虛擬專用網(wǎng)畢業(yè)論文

1、湖南理工職業(yè)技術(shù)學(xué)院湖南理工職業(yè)技術(shù)學(xué)院 畢業(yè)設(shè)計（論文）畢業(yè)設(shè)計（論文） 題題 目目： VPN 畢業(yè)設(shè)計論文 年級專業(yè)年級專業(yè)： 網(wǎng)絡(luò)班 學(xué)生姓名學(xué)生姓名： 星 星 指導(dǎo)教師指導(dǎo)教師： 某 某 2013 年 12 月 21 日 摘要摘要 VPN(Virtal Network)即虛擬專用網(wǎng)，是一條穿過公共網(wǎng)絡(luò)的安全 的穩(wěn)定的通道。通過對網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸，在因特網(wǎng)或其他網(wǎng) 絡(luò)上建立一條臨時的、安全的、穩(wěn)定的連接，從而實現(xiàn)在公網(wǎng)上安全地 傳輸私有數(shù)據(jù)。金融機構(gòu)總部與分支機構(gòu)之間的信息傳遞要求高度保密。 我們可通過建立 IPSec VPN 的加密隧道，實現(xiàn)金融機構(gòu)之間的信息安全 傳輸。IPS

2、ec VPN 技術(shù)通過隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、和 認(rèn)證技術(shù)有效的保證了數(shù)據(jù)在 Internet 網(wǎng)絡(luò)傳輸?shù)陌踩浴?關(guān)鍵詞關(guān)鍵詞：VPN、網(wǎng)絡(luò)、隧道、IPSec、信息安全 目錄目錄 1. 緒論緒論.5 1.1 VPN 的定義.5 1.2 VPN 的課題背景.5 1.3 VPN 的設(shè)計目標(biāo).6 2. 項目情況項目情況.7 2.1 項目背景 .7 2.2 項目拓?fù)?.7 2. 3 需求分析.8 3. 項目設(shè)計項目設(shè)計.9 3.1 設(shè)備配置.9 3.2 部署VPN.12 4. 項目測試項目測試.16 4.1 基本連通性測試 .16 4.2 測試 VPN 功能.20 致謝致謝.23 參考文

3、獻參考文獻.24 1. 緒論緒論 1.1 VPN 的定義的定義 VPN（ Virtual Private Network）被定義為通過一個公共網(wǎng)絡(luò)（通常 是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公共網(wǎng)絡(luò) 的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展與延伸。虛擬 專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)合作伙伴及供應(yīng)商同公 司的內(nèi)部網(wǎng)絡(luò)建立安全可信的連通通道，并保證數(shù)據(jù)的安全傳輸。虛擬 專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接； 可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連 接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。 1.2 VPN

4、的課題背景的課題背景 隨著 Internet 和電子商務(wù)的蓬勃發(fā)展，經(jīng)濟全球化的最佳途徑是 發(fā)展基于 Internet 的商務(wù)應(yīng)用。隨著商務(wù)活動的日益頻繁，各企業(yè)開始 允許其生意伙伴、供應(yīng)商也能夠訪問本企業(yè)的局域網(wǎng)，從而大大簡化信 息交流的途徑，增加信息交換速度。這些合作和聯(lián)系是動態(tài)的，并依靠 網(wǎng)絡(luò)來維持和加強，于是各企業(yè)發(fā)現(xiàn)，這樣的信息交流不但帶來了網(wǎng)絡(luò) 的復(fù)雜性，還帶來了管理和安全性的問題，因為 Internet 是一個全球性 和開放性的、基于 TCP/IP 技術(shù)的、不可管理的國際互聯(lián)網(wǎng)絡(luò)，因此， 基于 Internet 的商務(wù)活動就面臨非善意的信息威脅和安全隱患。還有一 類用戶，隨著自身

5、的發(fā)展壯大與跨國化，企業(yè)的分支機構(gòu)不僅越來越多， 而且相互間的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為普遍。因此，用戶的信息技 術(shù)部門在連接分支機構(gòu)方面也感到日益棘手。用戶的需求正是虛擬專用 網(wǎng)技術(shù)誕生的直接原因。 雖然 VPN 在理解和應(yīng)用方面都是高度復(fù)雜的技術(shù)，甚至確定其是 否適用于本公司也一件復(fù)雜的事件，但在大多數(shù)情況下 VPN 的各種實 現(xiàn)方法都可以應(yīng)用于每個公司。即使不需要使用加密數(shù)據(jù)，也可節(jié)省開 支。因此，在未來幾年里，客戶和廠商很可能會使用 VPN，從而使電 子商務(wù)重又獲得生機，畢竟全球化、信息化、電子化是大勢所趨。 1.3 VPN 的設(shè)計目標(biāo)的設(shè)計目標(biāo) 一般來說，企業(yè)在選用一種遠程網(wǎng)絡(luò)互聯(lián)方

6、案時都希望能夠?qū)υL問 企業(yè)資源和信息的要求加以控制，所選用的方案應(yīng)當(dāng)既能夠?qū)崿F(xiàn)授權(quán)用 戶與企業(yè)局域網(wǎng)資源的自由連接，不同分支機構(gòu)之間的資源共享；又能 夠確保企業(yè)數(shù)據(jù)在公共互聯(lián)網(wǎng)絡(luò)或企業(yè)內(nèi)部網(wǎng)絡(luò)上傳輸時安全性不受破 壞。因此，最低限度，一個成功的 vpn 方案應(yīng)當(dāng)能夠滿足以下所有方面 的要求： (1)用戶驗證 vpn 方案必須能夠驗證用戶身份并嚴(yán)格控制只有 授權(quán)用戶才能訪問 vpn。另外，方案還必須能夠提供審計和記費功能， 顯示何人在何時訪問了何種信息。 (2)地址管理 vpn 方案必須能夠為用 戶分配專用網(wǎng)絡(luò)上的地址并確保地址的安全性。 (3)數(shù)據(jù)加密 對通過公 共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過加

7、密，確保網(wǎng)絡(luò)其他未授權(quán)的用戶無法 讀取該信息。 (4)密鑰管理 vpn 方案必須能夠生成并更新客戶端和服務(wù) 器的加密密鑰。 (5)多協(xié)議支持 vpn 方案必須支持公共互聯(lián)網(wǎng)絡(luò)上 普遍 使用的基本協(xié)議，包括 ip，ipx 等。以點對點隧道協(xié)議(pptp)或第 2 層隧 道協(xié)議(l2tp)為基礎(chǔ)的 vpn 方案既能夠滿足以上所有的基本要求，又能 夠充分利用遍及世界各地的 internet 互聯(lián)網(wǎng)絡(luò)的優(yōu)勢。其它方案，包括 安全 ip 協(xié)議(ipsec)，雖然不能滿足上述全部要求，但是仍然適用于在特 定的環(huán)境。本文以下部分將主要集中討論有關(guān) vpn 的協(xié)議和基于兩種協(xié) 議所完成的實驗。 2.項目情況項

8、目情況 2.1 項目背景項目背景 某金融機構(gòu)很早就已經(jīng)實現(xiàn)了業(yè)務(wù)的電子化和辦公自動化，并基本完成 了全省范圍內(nèi)各級公司間的2M 數(shù)字線路連接。為了總部與分支機構(gòu)間 的信息安全，在充分保障業(yè)務(wù)順利運行的情況下， 規(guī)劃全省VPN 網(wǎng)絡(luò). 2.2 項目拓?fù)漤椖客負(fù)?2.3 需求分析需求分析 2.3.12.3.1 技術(shù)需求分析技術(shù)需求分析 把因特網(wǎng)用作專用廣域網(wǎng)，就要克服兩個主要障礙。首先，網(wǎng)絡(luò)經(jīng)常使 用多種協(xié)議如 IPX 和 NetBEUI 進行通信，但因特網(wǎng)只能處理 IP 流量。 所以，VPN 就需要提供一種方法，將非 IP 的協(xié)議從一個網(wǎng)絡(luò)傳送到另 一個網(wǎng)絡(luò)。其次，網(wǎng)上傳輸?shù)臄?shù)據(jù)包以明文格式傳輸

9、，因而，只要看得 到因特網(wǎng)的流量，就能讀取包內(nèi)所含的數(shù)據(jù)。如果公司希望利用因特網(wǎng) 傳輸重要的商業(yè)機密信息，這顯然是一個問題。VPN 克服這些障礙的辦 法就是采用了隧道技術(shù)：數(shù)據(jù)包不是公開在網(wǎng)上傳輸，而是首先進行加 密以確保安全，然后由 VPN 封裝成 IP 包的形式，通過隧道在網(wǎng)上傳輸. Vpn 的技術(shù)主要有 IPsec，GRE,L2TP 三種。IPSec VPN 相對于 GRE 和 L2TP 技術(shù)通過隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、和認(rèn)證技術(shù)有 效的保證了數(shù)據(jù)在 Internet 網(wǎng)絡(luò)傳輸?shù)陌踩?，能夠保證金融機構(gòu)間 對數(shù)據(jù)安全性的尋求，由于總公司分部處于因特網(wǎng)環(huán)境中，那么為了保 證線路

10、的通暢，通常會靜態(tài)的配置路由。 2.3.22.3.2 設(shè)備需求設(shè)備需求 核心設(shè)備： R3662 1 臺；接入設(shè)備：R2624 2 臺；S3550-24 1 臺； 實驗 PC：3 臺； 該實驗采用三臺路由器分別命名為 R3642-A（總部） ，R2624-B（株洲分公司） ， R2624-C（長沙分公司） ；其中R3642-A 做VPN Server，R2624-B，R2624-C 做VPN Client；交叉雙絞線2 條，直連雙絞線8 條； 在每臺路由器 內(nèi)部分別部署一臺測試 PC，IP 地址為 192.168.X.200/24（其中 192.168.X.0 為路由器內(nèi)部網(wǎng)絡(luò)） 3.項目設(shè)計項

11、目設(shè)計 3.1 設(shè)備配置設(shè)備配置 3.1.13.1.1 IPIP 地址規(guī)劃地址規(guī)劃 設(shè)備端口IP 地址備注 R3642-AF0/010.0.0.10/30 F0/110.0.0.6/30 e0/2/0192.168.2.254/24 F0/0192.168.2.254/24R2426-B F0/110.0.0.5/30 F0/0192.168.2.254/24R2426-C F0/110.0.0.9/30 PC1192.168.0.200/24接在 R3642-A 上 的測試 PC PC2192.168.2.200/24接在 R2426-B 上 的測試 PC PC32426-C 接口 F0/0

12、192.168.1.200/24接在 R2426-c 上 的測試 PC 3.1.23.1.2 路由器基本配置路由器基本配置 要進行通信必須保持線路的暢通，這節(jié)的配置就是保證線路的可達性。 （1）R3642-A 路由器基本配置 conf t hostname R3642-A ! enable password star ！ interface FastEthernet0 ip address 10.0.0.10 255.255.255.252 no shut exit interface FastEthernet1 ip address 10.0.0.6 255.255.255.252 no s

13、hut exit Interface Ethernet0/2/0 ip address 192.168.2.254 255.255.255.0 no shut exit ！ ip route 192.168.0.0 255.255.255.0 10.0.0.5 ip route 192.168.1.0 255.255.255.0 10.0.0.9 ! line vty 0 4 password star login end （2）R2624-B 路由器基本配置 conf t hostname R2624-B ! enable password star ! interface FastEthe

14、rnet0 ip address 192.168.0.254 255.255.255.252 no shut exit ! interface FastEthernet1 ip address 10.0.0.5 255.255.255.252 no shut exit ! ip route 0.0.0.0 0.0.0.0 10.0.0.6 ! line vty 0 4 password star login end （3）R2624-C 路由器的基本配置 conf t hostname R2624-C ! interface FastEthernet0 ip address 192.168.1

15、.254 255.255.255.0 no shut exit ! interface FastEthernet1 ip address 10.0.0.9 255.255.255.0 exit ! ip route 0.0.0.0 0.0.0.0 10.0.0.10 ! line vty 0 4 password star login End 3.2 部署部署 vpn Ipsec vpn 是本文的重點，他保證了各公司之間信息安全穩(wěn)定的傳輸，下面我 們就著手配置 vpn。 3.2.13.2.1 總部設(shè)置總部設(shè)置 （1 1）配置）配置R3642-A IKE Phase I Policy crypt

16、o isakmp policy 10 ！設(shè)定路由圖策略，確保兩端的IKE 配置一致 authentication pre-share ！設(shè)置為共享認(rèn)證模式 hash md5 ！Hash 散列算法設(shè)定為MD5 group 2 ！設(shè)定Diffie-Hellman 組標(biāo)識 exit crypto isakmp key star address 10.0.0.5 ！指定對端VPN 設(shè)備的預(yù)共享密鑰和IP 地址，確保兩邊的預(yù)共享key 一致 crypto isakmp key star address 10.0.0.9 （2）配置R3642-A IKE Phase II Policy crypto ip

17、sec transform-set star-net esp-des esp-md5-hmac ！啟用ESP 加密安全載荷IPSec 轉(zhuǎn)換規(guī)則 access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 ！通過路由器的VPN 感興趣流控制列表 access-list 102 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 ！通過路由器的VPN 感興趣流控制列表 crypto map star-net 10 ipsec-isakmp ！指定加密圖名稱啟用IP

18、Sec set peer 10.0.0.5 ！建立VPN 對等體 set transform-set star-net ！設(shè)定加密圖匹配IPSes 轉(zhuǎn)換規(guī)則 match address 101 ！設(shè)定加密圖匹配VPN 感興趣流列表 exit ! crypto map star-net 20 ipsec-isakmp ！定義加密圖策略20 set peer 10.0.0.9 ！ 建立 VPN 對等體 set transform-set star-net ！設(shè)定加密圖匹配IPSec 轉(zhuǎn)換規(guī)則 match address 102 ！設(shè)定加密圖匹配VPN 感興趣流列表 Exit （3 3）配置）配置R

19、3642-A 網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口Fa0，F(xiàn)a1 啟用啟用VPN interface FastEthernet0 ip address 10.0.0.10 255.255.255.252 no shut crypto map star-net exit ! interface FastEthernet1 ip address 10.0.0.6 255.255.255.252 no shut crypto map star-net exit （4）配置R3642-A 網(wǎng)絡(luò)接口Fa0，F(xiàn)a1 啟用VPN interface FastEthernet0 ip address 10.0.0.10 255.

20、255.255.252 no shut crypto map star-net exit ! interface FastEthernet1 ip address 10.0.0.6 255.255.255.252 no shut crypto map star-net exit ! 3.2.23.2.2 各分部設(shè)計各分部設(shè)計 配置株洲分部配置株洲分部 （1）配置 R2624-B IKE Phase I Policy crypto isakmp policy 10 hash md5 group 2 exit crypto isakmp key star address 10.0.0.6 （2）配

21、置R2624-B IKE Phase II Policy crypto ipsec transform-set star esp-des esp-md5-hmac crypto map star 10 ipsec-isakmp set peer 10.0.0.6 set transform-set star match address 101 exit access-list 101 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 （3）配置R2624-B 網(wǎng)絡(luò)接口Fa1 啟用VPN interface FastEthernet1 ip addr

22、ess 10.0.0.5 255.255.255.252 no shut crypt map star exit 長沙分部長沙分部 （1）配置R2624-C IKE Phase I Policy crypto isakmp policy 10 authentication pre-share hash md5 group 2 exit ! crypto isakmp key star address 10.0.0.10 （2）配置R2624-C IKE Phase II Policy crypto ipsec transform-set star-net esp-des esp-md5-hma

23、c crypto map star-net 10 ipsec-isakmp set peer 10.0.0.1 set transform-set star-net match address 101 exit ! access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 （3）網(wǎng)絡(luò)接口Fa1 啟用VPN 功能 interface FastEthernet1 ip address 10.0.0.9 255.255.255.0 crypto map star-net no shut Exit 4.項目測試項目測試

24、4.1 基本連通性測試基本連通性測試 4.1.14.1.1 PC0PC0 測試測試 Ping 本網(wǎng)段網(wǎng)關(guān) 192.168.0.254 Ping192.168.1.254 Ping192.168.2.254 Ping10.0.0.9 4.1.24.1.2 PC1PC1 測試測試 Pc2 連通性測試 Ping192.168.0.254 Ping192.168.1.254 Ping192.168.2.254 Ping10.0.0.9 4.2 測試測試 VPN 功能功能 4.2.14.2.1 通過測試通過測試 PCPC 之間通信，測試之間通信，測試 VPNVPN 功能。功能。 此次測試我們從R2624

25、-B 內(nèi)部主機192.168.0.200/24 使用 ping 命令ping R3642-A 內(nèi)部主 機192.168.2.200 ，ping 使用參數(shù)“t” 。 4.2.24.2.2 在路由器上打開在路由器上打開 DebugDebug cryptocrypto isakmpisakmp 和和 DebugDebug cryptocrypto IpsecIpsec 兩條兩條 DebugDebug 命令，可以看命令，可以看 到相關(guān)調(diào)試信息。 注：VPN 連接成功的調(diào)試信息需要用到以下兩條命令： clear crypto isa 和clear crypto sa；通 過這兩條命令才可以看到完整的調(diào)試

26、信息； VPN 連接成功的Debug 信息 R2624-B# Get acquire: 192.168.0.0/0.0.0.255 - 192.168.2.0/0.0.0.255 , prot 0, port 0/0 發(fā)出第一個協(xié)商消息main I1 Acqurire negociate with 10.0.0.6 (33) beginning Main Mode exchange (33) sending packet to 10.0.0.6 (I) MM_SI1_WR1, MM_SA_SETUP sendout main I1, and wait R1 (33) received pack

27、et from 10.0.0.6-10.0.0.5, (I) MM_SI1_WR1, MM_SA_SETUP 處理對方響應(yīng)消息MR1 Exchange type : 0 x2 payload format: , main r1 process (33) Checking ISAKMP transform 1 against priority 10 policy 檢查響應(yīng)方回來的IKE 協(xié)商策略 encryption DES-CBC hash MD5 auth pre-share group 2 life type in seconds life duration 86400 orginal:8

28、6400 表示IKE 協(xié)商策略接受 (33) atts are acceptable 檢查IKE 協(xié)商策略通過，發(fā)送MI2 (33) sending packet to 10.0.0.6 (I) MM_SI2_WR2, MM_KEY_EXCH (33) received packet from 10.0.0.6-10.0.0.5, (I) MM_SI2_WR2, MM_KEY_EXCH 收到了響應(yīng)方的MR2 Exchange type : 0 x2 payload format: , respond handle main i2 (33) processing NONCE payload. (

29、33) processing KE payload. message ID = 0 (33) SKEYID state generated (33) sending packet to 10.0.0.6 (I) MM_SI3_WR3, MM_VERIFY (33) received packet from 10.0.0.6-10.0.0.5, (I) MM_SI3_WR3, MM_VERIFY 驗證MR2 通過發(fā)送MI3 收到響應(yīng)方的 MR3 Exchange type : 0 x2 payload format: , (33) sending packet to 10.0.0.6 (I) Q

30、M_IDLE (33) Phase_1 negotiate complete! 檢查MR3 通過，完成階段一的協(xié)商 發(fā)出階段二協(xié)商的第一消息QI1 (33) Beginning Quick Mode exchange, M-ID of 66 (33) sending packet to 10.0.0.6 (I) QM_SI1_WR1 收到對方的響應(yīng)消息QR1 (33) received packet from 10.0.0.6-10.0.0.5, (I) QM_SI1_WR1 Exchange type : 0 x20 驗證QR1，通過，發(fā)起方完成階段二的協(xié)商 payload format: , Receive notify: ipsec responder lifetime.( 33) processing SA payload. message ID = 66 (33) Creating IPSec SAs. inbound SA has spi 8866 protocol e