VPN虛擬專用網(wǎng)畢業(yè)論文

1、PAGE PAGE V畢業(yè)設(shè)計(jì)（論論文）誠(chéng)信信聲明書(shū)本人鄭重聲聲明：在畢畢業(yè)設(shè)計(jì)（論論文）工作作中嚴(yán)格遵遵守學(xué)校有有關(guān)規(guī)定，恪恪守學(xué)術(shù)規(guī)規(guī)范；我所所提交的畢畢業(yè)設(shè)計(jì)（論論文）是本本人在 指導(dǎo)教教師的指導(dǎo)導(dǎo)下獨(dú)立研研究、撰寫(xiě)寫(xiě)的成果，設(shè)設(shè)計(jì)（論文文）中所引引用他人的的文字、研研究成果，均均已在設(shè)計(jì)計(jì)（論文）中中加以說(shuō)明明；在本人人的畢業(yè)設(shè)設(shè)計(jì)（論文文）中未剽剽竊、抄襲襲他人的學(xué)學(xué)術(shù)觀點(diǎn)、思想和成成果，未篡改改實(shí)驗(yàn)數(shù)據(jù)據(jù)。本設(shè)計(jì)（論論文）和資資料若有不不實(shí)之處，本本人愿承擔(dān)擔(dān)一切相關(guān)關(guān)責(zé)任。學(xué)生簽名： 年 月 日摘 要本文首先介介紹了VPPN的定義義和研究意意義，接著著介紹了實(shí)實(shí)現(xiàn)VPNN的關(guān)鍵技

2、技術(shù)（包括括隧道技術(shù)術(shù),加解密密認(rèn)證技術(shù)術(shù)，密鑰管管理技術(shù)，訪訪問(wèn)控制技技術(shù)）以及及實(shí)現(xiàn)VPPN的主要要安全協(xié)議議，PPTTP/ LL2TP協(xié)協(xié)議、IPPSec協(xié)協(xié)議，為VVPN組網(wǎng)網(wǎng)提供了理理論指導(dǎo)。最后通過(guò)過(guò)構(gòu)建中小小企業(yè)的虛虛擬專用網(wǎng)網(wǎng)，全面介介紹了在WWindoows sserveer 20003 IISA 22004環(huán)環(huán)境下站點(diǎn)點(diǎn)到站點(diǎn)和和站點(diǎn)到客客戶端的VVPN的配配置，為企企業(yè)的VPPN構(gòu)建提提供參考和和借鑒。關(guān)鍵詞：隧隧道，L22TP ，PPTTP ，IPSSecAbstrractThis papeer fiirst intrroducces tthe ddefinnitioo

3、n of VPN and its studdy impliicatiions. Andd theen inntrodducess thee keyy tecchnollogiees foor immplemmentiing aa VPNN whicch inncluddes tthe TTunneel teechnoologyy andd itss maiin seecuree prootocools, PPTPP/L2TPP prootocool, IIPSECC prootocool, SSOCKSSv5 pprotoocol, Alll theese ttechnnologgies pr

4、ovvide the theooretiical basees foor buuildiing aa VPNN nettworkk. Finaally, by consstrucctingg an enteerpriise vvirtuual pprivaate nnetwoork, I inntrodducedd thee connfiguuratiion oof siite tto siite aand ssite to ccliennt VPPN unnder the Winddows servver 22003 ISA 20044 envvironnmentt, itt proovid

5、ees thhe reefereentiaal guuidelline to tthe VVPN cconsttructtion in eenterrprisses.Key wwordss: Tunnnel, L2TTP, PPTTP, IPSSec目錄TOC o 1-3 u1緒論 PAGEREF _Toc200425633 h 11.1 VPN的的定義 PAGEREF _Toc200425634 h 11.2 VPN的的工作原理理 PAGEREF _Toc200425635 h 11.3 VPN的的研究背景景和意義 PAGEREF _Toc200425636 h 22VPNN的應(yīng)用領(lǐng)領(lǐng)域和設(shè)

6、計(jì)計(jì)目標(biāo) PAGEREF _Toc200425637 h 42.1 VPN的的主要應(yīng)用用領(lǐng)域 PAGEREF _Toc200425638 h 42.2 VPN的的設(shè)計(jì)目標(biāo)標(biāo) PAGEREF _Toc200425639 h 53實(shí)現(xiàn)VVPN的關(guān)關(guān)鍵技術(shù)和和主要協(xié)議議 PAGEREF _Toc200425640 h 73.1 實(shí)現(xiàn)VPNN的關(guān)鍵技技術(shù) PAGEREF _Toc200425641 h 73.2 VPN的的主要安全全協(xié)議 PAGEREF _Toc200425642 h 93.2.11PPTPP/L2TTP PAGEREF _Toc200425643 h 93.2.22IPSeec協(xié)議

7、PAGEREF _Toc200425644 h 104實(shí)例分分析 PAGEREF _Toc200425645 h 124.1 需求分析析 PAGEREF _Toc200425646 h 124.2 方案達(dá)到到的目的 PAGEREF _Toc200425647 h 134.3 VPN組組建方案網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D圖 PAGEREF _Toc200425648 h 145各部分分VPN設(shè)備備的配置 PAGEREF _Toc200425649 h 155.1 公司總部部到分支機(jī)機(jī)構(gòu)的ISSA VPPN配置 PAGEREF _Toc200425650 h 155.1.11 總部部ISA VPNN配置 PAGE

8、REF _Toc200425651 h 175.1.22 支部 ISSA VVPN配置置 PAGEREF _Toc200425652 h 205.1.33 VPPN連接 PAGEREF _Toc200425653 h 225.1.44 連接接測(cè)試 PAGEREF _Toc200425654 h 235.2 公司總部部站點(diǎn)到移移動(dòng)用戶端端的VPNN配置 PAGEREF _Toc200425655 h 245.2.11 總部部ISA VPNN配置 PAGEREF _Toc200425656 h 255.2.22 移動(dòng)動(dòng)用戶端VVPN配置置 PAGEREF _Toc200425657 h 275.2

9、.33 連接接測(cè)試 PAGEREF _Toc200425658 h 27致謝 PAGEREF _Toc200425659 h 299參考文獻(xiàn) PAGEREF _Toc200425660 h 30緒論1.1 VPN的定定義VPN（ Virttual Privvate Netwwork）被被定義為通通過(guò)一個(gè)公公共網(wǎng)絡(luò)（通通常是因特特網(wǎng)）建立立一個(gè)臨時(shí)時(shí)的、安全全的連接，是是一條穿過(guò)過(guò)混亂的公公共網(wǎng)絡(luò)的的安全、穩(wěn)穩(wěn)定的隧道道。虛擬專專用網(wǎng)是對(duì)對(duì)企業(yè)內(nèi)部部網(wǎng)的擴(kuò)展展。虛擬專專用網(wǎng)可以以幫助遠(yuǎn)程程用戶、公公司分支機(jī)機(jī)構(gòu)、商業(yè)業(yè)伙伴及供供應(yīng)商同公公司的內(nèi)部部網(wǎng)絡(luò)建立立可信的安安全連接，并并保證數(shù)據(jù)據(jù)的安全

10、傳傳輸。通過(guò)過(guò)將數(shù)據(jù)流流轉(zhuǎn)移到低低成本的網(wǎng)網(wǎng)絡(luò)上，一一個(gè)企業(yè)的的虛擬專用用網(wǎng)解決方方案也將大大幅度的減減少用戶花花費(fèi)在城域域網(wǎng)和遠(yuǎn)程程網(wǎng)絡(luò)連接接上的費(fèi)用用。同時(shí)，這這將簡(jiǎn)化網(wǎng)網(wǎng)絡(luò)的設(shè)計(jì)計(jì)和管理，加加速連接新新的用戶和和網(wǎng)站。另另外，虛擬擬專用網(wǎng)還還可以保護(hù)護(hù)現(xiàn)有的網(wǎng)網(wǎng)絡(luò)投資。隨著用戶戶的商業(yè)服服務(wù)不斷發(fā)發(fā)展，企業(yè)業(yè)的虛擬專專用網(wǎng)解決決方案可以以使用戶將將精力集中中到自己的的生意上，而而不是網(wǎng)絡(luò)絡(luò)上。虛擬擬專用網(wǎng)可可用于不斷斷增長(zhǎng)的移移動(dòng)用戶的的全球因特特網(wǎng)接入，以以實(shí)現(xiàn)安全全連接；可可用于實(shí)現(xiàn)現(xiàn)企業(yè)網(wǎng)站站之間安全全通信的虛虛擬專用線線路，用于于經(jīng)濟(jì)有效效地連接到到商業(yè)伙伴伴和用戶的的安全外聯(lián)聯(lián)

11、網(wǎng)虛擬專專用網(wǎng)。1.2 VPN的工工作原理把因特網(wǎng)用用作專用廣廣域網(wǎng)，就就要克服兩兩個(gè)主要障障礙。首先先，網(wǎng)絡(luò)經(jīng)經(jīng)常使用多多種協(xié)議如如IPX和和NetBBEUI進(jìn)進(jìn)行通信，但但因特網(wǎng)只只能處理IIP流量。所以，VVPN就需需要提供一一種方法，將將非IP的的協(xié)議從一一個(gè)網(wǎng)絡(luò)傳傳送到另一一個(gè)網(wǎng)絡(luò)。其次，網(wǎng)網(wǎng)上傳輸?shù)牡臄?shù)據(jù)包以以明文格式式傳輸，因因而，只要要看得到因因特網(wǎng)的流流量，就能能讀取包內(nèi)內(nèi)所含的數(shù)數(shù)據(jù)。如果果公司希望望利用因特特網(wǎng)傳輸重重要的商業(yè)業(yè)機(jī)密信息息，這顯然然是一個(gè)問(wèn)問(wèn)題。VPPN克服這這些障礙的的辦法就是是采用了隧隧道技術(shù)：數(shù)據(jù)包不不是公開(kāi)在在網(wǎng)上傳輸輸，而是首首先進(jìn)行加加密以確保

12、保安全，然然后由VPPN封裝成成IP包的的形式，通通過(guò)隧道在在網(wǎng)上傳輸輸，如圖11-1所示示：圖1-1 VPN工工作原理圖圖源網(wǎng)絡(luò)的VVPN隧道道發(fā)起器與與目標(biāo)網(wǎng)絡(luò)絡(luò)上的VPPN隧道發(fā)發(fā)起器進(jìn)行行通信。兩兩者就加密密方案達(dá)成成一致，然然后隧道發(fā)發(fā)起器對(duì)包包進(jìn)行加密密，確保安安全（為了了加強(qiáng)安全全，應(yīng)采用用驗(yàn)證過(guò)程程，以確保保連接用戶戶擁有進(jìn)入入目標(biāo)網(wǎng)絡(luò)絡(luò)的相應(yīng)的的權(quán)限。大大多數(shù)現(xiàn)有有的VPNN產(chǎn)品支持持多種驗(yàn)證證方式）。最后，VPPN發(fā)起器器將整個(gè)加加密包封裝裝成IP包包?，F(xiàn)在不不管原先傳傳輸?shù)氖呛魏畏N協(xié)議，它它都能在純純IP因特特網(wǎng)上傳輸輸。又因?yàn)闉榘M(jìn)行了了加密，所所以誰(shuí)也無(wú)無(wú)法讀取原原始

13、數(shù)據(jù)。在目標(biāo)網(wǎng)絡(luò)絡(luò)這頭，VVPN隧道道終結(jié)器收收到包后去去掉IP信信息，然后后根據(jù)達(dá)成成一致的加加密方案對(duì)對(duì)包進(jìn)行解解密，將隨隨后獲得的的包發(fā)給遠(yuǎn)遠(yuǎn)程接入服服務(wù)器或本本地路由器器，他們?cè)谠诎央[藏的的IPX包包發(fā)到網(wǎng)絡(luò)絡(luò)，最終發(fā)發(fā)往相應(yīng)目目的地。1.3 VPN的研研究背景和和意義隨著網(wǎng)絡(luò)，尤尤其是網(wǎng)絡(luò)絡(luò)經(jīng)濟(jì)的發(fā)發(fā)展，企業(yè)業(yè)日益擴(kuò)張張，客戶分分布日益廣廣泛，合作作伙伴日益益增多，這這種情況促促使了企業(yè)業(yè)的效益日日益增長(zhǎng)，另另一方面也也越來(lái)越凸凸現(xiàn)傳統(tǒng)企企業(yè)網(wǎng)的功功能缺陷：傳統(tǒng)企業(yè)業(yè)網(wǎng)基于固固定物理地地點(diǎn)的專線線連接方式式已難以適適應(yīng)現(xiàn)代企企業(yè)的需求求。于是企企業(yè)對(duì)于自自身的網(wǎng)絡(luò)絡(luò)建設(shè)提出出了更高的

14、的需求，主主要表現(xiàn)在在網(wǎng)絡(luò)的靈靈活性、安安全性、經(jīng)經(jīng)濟(jì)性、擴(kuò)擴(kuò)展性等方方面。在這這樣的背景景下，VPPN以其獨(dú)獨(dú)具特色的的優(yōu)勢(shì)贏得得了越來(lái)越越多的企業(yè)業(yè)的青睞，令令企業(yè)可以以較少地關(guān)關(guān)注網(wǎng)絡(luò)的的運(yùn)行與維維護(hù)，而更更多地致力力于企業(yè)的的商業(yè)目標(biāo)標(biāo)的實(shí)現(xiàn)。雖然VPNN在理解和和應(yīng)用方面面都是高度度復(fù)雜的技技術(shù)，甚至至確定其是是否適用于于本公司也也一件復(fù)雜雜的事件，但但在大多數(shù)數(shù)情況下VVPN的各各種實(shí)現(xiàn)方方法都可以以應(yīng)用于每每個(gè)公司。即使不需需要使用加加密數(shù)據(jù)，也也可節(jié)省開(kāi)開(kāi)支。因此此，在未來(lái)來(lái)幾年里，客客戶和廠商商很可能會(huì)會(huì)使用VPPN，從而而使電子商商務(wù)重又獲獲得生機(jī)，畢畢竟全球化化、信息化化

15、、電子化化是大勢(shì)所所趨。VPN的應(yīng)應(yīng)用領(lǐng)域和和設(shè)計(jì)目標(biāo)標(biāo)2.1 VPN的主主要應(yīng)用領(lǐng)領(lǐng)域利用VPNN技術(shù)幾乎乎可以解決決所有利用用公共通信信網(wǎng)絡(luò)進(jìn)行行通信的虛虛擬專用網(wǎng)網(wǎng)絡(luò)連接的的問(wèn)題。歸歸納起來(lái)，有有以下幾種種主要應(yīng)用用領(lǐng)域。（1）遠(yuǎn)程程訪問(wèn)遠(yuǎn)程移動(dòng)用用戶通過(guò)VVPN技術(shù)術(shù)可以在任任何時(shí)間、任何地點(diǎn)點(diǎn)采用撥號(hào)號(hào)、ISDDN、DSSL、移動(dòng)動(dòng)IP和電電纜技術(shù)與與公司總部部、公司內(nèi)內(nèi)聯(lián)網(wǎng)的VVPN設(shè)備備建立起隧隧道或密道道信，實(shí)現(xiàn)現(xiàn)訪問(wèn)連接接，此時(shí)的的遠(yuǎn)程用戶戶終端設(shè)備備上必須加加裝相應(yīng)的的VPN軟軟件。推而而廣之，遠(yuǎn)遠(yuǎn)程用戶可可與任何一一臺(tái)主機(jī)或或網(wǎng)絡(luò)在相相同策略下下利用公共共通信網(wǎng)絡(luò)絡(luò)設(shè)施實(shí)

16、現(xiàn)現(xiàn)遠(yuǎn)程VPPN訪問(wèn)。這種應(yīng)用用類型也叫叫Acceess VVPN(或或訪問(wèn)型VVPN)，這這是基本的的VPN應(yīng)應(yīng)用類型。不難證明明，其他類類型的VPPN都是AAccesss VPPN的組合合、延伸和和擴(kuò)展。（2）組建建內(nèi)聯(lián)網(wǎng)一個(gè)組織機(jī)機(jī)構(gòu)的總部部或中心網(wǎng)網(wǎng)絡(luò)與跨地地域的分支支機(jī)構(gòu)網(wǎng)絡(luò)絡(luò)在公共通通信基礎(chǔ)設(shè)設(shè)施上采用用的隧道技技術(shù)等VPPN技術(shù)構(gòu)構(gòu)成組織機(jī)機(jī)構(gòu)“內(nèi)部”的虛擬專專用網(wǎng)絡(luò)，當(dāng)當(dāng)其將公司司所有權(quán)的的VPN設(shè)設(shè)備配置在在各個(gè)公司司網(wǎng)絡(luò)與公公共網(wǎng)絡(luò)之之間（即連連接邊界處處）時(shí)，這這樣的內(nèi)聯(lián)聯(lián)網(wǎng)還具有有管理上的的自主可控控、策略集集中配置和和分布式安安全控制的的安全特性性。利用VVPN組建建

17、的內(nèi)聯(lián)網(wǎng)網(wǎng)也叫Inntrannet VVPN。IIntraanet VPN是是解決內(nèi)聯(lián)聯(lián)網(wǎng)結(jié)構(gòu)安安全和連接接安全、傳傳輸安全的的主要方法法。（3）組建建外聯(lián)網(wǎng) 使用虛擬專專用網(wǎng)絡(luò)技技術(shù)在公共共通信基礎(chǔ)礎(chǔ)設(shè)施上將將合作伙伴伴和有共同同利益的主主機(jī)或網(wǎng)絡(luò)絡(luò)與內(nèi)聯(lián)網(wǎng)網(wǎng)連接起來(lái)來(lái)，根據(jù)安安全策略、資源共享享約定規(guī)則則實(shí)施內(nèi)聯(lián)聯(lián)網(wǎng)內(nèi)的特特定主機(jī)和和網(wǎng)絡(luò)資源源與外部特特定的主機(jī)機(jī)和網(wǎng)絡(luò)資資源相互共共享，這在在業(yè)務(wù)機(jī)構(gòu)構(gòu)和具有相相互協(xié)作關(guān)關(guān)系的內(nèi)聯(lián)聯(lián)網(wǎng)之間具具有廣泛的的應(yīng)用價(jià)值值。這樣組組建的外聯(lián)聯(lián)網(wǎng)也叫EExtraanet VPN。Extrranett VPNN是解決外外聯(lián)網(wǎng)結(jié)構(gòu)構(gòu)安全和連連接安全、傳輸安

18、全全的主要方方法。若外外聯(lián)網(wǎng)VPPN的連接接和傳輸中中使用了加加密技術(shù)，必必須解決其其中的密碼碼分發(fā)、管管理的一致致性問(wèn)題。2.2 VPN的設(shè)設(shè)計(jì)目標(biāo)在實(shí)際應(yīng)用用中，一般般來(lái)說(shuō)一個(gè)個(gè)高效、成成功的VPPN應(yīng)具備備以下幾個(gè)個(gè)特點(diǎn)：（1）安全全保障雖然實(shí)現(xiàn)VVPN的技技術(shù)和方式式很多，但但所有的VVPN均應(yīng)應(yīng)保證通過(guò)過(guò)公用網(wǎng)絡(luò)絡(luò)平臺(tái)傳輸輸數(shù)據(jù)的專專用性和安安全性。在在非面向連連接的公用用IP網(wǎng)絡(luò)絡(luò)上建立一一個(gè)邏輯的的、點(diǎn)對(duì)點(diǎn)點(diǎn)的連接，稱稱之為建立立一個(gè)隧道道，可以利利用加密技技術(shù)對(duì)經(jīng)過(guò)過(guò)隧道傳輸輸?shù)臄?shù)據(jù)進(jìn)進(jìn)行加密，以以保證數(shù)據(jù)據(jù)僅被指定定的發(fā)送者者和接收者者了解，從從而保證了了數(shù)據(jù)的私私有性和安安

19、全性。在在安全性方方面，由于于VPN直直接構(gòu)建在在公用網(wǎng)上上，實(shí)現(xiàn)簡(jiǎn)簡(jiǎn)單、方便便、靈活，但但同時(shí)其安安全問(wèn)題也也更為突出出。企業(yè)必必須確保其其VPN上上傳送的數(shù)數(shù)據(jù)不被攻攻擊者窺視視和篡改，并并且要防止止非法用戶戶對(duì)網(wǎng)絡(luò)資資源或私有有信息的訪訪問(wèn)。Exxtrannet VVPN將企企業(yè)網(wǎng)擴(kuò)展展到合作伙伙伴和客戶戶，對(duì)安全全性提出了了更高的要要求。 （22）服務(wù)質(zhì)質(zhì)量保證（QQoS）VPN網(wǎng)絡(luò)絡(luò)應(yīng)當(dāng)為企企業(yè)數(shù)據(jù)提提供不同等等級(jí)的服務(wù)務(wù)質(zhì)量保證證。不同的的用戶和業(yè)業(yè)務(wù)對(duì)服務(wù)務(wù)質(zhì)量保證證的要求差差別較大。如移動(dòng)辦辦公用戶，提提供廣泛的的連接和覆覆蓋性是保保證VPNN服務(wù)的一一個(gè)主要因因素；而對(duì)對(duì)于擁

20、有眾眾多分支機(jī)機(jī)構(gòu)的專線線VPN網(wǎng)網(wǎng)絡(luò)，交互互式的內(nèi)部部企業(yè)網(wǎng)應(yīng)應(yīng)用則要求求網(wǎng)絡(luò)能提提供良好的的穩(wěn)定性；對(duì)于其它它應(yīng)用（如如視頻等）則則對(duì)網(wǎng)絡(luò)提提出了更明明確的要求求，如網(wǎng)絡(luò)絡(luò)時(shí)延及誤誤碼率等。所有以上上網(wǎng)絡(luò)應(yīng)用用均要求網(wǎng)網(wǎng)絡(luò)根據(jù)需需要提供不不同等級(jí)的的服務(wù)質(zhì)量量。在網(wǎng)絡(luò)絡(luò)優(yōu)化方面面，構(gòu)建VVPN的另另一重要需需求是充分分有效地利利用有限的的廣域網(wǎng)資資源，為重重要數(shù)據(jù)提提供可靠的的帶寬。廣廣域網(wǎng)流量量的不確定定性使其帶帶寬的利用用率很低，在在流量高峰峰時(shí)引起網(wǎng)網(wǎng)絡(luò)阻塞，產(chǎn)產(chǎn)生網(wǎng)絡(luò)瓶瓶頸，使實(shí)實(shí)時(shí)性要求求高的數(shù)據(jù)據(jù)得不到及及時(shí)發(fā)送；而在流量量低谷時(shí)又又造成大量量的網(wǎng)絡(luò)帶帶寬空閑。QoS通通過(guò)流量

21、預(yù)預(yù)測(cè)與流量量控制策略略，可以按按照優(yōu)先級(jí)級(jí)分配帶寬寬資源，實(shí)實(shí)現(xiàn)帶寬管管理，使得得各類數(shù)據(jù)據(jù)能夠被合合理地先后后發(fā)送，并并預(yù)防阻塞塞的發(fā)生。（3）可擴(kuò)擴(kuò)充性和靈靈活性VPN必須須能夠支持持通過(guò)Inntrannet和EExtraanet的的任何類型型的數(shù)據(jù)流流，方便增增加新的節(jié)節(jié)點(diǎn)，支持持多種類型型的傳輸媒媒介，可以以滿足同時(shí)時(shí)傳輸語(yǔ)音音、圖像和和數(shù)據(jù)等新新應(yīng)用對(duì)高高質(zhì)量傳輸輸以及帶寬寬增加的需需求。（4）可管管理性從用戶角度度和運(yùn)營(yíng)商商的角度應(yīng)應(yīng)可方便地地進(jìn)行管理理、維護(hù)。在VPNN管理方面面，VPNN要求企業(yè)業(yè)將其網(wǎng)絡(luò)絡(luò)管理功能能從局域網(wǎng)網(wǎng)無(wú)縫地延延伸到公用用網(wǎng)，甚至至是客戶和和合作伙伴伴

22、。雖然可可以將一些些次要的網(wǎng)網(wǎng)絡(luò)管理任任務(wù)交給服服務(wù)提供商商去完成，企企業(yè)自己仍仍需要完成成許多網(wǎng)絡(luò)絡(luò)管理任務(wù)務(wù)。所以，一一個(gè)完善的的VPN管管理系統(tǒng)是是必不可少少的。VPPN管理的的目標(biāo)為：減小網(wǎng)絡(luò)絡(luò)風(fēng)險(xiǎn)、具具有高擴(kuò)展展性、經(jīng)濟(jì)濟(jì)性、高可可靠性等優(yōu)優(yōu)點(diǎn)。事實(shí)實(shí)上，VPPN管理主主要包括安安全管理、設(shè)備管理理、配置管管理、訪問(wèn)問(wèn)控制列表表管理、QQoS管理理等內(nèi)容。實(shí)現(xiàn)VPNN的關(guān)鍵技技術(shù)和主要要協(xié)議3.1 實(shí)現(xiàn)VPPN的關(guān)鍵鍵技術(shù)（1）隧道道技術(shù)隧道技術(shù)(Tunnelinng)是VVPN的底底層支撐技技術(shù)，所謂謂隧道，實(shí)實(shí)際上是一一種封裝，就就是將一種種協(xié)議（協(xié)協(xié)議X）封封裝在另一一種協(xié)議（

23、協(xié)協(xié)議Y）中中傳輸，從從而實(shí)現(xiàn)協(xié)協(xié)議X對(duì)公公用網(wǎng)絡(luò)的的透明性。這里協(xié)議議X被稱為為被封裝協(xié)協(xié)議，協(xié)議議Y被稱為為封裝協(xié)議議，封裝時(shí)時(shí)一般還要要加上特定定的隧道控控制信息，因因此隧道協(xié)協(xié)議的一般般形式為（協(xié)協(xié)議Y）隧隧道頭（協(xié)協(xié)議X）。在公用網(wǎng)網(wǎng)絡(luò)（一般般指因特網(wǎng)網(wǎng)）上傳輸輸過(guò)程中，只只有VPNN端口或網(wǎng)網(wǎng)關(guān)的IPP地址暴露露在外邊。隧道解決了了專網(wǎng)與公公網(wǎng)的兼容容問(wèn)題，其其優(yōu)點(diǎn)是能能夠隱藏發(fā)發(fā)送者、接接受者的IIP地址以以及其它協(xié)協(xié)議信息。VPN采采用隧道技技術(shù)向用戶戶提供了無(wú)無(wú)縫的、安安全的、端端到端的連連接服務(wù)，以以確保信息息資源的安安全。隧道是由隧隧道協(xié)議形形成的。隧隧道協(xié)議分分為第二、

24、第三層隧隧道協(xié)議，第第二層隧道道協(xié)議如LL2TP、PPTPP、L2FF等，他們們工作在OOSI體系系結(jié)構(gòu)的第第二層（即即數(shù)據(jù)鏈路路層）；第第三層隧道道協(xié)議如IIPSecc，GREE等，工作作在OSII體系結(jié)構(gòu)構(gòu)的第三層層（即網(wǎng)絡(luò)絡(luò)層）。第第二層隧道道和第三層層隧道的本本質(zhì)區(qū)別在在于：用戶戶的IP數(shù)數(shù)據(jù)包被封封裝在不同同的數(shù)據(jù)包包中在隧道道中傳輸。第二層隧道道協(xié)議是建建立在點(diǎn)對(duì)對(duì)點(diǎn)協(xié)議PPPP的基基礎(chǔ)上，充充分利用PPPP協(xié)議議支持多協(xié)協(xié)議的特點(diǎn)點(diǎn)，先把各各種網(wǎng)絡(luò)協(xié)協(xié)議（如IIP、IPPX等）封封裝到PPPP幀中，再再把整個(gè)數(shù)數(shù)據(jù)包裝入入隧道協(xié)議議。PPTTP和L22TP協(xié)議議主要用于于遠(yuǎn)程訪問(wèn)

25、問(wèn)虛擬專用用網(wǎng)。第三層隧道道協(xié)議是把把各種網(wǎng)絡(luò)絡(luò)協(xié)議直接接裝入隧道道協(xié)議中，形形成的數(shù)據(jù)據(jù)包依靠網(wǎng)網(wǎng)絡(luò)層協(xié)議議進(jìn)行傳輸輸。無(wú)論從從可擴(kuò)充性性，還是安安全性、可可靠性方面面，第三層層隧道協(xié)議議均優(yōu)于第第二層隧道道協(xié)議。IIPSecc即IP安安全協(xié)議是是目前實(shí)現(xiàn)現(xiàn)VPN功功能的最佳佳選擇。（2）加解解密認(rèn)證技技術(shù)加解密技術(shù)術(shù)是VPNN的另一核核心技術(shù)。為了保證證數(shù)據(jù)在傳傳輸過(guò)程中中的安全性性，不被非非法的用戶戶竊取或篡篡改，一般般都在傳輸輸之前進(jìn)行行加密，在在接受方再再對(duì)其進(jìn)行行解密。密碼技術(shù)是是保證數(shù)據(jù)據(jù)安全傳輸輸?shù)年P(guān)鍵技技術(shù)，以密密鑰為標(biāo)準(zhǔn)準(zhǔn)，可將密密碼系統(tǒng)分分為單鑰密密碼（又稱稱為對(duì)稱密密碼

26、或私鑰鑰密碼）和和雙鑰密碼碼（又稱為為非對(duì)稱密密碼或公鑰鑰密碼）。單鑰密碼碼的特點(diǎn)是是加密和解解密都使用用同一個(gè)密密鑰，因此此，單鑰密密碼體制的的安全性就就是密鑰的的安全。其其優(yōu)點(diǎn)是加加解密速度度快。最有有影響的單單鑰密碼就就是美國(guó)國(guó)國(guó)家標(biāo)準(zhǔn)局局頒布的DDES算法法（56比比特密鑰）。而3DEES（1112比特密密鑰）被認(rèn)認(rèn)為是目前前不可破譯譯的。雙鑰鑰密碼體制制下，加密密密鑰與解解密密鑰不不同，加密密密鑰公開(kāi)開(kāi)，而解密密密鑰保密密，相比單單鑰體制，其其算法復(fù)雜雜且加密速速度慢。所所以現(xiàn)在的的VPN大大都采用單單鑰的DEES和3DDES作為為加解密的的主要技術(shù)術(shù)，而以公公鑰和單鑰鑰的混合加加密

27、體制(即加解密密采用單鑰鑰密碼，而而密鑰傳送送采用雙鑰鑰密碼)來(lái)來(lái)進(jìn)行網(wǎng)絡(luò)絡(luò)上密鑰交交換和管理理，不但可可以提高了了傳輸速度度，還具有有良好的保保密功能。認(rèn)證技術(shù)術(shù)可以防止止來(lái)自第三三方的主動(dòng)動(dòng)攻擊。一一般用戶和和設(shè)備雙方方在交換數(shù)數(shù)據(jù)之前，先先核對(duì)證書(shū)書(shū)，如果準(zhǔn)準(zhǔn)確無(wú)誤，雙雙方才開(kāi)始始交換數(shù)據(jù)據(jù)。用戶身身份認(rèn)證最最常用的技技術(shù)是用戶戶名和密碼碼方式。而而設(shè)備認(rèn)證證則需要依依賴由CAA所頒發(fā)的的電子證書(shū)書(shū)。目前主要有有的認(rèn)證方方式有：簡(jiǎn)簡(jiǎn)單口令如如質(zhì)詢握手手驗(yàn)證協(xié)議議CHAPP和密碼身身份驗(yàn)證協(xié)協(xié)議PAPP等；動(dòng)態(tài)態(tài)口令如動(dòng)動(dòng)態(tài)令牌和和X.5009數(shù)字證證書(shū)等。簡(jiǎn)簡(jiǎn)單口令認(rèn)認(rèn)證方式的的優(yōu)點(diǎn)是實(shí)

28、實(shí)施簡(jiǎn)單、技術(shù)成熟熟、互操作作性好，且且支持動(dòng)態(tài)態(tài)地加載VVPN設(shè)備備，可擴(kuò)展展性強(qiáng)。（3）密鑰鑰管理技術(shù)術(shù)密鑰管理的的主要任務(wù)務(wù)就是保證證在開(kāi)放的的網(wǎng)絡(luò)環(huán)境境中安全地地傳遞密鑰鑰，而不被被竊取。目目前密鑰管管理的協(xié)議議包括ISSAKMPP、SKIIP、MKKMP等。Inteernett密鑰交換換協(xié)議IKKE是Innternnet安全全關(guān)聯(lián)和密密鑰管理協(xié)協(xié)議ISAAKMP語(yǔ)語(yǔ)言來(lái)定義義密鑰的交交換，綜合合了Oakkley和和SKEMME的密鑰鑰交換方案案，通過(guò)協(xié)協(xié)商安全策策略，形成成各自的驗(yàn)驗(yàn)證加密參參數(shù)。IKKE交換的的最終目的的是提供一一個(gè)通過(guò)驗(yàn)驗(yàn)證的密鑰鑰以及建立立在雙方同同意基礎(chǔ)上上的

29、安全服服務(wù)。SKKIP主要要是利用DDiffiie-Heellmaan的演算算法則，在在網(wǎng)絡(luò)上傳傳輸密鑰。IKE協(xié)議議是目前首首選的密鑰鑰管理標(biāo)準(zhǔn)準(zhǔn)，較SKKIP而言言，其主要要優(yōu)勢(shì)在于于定義更靈靈活，能適適應(yīng)不同的的加密密鑰鑰。IKEE協(xié)議的缺缺點(diǎn)是它雖雖然提供了了強(qiáng)大的主主機(jī)級(jí)身份份認(rèn)證，但但同時(shí)卻只只能支持有有限的用戶戶級(jí)身份認(rèn)認(rèn)證，并且且不支持非非對(duì)稱的用用戶認(rèn)證。（4）訪問(wèn)問(wèn)控制技術(shù)術(shù)虛擬專用網(wǎng)網(wǎng)的基本功功能就是不不同的用戶戶對(duì)不同的的主機(jī)或服服務(wù)器的訪訪問(wèn)權(quán)限是是不一樣的的。由VPPN服務(wù)的的提供者與與最終網(wǎng)絡(luò)絡(luò)信息資源源的提供者者共同來(lái)協(xié)協(xié)商確定特特定用戶對(duì)對(duì)特定資源源的訪問(wèn)權(quán)權(quán)

30、限，以此此實(shí)現(xiàn)基于于用戶的細(xì)細(xì)粒度訪問(wèn)問(wèn)控制，以以實(shí)現(xiàn)對(duì)信信息資源的的最大限度度的保護(hù)。 訪問(wèn)控制策策略可以細(xì)細(xì)分為選擇擇性訪問(wèn)控控制和強(qiáng)制制性訪問(wèn)控控制。選擇擇性訪問(wèn)控控制是基于于主體或主主體所在組組的身份，一一般被內(nèi)置置于許多操操作系統(tǒng)當(dāng)當(dāng)中。強(qiáng)制制性訪問(wèn)控控制是基于于被訪問(wèn)信信息的敏感感性。3.2 VPN的主主要安全協(xié)協(xié)議在實(shí)施信息息安全的過(guò)過(guò)程中，為為了給通過(guò)過(guò)非信任網(wǎng)網(wǎng)絡(luò)的私有有數(shù)據(jù)提供供安全保護(hù)護(hù)，通訊的的雙方首先先進(jìn)行身份份認(rèn)證，這這中間要經(jīng)經(jīng)過(guò)大量的的協(xié)商，在在此基礎(chǔ)上上，發(fā)送方方將數(shù)據(jù)加加密后發(fā)出出，接受端端先對(duì)數(shù)據(jù)據(jù)進(jìn)行完整整性檢查，然然后解密，使使用。這要要求雙方事事先確

31、定要要使用的加加密和完整整性檢查算算法。由此此可見(jiàn)，整整個(gè)過(guò)程必必須在雙方方共同遵守守的規(guī)范( 協(xié)議) 下進(jìn)行行。VPN區(qū)別別于一般網(wǎng)網(wǎng)絡(luò)互聯(lián)的的關(guān)鍵是隧隧道的建立立，數(shù)據(jù)包包經(jīng)過(guò)加密密后，按隧隧道協(xié)議進(jìn)進(jìn)行封裝、傳送以保保證安全性性。一般，在在數(shù)據(jù)鏈路路層實(shí)現(xiàn)數(shù)數(shù)據(jù)封裝的的協(xié)議叫第第二層隧道道協(xié)議，常常用的有PPPTP , L22TP 等等;在網(wǎng)絡(luò)絡(luò)層實(shí)現(xiàn)數(shù)數(shù)據(jù)封裝的的協(xié)議叫第第三層隧道道協(xié)議，如如IPSeec。另外外，SOCCKSv55協(xié)議則在在TCP層層實(shí)現(xiàn)數(shù)據(jù)據(jù)安全。3.2.11PPTPP/L2TTP 1996年年，Miccrosooft和AAscennd等在PPPP 協(xié)協(xié)議的基礎(chǔ)礎(chǔ)上

32、開(kāi)發(fā)了了PPTPP ， 它它集成于WWindoows NNT Seerverr4.0中中，Winndowss NT Workkstattion 和Winndowss 9.XX也提供相相應(yīng)的客戶戶端軟件。PPP支支持多種網(wǎng)網(wǎng)絡(luò)協(xié)議，可可把IP 、IPXX、ApppleTaalk或NNetBEEUI的數(shù)數(shù)據(jù)包封裝裝在PPPP包中，再再將整個(gè)報(bào)報(bào)文封裝在在PPTPP隧道協(xié)議議包中，最最后，再嵌嵌入IP報(bào)報(bào)文或幀中中繼或ATTM中進(jìn)行行傳輸。PPPTP提提供流量控控制，減少少擁塞的可可能性，避避免由于包包丟棄而引引發(fā)包重傳傳的數(shù)量。PPTPP的加密方方法采用MMicroosoftt點(diǎn)對(duì)點(diǎn)加加密(MPP

33、PE: Micrrosofft PPointt-to- Poiint) 算法，可可以選用較較弱的400位密鑰或或強(qiáng)度較大大的1288位密鑰。19966年， CCiscoo提出L22F(Laayer 2 Foorwarrdingg)隧道協(xié)協(xié)議，它也也支持多協(xié)協(xié)議，但其其主要用于于Ciscco的路由由器和撥號(hào)號(hào)訪問(wèn)服務(wù)務(wù)器。19997年底底，Miccrosooft 和和Ciscco公司把把PPTPP 協(xié)議和和L2F協(xié)議的的優(yōu)點(diǎn)結(jié)合合在一起，形形成了L22TP協(xié)議議。L2TTP支持多多協(xié)議，利利用公共網(wǎng)網(wǎng)絡(luò)封裝PPPP幀，可可以實(shí)現(xiàn)和和企業(yè)原有有非IP網(wǎng)網(wǎng)的兼容。還繼承了了PPTPP的流量控控制，支

34、持持MP(MMultiilinkk Prootocool)，把把多個(gè)物理理通道捆綁綁為單一邏邏輯信道。L2TPP使用PPPP可靠性性發(fā)送(RRFC 11663)實(shí)現(xiàn)數(shù)據(jù)據(jù)包的可靠靠發(fā)送。LL2TP隧隧道在兩端端的VPNN服務(wù)器之之間采用口口令握手協(xié)協(xié)議CHAAP來(lái)驗(yàn)證證對(duì)方的身身份.L22TP受到到了許多大大公司的支支持.PPTP/L2TPP協(xié)議的優(yōu)優(yōu)點(diǎn): PPPTP/L2TPP對(duì)用微軟軟操作系統(tǒng)統(tǒng)的 用戶戶來(lái)說(shuō)很方方便，因?yàn)闉槲④浖喊寻阉鳛槁仿酚绍浖牡囊徊糠?。PPTPP/ L22TP支持持其它網(wǎng)絡(luò)絡(luò)協(xié)議。如如NOWEELL的IIPX,NNETBEEUI和AAPPLEETALKK協(xié)議,還還

35、支持流量量控制。 它通過(guò)減減少丟棄包包來(lái)改善網(wǎng)網(wǎng)絡(luò)性能，這這樣可減少少重傳。PPTP/ L2TTP協(xié)議的的缺點(diǎn):PPM和L22TP 將將不安全的的IP包封封裝在安全全的IP包包內(nèi)，它們們用IP幀幀在兩臺(tái)計(jì)計(jì)算機(jī)之間間創(chuàng)建和打打開(kāi)數(shù)據(jù)通通道，一旦旦通道打開(kāi)開(kāi)，源和目目的用戶身身份就不再再需要，這這樣可能帶帶來(lái)問(wèn)題，它它不對(duì)兩個(gè)個(gè)節(jié)點(diǎn)間的的信息傳輸輸進(jìn)行監(jiān)視視或控制。PPTPP和L2TTP限制同同時(shí)最多只只能連接2255個(gè)用用戶，端點(diǎn)點(diǎn)用戶需要要在連接前前手工建立立加密信道道，認(rèn)證和和加密受到到限制，沒(méi)沒(méi)有強(qiáng)加密密和認(rèn)證支支持。PPTP/ L2TTP最適合合于遠(yuǎn)程訪訪問(wèn)VPNN.3.2.22IPS

36、Sec協(xié)議議IPSecc是IETTF(Innternnet EEnginneer Taskk Forrce) 正在完善善的安全標(biāo)標(biāo)準(zhǔn)，它把把幾種安全全技術(shù)結(jié)合合在一起形形成一個(gè)較較為完整的的體系，受受到了眾多多廠商的關(guān)關(guān)注和支持持。通過(guò)對(duì)對(duì)數(shù)據(jù)加密密、認(rèn)證、完整性檢檢查來(lái)保證證數(shù)據(jù)傳輸輸?shù)目煽啃孕?、私有性性和保密性性。IPSSec由IIP認(rèn)證頭頭AH(AAutheenticcatioon Heeaderr)、IPP安全載荷荷封載ESSP(Enncapssulatted SSecurrity Paylload)和密鑰管管理協(xié)議組組成。IPSecc協(xié)議是一一個(gè)范圍廣廣泛、開(kāi)放放的虛擬專專用網(wǎng)安全全

37、協(xié)議。IIPSecc 適應(yīng)向向IPv66遷移， 它提供所所有在網(wǎng)絡(luò)絡(luò)層上的數(shù)數(shù)據(jù)保護(hù)，提提供透明的的安全通信信。IPSSec用密密碼技術(shù)從從三個(gè)方面面來(lái)保證數(shù)數(shù)據(jù)的安全全。即:認(rèn)證：用于于對(duì)主機(jī)和和端點(diǎn)進(jìn)行行身份鑒別別。完整性檢查查：用于保保證數(shù)據(jù)在在通過(guò)網(wǎng)絡(luò)絡(luò)傳輸時(shí)沒(méi)沒(méi)有被修改改。加密：加密密IP地址址和數(shù)據(jù)以以保證私有有性。IPSecc協(xié)議可以以設(shè)置成在在兩種模式式下運(yùn)行:一種是隧隧道模式，一一種是傳輸輸模式。 在隧道模模式下，IIPSecc把IPvv4數(shù)據(jù)包包封裝在安安全的IPP幀 中,這樣保護(hù)護(hù)從一個(gè)防防火墻到另另一個(gè)防火火墻時(shí)的安安全性。在在隧道模式式下，信息息封裝是為為了保護(hù)端端到

38、端的安安全性，即即在這種模模式下不會(huì)會(huì)隱藏路由由信息。隧隧道模式是是最安全的的，但會(huì)帶帶來(lái)較大的的系統(tǒng)開(kāi)銷銷。IPSSec現(xiàn)在在還不完全全成熟，但但它得到了了一些路由由器廠商和和硬件廠商商的大力支支持。預(yù)計(jì)計(jì)它今后將將成為虛擬擬專用網(wǎng)的的主要標(biāo)準(zhǔn)準(zhǔn)。IPSSec有擴(kuò)擴(kuò)展能力以以適應(yīng)未來(lái)來(lái)商業(yè)的需需要。在11997年年底，IEETF安全全工作組完完成了IPPSec 的擴(kuò)展， 在IPSSec協(xié)議議中加上IISAKMMP(Innternnet SSecurrity Assoociattion and Kay Manaagemeent PProtoocol)協(xié)議，其其中還包括括一個(gè)密鑰鑰分配協(xié)議議Oa

39、klley。IISAKMMP/Oaakleyy支持自動(dòng)動(dòng)建立加密密信道，密密鑰的自動(dòng)動(dòng)安全分發(fā)發(fā)和更新。IPSeec也可用用于連接其其它層己存存在的通信信協(xié)議，如如支持安全全電子交易易(SETT:Seccure Elecctronnic TTranssactiion)協(xié)協(xié)議和SSSL（Seecuree Soccket layeer）協(xié)議議。即使不不用SETT或SSLL,IPSSec 都都能提供認(rèn)認(rèn)證和加密密手段以保保證信息的的傳輸。實(shí)例分析VPN的具具體實(shí)現(xiàn)方方案有很多多，實(shí)際應(yīng)應(yīng)用中應(yīng)根根據(jù)用戶的的需求、用用戶資源現(xiàn)現(xiàn)狀、承載載網(wǎng)絡(luò)資源源現(xiàn)狀、投投資效益以以及相關(guān)技技術(shù)比較等等多種因素素綜合

40、考慮慮，選擇一一種主流的的方案。在在本文中就就以一個(gè)中中小型企業(yè)業(yè)為例模擬擬實(shí)際環(huán)境境建立一個(gè)個(gè)基于ISSA的企業(yè)業(yè)VPN網(wǎng)網(wǎng)絡(luò)以滿足足遠(yuǎn)程辦公公、分公司司和合作伙伙伴遠(yuǎn)程訪訪問(wèn)的要求求。這個(gè)實(shí)實(shí)驗(yàn)在理論論的指導(dǎo)下下實(shí)現(xiàn)了一一種VPNN的實(shí)際應(yīng)應(yīng)用，為中小企業(yè)業(yè)設(shè)計(jì)VPPN網(wǎng)絡(luò)提提供參考和和借鑒。4.1 需求分析析隨著公司的的發(fā)展壯大大，廈門(mén)某公司在上海海開(kāi)辦了分分公司來(lái)進(jìn)進(jìn)一步發(fā)展展業(yè)務(wù)，公公司希望總部和分公公司、總部部與合作伙伙伴可以隨隨時(shí)的進(jìn)行行安全的信息息溝通，而而外出辦公公人員可以以訪問(wèn)到企企業(yè)內(nèi)部關(guān)關(guān)鍵數(shù)據(jù)，隨隨時(shí)隨地共共享商業(yè)信信息，提高高工作效率率。一些大大型跨國(guó)公公司解決這這

41、個(gè)問(wèn)題的的方法，就就是在各個(gè)個(gè)公司之間間租用運(yùn)營(yíng)營(yíng)商的專用用線路。這這個(gè)辦法雖雖然能解決決問(wèn)題，但但是費(fèi)用昂昂貴，對(duì)于于中小企業(yè)業(yè)來(lái)說(shuō)是無(wú)無(wú)法負(fù)擔(dān)的的，而VPN技技術(shù)能解決決這個(gè)問(wèn)題題。根據(jù)該公司用戶戶的需求，遵遵循著方便便實(shí)用、高高效低成本本、安全可可靠、網(wǎng)絡(luò)絡(luò)架構(gòu)彈性性大等相關(guān)關(guān)原則決定定采用ISSA Seerverr VPNN安全方案，以IISA作為為網(wǎng)絡(luò)訪問(wèn)問(wèn)的安全控控制。ISA Servver集成成了Winndowss serrver VPN服服務(wù)，提供供一個(gè)完善善的防火墻墻和VPNN解決方案案。以 ISAA VPNN作為連接接Inteernett的安全網(wǎng)網(wǎng)關(guān)，并使使用雙網(wǎng)卡卡，隔開(kāi)

42、內(nèi)內(nèi)外網(wǎng)，增增加網(wǎng)絡(luò)安安全性。ISA具備備了基于策策略的安全全性，并且且能夠加速速和管理對(duì)對(duì)Inteernett的訪問(wèn)。防火墻能能對(duì)數(shù)據(jù)包包層、鏈路路層和應(yīng)用用層進(jìn)行數(shù)數(shù)據(jù)過(guò)濾、對(duì)穿過(guò)防防火墻的數(shù)數(shù)據(jù)進(jìn)行狀狀態(tài)檢查、對(duì)訪問(wèn)策策略進(jìn)行控控制并對(duì)網(wǎng)網(wǎng)絡(luò)通信進(jìn)進(jìn)行路由。對(duì)于各種種規(guī)模的企企業(yè)來(lái)說(shuō)，IISA SServeer 都可可以增強(qiáng)網(wǎng)網(wǎng)絡(luò)安全性性、貫徹一一致的 IInterrnet 使用策略略、加速 Inteernett 訪問(wèn)并并實(shí)現(xiàn)員工工工作效率率最大化。在ISA中中可以使用用以下三種種協(xié)議來(lái)建建立VPNN連接： IPSEEC隧道模模式； L2TPP oveer IPPSec模模式； PPTP

43、P； 下表比較了了這三種協(xié)協(xié)議： 表4-1 ISAA中三種協(xié)協(xié)議對(duì)比表表協(xié)議何時(shí)使用安全等級(jí)備注IPSecc隧道模式式連接到第三三方的VPPN服務(wù)器器高這是唯一一一種可以連連接到非微微軟VPNN服務(wù)器的的方式L2TP overr IPSSec連接到ISSA Seerverr 20000、ISSA Seerverr 20004或者WWindoows VVPN服務(wù)務(wù)器高使用RRAAS。比IIPSecc隧道模式式更容易理理解，但是是要求遠(yuǎn)程程VPN服服務(wù)器是IISA SServeer或者WWindoows VVPN服務(wù)務(wù)器。PPTP連接到ISSA Seerverr 20000、ISSA Seerve

44、rr 20004或者WWindoows VVPN服務(wù)務(wù)器中等使用RRAAS，和LL2TP具具有同樣的的限制，但但是更容易易配置。因因?yàn)槭褂肐IPSecc加密，LL2TP更更認(rèn)為更安安全。三個(gè)站點(diǎn)都都采用ISSA VPPN作為安安全網(wǎng)關(guān)，且且L2TPP oveer IPPSec結(jié)結(jié)合了L22TP 和和 IPSSec的優(yōu)優(yōu)點(diǎn)，所以以在這里采采用L2TTP ovver IIPSecc作為VPPN實(shí)施方方案。4.2 方案達(dá)到到的目的廈門(mén)總部和和分公司之間間以及廈門(mén)門(mén)總部和合合作伙伴之之間透過(guò)VVPN聯(lián)機(jī)機(jī)采用IPPSec協(xié)協(xié)定，確保保傳輸數(shù)據(jù)據(jù)的安全；在外出差或或想要連回回總部或分分公司的用用戶也可使

45、使用IPSSec方式式連回企業(yè)業(yè)網(wǎng)路；對(duì)總部?jī)?nèi)網(wǎng)網(wǎng)實(shí)施上網(wǎng)網(wǎng)的訪問(wèn)控控制，通過(guò)過(guò)VPN設(shè)設(shè)備的訪問(wèn)問(wèn)控制策略略，對(duì)訪問(wèn)問(wèn)的PC進(jìn)進(jìn)行嚴(yán)格的的訪問(wèn)控制制。對(duì)外網(wǎng)可以以抵御黑客客的入侵，起起到Firrewalll作用。具有控制制和限制的的安全機(jī)制制和措施，具具備防火墻墻和抗攻擊擊等功能；部署靈活，維維護(hù)方便，提提供強(qiáng)大的的管理功能能，以減少少系統(tǒng)的維維護(hù)量以適適應(yīng)大規(guī)模模組網(wǎng)需要要。4.3 VPN組建建方案網(wǎng)絡(luò)絡(luò)拓?fù)鋱D圖4-1 VPN組組建網(wǎng)絡(luò)拓拓?fù)鋱D各部分VPPN設(shè)備的的配置公司總部和和分支機(jī)構(gòu)構(gòu)之間與公公司總部和和合作伙伴伴之間的VVPN通信信，都是站站點(diǎn)對(duì)站點(diǎn)點(diǎn)的方式，只是權(quán)限設(shè)置不一樣，公

46、司總部和分支機(jī)構(gòu)要實(shí)現(xiàn)的公司分支機(jī)構(gòu)共享總部的資源，公司總部和合作伙伴要實(shí)現(xiàn)是資源共享和互訪。兩者之間的差別是合作伙伴的VPN接入上設(shè)置了可以總部可以訪問(wèn)的操作。因?yàn)槿齻€(gè)站點(diǎn)都采用ISA VPN作為安全網(wǎng)關(guān)，所以以下站點(diǎn)對(duì)站點(diǎn)的VPN配置就以公司總部到分支機(jī)構(gòu)為例，說(shuō)明在ISA上實(shí)現(xiàn)VPN的具體操作。模擬基本拓拓?fù)鋱D：圖5-1 實(shí)驗(yàn)?zāi)M擬網(wǎng)絡(luò)拓?fù)鋼鋱D5.1 公司總部部到分支機(jī)機(jī)構(gòu)的ISSA VPPN配置各主機(jī)的TTCP/IIP為： 廈門(mén)總部外部網(wǎng)絡(luò)： IP：1992.1668.1.1DG：1992.1668.1.1內(nèi)部網(wǎng)絡(luò)： IP：1772.166.1922.1677DG：Noone 分部外部

47、網(wǎng)絡(luò)： IP：1992.1668.1.2DG：1992.1668.1.1內(nèi)部網(wǎng)絡(luò)： IP:1992.1668.3.1DG：Noone 在總部和支支部之間建建立一個(gè)基基于IPSSec的站站點(diǎn)到站點(diǎn)點(diǎn)的VPNN連接，由由支部向總總部進(jìn)行請(qǐng)請(qǐng)求撥號(hào)，具體步驟如下： 在總部ISSA服務(wù)器器上建立遠(yuǎn)遠(yuǎn)程站點(diǎn)； 建立此遠(yuǎn)程程站點(diǎn)的網(wǎng)網(wǎng)絡(luò)規(guī)則； 建立此遠(yuǎn)程程站點(diǎn)的訪訪問(wèn)規(guī)則； 在總部為遠(yuǎn)遠(yuǎn)程站點(diǎn)的的撥入建立立用戶；在支部ISSA服務(wù)器器上建立遠(yuǎn)遠(yuǎn)程站點(diǎn)； 建立此遠(yuǎn)程程站點(diǎn)的網(wǎng)網(wǎng)絡(luò)規(guī)則； 建立此遠(yuǎn)程程站點(diǎn)的訪訪問(wèn)規(guī)則； 測(cè)試VPNN連接； 5.1.11 總部部ISA VPNN配置1、在總部部ISA服服務(wù)器上建

48、建立遠(yuǎn)程分分支機(jī)構(gòu)站站點(diǎn) 打開(kāi)ISAA Serrver 20044控制臺(tái)，點(diǎn)點(diǎn)擊虛擬專專用網(wǎng)絡(luò)，點(diǎn)點(diǎn)擊右邊任任務(wù)面板中中的添加遠(yuǎn)遠(yuǎn)程站點(diǎn)網(wǎng)網(wǎng)絡(luò)；在歡迎使用用網(wǎng)絡(luò)創(chuàng)建建向?qū)ы?yè)，輸輸入遠(yuǎn)程站站點(diǎn)的名字字Brannch，點(diǎn)點(diǎn)擊下一步步； 在VPN協(xié)協(xié)議頁(yè)，選選擇IPSSec上的的第二層隧隧道協(xié)議（LL2TP），點(diǎn)擊下一一步； 在遠(yuǎn)程站點(diǎn)點(diǎn)網(wǎng)關(guān)頁(yè)，輸輸入遠(yuǎn)程VVPN服務(wù)務(wù)器的名稱稱或IP地地址，如果果輸入名稱稱，需確?？梢砸哉_解析析，在這里里輸入1992.1668.1.2點(diǎn)擊下一步步； 在網(wǎng)絡(luò)地址址頁(yè)，點(diǎn)擊擊添加輸入與此網(wǎng)網(wǎng)卡關(guān)聯(lián)的的IP地址址范圍，在在此輸入1192.1168.33.0和192.1

49、68.3.2555，點(diǎn)擊確定定后，點(diǎn)擊擊下一步繼續(xù)續(xù)； 在正在完成成新建網(wǎng)絡(luò)絡(luò)向?qū)ы?yè)，點(diǎn)點(diǎn)擊完成。 圖5-2 總部建立立的遠(yuǎn)程站站點(diǎn)圖打開(kāi)VPNN客戶端，點(diǎn)點(diǎn)擊配置VVPN客戶戶端訪問(wèn)，在在常規(guī)頁(yè)中，選選擇啟用VVPN客戶戶端訪問(wèn)，填填入允許的的最大VPPN客戶端端數(shù)量200，在協(xié)議頁(yè)，選擇啟啟用PPTTP（N）和啟用用L2TPP/IPSSEC（EE）點(diǎn)擊確定。點(diǎn)擊選擇身身份驗(yàn)證方方法，選擇擇Micrrosofft加密的的身份驗(yàn)證證版本2（MMS-CHHAPv22）（M）和允許L2TP連接自定義IPSec策略（L）,輸入預(yù)共享的密鑰main04jsja.點(diǎn)擊定義地地址分配，在在地址分配配頁(yè)，選

50、擇擇靜態(tài)地址址池，點(diǎn)擊擊添加，添添加VPNN連接后總總部主機(jī)分分配的給客客戶端的IIP地址段段，在這里里輸入2110.344.2122.0-210.34.2212.2255，點(diǎn)擊確定完成設(shè)設(shè)置。（方方便測(cè)試連連接，可不不添加）2、在總部部上建立此此遠(yuǎn)程站點(diǎn)點(diǎn)的網(wǎng)絡(luò)規(guī)規(guī)則 接下來(lái)，我我們需要建建立一條網(wǎng)網(wǎng)絡(luò)規(guī)則，為為遠(yuǎn)程站點(diǎn)點(diǎn)和內(nèi)部網(wǎng)網(wǎng)絡(luò)間的訪訪問(wèn)定義路路由關(guān)系。右鍵點(diǎn)擊配配置下的網(wǎng)絡(luò)，然后后點(diǎn)擊新建建，選擇網(wǎng)絡(luò)絡(luò)規(guī)則； 在新建網(wǎng)絡(luò)絡(luò)規(guī)則向?qū)?dǎo)頁(yè)，輸入入規(guī)則名字字，在此命命名為Innternnal tto Brranchh，點(diǎn)擊下一一步;在網(wǎng)絡(luò)通訊訊源頁(yè)，點(diǎn)點(diǎn)擊添加，選擇擇網(wǎng)絡(luò)目錄錄下的內(nèi)部，點(diǎn)

51、擊擊下一步； 在網(wǎng)絡(luò)通訊訊目標(biāo)頁(yè)，點(diǎn)點(diǎn)擊添加，選擇擇網(wǎng)絡(luò)目錄錄下的Braanch，點(diǎn)點(diǎn)擊下一步步； 在網(wǎng)絡(luò)關(guān)系系頁(yè)，選擇擇路由，然后后點(diǎn)擊下一一步； 在正在完成成新建網(wǎng)絡(luò)絡(luò)規(guī)則向?qū)?dǎo)頁(yè)，點(diǎn)擊擊完成； 圖5-3 總部網(wǎng)絡(luò)絡(luò)規(guī)則圖3、在總部部上建立此此遠(yuǎn)程站點(diǎn)點(diǎn)的訪問(wèn)規(guī)規(guī)則 現(xiàn)在，我們們需要為遠(yuǎn)遠(yuǎn)程站點(diǎn)和和內(nèi)部網(wǎng)絡(luò)絡(luò)間的互訪訪建立訪問(wèn)問(wèn)規(guī)則，右鍵點(diǎn)擊防防火墻策略略，選擇新建建，點(diǎn)擊訪問(wèn)問(wèn)規(guī)則； 在歡迎使用用新建訪問(wèn)問(wèn)規(guī)則向?qū)?dǎo)頁(yè)，輸入入規(guī)則名稱稱，在此命命名為maain tto brranchh，點(diǎn)擊下一一步； 在規(guī)則操作作頁(yè)，選擇擇允許，點(diǎn)擊擊下一步； 在協(xié)議頁(yè)，選選擇所選的的協(xié)議，然然后添加H

52、HTTP和和Pingg，(這里可可以再根據(jù)據(jù)實(shí)際需要要添加協(xié)議議)點(diǎn)擊下一步步； 在訪問(wèn)規(guī)則則源頁(yè)，點(diǎn)點(diǎn)擊添加，選擇擇網(wǎng)絡(luò)目錄下下的Braanch和和內(nèi)部，點(diǎn)擊擊下一步； 在訪問(wèn)規(guī)則則目標(biāo)頁(yè)，點(diǎn)點(diǎn)擊添加，選擇擇網(wǎng)絡(luò)目錄下下的Braanch和和內(nèi)部，點(diǎn)擊擊下一步；在用戶集頁(yè)頁(yè)，接受默默認(rèn)的所有有用戶，點(diǎn)點(diǎn)擊下一步步；在正在完完成新建訪訪問(wèn)規(guī)則向向?qū)ы?yè)，點(diǎn)點(diǎn)擊完成； 最后，點(diǎn)擊擊應(yīng)用以保存存修改和更更新防火墻墻設(shè)置。 此時(shí)在警警報(bào)里面有有提示，需需要重啟IISA服務(wù)務(wù)器，所以以，我們需需要重啟IISA計(jì)算算機(jī)。圖5-4 總部訪問(wèn)問(wèn)控制圖4、在總部部上為遠(yuǎn)程程站點(diǎn)的撥撥入建立用用戶 在重啟總部部IS

53、A服服務(wù)器后，以以管理員身身份登錄，在我的電腦腦上點(diǎn)擊右右鍵，選擇擇管理，選擇在本地用戶戶和組里面面，右擊用用戶，選擇擇新用戶，這這個(gè)VPNN撥入用戶戶的名字一一定要和遠(yuǎn)遠(yuǎn)程站點(diǎn)的的名字一致致，在此是是mainn，輸入密密碼maiin，選中用戶不不能修改密密碼和密碼永不不過(guò)期，取取消勾選用用戶必須在在下次登錄錄時(shí)修改密密碼，點(diǎn)擊擊創(chuàng)建； 右擊此用戶戶，選擇屬屬性；在用用戶屬性的的撥入標(biāo)簽，選選擇允許訪訪問(wèn)，點(diǎn)擊擊確定。圖5-5 總部用戶戶創(chuàng)建圖此時(shí)，遠(yuǎn)程程客戶端撥撥入總部的的用戶賬號(hào)就建好了。5.1.22 支部部 ISAA VPPN配置1、在支部部ISA服服務(wù)器上添添加遠(yuǎn)程站站點(diǎn)打開(kāi)ISAA

54、Serrver 20044控制臺(tái)，點(diǎn)點(diǎn)擊虛擬專專用網(wǎng)絡(luò)，點(diǎn)點(diǎn)擊右邊任任務(wù)面板中中的添加遠(yuǎn)遠(yuǎn)程站點(diǎn)網(wǎng)網(wǎng)絡(luò)；在歡迎使用用網(wǎng)絡(luò)創(chuàng)建建向?qū)ы?yè)，輸輸入遠(yuǎn)程站站點(diǎn)的名字字Mainn，點(diǎn)擊下一一步； 在VPN協(xié)協(xié)議頁(yè)，選選擇IPSSec上的的第二層隧隧道協(xié)議（LL2TP），點(diǎn)擊下一一步； 在遠(yuǎn)程站點(diǎn)點(diǎn)網(wǎng)關(guān)頁(yè)，輸輸入遠(yuǎn)程VVPN服務(wù)務(wù)器的名稱稱或IP地地址，如果果輸入名稱稱，需確?？梢砸哉_解析析，在這里里輸入1992.1668.1.1，點(diǎn)擊擊下一步； 在遠(yuǎn)程身份份驗(yàn)證頁(yè)，輸入用用戶名maain，輸入密碼碼mainn，點(diǎn)擊下一步步繼續(xù)； 在網(wǎng)絡(luò)地址址頁(yè)，點(diǎn)擊擊添加輸入與此網(wǎng)網(wǎng)卡關(guān)聯(lián)的的IP地址址范圍，在在此輸

55、入1192.1168.33.0和555，點(diǎn)擊確定定后，點(diǎn)擊擊下一步繼續(xù)續(xù)； 在正在完成成新建網(wǎng)絡(luò)絡(luò)向?qū)ы?yè)，點(diǎn)點(diǎn)擊完成。 圖5-6 支部建立立的遠(yuǎn)程站站點(diǎn)圖2、建立此此遠(yuǎn)程站點(diǎn)點(diǎn)的網(wǎng)絡(luò)規(guī)規(guī)則 接下下來(lái)，我們們需要建立立一條網(wǎng)絡(luò)絡(luò)規(guī)則，為為遠(yuǎn)程站點(diǎn)點(diǎn)和內(nèi)部網(wǎng)網(wǎng)絡(luò)間的訪訪問(wèn)定義路路由關(guān)系。右擊配置下下的網(wǎng)絡(luò)，然后后點(diǎn)擊新建建，選擇網(wǎng)絡(luò)絡(luò)規(guī)則；在新建網(wǎng)絡(luò)絡(luò)規(guī)則向?qū)?dǎo)頁(yè)，輸入入規(guī)則名字字，在此我我命名為內(nèi)內(nèi)部-Maiin，點(diǎn)擊擊下一步；在網(wǎng)絡(luò)通訊訊源頁(yè)，點(diǎn)點(diǎn)擊添加，選擇擇網(wǎng)絡(luò)目錄錄下的內(nèi)部，點(diǎn)擊擊下一步；在網(wǎng)絡(luò)通訊訊目標(biāo)頁(yè)，點(diǎn)點(diǎn)擊添加，選擇擇網(wǎng)絡(luò)目錄錄下的Maiin，點(diǎn)擊擊下一步；

56、在網(wǎng)絡(luò)關(guān)系系頁(yè)，選擇擇路由，然后后點(diǎn)擊下一一步；在正在完成成新建網(wǎng)絡(luò)絡(luò)規(guī)則向?qū)?dǎo)頁(yè)，點(diǎn)擊擊完成；圖5-7 支部的網(wǎng)網(wǎng)絡(luò)規(guī)則圖圖3、建立此此遠(yuǎn)程站點(diǎn)點(diǎn)的訪問(wèn)規(guī)規(guī)則 在創(chuàng)建完遠(yuǎn)遠(yuǎn)程站點(diǎn)和和遠(yuǎn)程站點(diǎn)點(diǎn)的網(wǎng)絡(luò)規(guī)規(guī)則之后，我我們需要為為遠(yuǎn)程站點(diǎn)點(diǎn)和內(nèi)部網(wǎng)網(wǎng)絡(luò)間的互互訪建立訪訪問(wèn)規(guī)則，右擊防火墻墻策略，選選擇新建，點(diǎn)擊擊訪問(wèn)規(guī)則則；在歡迎使用用新建訪問(wèn)問(wèn)規(guī)則向?qū)?dǎo)頁(yè)，輸入入規(guī)則名稱稱，在此我我命名為bbrancch too maiin ，點(diǎn)點(diǎn)擊下一步步；在規(guī)則操作作頁(yè)，選擇擇允許，點(diǎn)擊擊下一步；在協(xié)議頁(yè)，選選擇所選的的協(xié)議，然然后添加HHTTP和和Pingg，點(diǎn)擊下一一步；在訪問(wèn)規(guī)則則源頁(yè)，點(diǎn)點(diǎn)擊添加，選

57、擇擇網(wǎng)絡(luò)目錄下下的Maiin和內(nèi)部，點(diǎn)擊擊下一步；在訪問(wèn)規(guī)則則目標(biāo)頁(yè)，點(diǎn)點(diǎn)擊添加，選擇擇網(wǎng)絡(luò)目錄下下的Maiin和內(nèi)部，點(diǎn)擊擊下一步；在用戶集頁(yè)頁(yè)，接受默默認(rèn)的所有有用戶，點(diǎn)點(diǎn)擊下一步步；在正在完完成新建訪訪問(wèn)規(guī)則向向?qū)ы?yè)，點(diǎn)點(diǎn)擊完成；最后，點(diǎn)擊擊應(yīng)用以保存存修改和更更新防火墻墻設(shè)置。圖5-8 支部的訪訪問(wèn)控制圖圖此時(shí)在警報(bào)報(bào)里面有提提示，需要要重啟ISSA服務(wù)器器，所以，我我們需要重重啟支部IISA計(jì)算算機(jī)。5.1.33 VPPN連接在支部的路路由和遠(yuǎn)程程訪問(wèn)控制制臺(tái)中，展展開(kāi)服務(wù)器器，點(diǎn)擊網(wǎng)絡(luò)接接口，這時(shí)時(shí)就會(huì)出現(xiàn)現(xiàn)我們創(chuàng)建建的maiin網(wǎng)絡(luò)撥撥號(hào)接口，右右鍵點(diǎn)擊屬屬性，在安全頁(yè)選擇擇高級(jí)

58、設(shè)置置下的IPPSec設(shè)置，在使用預(yù)預(yù)共享的密密鑰作身份份驗(yàn)證（UU）的選框里里打勾，并并輸入密鑰鑰mainn04jssja, 點(diǎn)擊兩次次確定，完成成密鑰設(shè)置置。右鍵點(diǎn)擊設(shè)設(shè)置憑據(jù)，在在接口憑據(jù)據(jù)頁(yè)，輸入入此接口連連接到遠(yuǎn)程程路由器使使用的憑據(jù)據(jù)，因?yàn)樵谠谶h(yuǎn)程ISSA端我們們?cè)O(shè)置為mmain 所以這里里輸入的用用戶密碼為為mainn，點(diǎn)擊確定。圖5-9 連接驗(yàn)證證圖右鍵maiin點(diǎn)擊連接圖5-100 正在進(jìn)進(jìn)行連接示示意圖圖5-111 已連接接上示意圖圖到此為止站站點(diǎn)到站點(diǎn)點(diǎn)的VPNN已經(jīng)構(gòu)建建好了，在在上面的設(shè)設(shè)置中，遠(yuǎn)遠(yuǎn)程的支部部不允許總總部進(jìn)行訪訪問(wèn)，如果果要設(shè)成可可以互相訪訪問(wèn)，支部部

59、的配置只只要參照總總部的配置置就可以實(shí)實(shí)現(xiàn)了。5.1.44 連接接測(cè)試我們之前在在靜態(tài)地址址池里設(shè)置置了VPNN連接后分分配的IPP地址，因因此測(cè)試是是否連接時(shí)時(shí)只要查支支部主機(jī)的的IP地址址就可以了了，在測(cè)試試的結(jié)果中中，出現(xiàn)了了210.34.2212.22這個(gè)VPPN分配的的IP地址址，說(shuō)明VVPN已成成功連接上上總部的IISA VVPN服務(wù)務(wù)器。圖5-122 支部主主機(jī)VPNN連接后的的ipcoonfigg圖在支部的主主機(jī)上piing總部部?jī)?nèi)部的某某一主機(jī)，如如下所示，雖雖然第一次次連接時(shí)間間超時(shí)，沒(méi)沒(méi)有回應(yīng)，但但是接下來(lái)來(lái)的三個(gè)連連接都可以以pingg通，說(shuō)明明VPN已已經(jīng)成功連連接，

60、并可可以訪問(wèn)到到總部?jī)?nèi)網(wǎng)網(wǎng)的其他主主機(jī)。圖5-133 支部PPING通通總部?jī)?nèi)部部網(wǎng)絡(luò)圖5.2 公司總部部站點(diǎn)到移動(dòng)動(dòng)用戶端的的VPN配配置總部外部網(wǎng)絡(luò)： IP：1992.1668.1.1DG：1992.1668.1.1內(nèi)部網(wǎng)絡(luò)： IP：1772.166.1922.1677DG：Noone 移動(dòng)用戶IP：1992.1668.1.3在總部和移移動(dòng)用戶之之間建立一一個(gè)基于IIPSecc的VPNN連接，具具體步驟如如下： 在總部ISSA服務(wù)器器上建立網(wǎng)網(wǎng)絡(luò)規(guī)則 建立此遠(yuǎn)程程站點(diǎn)的訪訪問(wèn)規(guī)則； 在總部為遠(yuǎn)遠(yuǎn)程站點(diǎn)的的撥入建立立用戶；在客戶端建建立撥號(hào)連連接測(cè)試VPNN連接； 5.2.11 總部部ISA