毕业设计（论文）VPN技术分析与实现1.doc

《毕业设计（论文）VPN技术分析与实现1.doc》由会员分享，可在线阅读，更多相关《毕业设计（论文）VPN技术分析与实现1.doc（31页珍藏版）》请在三一办公上搜索。

1、VPN技术分析与实现摘要：随着Internet已成为全社会的信息基础设施，企业端应用也大都基于IP，在Internet上构筑应用系统已成为必然趋势，因此基于IP的VPN业务获得了极大的增长空间。本文介绍了虚拟专用网的技术原理和特点，以及利用VPN技术构建企业虚拟专用网的优势，提出利用公网的资源作为企业各级单位间传输信息的通道，在建设内部网实现信息安全共享的同时降低建设和维护成本，因此具有很好的应用前景。文章首先对VPN的技术的发展、优点等进行了分析；其次阐述了VPN的解决方案；最后，结合一个证券公司的实例说明企业VPN网络的具体实现。关键词：虚拟专用网；虚拟局域网；网络安全；隧道技术VPN t

2、echnology analysis and implementationAbstract: As the Internet has become a society-wide information infrastructure, enterprise-based applications are mostly IP, to build applications on the Internet have become an inevitable trend, so the service which based on the IP-VPN was great room for growth.

3、 This paper presents a virtual private network technology principles and characteristics, and presents the advantages that the companies use the VPN technology to build the virtual private network, by using public networks at all levels of resources as a business unit of the channel to transmit info

4、rmation, in building internal networks to share information security At the same time reduce the cost of construction and maintenance, so VPN has good prospects. The article first tell us something about the development of technologies VPN and other advantages of an analysis ; and secondly about the

5、 VPN solutions; Finally, it combinates a securities company examples of the specific enterprise VPN network to achieve.Key words: VPN; VLAN; network security; tunnel目录1 VPN技术概述11.1 VPN产生的背景11.2 VPN的定义11.3 VPN的特点21.4 VPN带来的好处32 隧道技术72.1 概述72.2 隧道协议72.3 隧道技术实现过程102.4 隧道中的源和目标IP地址113 VPN中的安全技术123.1加解密技

6、术123.2密钥管理技术123.3身份认证技术134 VPN解决方案144.1远程访问虚拟网144.2 企业内部虚拟网154.3 企业扩展虚拟网165 VPN网络方案设计175.1 需求分析175.2 拓扑设计185.3 设备选型185.4 IP地址分配205.5 权限设置205.6 具体配置21结束语27参考文献28致 谢291 VPN技术概述1.1 VPN产生的背景随着Internet和电子商务的蓬勃发展，越来越多的用户认识到，经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途

7、径，增加信息交换速度。这些合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题，因为Internet是一个全球性和开放性的、基于TCP/IP 技术的、不可管理的国际互联网络，因此，基于Internet的商务活动就面临非善意的信息威胁和安全隐患。 还有一类用户，随着自身的发展壮大与跨国化，企业的分支机构不仅越来越多，而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部门在连接分支机构方面也感到日益棘手。 用户的需求正是虚拟专用网技术诞生的直接原因。移动用户或远程用户通过拨号方式远程访问公司或企业内部专用网络的时

8、候，采用传统的远程访问方式不但通讯费用比较高，而且在与内部专用网络中的计算机进行数据传输时，不能保证通信的安全性。为了避免以上的问题，通过拨号与企业内部专用网络建立VPN连接是一个理想的选择。1.2 VPN的定义现在有很多连接都被称作VPN，用户经常分不清楚，那么一般所说的VPN到底是什么呢？VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用

9、网中，任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为：使用IP机制仿真出一个私有的广域网是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。我们所要构建的虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了

10、一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN是基于公网,利用隧道加密等技术,为用户提供的虚拟专用网络,它给用户一种直接连接到私人局域网的感觉。 用户在电信部门租用的帧中继（Frame Relay）与ATM等数据网络提供固定虚拟线路（PVC-Permanent Virtual Circuit）来连接需要通讯的单位，所有的权限掌握在别人的手中。如果用户需要一些别的服务，需要填写许多的单据，再等上相当一段时间，才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵，而且管理也需要一定的专业技术人

11、员，无疑增加了成本，而且帧中继、ATM数据网络也不会像Internet那样，可立即与世界上任何一个使用Internet网络的单位连接。而在Internet上，VPN使用者可以控制自己与其它使用者的联系，同时支持拨号的用户。 所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络，而不是Frame Relay或ATM等提供虚拟固定线路（PVC）服务的网络。 1.3 VPN的特点安全保障 ：虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密

12、技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。 服务质量保证（QoS） ：VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专

13、线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。 可扩充性和灵活

14、性 ：VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。 可管理性 ：从用户角度和运营商的角度应可方便地进行管理、维护。在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、

15、设备管理、配置管理、访问控制列表管理、QoS管理等内容。1.4 VPN带来的好处VPN的最终目的是服务于企业，为企业带来可观的经济效益，为现代化企业的信息共享提供安全可靠的途径。由于VPN是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。这就是VPN价格低廉的原因。 哪些用户适于使用VPN呢？在满足基本应用要求后，有三类用户比较适合采用VPN： 位置众多，特别是单个用户和远程办公室站点多，例如企业用户、远程教育用户； 用户/站点分布范围广，彼此之间的

16、距离远，遍布全球各地，需通过长途电信，甚至国际长途手段联系的用户； 带宽和时延要求相对适中； 对线路保密性和可用性有一定要求的用户。相对而言，有四种情况可能并不适于采用VPN：非常重视传输数据的安全性；不管价格多少，性能都被放在第一位的情况； 采用不常见的协议，不能在IP隧道中传送应用的情况； 大多数通信是实时通信的应用，如语音和视频。但这种情况可以使用公共交换电话网（PSTN）解决方案与VPN配合使用。对于企业来说，VPN提供了安全、可靠的 Internet访问通道，为企业进一步发展提供了可靠的技术保障。而且VPN能提供专用线路类型服务，是方便快捷的企业私有网络。企业甚至可以不必建立自己的广

17、域网维护系统，而将这一繁重的任务交由专业的ISP来完成。对于用户来说可以从以下几方面获益：l 实现网络安全：具有高度的安全性，对于现在的网络是极其重要的。新的服务如在线银行、在线交易都需要绝对的安全，而VPN以多种方式增强了网络的智能和安全性。首先，它在隧道的起点，在现有的企业认证服务器上，提供对分布用户的认证。另外，VPN支持安全和加密协议，如Secure IP（IP sec）和Microsoft点对点加密（MPPE）。 l 简化网络设计：网络管理者可以使用VPN替代租用线路来实现分支机构的连接。这样就可以将对远程链路进行安装、配置和管理的任务减少到最小，仅此一点就可以极大地简化企业广域网的

18、设计。另外，VPN通过拨号访问来自于ISP或NSP的外部服务，减少了调制解调器池，简化了所需的接口，同时简化了与远程用户认证、授权和记账相关的设备和处理。 l 降低成本：VPN可以立即而且显著地降低成本。当使用Internet时，实际上只需付短途电话费，却收到了长途通信的效果。因此，借助ISP来建立VPN，就可以节省大量的通信费用。此外，VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备，这些工作都可以交给ISP。VPN 使用户可以降低如下的成本： 移动用户通信成本。VPN可以通过减少长途费用来节省移动用户的花费。 租用线路成本。VPN可以以每条连接的40%到60%的成

19、本对租用线路进行控制和管理。对于国际用户来说，这种节约是极为显著的。对于话音数据，节约金额会进一步增加。 主要设备成本。VPN通过支持拨号访问外部资源,使企业可以减少不断增长的调制解调器费用。另外，它还允许一个单一的WAN接口服务多种目的，从分支网络互连、商业伙伴的外连网终端、本地提供高带宽的线路连接到拨号访问服务提供者，因此，只需要极少的WAN接口和设备。由于VPN可以完全管理，并且能够从中央网站进行基于策略的控制，因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销。另外，由于VPN独立于初始协议，这就使得远端的接入用户可以继续使用传统设备，保护了用户在现有硬件和软件系统上的投资。

20、l 容易扩展：如果企业想扩大VPN的容量和覆盖范围。企业需做的事情很少，而且能及时实现：企业只需与新的IPS签约，建立账户；或者与原有的ISP重签合约，扩大服务范围。在远程办公室增加VPN能力也很简单：几条命令就可以使Extranet路由器拥有Internet和VPN能力，路由器还能对工作站自动进行配置。 l 可随意与合作伙伴联网：在过去，企业如果想与合作伙伴连网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。有了VPN之后，这种协商也毫无必要，真正达到了要连就连，要断就断。 l 完全控制主动权：借助VPN，企业可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权

21、。比方说，企业可以把拨号访问交给ISP去做，由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。 l 支持新兴应用：许多专用网对许多新兴应用准备不足，如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用，如IP语音，IP传真，还有各种协议，如RSIP、IPv6、MPLS、SNMPv3等。 正由于VPN能给用户带来诸多的好处，VPN在全球发展得异常红火，在北美和欧洲，VPN已经是一项相当普遍的业务；在亚太地区，该项服务也迅速开展起来。2 隧道技术2.1概述众所周知，由于公共IP的短缺，我们在组建局域网时，通常使用保留地址作为内部IP，这些保留地址在Inte

22、rnet上是无法被路由的，所以在正常情况下我们无法直接通过Internet访问到在局域网内的主机。为了实现这一目的，我们需要使用VPN隧道技术11。隧道技术是VPN的基本技术类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。2.2隧道协议2.2.1隧道协议 l 隧道是由隧道协议形成的，分为第二、三层隧道协议，两者本质区别在于用户的数据包是被封装到哪一层的数据包在隧道里传输。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议是

23、把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IP Sec、GRE等。 PPTP(Point to Point Tunneling Protocol): PPTP是VPN的基础。PPTP的封装在数据链路层产生，PPTP协议采用扩展的GRE(Generic Routing Encapsulation)头对PPP/SLIP报进行封装。点对点隧道协议 (PPTP) 是一种网络协议，其通过跨越基于 TCP/IP 的数据网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP 支持通过公共网络（例如 Internet）建立按需的、多

24、协议的、虚拟专用网络。PPTP 允许加密 IP 通讯，然后在要跨越公司 IP 网络或公共 IP 网络（如 Internet）发送的 IP 头中对其进行封装。PPTP 连接只要求通过基于 PPP 的身份验证协议进行用户级身份验证。 L2F(Layer 2 Forwording): L2F可在多种介质（如ATM、帧中继、IP网）上建立多协议的安全虚拟专用网，他将链路层的协议（如PPP等）封装起来传送。因此网络的链路层完全独立于用户的链路层协议。 L2TP(Layer 2 Tunneling Protocol ): L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成,它结合了PP

25、TP和L2F协议的优点，几乎能实现PPTP和L2F协议能实现的所有服务，并且更加强大、灵活。第 2 层隧道协议 (L2TP) 是一种工业标准 Internet 隧道协议，其可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装。L2TP 允许加密 IP 通讯，然后在任何支持点到点数据报交付的媒体上（如 IP）进行发送。Microsoft 的 L2TP 实现使用 Internet 协议安全 (IP Sec) 加密来保护从 VPN 客户端到 VPN 服务器之间的数据流。IP Sec 隧道模式允许加密 IP 数据包，然后在要跨越公司 IP 网络或公共 IP 网络（如 Internet）发

26、送的 IP 头中对其进行封装。 IP Sec：在IP层提供通信安全的一套协议簇，包括封装的安全负载ESP和认证报头AH、ISAKMP，它对所有链路层上的数据提供安全保护和透明服务。AH用于通信双方验证数据在传输过程中是否被更改并能验证发送方的身份，实现访问控制、数据完整性、数据源的认证功能。ISAKMP用于通信双方协商加密密钥和加密算法，并且用户的公钥和私钥是由可信任的第三方产生。IP Sec 上的 L2TP 连接不仅需要相同的用户级身份验证，而且还需要使用计算机凭据进行计算机级身份验证。2.2.2 VPN协议比较PPTP、L2F、L2TP和VTP、IP Sec、GRE，它们各自有自己的优点，

27、但对于隧道的加密和数据加密问题都密钥最佳的解决方案。同时，无论何种隧道技术，一旦进行加密或验证，都会影响系统的性能。 与PPTP相比，L2TP能够提供差错和流量控制。两者共有的缺点：其一、认证的只是终端的实体，密钥对信息流（通道中的数据包）进行认证，对于地址欺骗、非法复制包难以防范；其二、由于缺乏认证信息，如果向通道发送一些错误信息，则可能导致服务的关闭，这也成为常用的攻击手段。 GRE只提供了数据包的封装，它并没有使用加密功能来防止网络侦听和攻击。在实际环境中它常和IP Sec一起使用，由IP Sec提供用户数据的加密，从而给用户提供更好的安全性。 只有IP Sec协议集合多种安全技术，建立

28、了一个安全可靠的隧道。这些技术包括Diffie-Hellman密钥交换技术、DES、RC4、IDEA数据加密技术、哈希散列算法HMAC、MD5、SHA、数字签名技术等。IP Sec不仅可以保证隧道的安全，同时还有一整套保证用户数据安全的措施，由此建立的隧道更具有安全性和可靠性。IP Sec还可以和L2TP、GRE等其它隧道协议一同使用，提供更大的灵活性和可靠性。IP Sec可以运行于网络的任意一部分，他可以在路由器和防火墙之间、路由器和路由器之间、PC机和服务器之间、PC机和拨号和访问设备之间。IP Sec应作为目前较满意的解决方案。下面对 VPN 协议进行了比较,如表2.1所示。表2.1 V

29、PN 协议的比较协议用途安全注释IP Sec 隧道模式连接到第三方 VPN 服务器高这是在您连接到非 Microsoft VPN 服务器时可以使用的唯一选项。IP Sec 上的 L2TP连接到 ISA Server2004 计算机、ISA Server2000 计算机或 Windows VPN 服务器高使用路由和远程访问在复杂性方面比 IP Sec 隧道解决方案低，但是需要远程 VPN 服务器是 ISA 服务器计算机或 Windows VPN 服务器。PPTP连接到 ISA Server2004 计算机、ISA Server2000 计算机或 Windows VPN 服务器中使用路由和远程访问

30、在限制方面与 L2TP 相同，不同之处在于其更易于配置。由于使用 IP Sec 加密，因此 L2TP 被视为是一种更加安全的解决方案。2.3 隧道技术实现过程其实现过程如图1所示：图1 隧道示意图通常情况下，VPN网关采用双网卡结构，外网卡使用公共IP接入Internet； - 如果网络一的终端A需要访问网络二的终端B，其发出的访问数据包的目标地址为终端B的IP （内部IP）； - 网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同，同时VPN网关会构造一个新的数据包（VPN数据

31、包），并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为网络二的VPN网关的外部地址； - 网络一的VPN网关将VPN数据包发送到Internet，由于VPN数据包的目标地址是网络二的VPN网关的外部地址，所以该数据包将被Internet中的路由正确地发送到网关； - 网络二的VPN网关对接收到的数据包进行检查，如果发现该数据包是从网络一的VPN网关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离，在将负载通VPN技术反向处理还原成原始的数据包； - 网络二的VPN网关将还原后的原始数据包发送至目标终端，由于原始数据

32、包的目标地址是终端B的IP，所以该数据包能够被正确地发送到终端B。在终端B看来，它收到的数据包就从终端A直接发过来的一样； - 从终端B返回终端A的数据包处理过程与上述过程一样，这样两个网络内的终端就可以相互通讯了。2.4 隧道中的源和目标IP地址隧道是封装、路由与解封装的整个过程。隧道将原始数据包隐藏（或封装）在新的数据包内部。该新的数据包可能会有新的寻址与路由信息，从而使其能够通过网络传输。隧道与数据保密性结合使用时，在网络上窃听通讯的人将无法获取原始数据包数据（以及原始的源和目标）。封装的数据包在网络中的隧道内部传输。封装的数据包到达目的地后，会删除封装，原始数据包头用于将数据包路由到最

33、终目的地。 隧道本身是封装数据经过的逻辑数据路径。对原始的源和目的端，隧道是不可见的，而只能看到网络路径中的点对点连接。连接双方并不关心隧道起点和终点之间的任何路由器、交换机、代理服务器或其他安全网关。将隧道和数据保密性结合使用时，可用于提供 VPN。通过上述说明我们可以发现，在VPN网关对数据包进行处理时，有两个参数对于VPN隧道通讯十分重要：原始数据包的目标地址（VPN目标地址）和远程VPN网关地址。根据VPN目标地址，VPN网关能够判断对哪些数据包需要进行VPN处理，对于不需要处理的数据包通常情况下可直接转发到上级路由；远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址，即VP

34、N隧道的另一端VPN网关地址。由于网络通讯是双向的，在进行VPN通讯时，隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。3 VPN中的安全技术由于传输的是私有信息，VPN用户对数据的安全性都比较关心。 目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。 隧道技术在第二章已经加已说明,下面就其它三种安全技术6做相应说明。 3.1加解密技术（Encryption & De

35、cryption）加解密技术16是数据通信中较成熟的技术，VPN可以直接利用现有的技术。用于VPN上的加密技术由IP Sec的ESP(Encapsulating Security Paylcad)实现。主要是发送者在发送数据以前对数据加密，当数据到达接收者时由接收者对数据进行解密处理，算法主要种类包括：对称加密算法、不对称加密算法等，如DES、IDEA、RSA。对称加密算法，通信双方共享一个密钥。发送方使用该密钥将明文加密成密文。接收方使用相同的密钥将密文还原成明文，对称加密算法运算速度快。不对称加密算法是通信双方各使两个不同的密钥，一个是只有发送方知道的密钥，另一个则是与之对应的公开密钥，公

36、开密钥不需保密。在通信过程中，发送方用接收方的公开密钥加密信息，并且可以用发送方的秘密密钥对消息的某一部分或全部加密，进行数字签名。接收方收到消息后，用自己的秘密密钥解密消息，并使用发送方的公开密钥解密数字签名，验证发送方身份。3.2密钥管理技术（Key Management）密钥管理技术的主要任务是如何在公网上传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP两种。SKIP是利用Diffie-Hellman的演算法则，在网络上传输密钥；ISAKMP双方都有两把密钥，分别用于公用、私用。3.3身份认证技术（Authentication）l CHAP：使用MD5来协商加密身份验证的

37、安全形式，在响应时使用质询-响应机制和单向MD5散列。l MS-CHAP：同CHAP相似，对远程工作站进行身份验证，在响应时使用质询-响应机制和单向加密。而且MS-CHAP不要求使用原文或可逆加密密码。MS-CHAP V2是第二版的质询握手身份验证协议，它提供了相互身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。l EAP：为适应使用其它安全设备的远程访问用户进行身份验证的需求，使用EAP可以增加对许多身份验证方案的支持，包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其它身份验证。使用EAP还可以防止暴力攻击和密码猜测。4 VPN解决方案VPN有三种解决方案，用户可

38、以根据自己的情况进行选择。这三种解决方案分别是：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。4.1远程访问虚拟网（Access VPN）如果企业的内部人员移动或有远程办公需要，或者商家要提供B2C的安全访问服务，就可以考虑使用Access VPN。 Access VPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。Access VPN能使用户随

39、时、随地以其所需的方式访问企业资源。Access VPN包括模拟、拨号、ISDN、数字用户线路(x DSL)、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。如图2所示。图2 Access VPN结构图Access VPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权，保证连接的安全，同时负担的电话费用大大降低。Access VPN对用户的吸引力在于： * 减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络； * 实现本地拨号接入的功能来取代远

40、距离接入或800电话接入，这样能显著降低远距离通信的费用； * 极大的可扩展性，简便地对加入网络的新用户进行调度； * 远端验证拨入用户服务（RADIUS）基于标准，基于策略功能的安全服务； * 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。4.2 企业内部虚拟网（Intranet VPN） 如果要进行企业内部各分支机构的互联，使用Intranet VPN是很好的方式。越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性

41、可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。Intranet VPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。如图3所示。 图3 Intranet VPN结构图Intranet VPN对用户的吸引力在于： * 减少WAN带宽的费用； * 能使用灵活的拓扑结构，包括全网络连接； * 新的站点能更快、更容易地被连接； * 通过设备供应商WAN的连

42、接冗余，可以延长网络的可用时间。4.3 企业扩展虚拟网（Extranet VPN） 如果是提供B2B之间的安全访问服务，则可以考虑Extranet VPN。 随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础，而如何利用Internet进行有效的信息管理，是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。 Ext

43、ranet VPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。如图4所示。 图4 Extranet VPN结构图Extranet VPN对用户的吸引力在于：能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可，外部网的用户被许可只有一次机会连接到其合作人的网络。 5 VPN网络方案设计本文以证券公司网络为基础，设计证券公司内部VPN、外部VPN网络方案。该证券有限责任公司作为一家全国性的综合类证券商,

44、总部在北京，在上海有其分公司的营业部和服务网点,而且公司经常会有出差人员和外出团队。该证券公司的网络要能够使分部、外出人员和团队以及合作伙伴之间进行安全的数据传输，而使用专线价格昂贵，所以该证券公司网络的主要目的是为此证券公司建设覆盖全国各个地区的VPN网,使得分部、外出人员、外出团队和总部之间的数据安全传输5。5.1 需求分析北京总部分为信息中心、项目管理部和财务部三个部门，总部设置一个VPN服务器，在服务器和Internet之间设置防火墙保障服务器上的数据安全；上海分公司分为项目管理部和财务部，同样设置一个VPN服务器，该服务器和Internet之间也设置防火墙保障服务器上的数据安全；总部

45、和分部以及外出移动用户、外出团队和总部之间使用VPN网络进行访问12。公司的网络结构如图5所示。图5 公司VPN网络结构示意图5.2 拓扑设计图6 总公司拓扑结构图7 分公司拓扑结构 5.3 设备选型公司的网络拓扑结果确定后，就开始选择合适的VPN服务器，下面有几种服务器的相关说明，具体如下表5.1所示。表5.1 VPN服务器名称描述参考价格图片 FVS318VPN服务器，它利用 SPI、URL 访问和内容过滤、日志记录、汇报及实时告警提供最高的安全性-拒绝服务(DoS)攻击保护和入侵检测。它并且能同时启动多达8个IP Sec VPN隧道，从而降低您的运营成本，最大程度提高您网络的安全性。25

46、000元DELL Power Edge 860适合网络边缘以及针对各种规模用户组建基础结构或网络应用的平台，如Web服务器、独立的局域网(LAN)基础设施。6500元HP ProliantDL360适用于企业数据中心、服务提供商、中小型企业等高密度计算环境。DL360 将集中的 1U 计算能力、集成 Lights-Out 管理和基本容错性能集于一身，适用于在空间有限的安装35000元IBM X3650这是一款采用2U机架式结构的服务器，占据的空间小，为企业节约了不少托管空IBM X3650(7979RB4)应用了两颗英特尔四核至强5335处理器，主频为2.0G、8M二级缓存、1333MHz的系

47、统总线频率。同时标配4G（2*2G）内存、一块146GSAS 硬盘、内置COMBO光驱。29000元联想 万全T100G7 S6320 1G/250S千兆/GF8600塔式服务器,Intel 酷睿2双核E6320处理器,标配NVIDIA GeForce 8600GTS PCI-E高性能显卡,WindowsServer2003 R2 Standard Edition 简体中文版、Windows 2000 Server(集成SP4版本)简体中文版、Lenovo Windows Storage Server 2003(存储增强版)、Windows XP简体中文版系统支持。7599元由于该证券公司主机数量不是很多，选用专业的VPN服务器在经济上不合算，所以使用安装了 windows 2003的服务器做VPN服务器，该网络选用联想万T100。5.4 IP地址分配各个部门和用户的IP地址分配如表5.2所示。表5.2 IP地址划分IP地址总公司服务器私有地址10.240.0.0公有地址211.85.1.129信息中心10.240.640/18项目管理部10.240.128.0/18财务部10.240.192.0/18上海分公司服务器