基于VPN的企业网设计论文.doc

2011-2012学年度第一学期 《网络工程》课程综合设计作品 题 目　基于VPN企业网设计 学 号 101712411 姓 名　王 壮 飞　 评定成绩 2012年1月3日 基于VPN企业网设计 摘 要：VPN隧道技术（VPN Tunneling）是一种通过使用互联网络基础设施在网络之间传递数据方式，对位于企业局域网端企业服务器建立连接，对用户端透明，支持企业通过Internet等公共互联网络及分支机构或其它公司建立连接，是非常受欢迎电信业务。首先，论文在理论概述及分析上，从技术层面IPSec、SSL和MPLS技术阐述了应用在VPN技术之中几种常见协议，并列举了几种技术手段优势和不足，并尝试研究各种技术最适宜应用环境。其次，论文通过对VPN技术安全保障以及服务质量保证两个方面详细分析了VPN技术优点。最后，论文设计了组建基于VPN远程办公网络组网方案，并详细列出了设计步骤、网络拓扑图、设备配置、网络模拟实验结果等。 关键词：虚拟专用网络；隧道技术；IP Sec VPN 目 录 1 VPN技术理论概述 4 1.1 VPN技术理论概述及分析 5 1.1.1 IP Sec技术浅析 5 1.1.2 SSL技术浅析 6 1.1.3 多协议标签交换MPLS 7 1.2 VPN技术优点 8 1.2.1 安全保障 8 1.2.2 服务质量保证(QoS) 9 2 基于VPN网络设计 10 2.1 网络拓扑图设计及说明 10 2.2 IP地址分配及规划分析 10 3 主要设备网络配置 12 3.1 总部路由器配置 12 3.2 分公司路由器配置 14 3.3 Internet路由器配置 15 3.4 网络模拟实验结果 16 1 VPN技术理论概述 虚拟专用网VPN(Virtual Private Network)是一种利用公共网络构建专用网络技术，“虚拟”概念是相对传统私网络构建方式而言，VPN通过公网实现远程广域连接，以低廉成本连接企业远程分支机构，或者在公共骨干网络承载不同专网。下面我们从技术层面和业务层面对VPN技术进行分析，因为所有技术都是因为有了应用才变得有分析和研究意义。VPN是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商)在公用网络中利用隧道、加密等技术，构建一个专门给企业使用虚拟网络。该虚拟专用网负责将地理上分布用户各个网络结点连接起来。 在虚拟专用网中，任意两个节点之间连接并没有传统专网所需端到端物理链路，而是利用某种公众网资源动态组成。通过虚拟专用网络连接，用户可以根据自己意愿，分配各个结点上地址空间，可以自己安排各个结点之间路由关系，它给用户一种直接连接到私人局域网感觉。因此虚拟专用网，顾名思义，不是真专用网络，但却能够实现专用网络功能。从网络空间来看，虚拟专用网络在中间，用户网络结点在边缘。所谓虚拟，是指用户不再需要拥有实际长途数据线路，而是使用Internet公众数据网络长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求网络。及虚拟专用网相对应，传统专用线路(如DDN)高昂成本和长期使用费用，使企业承担了很大负担，很多企业无法利用这种方式来建立自己专网。 越来越多用户认识到，Internet和电子商务蓬勃发展，经济全球化最佳途径是发展基于Internet商务应用。随着商务活动日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业局域网，从而大大简化信息交流途径，增加信息交换速度。这些合作和联系是动态，并依靠网络来维持和加强，于是各企业发现，这样信息交流，不但带来了网络复杂性，而且还带来了管理和安全性问题，因为Internet是一个全球性和开放性、基于TCP/IP技术、难以管理国际互联网络，因此，基于Internet商务活动就面临着信息威胁和安全隐患。还有一类用户，随着自身发展壮大，以及跨国企业分支机构不仅越来越多，而且相互间网络基础设施互不兼容也更为普遍。因此，用户信息技术部门，在连接分支机构方面也感到日益棘手。虚拟专用网技术能很好地解决上述难题，而且无需高昂专用网络及设备，大大降低了成本。这使得虚拟专用网技术，不但成为了近来网络界新热点，更成为了一种不可抗拒趋势。 1.1 VPN技术理论概述及分析 IP VPN是当今VPN发展主流，也是主要应用技术。在此，我们将按照IP VPN技术发展过程，将VPN技术分为五个层面分别进行讨论。 1.1.1 IP Sec技术浅析 IP Sec是一组开放协议总称，它是在特定通信方之间通过在IP层加密和数据源验证等手段，保证数据包在Internet网上私有性、完整性和真实性。IPSec采用AH(Authentication Header)和ESP(Encapsulating Security Payload)安全协议，不会对用户、主机或其它Internet组件造成影响，用户可以选择不同硬件或软件加密算法，不影响其它部分实现。 IPSec提供以下网络安全服务： 私有性：在传输数据包之前进行加密，保证数据私有性； 完整性：在目地验证数据包，保证数据包在传输过程中不被修改； 真实性：IP Sec端验证所有受IP Sec保护数据包； 防重放：防止数据包被捕捉后重新投放上网，即目地拒绝旧或重复数据包，这一过程是通过报文序列号来实现。 IP Sec在两个端点之间通过建立安全联盟(SA，Security Association)进行数据传输，该安全联盟定义了数据保护使用协议、算法和安全联盟有效时间等属性。IP Sec在转发加密数据时新产生All和/或ESP附加报头，可用于保证IP数据包安全性。IP Sec包括隧道和传输两种工作方式：在隧道方式，用户整个IP数据包用于计算附加报头且被加密，附加报头和加密用户数据封装在一个新IP数据包中；在传输方式，仅传输层(如TCP、UDP)数据用于计算附加报头，附加报头和被加密传输层数据放置在原口报头后面。 通过IP Sec协议，数据可安全地在公网传输，不必担心数据被监视、修改或伪造。IP Sec提供两个主机间、两个安全网关间或主机及安全网关之间数据保护。 1.1.2 SSL技术浅析 近年来，移动办公已成为趋势，移动用户接入公司内部专网需求不断增加，使得IPSec VPN使用也逐渐增加。但由于IPSec VPN维护困难，造成企业IT成本过高；另一方面，企业对于内网资源保护要求也不断提高，IPSec VPN由于开放了整网资源给接入用户，企业内网安全方面问题逐渐暴露。 鉴于IPSec VPN应用中存在不足，基于应用层SSL VPN开始迅速兴起。SSL英文全称是“Secure Sockets Layer”，中文名为“安全套接层协议层”，它是网景(Netscape)公司提出基于WEB应用安全协议。是一种基于应用层虚拟专网技术，它利用SSL技术和代理技术，向终端用户提供安全访问HTTP限资源、C/S资源，以及文件共享资源等功能，同时可以实现不同方式用户认证，以及细粒度访问控制。通过该技术应用，我们可真正实现“在任何时候、任何地点、通过任何设备安全地接入公司内部网”目标。 　　SSL VPN技术应用具有以下优势和特点： 通过点到应用保护，对每一个应用都可以设定安全策略； 无需手动安装任何VPN客户端软件； 兼容性好，支持各种操作系统和终端(如PDA、Smart Phone等)。 在远程访问领域，SSL VPN正逐步取代IPSec VPN。但是，作为传统站点到站点安全联接主流技术，IP Sec VPN仍然是不可取代。当前，VPN领域共识是：IPSec VPN更适合于站点到站点安全联接，SSL VPN是实现安全远程访问最佳技术。 就目前技术而言，VPN发展到现在没有所谓最佳选择，到底选择那种VPN必须根据远程访问需求及目标而定。当企业需要安全点对点连接时，IP Sec可能是最适合解决方案，即IP Sec更加适合用来解决网到网互联问题。 SSL VPN则更适合下述情况：移动用户通过互联网来访问企业内部获取广泛而全面性信息，管理员希望精确了解接入用户访问情况，SSL VPN在这方面更胜一筹。 如果一个企业会同时存在网间互联和点到网互联需求，我们就需要是一台设备同时支持这两种VPN技术，在需要网到网互联时候使用IP Sec、在需要点到网互联时候使用SSL，用最合适技术来满足用户需求。 综合说，以上两种技术有如下差异： 1、IP Sec VPN多用于“网——网”连接，SSL VPN用于“移动客户——网”连接。SSLVPN移动用户使用标准浏览器，无需安装客户端程序，即可通过SSLVPN隧道接入内部网络；而IP Sec VPN移动用户需要安装专门IP Sec客户端软件。 2、SSL VPN是基于应用层VPN，而IP Sec VPN是基于网络层VPN。IP Sec VPN对所有IP应用均透明；而SSL VPN保护基于Web应用更有优势，当然好产品也支持TCP/UDPC/S应用，例如文件共享、网络邻居、、Oracle等。 3、SSL VPN用户不受上网方式限制，SSL VPN隧道可以穿透Firewall；而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall，而且需要Firewall打开UDP500端口。 　　4、SSL VPN只需要维护中心节点网关设备，客户端免维护，降低了部署和支持费用。而IPSec VPN需要管理通讯每个节点，网管专业性较强。 5、SSL VPN更容易提供细粒度访问控制，可以对用户权限、资源、服务、文件进行更加细致控制，及第三方认证系统(如：radius、AD等)结合更加便捷。而IPSec VPN主要基于IP五元组对用户进行访问控制。 正是出于SSLVPN这些独特优势，SSL VPN越来越被一些客户所接受。 1.1.3 多协议标签交换MPLS MPLS(Multi protocol Label Switch)最初是用来提高路由器转发速度而提出一个协议，但是由于MPLS在流量工程和VPN这一在目前IP网络中非常关键两项技术中表现，MPLS已日益成为扩大IP网络规模重要标准。MPLS协议关键是引入了标签(Label)概念。它是一种短、易于处理、不包含拓扑信息、只具有局部意义信息内容。Label短是为了易于处理，通常可以用索引直接引用。只具有局部意义是为了便于分配。熟悉ATM人可能很自然想到ATM中VPI/VCI。可以这么说，ATM中VPI/VCI就是一种标签，所以说ATM实际上就是一种标签交换。一个MPLS标签是一个长度固定数值，由报文头部携带，不含拓扑信息，只有局部意义。 在MPLS网络中，IP包在进入第一个MPLS设备时，MPLS边缘路由器就用标签封装起来。MPLS边缘路由器分析IP包内容并且为这些IP包选择合适标签，相对于传统IP路由分析，MPLS不仅分析IP包头中目地址信息。它还分析IP包头中其他信息，如TOS等。之后所有MPLS网络中节点都是依据这个简短标签来作为转发判决依据。当该IP包最终离开MPLS网络时，标签被边缘路由器分离。 IP+ATM怎样不同于简单地在ATM骨干上运行IP呢?答案就是MPLS。MPLS是商业IP网络关键技术，它允许服务提供商首次在单一网络上获得IP，ATM，FR综合利润。因为MPLS提供IP灵活连接和可扩展性，以及FR和ATM私有性和QOS，它已变成广泛被接收标准。运用MPLS，IP服务能通过以下过程在具有选路和多业务交换网络上进行传送： 网络决定包选路和QOS需求； 标记被分配给每个包，告诉交换机或路由器哪儿、怎样去发送这个包，每个包特定服务属性：QOS，私有性等等； 包在没有额外选路情况下，在网络骨干上被交换。 基于MPLS解决方案使得新网络世界服务成为可能，如具有QOSVPN。MPLS标记主要好处是能够为单个数据流区别服务类。 1.2 VPN技术优点 1.2.1 安全保障 虽然实现VPN技术和方式很多，但所有VPN均应保证通过公用网络平台传输数据专用性和安全性。在非面向连接公用IP网络上建立一个逻辑、点对点连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输数据进行加密，以保证数据仅被指定发送者和接收者了解，从而保证了数据私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其在VPN上传送数据，不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息访问。Extranet VPN将企业网扩展到了合作伙伴和客户，但同时也对安全性提出了更高要求。 1.2.2 服务质量保证(QoS) VPN网应当为企业数据，提供不同等级服务质量保证。不同用户和业务对服务质量保证要求差别较大。如移动办公用户，提供广泛连接和覆盖性是保证VPN服务一个主要因素；而对于拥有众多分支机构专线VPN网络，交互式内部企业网应用，则要求网络能提供良好稳定性；对于其他应用(如视频等)则对网络提出了更明确要求，如网络时延及误码率等。所有以上网络应用，均要求网络根据需要提供不同等级服务质量。在网络优化方面，构建VPN另一重要需求是充分有效地利用有限广域网资源，为重要数据提供可靠带宽。广域网流量不确定性使其带宽利用率很低，在流量高峰时容易引起网络阻塞，产生网络瓶颈，使实时性要求高数据得不到及时发送；而在流量低谷时又容易造成大量网络带宽空闲。QoS通过流量预测及流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞发生。　　　　 23 / 24 2 基于VPN网络设计 2.1 网络拓扑图设计及说明 基于IP Sec VPN综合模拟拓扑图如下图图1： 图 1 VPN综合模拟拓扑图 拓扑图说明：总部路由器模拟总公司核心层路由器，总部汇聚层交换机下挂其Fa0/1端口，总部TFTP服务器、Web服务器以及各部门PC接入汇聚层核心交换机；总部路由器Fa0/1为连接Internet端口，在此使用一台cisco2811路由器模拟Internet，Internet路由器Eth1/1端口下挂外网DNS服务器和ISP Web服务器，Eth1/0下挂外网接入AP，提供DHCP服务和无线接入；Internet另一端为分公司路由器，其Fa0/1端口下挂分公司核心交换机。 2.2 IP地址分配及规划分析 PC0 PC1:DHCP获取 笔记本：laptop0和wuxian：DHCP获取 内部服务器：Web 192.168.1.253/24 T ISP服务器：ISP DNS 202.103.96.112/24 ISP Web 202.103.96.120/24 总部路由器：f0/0:192.168.1.254/24 f0/1:100.1.1.2/24 Internet网：f0/1 :100.1.1.1/24 f0/0:200.1.1.1/24 E1/0:210.1.1.1/24(移动笔记本wuxian所获得公网地址段) E1/1:202.103.96.1/24（ISP DNS和ISP Web服务器网关） 分部路由器：f0/0:200.1.1.2/24 f0/1:192.168.2.254/24 TFTP服务器：IP：192.168.1.252/24 gateway：192.168.1.254/24 WEB服务器： 总部：IP：192.168.1.253/24 gateway: 192.168.1.254/24 Internet：202.103.96.120/24 gateway: 202.103.96.1/24 DNS服务器：IP:202.103.96.112/24 gateway: 202.103.96.1/24 3 主要设备网络配置 3.1 总部路由器配置 hostname zongbu ip dhcp excluded-address 192.168.1.254 ip dhcp pool zongbu network 192.168.1.0 255.255.255.0 default-router 192.168.1.254 dns-server 202.103.96.112 aaa new-model aaa authentication login eza local aaa authorization network ezo local username tang password 0 123 crypto isakmp policy 10 encr 3des hash md5 authentication pre-share crypto isakmp key tom address 200.1.1.2 ! crypto isakmp client configuration group wzf key 123 pool ez crypto ipsec transform-set tim esp-3des esp-md5-hmac crypto dynamic-map ezmap 10 set transform-set tim reverse-route crypto map tom client authentication list eza crypto map tom isakmp authorization list ezo crypto map tom client configuration address respond crypto map tom 10 ipsec-isakmp dynamic ezmap crypto map tom 11 ipsec-isakmp set peer 200.1.1.2 set transform-set tim match address 101 no ip domain-lookup interface FastEthernet0/0 ip address 192.168.1.254 255.255.255.0 ip nat inside duplex auto speed auto interface FastEthernet0/1 ip address 100.1.1.2 255.255.255.0 ip nat outside duplex auto speed auto crypto map tom interface Vlan1 no ip address shutdown ip local pool wzf 192.168.3.1 192.168.3.100 ip nat inside source list 100 interface FastEthernet0/1 overload ip nat inside source static tcp 192.168.1.253 80 100.1.1.2 80 ip classless ip route 0.0.0.0 0.0.0.0 100.1.1.1 access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 100 permit ip 192.168.1.0 0.0.0.255 any access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 line con 0 exec-timeout 0 0 logging synchronous login line vty 0 4 login end 3.2 分公司路由器配置 hostname fenbu ip dhcp excluded-address 192.168.2.254 ip dhcp pool zongbu network 192.168.2.0 255.255.255.0 default-router 192.168.2.254 dns-server 202.103.96.112 crypto isakmp policy 10 encr 3des hash md5 authentication pre-share crypto isakmp key tom address 100.1.1.2 crypto ipsec transform-set tim esp-3des esp-md5-hmac crypto map tom 10 ipsec-isakmp set peer 100.1.1.2 set transform-set tim match address 101 no ip domain-lookup interface FastEthernet0/0 ip address 200.1.1.2 255.255.255.0 ip nat outside duplex auto speed auto crypto map tom interface FastEthernet0/1 ip address 192.168.2.254 255.255.255.0 ip nat inside duplex auto speed auto interface Vlan1 no ip address shutdown ip nat inside source list 100 interface FastEthernet0/0 overload ip classless ip route 0.0.0.0 0.0.0.0 200.1.1.1 access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 100 permit ip 192.168.2.0 0.0.0.255 any access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 line con 0 exec-timeout 0 0 logging synchronous line vty 0 4 login end 3.3 Internet路由器配置 hostname Internet ip dhcp excluded-address 210.1.1.1 ip dhcp pool wifi network 210.1.1.0 255.255.255.0 default-router 210.1.1.1 dns-server 202.103.96.112 no ip domain-lookup ip name-server 0.0.0.0 interface FastEthernet0/0 ip address 200.1.1.1 255.255.255.0 duplex auto speed auto interface FastEthernet0/1 ip address 100.1.1.1 255.255.255.0 duplex auto speed auto interface Ethernet1/0 ip address 210.1.1.1 255.255.255.0 duplex auto speed auto interface Ethernet1/1 ip address 202.103.96.1 255.255.255.0 duplex auto speed auto interface Vlan1 no ip address shutdown ip classless line con 0 exec-timeout 0 0 logging synchronous line vty 0 4 login end 3.4 网络模拟实验结果 分部PC1没有连接上VPN时，尝试ping总部web及tftp服务器，结果如图2所示： 图 2 未连接VPN时ping总部 在PC1VPN连接中输入图3所示内容，点击链接，提示VPN链接总部成功。 图 3VPN链接图 再打开Command Prompt，ping总部服务器，结果如图4所示，正常连通 图 4 链接VPN后ping结果 打开PC1Web Browser输入InternetWeb服务器地，成功浏览，如图5 图 5 外网Web页面 地址栏中输入总部Web服务器地址，同样成功链接，如图6 图 6 总部Web页面 打开无线接入Internet路由器笔记本电脑wuxian，同样链接上总部VPN组，之后ping总部服务器，结果都能正常通信。如图7、8所示： 图7 VPN链接图 图8 VPN链接后ping结果