN(Virtual Private Network):虚拟专用网络,是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部
12、专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成:客户机、传输介质和服务器。VPN 同样也由这三部分组成,不同的是 VPN 连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如:Internet 或 Intranet。 要实现 VPN 连接,企业内部网络中必须配置有一台基于 Windows NT 或 Windows2000 Server 的 VPN 服务器,VPN 服务器一方面连接企业内部专用网络,另一方面要连接到 Internet,也就是说 VPN 服务器必须拥有一个公用的IP 地址。当客户机通过 VPN 连接与专用网络中的计算机进行通信时,先由
13、ISP(Internet服务提供商)将所有的数据传送到 VPN 服务器,然后再由 VPN 服务器负责将所有的数据传送到目标计算机。VPN 使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。客户机向 VPN 服务器发出请求, VPN 服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到 VPN 服务器,VPN 服务器根据用户数据库检查该响应,如果账户有效,VPN 服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,VPN 服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。VPN 连接的示意图如 1-1 所示。 图
14、 1-1 VPN 连接示意图1.2 VPN 的类型 1.2.1 RemoteAccessVPN(远程访问虚拟专用网) Access VPN 是通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问,使用户随时、随地以其所需的方式访问企业资源。它包括模拟、拨号、ISDN、数字用户线路(XDSL)、移动 IP 和电缆技术,可以安全地连接移动用户、远程工作者或分支机构。它适合于内部有人员移动或远程办公需要的企业。安徽中澳科技职业学院31.2.2 IntranetVPN(企业内部虚拟专用网) 如果要进行企业内部各分支机构的互联,使用 IntranetVPN 是很好的方式。越来
15、越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用 VPN 特性可以在 Internet 上组建世界范围内的IntranetVPN。利用 Internet 的线路保证网络的互联性,而利用隧道、加密等 VPN 特性可以保证信息在整个 IntranetVPN 上安全传输。IntranetVPN 通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。1.2.3 Ex
16、tranetVPN(外连虚拟专用网) 如果是提供 B2B 之间的安全访问服务,则可以考虑 ExtranetVPN。随着信息时代的到来,各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务,通过各种方式了解客户的需要,同时各个企业之间的合作关系也越来越多,信息交换日益频繁。Internet 为这样的一种发展趋势提供了良好的基础,而如何利用 Internet 进行有效的信息管理,是企业发展中不可避免的一个关键问题。利用 VPN 技术可以组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。ExtranetVPN 通过一个使用专用连
17、接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。1.3 VPN 的相关技术当前,有四项技术来保证 VPN 的安全,分别是隧道技术( Tunneling) 、加解密技术(Encryption & Decryption) 、密钥管理技术(Key Management) 、使用者与设备身份认证技术(Authentication) 。(1) 隧道技术。隧道技术简单的说就是:原始报文在 A 地进行封装,到达 B 地后把封装去掉还原成原始报文,这样就形成了一条由 A 到 B 的通信隧道。 使用隧道传递的数据
18、(或负载)可以是不同协议的数据帧或包。隧道协议将这些其他协议的帧或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由传送。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。隧道技术是指包括数据封装、传输和解包在内的全过程。 (2) 加解密技术。对通过公共互联网络传递的数据必须经过加密,确保其他未授权的用户无法读取该信息。加解密技术是数据通信中一项较成熟的技术,VPN 可直接利用现有技术。 安徽中澳科技职业学院4(3) 密钥管理技术。
19、密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为 SKIP 与 ISAKMP/OAKLEY 两种。SKIP 主要是利用 Diffie-Hellman 的演算法则,在网络上传输密钥;在 ISAKMP 中,双方都有两把密钥,分别用于公用、私用。 (4) 使用者与设备身份认证技术。VPN 方案必须能够验证用户身份并严格控制只有授权用户才能访问 VPN。另外,方案还必须能够提供审查和计费功能,显示何人在何时访问了何种信息。使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。1.3.1 典型的隧道技术协议 VPN 区别于一般网络互联的关键于隧道
20、的建立,然后数据包经过加密后,按隧道协议进行封装、传送以保安全性。一般,在数据链路层实现数据封装的协议叫第二层隧道协议,常用的有 PPTP;在网络层实现数据封装的协议叫第三层隧道协议,如 IPSec;还有第 4 层隧道协议,如 SSL VPN。下面主要介绍几种典型的 VPN 隧道协议。VPN 在隧道的建立上不同于普通的网络互联,隧道协议有很多种,一般情况下,需要按照具体协议来封装数据包,从而能够安全的传送数据。(1) PPTPPoint to Point Tunnel Protocol(点对点隧道协议) PPTP 是在数据链路层对数据进行封装,属于第二层隧道协议。公司可以在公共网络上建立自己的
21、“隧道 ”,PPTP 可以在数据传送之前对数据进行加密封装,客户机和服务器之间可以通过此“ 隧道” 进行通信,安全度得到提高,同时,公司的网络可以得到扩张。 (2) IPSecInternet Protocol Security(网际协议安全)IPSec 在网络层对数据进行封装,应用范围广泛,通信安全透明,属于第三层隧道协议。该协议最大的特点是应用了密码技术,可以通过认证来分辨主机与端点的身份,可以通过检查数据包的完整性保证通信质量,可以对 IP 地址和数据加密从而保证通信安全。除此之外, IPSec 也可以同其他层的协议进行连接,可以保障最大限度的安全传输信息。 (3) SSL Secure
22、 Socket Layer(安全套接层协议层) SSL 为 Netscape 所研发,在传输层对网络连接进行加密,用以保障在数据在 Internet 上传输的安全性,利用数据加密(Encryption) 技术,可确保数据在网络上之传输过程中不会被截取及窃听。SSL 协议可以认证用户和服务器,保证数据发送到正确的位置;可对数据进行加密以防止传输过程中数据被第三者窃取;可以维护数据的在传输过程中不被篡改,保障数据完整性。需要说明的是,只有 3.0 版本以上的 IE 浏览器或 Netscape 浏览器可支持 SSL。 同时,SSL 有利于在消费者方面对商家的信息进行保密,因此随着更多的小型公司参与到
23、电子上午当中,协议对商家的袒护便暴露出来,造成其并不能有效的协调交易各方之间的信任关系,因此,Netscape 公司提供了一种新功能,它可以对消费者购买商品的表单上进行数字签名,从而保证交易信息的确凿。 1.3.2 隧道协议的比较分析安徽中澳科技职业学院5本节主要就几种常用的隧道协议进行比较分析,便于企业选择 VPN 产品时参考。每种隧道协议都有其独特的优缺点及适用范围。 PPTP 最适合用于远程访问虚拟专用网,其对使用微软操作系统的用户来说很方便,因为微软已把它作为路由软件的一部分。PPTP 支持其他网络协议和流量控制,它通过减少丢弃包来改善网络性能,这样可减少重传。然而 PPTP 并未对两
24、节点间的信息传输进行监视或控制。并且其对最多连接用户数有限制,必须低于 255。同时,用户需要自己建立加密信道,步骤繁琐。 IPSec 适用于可信的 LAN 到 LAN 之间的虚拟专用网。 IPSec 支持多种加密算法,可保障防火墙和服务器之间的安全性。但 IPSec 仍然存在一些问题,其需要固定的 IP 地址,因此并不适用于动态 IP。同时,IPSec 可支持协议单一,并且智能使用包过滤的访问控制方法。 SSL 最适合于用户在只有 Web 的情况下应用 VPN。用户并不需要安装客户端软件,就可通过浏览器和 VPN 进行连接。而且 SSL 对配置要求低,只要浏览器支持 SSL,便可在保证高安全
25、性的情况下使用。然而其功能也就只限于此,对于非 SSL 的业务支持则较显乏力。 下面,如图 1-2 所示,对 SSL VPN 与 IPSec VPN 的主要性能进行比较。图 1-2 SSL VPN 与 IPSec VPN 的比较安徽中澳科技职业学院61.4 VPN 技术的优点1.4.1 安全保障虽然实现 VPN 的技术和方式很多,但所有的 VPN 均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用 IP 网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。
26、在安全性方面,由于 VPN 直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其在 VPN 上传送的数据,不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN 将企业网扩展到了合作伙伴和客户,但同时也对安全性提出了更高的要求。1.4.2 服务质量保证(QoS)VPN 网应当为企业数据,提供不同等级的服务质量保证。不同的用户和业务对服务质量保证要求的差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证 VPN 服务的一个主要因素;而对于拥有众多分支机构的专线 VPN 网络,交互式的内部企业网应用,则要求网络能提供良好的稳定
27、性;对于其他应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用,均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建 VPN 的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时容易引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又容易造成大量网络带宽空闲。QoS 通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。安徽中澳科技职业学院7第 2 章 IPSec 技术基础2.1 I
28、PSec 简介 IPSec(1P Security)产生于 IPv6 的制定之中,用于提供 IP 层的安全性。由于所有支持TCP/IP 协议的主机进行通信时,都要经过 IP 层的处理,所以提供了 IP 层的安全性就相当于为整个网络提供了安全通信的基础。鉴于 IPv4 的应用仍然很广泛,所以后来在 IPSec的制定中也增添了对 IPv4 的支持。最初的一组有关 IPSec 标准由 IETF 在 1995 年制定,但由于其中存在一些未解决的问题,从 1997 年开始 IETF 又开展了新一轮的 IPSec 的制定工作,截止至 1998 年 11 月份主要协议已经基本制定完成。不过这组新的协议仍然存
29、在一些问题,预计在不久的将来IETF 又会进行下一轮 IPSec 的修订工作。IPSec 的工作原理( 如图 2-1 所示) 类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个 IP 数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP 数据包进行处理。这里的处理工作只有两种:丢弃或转发图 2-1 IPSec 工作原理示意图IPSec 是一种用来保护内部网、专用网络以及外部网(Internet、Extranet)免遭攻击的重要防御方法,主要特征在于它可对所有 IP 级的通信进行加密和认证,正是这一点才使 IPSec 可以确保包括远程登录、客户/服务器、电子邮件、文件传输及 Web 访问在内的多种应用程序的安全。由于企业及政府用户非常注重于部署安全的 IP,所以这一服务显得很重要。2.2 IPSec 体系结构如图 2-2 IPSec 体系结构图