《小型企业网组网方案—VPN搭建与配置》第1页共12页小型企业网组网方案--VPN的搭建与配置学生姓名:XXX指导老师:吴佳英摘要本文要实现小型企业网组网的VPN的搭建与配置。VPN技术定义为虚拟专用网技术,意思就是虚拟的专用隧道,为了达到这个结果,在配置过程中,我应用了隧道技术。不过为了实现两个不同局域网终端的通信,需要两个路由器,还需要对两个路由器设置物理端口配置封装方式为des,散列方式为md5,在对端也做相应的配置,实现总公司和分公司的互连。对于网络中可能存在的安全威胁,在做VPN配置时,设置了密钥管理策略,以求构建一个安全、高效、可靠的企业网络,并在GNS3中模拟实现。最后测试时,总公司跟驻外办事处ping通,说明VPN连接正常,本次课程设计是成功的。关键词虚拟专用网,隧道技术,密钥管理策略,VPN技术,GNS31引言VPN(VirtualPrivateNetwork)是指利用密码技术和访问控制技术在公共网络(如Internet)中建立的专用通信网络。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成,虚拟专用网络对用户端透明,用户好像使用一条专用线路进行通信。虚拟专用网是网络互联技术和通信需求迅猛发展的产物。互联网技术的快速发展及其应用领域的不断推广,使得许多部门(如政府、外交、军队、跨国公司)越来越多地考虑利用廉价的公用基础通信设施构建自己的专用广域网络,进行本部门数据的安全传输,它们客观上促进了VPN在理论研究和实现技术上的发展。VPN作为一种新型的网络技术,为企业建设计算机网络提供了一种新的思路,可以通过在公共网络上建立虚拟的连接来传输私有数据,再用认证、加密等技术来保证数据的安全,这样不仅极大的降低了企业用于网络建设的费用,也提高了网络的安全性。附件3:课程设计报告正文《小型企业网组网方案—VPN搭建与配置》第2页共12页随着新一代光网络将朝着智能化的方向发展,OVPN是新一代光网络发展模式之一,它提供了一个安全、高效、灵活、可管理的途径,可使运营商通过现有传输网络与其银行、公司企业、ISP等用户实现(双赢),轻松获益。加解密技术是数据通信中较成熟的技术,VPN可以直接利用现有的技术。用于VPN上的加密技术由IPSec的ESP(EncapsulatingSecurityPaylcad)实现。主要是发送者在发送数据以前对数据加密,当数据到达接收者时由接收者对数据进行解密处理,算法主要种类包括:对称加密算法、不对称加密算法等,如DES、IDEA、RSA。1.1本文主要内容本文第二节介绍了小型企业网中VPN技术,VPN技术的搭建与配置基本原理,第三小节详细描述了VPN的搭建与配置过程,第四小节主要是总结全文所写主要内容、设计过程中遇到的问题及其解决办法、对所设计的成果进行评价。首先是对VPN技术有根本性的了解,知道VPN技术的搭建主要问题是安全性问题,为了解决这个问题,在搭建VPN网络时,主要运用了加密技术,隧道技术等来保证VPN的安全性。本次课程设计的平台是GNS3,在此平台上完成小型企业网的VPN搭建与配置,完成了对VPN的搭建,然后就是进行配置,配置主要考虑的问题是,如何在两个路由器之间建立连接,对于不同局域网,VPN接入网关子系统部署:在总部局域网Internet边界防火墙后面配置一台专用的高性能的VPN网关,在分支机构Internet边界防火墙后面配置一台专用VPN网关,由此两端的VPN网关建立IPSecVPN隧道,进行数据封装、加密和传输。1.2设计平台GNS3是一款优秀的具有图形化界面可以运行在多平台(包括Windows,Linux,andMacOS等)的网络虚拟软件。Cisco网络设备管理员或是想要通过CCNA,CCNP,CCIE等Cisco认证考试的相关人士可以通过它来完成相关的实验模拟操作。同时它也可以用于虚拟体验Cisco网际操作系统IOS或者是检验将要在真实的路由器上部署实施的相关配置。操作界面如图1-1所示:《小型企业网组网方案—VPN搭建与配置》第3页共12页图1-1GNS3实验平台界面2设计原理2.1VPN优势VPN(VirtualPrivateNetwork)被定义为通过一个公共网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公共网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网络建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的网络上,一个企业的虚拟专用网解决方案也将大幅度的减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。(1)和传统的数据专网相比,从客户角度看,VPN具有如下优势:《小型企业网组网方案—VPN搭建与配置》第4页共12页安全:在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接,保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。廉价:利用公共网络进行信息通讯,企业可以以更低的成本连接远程办事机构、出差人员和业务伙伴。支持移动业务:支持驻外VPN用户在任何时间、任何地点的移动接入,能够满足不断增长的移动业务需求。服务质量保证:构建具有服务质量保证的VPN(如MPLSVPN),可为VPN用户提供不同等级的服务质量保证。(2)从运营商角度看,VPN具有如下优势:可运营:提高网络资源利用率,有助于增加ISP的收益。灵活:通过软件配置就可以增加、删除VPN用户,无需改动硬件设施。在应用上具有很大灵活性。多业务:SP在提供VPN互连的基础上,可以承揽网络外包、业务外包、客户化专业服务的多业务经营。VPN以其独具特色的优势赢得了越来越多的企业的青睐,使企业可以较少地关注网络的运行与维护,从而更多地致力于企业的商业目标的实现。另外,运营商可以只管理、运行一个网络,并在一个网络上同时提供多种服务,如Best-effortIP服务、VPN、流量工程、差分服务(Diffserv),从而减少运营商的建设、维护和运行费用。VPN在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性。在全球任何一个角落,只要能够接入到Internet,即可开展VPN。2.3VPN安全加解密技术[16]是数据通信中较成熟的技术,VPN可以直接利用现有的技术。用于VPN上的加密技术由IPSec的ESP(EncapsulatingSecurityPaylcad)实现。主要是发送者在发送数据以前对数据加密,当数据到达接收者时由接收者对数据进行解密处理,算法主要种类包括:对称加密算法、不对称加密算法等,如DES、IDEA、RSA。对称加密算法,通信双方共享一个密钥。发送方使用该密钥将明文加密成密文。接收方使用相同的密钥将密文还原成明文,对称加密算法运算速度快。不对称加密算法是通信双方各使两个不同的密钥,一个是只有发送方知道的密钥,另一个则是与之对应的公开密《小型企业网组网方案—VPN搭建与配置》第5页共12页钥,公开密钥不需保密。在通信过程中,发送方用接收方的公开密钥加密信息,并且可以用发送方的秘密密钥对消息的某一部分或全部加密,进行数字签名。接收方收到消息后,用自己的秘密密钥解密消息,并使用发送方的公开密钥解密数字签名,验证发送方身份。密钥管理技术的主要任务是如何在公网上传递密钥而不被窃取。对称加密是基于共同保守秘密来实现的。这样,对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。2.3VPN的配置方法现在通常有两种方法实现局域网的VPN连接:一种是在局域网中的客户机上可以进行单个VPN连接,通过计算机的VPN功能或客户端软件建立PPTP或IPSEC的VPN连接;另一种是在ADSL路由器上建立B2B(BranchtoBranch,网对网的连接)的VPN连接。这两种方法各有利弊,如果实现单个计算机的VPN连接,好处是局域网中的计算机建立VPN连接的时候不会影响其它计算机连接公网,缺点是同时只能有一台计算机建立连接,适合于企业用户,尤其是当企业计算机比较多的时候。而建立B2B的VPN连接以后,局域网中的计算机都连接VPN了,所有的连接都是建立在VPN之上的,影响了连接INTERNET的速度,因为VPN连接以后建立隧道,数据是加密的,所有的连接都要通过VPN服务器来转接,适合于经常需要连接外网以及局域网中的计算机比较少的情况。隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(GenericRoutingEncapsulation,GRE)L2TP和PPTP。因为在VPN隧道中通信能确保通信通道的专用性,并且传输的数据是经过压缩、加密的,所以VPN通信同样具有专用网络的通信安全性。整个VPN通信过程可以简化为以下4个通用步骤:(1)客户机向VPN服务器发出请求;(2)VPN服务器响应请求并向客户机发出身份质询,客户机将加密的用户身份验证响应信息发送到VPN服务器;(3)VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问权限;如果该用户拥有远程访问的权限,VPN服务器接受此连接;(4)最后VPN服务器将在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密,然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。《小型企业网组网方案—VPN搭建与配置》第6页共12页3设计步骤3.1VPN的规划小型企业网的组网顺序,首先是画出一个网络拓扑图,然后是IP的规划和路由的配置,我们是四个人为一个小组,总的网络拓扑图是由同组同学完成的,然后是另一同学对整个拓扑图的IP规划和配置.还有路由的配置,我主要是完成R_Uni路由器和R_Part路由器之间的搭建与配置。依据同组同学的《小型企业网组网方案-拓扑规划及设备选型》的拓扑图,如图3-1所示:图3—1网络总体拓扑《小型企业网组网方案—VPN搭建与配置》第7页共12页按照设计要求所设计出的VPN网络拓扑如图3-2所示:图3-2VPN网络拓扑图3.2VPN的配置步骤第一步:VPN技术是一种虚拟专用网技术,但是也是需要在两个路由器的终端,建立物理端口,路由器R_Uni的IP地址是222.2.2.2子网掩码是255.255.255.0,路由器R_Part的IP地址是111.1.1.1子网掩码是255.255.255.0.配置路由器R_Uni物理端口S1/0和路由器R_Part物理端口S1/0的IP地址,如图3-3、3-4所示:图3-3配置路由器R_Uni物理端口S1/0《小型企业网组网方案—VPN搭建与配置》第8页共12页图3-4配置路由器R_Part物理端口S1/0第二步:为了网络中VPN连接的安全,两个路由器都设置了序号为10的密钥管理策略,密钥管理密码都是1002,认证方式为域共享,R_Uni路由器可由自己本身的IP222.2.2.2到R_Part路由器的IP111.1.1.1,这样就保证了VPN连接的安全性,总公司和驻外办事处的联通性。具体配置命令如下:路由器R_Uni的配置:cryptoisakmppolicy10//创建序号为10的密钥管理策略hashmd5//设置hash算法为md5authenticationpre-share//设置认证方式为域共享cryptoisakmpkey10