vpn技术在局域网中的应用毕业论文(编辑修改稿)

vpn技术在局域网中的应用毕业论文(编辑修改稿)内容摘要：

供安全保护，通讯的双方首先进行身份认证，这中间要经过大量的协商，在此基础上，发送方将 实现 VPN 的关键技术和主要协议 7 数据加密后发出，接受端先对数据进行完整性检查，然后解密，使用。 这要求双方事先确定要使用的加密和完整性检查算法。 由此可见，整个过程必须在双方共同遵守的规范 ( 协议 ) 下进行。 VPN 区别于一般网络互联的关键是隧道的建立，数据包经过加密后，按隧道协议进行封装、传送以保证安全性。 一般，在数据链路层实现数据封装的协议叫第二层隧道协议，常用的有 PPTP , L2TP 等。 在网络层实现数据封装的协议叫第三层隧道协议，如 IPSec。 另外， SOCKSv5 协议则在 TCP 层实现数据安全。 PPTP/L2TP 1996 年， Microsoft 和 Ascend 等在 PPP 协议的基础上开发了 PPTP ， 它集成于 Windows NT 中， Windows NT Workstation 和 Windows 也提供相应的客户端软件。 PPP 支持多种网络协议，可把 IP 、 IPX、 AppleTalk 或 NetBEUI的数据包封装在 PPP 包中，再将整个报文封装在 PPTP 隧道协议包中，最后，再嵌入 IP 报文或帧中继或 ATM 中进行传输。 PPTP 提供流量控制，减少拥塞的可能性，避免由于包丢弃而引发包重传的数量。 PPTP 的加密方法采用 Microsoft 点对点加密(MPPE: Microsoft Pointto Point) 算法，可以选用较弱的 40 位密钥或强度较大的 128 位密钥。 1996 年， Cisco 提出 L2F(Layer 2 Forwarding)隧道协议，它也支持多协议，但其主要用于 Cisco的路由器和拨号访问服务器。 1997年底， Microsoft 和 Cisco 公司把 PPTP 协议和 L2F 协议的优点结合在一起，形成了 L2TP 协议。 L2TP支持多协议，利用公共网络封装 PPP 帧，可以实现和企业原有非 IP 网的兼容。 还继承了 PPTP 的流量控制，支持 MP(Multilink Protocol)，把多个物理通道捆绑为单一逻辑信道。 L2TP 使用 PPP 可靠性发送 (RFC 1663)实现数据包的可靠发 送。 L2TP隧道在两端的 VPN 服务器之间采用口令握手协议 CHAP 来验证对方的身份， L2TP 受到了许多大公司的支持。 PPTP/L2TP 协议的优点 : PPTP/L2TP 对用微软操作系统的 用户来说很方便，因为微软己把它作为路由软件的一部分。 PPTP/ L2TP 支持其它网络协议。 如 NOWELL的 IPX,NETBEUI 和 APPLETALK 协议 ,还支持流量控制。 它通过减少丢弃包来改善网络性能，这样可减少重传。 PPTP/ L2TP 协议的缺点： PM 和 L2TP 将不安全的 IP 包封装在安全的 IP 包内，它们用 IP 帧在两 台计算机之间创建和打开数据通道，一旦通道打开，源和目的用户身份就不再需要，这样可能带来问题，它不对两个节点间的信息传输进行监视 实现 VPN 的关键技术和主要协议 8 或控制。 PPTP 和 L2TP 限制同时最多只能连接 255 个用户，端点用户需要在连接前手工建立加密信道，认证和加密受到限制，没有强加密和认证支持。 PPTP/ L2TP 最适合于远程访问 VPN。 IPSec 协议 IPSec 是 IETF(Inter Engineer Task Force) 正在完善的安全标准，它把几种安全技术结合在一起形成一个较为完整的体系，受到了 众多厂商的关注和支持。 通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。 IPSec由 IP 认证头 AH(Authentication Header)、 IP 安全载荷封载 ESP(Encapsulated Security Payload)和密钥管理协议组成。 IPSec 协议是一个范围广泛、开放的虚拟专用网安全协议。 IPSec 适应向 IPv6迁移， 它提供所有在网络层上的数据保护，提供透明的安全通信。 IPSec 用密码技术从三个方面来保证数据的安全。 即 :  认证：用于对主机和端点进行身份鉴别。  完整性检查：用于保证数据在通过网络传输时没有被修改。  加密：加密 IP 地址和数据以保证私有性。 IPSec 协议可以设置成在两种模式下运行 :一种是隧道模式，一种是传输模式。 在隧道模式下， IPSec 把 IPv4 数据包封装在安全的 IP 帧 中 ,这样保护从一个防火墙到另一个防火墙时的安全性。 在隧道模式下，信息封装是为了保护端到端的安全性，即在这种模式下不会隐藏路由信息。 隧道模式是最安全的，但会带来较大的系统开销。 IPSec 现在还不完全成熟，但它得到了一些路由器厂商和硬件厂商的大力支持。 预计它今后将成为虚拟专用网的主要标 准。 IPSec 有扩展能力以适应未来商业的需要。 在 1997 年底， IETF 安全工作组完成了 IPSec 的扩展， 在 IPSec 协议中加上ISAKMP(Inter Security Association and Kay Management Protocol)协议，其中还包括一个密钥分配协议 Oakley。 ISAKMP/Oakley 支持自动建立加密信道，密钥的自动安全分发和更新。 IPSec 也可用于连接其它层己存在的通信协议，如支持安全电子交易 (SET:Secure Electronic Transaction)协议和 SSL（ Secure Socket layer）协议。 即使不用 SET 或 SSL， IPSec 都能提供认证和加密手段以保证信息的传输。 实例分析 9 4 实例分析 VPN 的具体实现方案有很多，实际应用中应根据用户的需求、用户资源现状、承载网络资源现状、投资效益以及相关技术比较等多种因素综合考虑，选择一种主流的方案。 在本文中就以一个中小型企业为例模拟实际环境建立一个基于 ISA 的企业 VPN 网络以满足远程办公、分公司和合作伙伴远程访问的要求。 这个实验在理论的指导下实现了一种 VPN 的实际应用，为中小企业设计 VPN 网络提供 参考和借鉴。 需求分析 随着公司的发展壮大， 厦门某公司 在上海开办了分公司来进一步发展业务，公司 希望 总部 和分公司、总部与合作伙伴可以随时的 进行 安全的 信息沟通， 而 外出办公人员可以访问到企业内部关键数据，随时随地共享商业信息，提高工作效率。 一些大型跨国公司解决这个问题的方法，就是在各个公司之间租用运营商的专用线路。 这个办法虽然能解决问题，但是费用昂贵，对于 中小企业 来说是无法负担的，而 VPN 技术能解决这个问题。 根据 该 公司用户的需求，遵循着方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则 决定采用 ISA Server VPN 安全方案 ，以 ISA 作为网络访问的安全控制。 ISA Server 集成了 Windows server VPN 服务，提供一个完善的防火墙和 VPN 解决方案。 以 ISA VPN 作为连接 Inter 的安全网关，并使用双网卡，隔开内外网，增加网络安全性。 ISA 具备了基于策略的安全性，并且能够加速和管理对 Inter 的访问。 防火墙能对数据包层、链路层和应用层进行数据过滤、对穿过防火墙的数据进行状态检查、对访问策略进行控制并对网络通信进行路由。 对于各种规模的企业来说， ISA Server 都可 以增强网络安全性、贯彻一致的 Inter 使用策略、加速 Inter 访问并实现员工工作效率最大化。 在 ISA 中可以使用以下三种协议来建立 VPN 连接：  IPSEC 隧道模式；  L2TP over IPSec 模式；  PPTP； 下表比较了这三种协议： 实例分析 10 表 41 ISA 中三种协议对比表 协议 何时使用 安全等级 备注 IPSec 隧道模式 连接到第三方的 VPN服务器 高 这是唯一一种可以连接到非微软VPN 服务器的方式 L2TP over IPSec 连接到 ISA Server 20 ISA Server 2020 或者 Windows VPN 服务器 高 使用 RRAS。 比 IPSec 隧道模式更容易理解，但是要求远程 VPN 服务器是 ISA Server 或者 Windows VPN 服务器。 PPTP 连接到 ISA Server 20 ISA Server 2020 或者 Windows VPN 服务器 中等 使用 RRAS，和 L2TP 具有同样的限制，但是更容易配置。 因为使用IPSec 加密， L2TP 更认为更安全。 三个站点都采用 ISA VPN 作为安全网关，且 L2TP over IPSec 结合了 L2TP 和 IPSec 的优点， 所以在这里采用 L2TP over IPSec 作为 VPN 实施方案。 方案达到的目的 1) 厦门 总部 和 分公司 之间以及厦门总部和合作伙伴之间 透过 VPN 联机采用 IPSec协定，确保传输数据的安全； 2) 在外出差或想要连回总部或分公司的用户也可使用 IPSec 方式连回企业网路； 3) 对 总部 内网实施上网的访问控制，通过 VPN 设备的访问控制策略，对 访问的 PC进行严格的访问控制 ； 4) 对外网可以抵御黑客的入侵，起到 Firewall 作用。 具有控制和限制的安全机制和措施，具备防火墙和抗攻击等功能； 5) 部署 灵活，维护方便，提供强大的管理功能，以减少系统的维护量以适应大规。