毕业设计（论文）VPN技术在企业网络中的应用.doc

VPN技术在企业网络中的应用【摘 要】VPN就是利用公网链路架设私有网络,实质上就是利用加密技术在公网上建立一个数据通讯隧道，这样就实现了不用搭建专线就可以实现远程访问的目的，大大节省了企业的开支。有了VPN技术，用户只要能上互联网就可以利用VPN非常方便地访问相应的内网资源，同时为了保证传输数据的安全，VPN服务器和客户机之间的通讯数据都采取了加密处理，这使得数据的安全性和稳定性得到一定的保证，所以VPN在企业中应用得相当广泛。通过对本课题的研究，基本上实现了本课题预期所要达到的要求，当然本课题只对VPN网设计及应用进行一些简单的研究，相对于实际中的企业VPN的组建来说，其功能是远远不够的。但是，通过这个课题的研究可以使我们对企业网的VPN组建有了一定的了解，对于以后在实际中进行VPN的组建将起到一定的作用。【关键词】 虚拟专用网;MPLS VPN ;IPSEC VPN;VPN;模拟器dynamic 目录1.概述12.VPN技术体系介绍12.1 VPN主要的优点12.1.1保证数据的安全性12.1.2简化了网络设计12.1.3大大降低成本12.1.4扩展十分便利12.1.5易于建立商业伙伴12.1.6完全控制主动权22.1.7支持新兴应用22.2 VPN技术目前存在的问题22.2.1安全问题22.2.2服务质量问题22.2.3实施困难22.3 VPN技术分类22.3.1 按接入方式划分22.3.2 按协议实现类型划分22.3.3 按VPN的服务类型划分32.3.4 按VPN业务层次模型划分33.组网需求分析33.1 网络系统设计原则33.2 现状33.3 采用VPN的理由44 MPLS VPN原理44.1 MPLS VPN体系基本架构44.1.1 CE路由器架构44.1.2 PE路由器架构54.2 MPLS VPN 路由传送的原理55.Ipsec VPN65.1 Ipsec VPN技术65.1.1 Ipsec的功能特性65.1.2 Ipsec协议65.1.3 IPSEC模式65.1.4 对等体验证75.2 IKE（Internet 密钥交换）85.3 加密算法85.3.1 同步加密85.3.2 异步加密算法86. 企业VPN网络构建的分析与实现86.1 方案应用领域86.2 组网需求分析86.3 组网方案规划96.3.1 租用专线与使用VPN成本对比96.3.2VPN组网方案设计96.4 组网设备选型及实验地址规划96.5企业VPN网络构建总体设备拓扑图106.6模拟器用模拟实验图106.7网络设备配置106.7.1用模拟器搭建拓扑106.7.2使用SecureCRT软件进行配置136.8实验基础配置136.9 MPLS VPN的配置176.9.1 配置CE路由器176.9.2 配置PE路由器176.9.3 P路由器的配置。20第一步：配置用作LDP路由器ID的环回接口。206.10Ipsec VPN的配置227论文总结25致 谢251.概述虚拟专用网络（Virtual Private Network ，简称VPN)指的是在公网上建立专用网络的技术。VPN服务在近几年发展十分迅速。Internet是当今世界上最大的、使用范围最广泛的网络，它采用业内比较流行的通信机制；此外，Internet的迅速发展为VPN服务提供了坚实的技术基础，同时企业的全球化为VPN的发展提供了市场。因此，业内人士认为基于IP的VPN服务有着巨大的前景，目前世界上使用最多的VPN也是基于IP的VPN。VPN，为什么称为虚拟网呢？这是因为整个VPN网络的任意两个节点之间的连接并不需要建立传统专用网所需的端到端的物理链路，而是采用架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式)、Frame Relay （帧中继）等之上的逻辑网络，用户数据是在逻辑链路中传输。它涵盖了跨共享网络或者公共网络的封装、加密和身份验证链接的专网的扩展。VPN主要采用的技术有隧道技术、密钥管理技术、加解密技术和使用者与设备身份认证技术。VPN技术在一般的路由器上可以实现，目前在防火墙、交换机、windows等软件中也都支持VPN功能，所以现在VPN在企业中应用十分广泛。而对于企业来说，使用VPN不仅可以保证内部数据、网络的安全，并且相对于申请搭建专线来说VPN可以节省相当大的费用，其对于一个企业的作用是十分巨大的。2.VPN技术体系介绍2.1 VPN主要的优点2.1.1保证数据的安全性VPN以多种方式增强了数据的安全性和完整性。具备高强度的安全性，对于现在的网络来说是极其重要的。现在的一些热门服务如网上银行，网上交易这些都需要绝对的安全。2.1.2简化了网络设计网管们可以使用VPN替代那些昂贵的租用线路来实现属下各个分支机构的连接。这样就可以将对远程控制链路进行安装、配置和管理这些任务减少到最低，仅此一点就极大地简化企业广域网的设计。再者，VPN通过拨号访问来自于 ISP或 NSP的外部服务，减少了所需的调制解调器池，同时简化了与远程用户认证、授权和记账相关的设备。2.1.3大大降低成本VPN作为一种降低成本的技术，其效果是立即且显著的，主要体现在以下几个方面：（1）移动用户长途通信成本费。（2）对国际电路成本节约是极为显著的。可需每条链接 40%到 60%的成本对租用线路就可以进行控制和管理。（3）主要设备成本：VPN支持通过拨号访问外部资源,使企业减少不断增长的调制解调器费用。另外，可以用单一的 WAN接口实现多种服务，从分支网络互连、商业伙伴的外连网终端，本地提供高带宽的线路等连接到拨号访问服务提供者。2.1.4扩展十分便利一个企业想要扩大原有的VPN的容量和覆盖的范围，只要与新的运营商签约建立新的账户，就可以扩大服务范围。2.1.5易于建立商业伙伴以前，企业如果想与合作伙伴联网，双方的技术部门就必须首先协商如何在双方之间建立租用线路或帧中继线路。有了VPN之后，这种协商就显得毫无必要，真正实现了想连就连、要断就断。这样可以更加迅速捕捉到一些商业机会，建立起可靠的商业伙伴关系。 2.1.6完全控制主动权VPN技术使得企业可以更好地利用ISP的设施和服务，同时又掌握着自己网络的控制权。就是说，企业可以把拨号访问的事情交给ISP，然后自己负责用户的查验、访问权、安全性和网络变化管理等重要工作即可。2.1.7支持新兴应用VPN不仅能够支持各种高级的应用，如IP语音，IP传真。而且还支持各种协议，如IPv6、RSIP、MPLS、SNMPv3等。2.2 VPN技术目前存在的问题2.2.1安全问题 由于VPN是利用现有的公共网，搭建的是逻辑线路，并不是真实的专线，实质是利用特殊的加密技术实现专线的效果，因此它不可能做到专线那样绝对安全。因此只能通过各种加密技术来完善VPN的安全问题。2.2.2服务质量问题VPN是架构在公网上的，所以其服务质量往往是不稳定的，而服务质量的好坏是各个企业都很关心的问题，不过可以使用QoS来解决这个问题。2.2.3实施困难VPN的安全、私有特点主要是利用加密技术和隧道技术来实现，如何因地制宜的使用各种VPN技术，做到性价比最高，是最重要的。总的来说，VPN具有良好灵活性、扩展性，是一种能够代替专线的，但是很难做到真正的与实际的专线一样。在企业网中，如果将VPN使用得当将发挥十分重要的作用。2.3 VPN技术分类 在网络开始高速发展以来，VPN技术在企业网中的应用非常的活跃。随着人么安全意识的不断提高，各种各样的VPN技术不断的涌现，在企业信息安全通信中扮演着不可或缺的角色。不同的运营商在开展VPN业务时也推出了不同的分类方式，他们主要从它们业务的角度划分而用户也有它们自己的的划分方法它们是根据自己的的需求进行划分。下面我们按照不同的分类方式对VPN技术进行介绍。2.3.1 按接入方式划分这是用户和运营商最常见的VPN划分方法。根据用户的是使用专线还是拨号上网，VPN接入分为：专线接入和拨号接入。（1）专线VPN：这是一种永久在线的VPN，是为已经通过专线接入ISP边缘路由器的用户提供的VPN解决方案。（2）拨号VPN（又称VPDN）：这是一种根据你需求而连接的VPN技术，它是向利用拨号PSTN或ISDN接入ISP的用户提供的VPN业务。2.3.2 按协议实现类型划分根据在OSI模型不同层次的建立，VPN分为以下几种：（1）第二层隧道协议：多协议标记交换（MPLS），点到点隧道协议（PPTP）、第二层隧道协议（L2TP）、第二层转发协议（L2F）等。（2）第三层隧道协议：这包括IP安全（IPsec）、通用路由封装协议（GRE），这是目前最流行的两种三层协议。上两种类型区分在于用户数据在协议栈的哪一层被封装，其中L2TP主要用于实现拨号VPN业务但也可以用于实现专线VPN业务，GRE、IPSec和MPLS主要用于实现专线VPN业务，这些协议之间本身是不冲突的，可以结合起来使用。2.3.3 按VPN的服务类型划分根据服务类型，VPN业务大致分为这三类：接入VPN（Access VPN）、外联网VPN（Extranet VPN）和内联网VPN(Intranet VPN)。一般情况下内联网用的VPN是专线VPN。（1）接入VPN：这是企业员工出差或企业的分支机构通过公网远程访问企业内部网络的VPN方式。远程用户一般是一台计算机，因此组成的VPN是一种主机到网络的拓扑模型。这边说到的接入VPN不同于前面的拨号VPN，因为远程接入VPN可以是专线方式接入的，也可以是拨号方式接入的。（2）外联网VPN：这是发生在企业收购、兼并或同合作伙伴建立战略联盟后，以这种网络到网络以不对等的方式连接起来，通过公网来构筑的VPN。（3）内联网VPN：这一般是企业的总部与分支机构之间通过公网构筑的虚拟网，这是一种以对等的方式连接起来网络到网络所组成的VPN。2.3.4 按VPN业务层次模型划分这是根据ISP向用户提供的VPN服务工作在第几层来划分的，而不是根据隧道协议工作在哪一层划分的。（1）虚拟专用路由网（VPRN）业务：这是对第三层IP路由网络的一种仿真。（2）虚拟专用局域网段（VPLS）：这是在IP广域网上仿真LAN的技术。（3）拨号VPN业务（VPDN）：这个是按接入方式划分的，因为很难明确VPDN究竟属于哪一层。（4）虚拟租用线（VLL）：这用IP网络对租用线进行模拟，是对传统的租用线业务的仿真，而从两端的用户看来这样一条虚拟租用线等价于过去的租用线。3.组网需求分析 3.1 网络系统设计原则（1）先进性组网方案设计应适应技术发展的潮流，在兼顾技术上的成熟性同时也要尽量做到技术的先进性。（2）实用性出于对网络的整体性和对资源的有限的考虑，在方案设计时候都应该注意实用性，这样才能够做到以最少的资源达到最优的效果。（3）可靠性对于企业网来说，稳定就是其最重要的要求。一个可靠的企业网络可以为企业带来无法衡量的利益，反之则有可能对公司带来不可估量的损失。（4）完整性一个好的网络设计在做到实现基本功能后，对于其他各方面都应该考虑周全，尽量使得整个网络完善强健。3.2 现状首先，企业在组建网络时一般会考虑投入的资金以及网络通讯在今后可获得的利益；其次，企业内部或者说企业总公司与旗下的分公司为了长久的发展需要，他们需要有稳定的、相对安全的连接方式以适应；再次，一家企业同战略合作伙伴之间就应该要有灵活多变的网络连接类型；最后，对于一家企业来说，充裕的带宽，优质的网络服务质量，是公司今后业务发展的保障。3.3 采用VPN的理由相对于企业对网络设计的要求，最好使用VPN，有以下理由：（1）与向运营商租用专线或者搭建专线对比，使用VPN是可以达到专线效果但比专线节省大量费用的一种最优技术手段；（2）专线的使用很大程度地制约了网络的灵活性，而使用VPN可以很好的弥补这一点；（3）使用QoS的VPN服务通过配置队列的优先级可以控制不同类型的数据流量，对于服务质量可以有很大的改善，对企业内部的管理有很大的帮助。本设计涉及的VPN技术有MPLS VPN和Ipsec这几种。下面我们分别来介绍一下这两种VPN技术。4 MPLS VPN原理4.1 MPLS VPN体系基本架构 MPLS VPN同时汲取的重叠模型的VPN和对等体模型VPN的优点，将他们组合成了单一的产品。了解MPLS VPN前必须来先了解一笑它相关的一些术语。CE 路由器 客户端路由器，直连在PE路由器上。P网络由ISP控制的核心路由器组成的内部网络。LSP标签交换数据包通过P网络传输到特定目的时所用到的路径。VRF表与客户相关的路由表实例。RD一个64bit标识符，附加在ipv4地址前可组成全球唯一的VPNV4地址。RT是VPNV4 BGP路由的附加属性，用以指示VPN的成员关系。 图4-1 MPLS VPN网络主要由CE、PE和P组成4.1.1 CE路由器架构CE路由器非常的重要，不管用什么名称它本质上还是一台路由器，运行IGP协议（可用的协议包括EIGRP、OSPF、RIP、BGP或者静态路由）并与发现的邻居路由器交换路由信息。CE路由器不需要支持MPLS，也不属于MPLS体系架构的组成部分，只用来负责发送和接收客户的路由信息。MPLS提供商的P路由器对于CE路由器是不可见的，所有路由重分发操作以及MPLS相关的其他操作都是由PE路由器完成的，而它对于站点的CE路由器是完全透明的。4.1.2 PE路由器架构PE路由器是比较高端的设备，可同时接入和并发比较庞大的数据流量而不会产生链路堵塞。PE设备与用户的CE设备直接相连，用于处理VPNV4路由，负责VPN业务接入，是MPLS三层VPN的主要实现者。骨干网核心路由器P负责快速转发数据，其不与CE直接相连。在整个MPLS VPN网络中，P、PE设备需要支持MPLS的基本功能，P设备是MPLSVPN网络的关键设备，根据PE路由器有无参与客户的路由，MPLS VPN又分成Layer3MPLS VPN和Layer2 MPLS VPN。其中的Layer3 MPLS VPN遵循RFC2547bis标准，使用MPLS技术在VPN站点之间传送数据，使用MBGP在PE路由器之间分发路由信息，因而又称为BGP/MPLS VPN。图4-2 MPLS VPN路由在MPLS VPN网络中，因为对VPN的所发生的处理都在PE路由器上，因此我们在PE路由器上启用了VPNv4地址协议，引入了RD(RouteDistinguisher)和RT(RouteTarget)属性。RD具有惟一性，通过将8比特的RD作为IPv4地址前缀的扩展项，可以使不惟一的IPv4地址转化为惟一确定的VPNv4地址。VPNv4地址只用于骨干网络上路由信息的分发，它对客户端来说是不可预见性的。PE的对等体之间发布是基于VPNv4地址族的路由条目，而且通常是通过MPBGP实现的。4.2 MPLS VPN 路由传送的原理MP-IBGP在邻居间传递VPN用户路由时会将IPv4地址打上RD前缀，这样以来VPN用户传来的IPv4路由就转变为VPNv4路由，这样就保证VPN用户的路由到了对端的PE上以后，即使存在地址空间重叠的情况，对端的PE也能够区分分属不同VPN的用户路由。RT使用了BGP中扩展团体属性来用于路由信息的分发，同时其具有全局惟一性，同一个RT只能被一个VPN所使用，它分成Import RT和Export RT，分别用于路由信息的导入策略和导出策略。 在PE路由器上针对每个site都创建个虚拟路由转发表VRF(VPNRouting&Forwarding)，VRF为每个site维护逻辑上分离出来的路由表，每个VRF都有Import RT和Export RT两种属性。当PE路由器从VRF表中导出VPN路由条目时，要用Export RT对VPN路由条目进行标记。当PE路由器收到VPNv4路由条目时，只有当所带RT标记与VRF表中任意一个Import RT路由相符时才会被导入到VRF表中，从而形成不同的VPN，实现VPN的互访与隔离的效果。 可以通过对Import RT和Export RT的进行适当的配置，运营商可以构建不同拓扑类型的VPN网络。 整个MPLS VPN体系结构可以分成数据面和控制面，控制面定义了LSP的建立和VPN路由信息的分发过程，而数据面则定义了VPN数据的转发过程。在控制层面，核心路由器P并不参与VPN路由信息的交互，客户路由器是通过CE和PE路由器之间的路由交互知道属于某个VPN的网络拓扑信息。CE-PE路由器之间通过采用静态/默认路由或采用ICP(RIPv2、OSPF)等动态路由协议。PE-PE之间通过采MP-IBGP进行路由信息的交换，PE路由器通过维持IBGP网状连接或使用路由反射器来确保路由信息分发给所有的PE路由器。除了路由协议外，在控制层面工作的协议还有LDP，它在整个MPLS网络中进行分发标签，从而形成了数据转发的逻辑通道LSP。在数据转发层面，MPLS VPN网络中传输的VPN业务数据采用了外标签(又称隧道标签)和内标签(又称VPN标签)两层标签栈结构。当VPN传输数据的分组由CE路由器发给PE路由器的入口后，PE路由器开始查找该子接口相对应的VRF表，从VRF表中得到所需的VPN标签、初始外层标签和到出口PE路由器的输出接口。当VPN分组被打上两层标签后，再通过PE输出接口转发出去，然后在MPLS骨干网络中沿着LSP被逐级转发下去。在出口PE路由器之前的最后一个P路由器上，外层标签会被弹出去，P路由器将只含有VPN标签的分组转发给出口PE路由器上。出口的PE路由器则根据内层标签表来查找对应的输出接口，当弹出VPN标签后通过该接口将VPN分组再发送给相应的CE路由器，这样就实现了整个数据转发过程。以上就是MPLS VPN路由传送的原理。5.Ipsec VPN5.1 Ipsec VPN技术Ipsec 是一种保护IP数据在不同地方传输时候安全性的功能特性值。包含在VPN中的所有地点都要定义VPN类型。它的地点可以是企业总部、大型分支机构、一个小型远程站点、一个终端客户机、数据中心等。任意两个这样的地点组合在一起就可以确定VPN的类型。Ipsec 无法将其业务扩展到数据链路层，只能够保护IP层以上的数据。5.1.1 Ipsec的功能特性数据完整性：确保数据在通过Ipsec VPN进行传送的时不被修改，保证其完整性。数据机密性：指数据在VPN的双方之间时通过Ipsec vpn传送时保持数据的私密性。数据源验证：验证Ipsec vpn的数据源。它不能够单独实现必须依赖于数据的完整性服务，由VPN的每个端点来完成，以确保对方的身份。 防重放: 这个是利用数据包中的序列号和接受端滑动窗口确保VPN中的数据没有被复制。5.1.2 Ipsec协议Ipsec 提供了两种安全协议，为IPSec对等体之间传输的IP数据流提供安全服务：ESP（Encapsulating Security Payload）封装安全有效负载AH（Authentication Header）验证报头 (1) ESP 是为IPSEC提供数据机密性、源验证、完整性等特性一种体系框架。以下是IPSEC ESP可以使用的加密方法。AES 高级数据加密标准DES（数据加密标准）：是一种应用很广泛的传统的加密方式。3DES(3重数据加密标准) (2) AH是一种为IPSEC 提供数据源验证、完整性、防重放功能的体系架构，但是它不提供机密性，所以它无法保证数据在传输的过程中是否被偷窥，因此现在很少单独的使用AH，一般都是和ESP配合使用。AH和ESP都是利用HMAC（基于哈希的报文验证）来进行完整性检查和验证的。5.1.3 IPSEC模式 Ipsec 定义了隧道模式和传送模式两种的运行模式，它们对原始的IP包提供不同的保护能力。传送模式就是仅仅把Ipsec头部插在IP包中时。所以在传送模式中，原始IP头部暴露在外面，没有得到保护。在数据包穿过非受信的网络时，包中的数据其实是安全的，因为网络中只能看到通信方的真实IP地址。隧道模式中，包括原始IP 头部在内，整个数据包都可以得到保护，隧道模式会产生一个全新的隧道端点IP地址，这样原来的IP地址就不会暴露在外面，这样IP数据包就能够得到更好的保护。图5-1 vpn通道Ip帧/包 L2头部IP头部TCP/UDP头部有效负载表5-1AH传输模式封装原始IP报头验证报头（AH）有效负载表5-2AH隧道模式封装新IP报头验证报头（AH）原始IP报头有效负载表5-3ESP传输模式封装原始IP报头封装安全有效负载（ESP）报头有效负载ESP报尾ESP验证数据表5-4ESP隧道模式封装新IP报头封装安全有效负载（ESP）报头原始IP报头有效负载ESP报尾ESP验证数据表5-55.1.4 对等体验证Ipsec对数据进行加密防止数据在途中被窃取和修改，保护传送过程中的数据，但是首先VPN端点要能够对对方端点的进行确认，否则就谈不上数据包的保密了。所以数据在传送之前必须验证IPSEC VPN的端点。 下面举出5种方法可以验证IPSEC对等体：用户名和密码在端点配置他们，但是因为用户名和密码是经常使用的，所以这个验证方法安全性不高。数据证书它是由第三方CA给设备发数字证书。证书被发放到设备，需要验证设备的时候向第三方提交证书，然后由第三方进行检查，通过了就验证成功。预共享密钥在每个对等体预先设置一个密钥，这样可以保证信息的绝对的安全。OTP（一次性密码）一般都是以TAN或PIN的方式来识别。生物测定是通过分析人的物理特征例如语音、指纹和脸部的特征来验证。5.2 IKE（Internet 密钥交换）IKE协议是一种动态更改Ipsec 密钥和参数的机制，通过自动的交换机制和密钥的更新来防止Ipsec会话被攻击。同时，IPSEC可以在两个IPSEC端点之间自动建立起来SA（安全关联），SA是两个对等体之间事先协商好的一个参数。IKE进程可以分为两个阶段，阶段1是一个强制的IKE阶段，它是建立在对等体之间一个双向的SA，即两个对等体的哈希、加密、组等都要相同，否则对等体之间就无法建立IPSEC连接，紧接着，这个阶段还要执行对等体的验证。阶段2也是一个强制的IKE阶段，它是利用阶段1协商同意的参数在两个端点之间建立单向的SA。换而言之，就是每个方向都要使用独立的密钥素材。5.3 加密算法所谓加密，就是将密钥和数学加密算法运用到数据上面的一种表现形式。这样子一来，加密后的数据只能够被有解密能力的人读取。加密算法一般可以分为两种：同步加密和异步加密。5.3.1 同步加密同步加密算法又称为秘密密钥加密技术，它需要使用同一个秘密密钥来进行加密和解密。它注重的是保护密钥的安全性，否则任何人获得了密钥都可以对数据进行解密，从而获取到数据，这样存在不安全性。这种加密算法主要用在20世纪70年代中期。同步加密通常是用于大批量的加密需求。常见的同步加密算法主要有DES、3DES和AES。AES：它是唯一一个被国家安全局用在绝密网络的中的同步加密算法。是当前同步加密的选择，这个密钥长度是按64比特进行递增。DES :密钥有56bit，破解的话使用现代计算机只要24个小时左右可以破解，安全性不高。3DES：它使用的是三个不同的56bit密钥（DES加密、DES解密、DES加密）用来创建密文。这个加密方法只是在理论上纯在缺陷，但是到目前还没有被攻破掉。5.3.2 异步加密算法异步加密算法是使用不同的密钥进行加密和解密，加密的密钥称为公钥（public key），用于加密的密钥不能够用于解密，用于解密的密钥称为私钥（private key）。公钥可以广泛的发出，但是私钥就必须的保密的。对于数据签名来讲，这两种密钥的用途却是相反的，公钥是用来解密和验证签名的，而私钥是用来签署消息的哈希值。6. 企业VPN网络构建的分析与实现 6.1 方案应用领域目前，比较大规模的公司一般都有自己的子公司，如何搭建起子公司同公司总部安全、多用途、高效率、低成本的网络链接，这是每个企业都十分关注的问题。传统的方法有专线连接、IP地址直接访问、拨号连接、无线传输等，可是它们不是费用高昂，就是功能单一，而且还有可能存在安全隐患。不过这些问题如果使用VPN技术，这些难题迎刃而解。另外，现在很多企业都有自己的合作伙伴，合作伙伴之间的VPN网络需要有很高的灵活性，使用VPN技术可以做到简单快捷的与合作伙伴建立联系，真正实现想连就连，想断就断。 6.2 组网需求分析（1）公司总部与旗下分公司之间不仅要有稳定的网络连接支持，而且对于服务质量的要求也相对较高。另外，网络安全问题应该摆在第一位， （2）公司总部同其子公司或者合作伙伴之间的网络应选择扩展性高，灵活性强的网络连接类型。（3）企业网络在进行规划设计时要注重考虑网络的整体性价比，在考虑网络的强度的同时要尽量节省公司资源，实现低成本，高效益的目的。6.3 组网方案规划6.3.1 租用专线与使用VPN成本对比（1）租用专线费用如下所示：图6-1 租用专线费用（2）使用VPN技术不用申请专线，只需要原有的公网基础以及现有的路由器即可，可以大大节省开支费用。6.3.2VPN组网方案设计（1）B公司与旗下分公司之间使用MPLS VPN技术，实现总公司与子公司之间进行通信的目的，加以防火墙以保证数据的安全性。（2）C公司与旗下分公司之间使用Ipsec VPN实现，加以ACL与NAT进行完善，同时配备防火墙以保证数据的安全性。6.4 组网设备选型及实验地址规划本实验采用的是小凡模拟器来模拟真实的环境，在实验中用到的路由的主要设备是cisco 3640系列的路由器。本设计运用到的ios版本是c3640-jk9s-mz.124-16。详细配置表设备名称区域IP地址备注Cisco 3640BS0/013.13.13.1/24模拟客户端接入路由Cisco 3640BZS0/156.56.56.6/24模拟客户端接入路由Cisco 3640B_PES0/013.13.13.3/24ISP与B相连接口S0/223.23.23.3/24ISP与C相连接口S0/134.34.34.3/24与ISP内部相连地址Cisco 3640PS0/134.34.34.4/24与B_PE相连接口S0/045.45.45.4/24与BZ_PE相连接口Cisco 3640BZ_PES0/045.45.45.5/24与ISP内部相连接口S0/156.56.56.5/24与BZ相连接口S0/257.57.57.5/24与CZ相连接口Cisco 3640CS0/223.23.23.2/24模拟客户端接入路由Cisco 3640CZS0/257.57.57.7/24模拟客户端接入路由表6-16.5企业VPN网络构建总体设备拓扑图图6-2总拓扑图6.6模拟器用模拟实验图图6-3模拟实验图说明：由于使用模拟器来模拟真实拓扑，由于计算机一次无法启用太多的设备，因此对于一些对于本课题不是很重要的设备被省略掉了，主要进行VPN配置。6.7网络设备配置6.7.1用模拟器搭建拓扑1. 选择路由器数量、设备类型、ios文件，如图6-4所示。图6-4 设备选型2. 选择计算idle值，确定，把结果填入idle值选项框。图6-5 计算idle值图6-6 计算出idle值3. 确定好生成文件输出目录。图6-7选定文件生成目录4. 配置各台路由器的接口和型号。图6-8配置路由器5. 将各个路由器进行连接，点击生成BAT文件。完成后，在之前设置的路径的文件夹中找到7个后缀名为bat的文件，都打开后就可对其进行配置了。6-9 实现拓扑的互联6.7.2使用SecureCRT软件进行配置图6-10 SecureCRT配置界面6.8实验基础配置路由器接口的基础配置：B:Router>enRouter# conf t Router(config)#hostname B */修改路由器的名字B( config )#no ip do lo */关闭动态的域名解析，这样在敲错命令的时候会很快的恢复B(config)#line console 0 B(config-line)#exec-timeout 0 0 */关闭控制台空闲会话超时，不会被路由器自动踢除B(config-line)#logging synchronous */关闭日志同步，阻止自动弹出提示信息B(config-line)#exitB(config)#int s0/0 */进入接口B(config-if)#ip add 13.13.13.1 255.255.255.0 */添加IP地址B(config-if)#no shut */启用接口B (config)#int lo0 */创建一个环回口 B (config-if)#ip add 192.168.2.0 255.255.255.255图6-11 B路由接口配置信息BZ:Router>enRouter# conf tRouter(config)#hostname BZBZ ( config )#no ip do lo BZ (config)#line console 0BZ (config-line)#exec-timeout 0 0BZ (config-line)#logging synchronousBZ (config-line)#exitBZ (config)#int s0/1BZ(config-if)#ip add 56.56.56.6 255.255.255.0BZ(config-if)#no shutBZ(config-if)#exitBZ(config)#int lo0BZ (config-if)#ip add192.168.20.0 255.255.255.255BZ(config-if)#exit图6-12 BZ路由接口配置信息C:Router>enRouter# conf tRouter(config)#hostname CC ( config )#no ip do loC (config)#line console 0C (config-line)#exec-timeout 0 0C (config-line)#logging synchronousC (config-line)#exitC (config)#int s0/2C(config-if)#ip add 23.23.23.2 255.255.255.0C(config-if)#no shutC(config-if)#exitC(config)#int lo0C(config-if)#ip add 192.168.1.1 255.255.255.255C(config-if)#exit图6-13 C路由接口配置信息CZ:Router>enRouter# conf tCZ (config)#hostname CZCZ ( config )#no ip do lo CZ (config)#line console 0CZ(config-line)#exec-timeout 0 0CZ (config-line)#logging synchronousCZ (config-line)#exitCZ (config)#int s0/2CZ (config-if)#ip add 57.57.57.7 255.255.255.0CZ(config-if)#no shutCZ(config-if)#exitCZ(config)#int lo0CZ(config-if)#ip add 192.168.10.1 255.255.255.255CZ(config-if)#exit图6-14 CZ路由接口配置信息B_PE: Router>enRouter# conf tRouter(config)#hostname B_PEB_PE ( config )#no ip do loB_PE (config)#line console 0B_PE (config-line)#exec-timeout 0 0B_PE(config-line)#logging synchronousB_PE (config-line)#exitB_PE(config)#int s0/0B_PE(config-if)#ip add 13.13.13.3 255.255.255.0B_PE (config-if)#no shutB_PE (config)#int s0/1B_PE (config-if)#ip add 34.34.34.3 255.255.255.0B_PE (config-if)#no shutB_PE (config)#int s0/2B_PE (config-if)#ip add 23.23.23.3 255.255.255.0B_PE (config-if)#no shut图6-15 B_PE路由接口配置信息BZ_PE:Router>enRouter# conf tRouter(config)#hostname BZ_PEBZ_PE ( config )#no ip do lo BZ_PE