论文_大型企业网络vpn的应用方案规划、设计与实现

论文_大型企业网络vpn的应用方案规划、设计与实现内容摘要：

，选择加密算法： 3DES或 DES 在上述三方面达成一致后，将建立起两个 SA，分别用于入站和出站通信。 2．会话密钥 材料 刷新或交换 在这一步中，将生成加密 IP数据包的 会话密钥。 生成 会话密钥 所使用的 材料 可以和生成第一阶段 SA中 主密钥 的相 同，也可以不同。 如果不做特殊要求，只需要刷新 材料 后，生成新密钥即可。 若要求使用不同的 材料 ，则在密钥生成之前，首先进行第二轮的 DH交换。 3． SA和密钥连同 SPI，递交给 IPSec驱动程序。 第二阶段协商过程与第一阶段协商过程类似，不同之处在于：在第二阶段中，如果响应超时，则自动尝试重新进行第一阶段 SA协商。 第一阶段 SA建立起安全通信信道后保存在高速缓存中，在此基础上可以建立多个第二阶段 SA协商，从而提高整个建立 SA过程的速度。 只要第一阶段 SA不超时，就不必重复第一阶段的协商和认证。 允许建立的第二阶 段 SA的个数由 IPSec策略属性决定。 (Inter密钥交换 ) Inter密钥交换协议 (IKE)是用于交换和管理在 vpn中使用的加密密钥的， IKE属于一种混合型协议，由 Inter安全关联和密钥管理协议（ ISAKMP）和两种密钥交换协议 OAKLEY与 SKEME组成。 IKE创建在由 ISAKMP定义的框架上，沿用了 OAKLEY的密钥交换模式以及 SKEME的共享和密钥更新技术，还定义了它自己的两种密钥交换方式：主要模式和积极模式。 IPSEC的两种模式 传送模式 传送模式加密的部份较少，没有额外的 IP报头，工作效率相对更好，但安全性相对于隧道模式会有所降低。 传送模式下，源主机和目的地主机必须直接执行所有密码操作。 加密数 7 据是通过使用 L2TP（第二层隧道协议）而生成的单一隧道来发送的。 数据（密码文件）则是由源主机生成并由目的地主机检索的。 传送模式可表示为： | IP头 | IPsec头 | TCP头 | 数据 |,如图 21 所示。 图 21 传送模式图 通道模式 通道模式可以在两个 Security Gateway间建立一个安全 隧道 ，经由这两个 Gateway Proxy的传送均在这个通道中进行。 通道模式下的 IPSec报文要进行分段和重组操作，并且可能要再经过多个安全网关才能到达安全网关后面的目的主机。 通道模式下，除了源主机和目的地主机之外，特殊的网关也将执行密码操作。 在这种模式里，许多隧道在网关之间是以系列的形式生成的，从而可以实现网关对网关 安全。 通道模式可表示为： | 新 IP头 | IPsec头 | IP头 | TCP头 | 数据 |，如图 22所示。 8 图 22 通道模式图 9 第 3 章 VPN技术基础 VPN的概念与安全性 VPN的英文全称是 “Virtual Private Network”，翻译过来就是 “虚拟专用网络 ”。 顾名思义， 虚拟专用网络 我们可以把它理解成是虚拟出来的企业内部专线。 它可以通过特殊的加密的 通讯协议 在连接在 Inter上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一 条专线一样，但是它并不需要真正的去铺设 光缆 之类的物理线路。 这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。 VPN技术 原是路由器具有的重要技术之一，目前在 交换机 ， 防火墙 设备或 WINDOWS2020 等软件里也都支持 VPN功能，一句话， VPN的核心就是在利用 公共网 络建立虚拟私有网。 针对不同的用户要求， VPN有三种解决方案： 远程访问 虚拟网 （ Access VPN）、企业内部 虚拟网 （ Intra VPN）和企业扩展 虚拟网 （ Extra VPN），这三种类型的 VPN分别与传统的 远程访问 网络、企业内部的 Intra以及 企业网 和相关合作伙伴的 企业网 所构成的 Extra（ 外部扩展 ）相对应。 VPN网关是实现 局域网 （ LAN）到 局域网 连接的设备。 从字面上我们就能够知道它可以实现两大功能： VPN和网关。 广义上讲，支持 VPN（ 虚拟专用网 ）的路由器和 防火墙 等设备都可以算作 VPN网关。 目前常见的 VPN网关 产品可以包括单纯的 VPN网关、 VPN路由器、 VPN防火墙 、 VPN服务器等产品。 典型的 VPN网关产品应该具有以下性能： 它应集成 包过滤防火墙 和 应用代理防火墙的功能。 企业级 VPN产品是从防火墙产品发展而来，防火墙的功能特性己经成为它的基本功能集中的一部分。 如果是一个独立的产品， VPN与防火墙的 协同工作 会遇到很多难以解决的问题，有可能不同厂家的防火墙和VPN不能 协同工作 ，防火墙的 安全策略 无法制定（这是由于 VPN把 IP数据包加密封装的缘故）或者带来性能的损失，如防火墙无法使用 NAT功能等等。 而如果采用功能整合的产品，则上述问题不存在或很容易解决 ， VPN应有一个开放的架构。 VPN部署在企业接入 因特网 的路由器之后，或者它本身就具有路由器的功能，因此，它己经成为保护企业内部资产安全最重要的门户。 阻止黑客入侵、检查病毒、 身份认证 与权限检查等很多安全功能需要 VPN完成或在同 VPN 10 与相关产品协同完成。 因此， VPN必须按照一个开放的标准，提供与第三方安全产品 协同工作 的能力 ， 有完善的认证管理。 一个 VPN系统应支持标准的认证方式，如 RADIUS(Remote Authentication Dial In User Service，远程认证 拨号用户 服务 )认证、基于 PKI（ Public Key Infrastructure， 公钥基础设施 ）的证书认证以及逐渐兴起的 生物识别技术 等等。 对于一个大规模的 VPN系统， PKI／ KMI的 密钥管理中心 ，提供实体（人员、设备、应用）信息的 LDAP目录 服务及采用标准的强认证技术（ 令牌 、 IC卡 ）是一个 VPN系统成功实施和正常运行必不可少的条件 ， VPN应提供第三方产品的接口。 当用 户部 署了客户到 LAN的 VPN方案时， VPN产品应提供标准的特性或公开 的 API（ 应用程序编程接口 ），可以从公司数据库中直接输入用户信息。 否则，对于一个有数千甚至上万的 SOHO人员和 移动办公 人员的企业来说，单独地创建和管理用户的权限是不可想像的。 VPN网关应拥有 IP过滤语言，并可以根据数据包的性质进行 包过滤。 数据包的性质有目标和源 IP地址、协议类型、源和目的 TCP/UDP端口、 TCP包的 ACK位、出栈和入栈 网络接口 等 VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。 VPN的类型 RemoteAccessVPN(远程访问虚拟专用网 ) Access VPN是通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问，使用户随时、随地以其所需的方式访问企业资源。 它包括模拟、拨号、 ISDN、数字用户线路 (XDSL)、移动 IP和电缆技术，可以安全地连接移动用户、远程工作者或分支机构。 它适合于内部有人员移动或远程办公需要的企业。 IntraVPN(企业内部虚拟专用网 ) 如果要进行企业内部各分支机构的互联，使用 IntraVPN是很好的方式。 越来越多的企业需 要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。 显然，在分 11 公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。 利用 VPN特性可以在 Inter上组建世界范围内的 IntraVPN。 利用 Inter的线路保证网络的互联性，而利用隧道、加密等 VPN特性可以保证信息在整个 IntraVPN上安全传输。 IntraVPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。 企业拥有与专用网络的相同政策，包括安全、服务质量 (QoS)、可管理性和可靠性。 ExtraVPN(外连虚拟专用网 ) 如果是提供 B2B之间的安全访问服务，则可以考虑 ExtraVPN。 随着信息时代的到来，各个企业越来越重视各种信息的处理。 希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换日益频繁。 Inter为这样的一种发展趋势提供了良好的基础，而如何利用 Inter进行有效的信息管理，是企业发展中不可避免的一个关键问题。 利用 VPN技术可以组建安全的 Extra，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。 ExtraVPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。 企业拥有与专用网络的相同政策，包括安全、服务质量 (QoS)、可管理性和可靠性。 12 第 4 章 基于 IPSEC的 VPN设计与实现 各组件的设计要求 IPSec基本协议与目标 IPSec 基于端对端的安全模式，在源 IP 和目标 IP 地址之间建立信任和安全性。 考虑认为 IP 地址本身没有必要具有标识，但 IP 地址后面的系统必须有一个通过身份验证程序验证过的标识。 只有发送和接收的计算机需要知道通讯是安全的。 每台计算机都假定进行通讯的媒体不安全，因此在各自的终端上实施安全设置。 除非两台计算机之间正在进行防火墙类型的数据包筛选或网络地址转换，否则仅从源向目标路由数据的计算机不要求支持 IPSec。 该模式允许为下列企业方案成功部署 IPSec：局域网 (LAN)：客户端 /服务器和对等网络； 广域网 (WAN)：路由器到路由器和网关到网关 ；远程访问：拨号客户机和从专用网络访问 Inter。 通常，两端都需 要 IPSec 配置（称为 IPSec 策略）来设置选项与安全设置，以允许两个系统对如何保护它们之间的通讯达成协议。 Microsoftamp。 reg。 Windowsamp。 reg。 20 Windows XP 和 Windows Server 2020 家族实施 IPSec 是基于“ Inter 工程任务组 (IETF)” IPSec 工作组开发的业界标准。 IPSec 相关服务部分是由 Microsoft 与 Cisco Systems, Inc. 共同开发的。 IPSec 协议不是一个单独的协议，它给出了应用 于 IP层上网络数据安全的一整套体系结构，包括网络认证协议 Authentication Header（ AH）、封装安全载荷协议 Encapsulating Security Payload（ ESP）、密钥管理协议 Inter Key Exchange （ IKE）和用于网络认证及加密的一些算法等。 IPSEC VPN的实现 A某企业网络背景分析 首先为大家介绍企业的背景，某一外资企业在中国有三个分公司，分别坐落于上海、北京和深圳。 但是由于企业信息的安全需求，我们要求与分公司之间建立不同的 安全通道。 其中，总部与深圳分部之间的互相通信只需要互相验证并保持数据的完整性就可以了；而与北京分部之间的互相通信要求 13 能够数据加密而且具有一般的验证功能，并且能提供数据的完整性验证；由于上海分部在中国充当了总代理的角色，传输的数据都是机密的性文件，所以要求总公司和上海分部之间能够建立严格的验证功能，并能对数据进行加密和完整性验证。 （注意：每多一项功能，安全性就会升一级。 但是，链路的开销必然会增大。 如何将各个功能 配置使用，需要根据企业需求和网络带宽而定） 以下为拓扑图，如图 41 所示。 图 41 VPN拓扑 图 A企业对网络的新需求 通过 IPSec VPN技术实现公司总部和各个分部之间不同的安全通信，要求和上海分部之间建立严格的验证功能，并能对数据进行加密和完整性验证 .总部与分部之间通过两 台路由互联并运行 OSPF多区域路由协议 , Inter，总部和分部并不知道 Inter的具体连 接情况，需要配置默认路由连接到公网之上 . 实施步骤 1． 置模拟公网的具体网络参数（ R2 和 R3 之间的级联） (1) 首先，在 R2 上配置各个端口的 IP地址，并启用 OSPF协议，进程号为 14 200，将直连的网 络宣 告到对应的区域里（注意：是两个区域， R2 和 R3 之间的区域为骨干区域 area 0，端口 Ether0/1 所对应的区域为 area 1，具体可参考网络拓扑图） 如图 42 所示。 图 42 配置模拟公网的具体网络参数 (2) 其次，在 R3 上配置各个端口的 IP地址，并启用 OSPF协议，进程号为300，将直连的网络宣告到对应的区域里（注意：是四个区域， R2 与 R3 之间的区域为骨干区域，其它区域为 area 2 ， area 3 和 area 4。 具体可参考网络拓扑图） 如图 43 所示。 图 43 配置模拟公网的具体 网络参数 (3) 公网模拟好之后，使用 show ip route命令在 R2 或者 R3 上查看是否学 15 习到不同区域之间的路由条目，不同区域之间的路由条目表示为 “O IA *****” 如图 44 所示。