基于IPSec VPN網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)開(kāi)題報(bào)告

學(xué)生畢業(yè)設(shè)計(jì)開(kāi)題報(bào)告課題名稱基于IPSecVPN網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)指導(dǎo)教師專業(yè)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)學(xué)號(hào)姓名1.涉及本課題的研究現(xiàn)狀

VPN（VirtualPrivateNet－work，虛擬專用網(wǎng)）是通過(guò)在兩臺(tái)計(jì)算機(jī)之間建立一條專用連接從而達(dá)到在共享或者公共網(wǎng)絡(luò)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的高速發(fā)展，利用廣泛開(kāi)放的網(wǎng)絡(luò)環(huán)境進(jìn)行全球通信已成為時(shí)代發(fā)展的趨勢(shì)。VPN技術(shù)，也就是虛擬專用網(wǎng)技術(shù)，是指在公共網(wǎng)絡(luò)中建立私有專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)安全的“加密管道”在公共網(wǎng)絡(luò)中傳遞信息。同時(shí)，企業(yè)還可以利用公共信息網(wǎng)的撥號(hào)接入設(shè)備，讓自己的用戶撥號(hào)到公共信息網(wǎng)上，就可以安全地連接進(jìn)入企業(yè)網(wǎng)中。但是，網(wǎng)絡(luò)在提供開(kāi)放和共享資源的同時(shí)，也不可避免的存在著安全隱患。目前，安全問(wèn)題已給網(wǎng)絡(luò)經(jīng)濟(jì)造成嚴(yán)重的威脅，如何保護(hù)網(wǎng)絡(luò)的安全，特別是通過(guò)網(wǎng)絡(luò)傳輸?shù)男畔⒌陌踩?，成為了人們關(guān)注的焦點(diǎn)。因此，研究和開(kāi)發(fā)廣泛適用的網(wǎng)絡(luò)信息安全產(chǎn)品具有很大的實(shí)用價(jià)值。本文主要以IP安全協(xié)議體系IPSec為基礎(chǔ)，對(duì)虛擬專用網(wǎng)（VPN）這一目前廣泛流行的信息安全技術(shù)及其實(shí)現(xiàn)方案進(jìn)行深入的研究。依次闡述了安全問(wèn)題的現(xiàn)狀、分類和對(duì)策；VPN技術(shù)的定義、分類和協(xié)議基礎(chǔ)。VPN具有節(jié)省成本、提供遠(yuǎn)程訪問(wèn)、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等優(yōu)點(diǎn)，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。課題的主要任務(wù)及預(yù)期目標(biāo)

主要任務(wù)：

(1)實(shí)施開(kāi)放的VPN安全協(xié)議IPsec，路由器支持業(yè)界最安全的加密協(xié)議IPsec，保障數(shù)據(jù)在傳輸過(guò)程中的安全靜態(tài)路由，專線連接，精確指引網(wǎng)絡(luò)數(shù)據(jù)流量實(shí)現(xiàn)數(shù)字線路連接，保障各網(wǎng)點(diǎn)間信息傳輸?shù)陌踩?，Internet上傳輸?shù)臄?shù)據(jù)具有安全保密性。預(yù)期目標(biāo)：在VPN客戶端接入無(wú)線網(wǎng)絡(luò)時(shí)，自動(dòng)啟動(dòng)一套安全檢測(cè)措施，對(duì)客戶端的健康狀況進(jìn)行全面檢測(cè)，自動(dòng)隔離有安全隱患的客戶端，并對(duì)這些客戶端進(jìn)行健康修補(bǔ)，從而達(dá)到保護(hù)企業(yè)網(wǎng)絡(luò)安全的目的。該網(wǎng)絡(luò)設(shè)計(jì)是總部公司與其他三個(gè)子公司相互之間整體網(wǎng)絡(luò)的一個(gè)簡(jiǎn)化，各公司都接入到公網(wǎng)中，有完整的內(nèi)網(wǎng)，在已有的網(wǎng)絡(luò)結(jié)構(gòu)基礎(chǔ)上，通過(guò)點(diǎn)到點(diǎn)的方式建立IPSec

VPN，使各子公司都能通過(guò)VPN安全的與總公司進(jìn)行通信和數(shù)據(jù)的傳輸。

可以為客戶端健康、連接請(qǐng)求身份驗(yàn)證和連接請(qǐng)求授權(quán)創(chuàng)建并強(qiáng)制公司范圍的網(wǎng)絡(luò)訪問(wèn)策略。保證訪問(wèn)網(wǎng)絡(luò)的系統(tǒng)符合特定的健康策略，從而達(dá)到保護(hù)企業(yè)網(wǎng)絡(luò)安全的目的。本課題的關(guān)鍵問(wèn)題及解決方案

關(guān)鍵問(wèn)題

(1)對(duì)企業(yè)網(wǎng)絡(luò)需求進(jìn)行分析,并設(shè)計(jì)方案

(2)繪制方案的拓?fù)鋱D

(3)規(guī)劃各區(qū)域的IP地址

(4)劃分區(qū)域,配置路由器（5）設(shè)置控制臺(tái)線路登錄口令、vty0-4登錄口令、加密口令、標(biāo)語(yǔ)。(6)配置ACL訪問(wèn)控制列表和路由協(xié)議（7）路由器IKEPhaseIPolicy與IKEPhaseIIPolicy的配置(8)網(wǎng)絡(luò)接口啟用VPN

(9)測(cè)試VPN功能

解決方案

(1)成員間互相討論,構(gòu)建出大概的模型,并咨詢老師意見(jiàn),進(jìn)行優(yōu)化,制定最終方案

(2)根據(jù)方案,繪畫出網(wǎng)絡(luò)拓?fù)鋱D

(3)根據(jù)各部門人數(shù),分配給部門相應(yīng)的網(wǎng)段地址,同時(shí)考慮到企業(yè)日后的發(fā)展,分別為各部門保留一個(gè)網(wǎng)段的地址(4)查找資料了解相關(guān)協(xié)議并運(yùn)用相應(yīng)的設(shè)備上。(5)通過(guò)linevty04命令進(jìn)入虛擬配置模式，在這個(gè)模式里可對(duì)telnet功能進(jìn)行配置

默認(rèn)的網(wǎng)絡(luò)設(shè)備telnet的功能是關(guān)閉的，配了密碼之后會(huì)自動(dòng)打開(kāi)配置進(jìn)入enable模式的密碼，區(qū)分大小是加密的密碼(6)在與外部路由器相接觸的路由器上配置ACL控制訪問(wèn)列表禁止外網(wǎng)的網(wǎng)段來(lái)訪問(wèn)內(nèi)部的網(wǎng)段

(7)設(shè)定路由器策略，確保兩端的IKE配置一致，并設(shè)為共享認(rèn)證模式，指定對(duì)端VPN設(shè)備的預(yù)共享密鑰和IP地址，確保兩邊的預(yù)共享密鑰一致；啟用ESP加密安全載荷IPSEC轉(zhuǎn)換規(guī)則，通過(guò)路由器的VPN感興趣流控制列表，建立VPN對(duì)等體，設(shè)定加密圖匹配IPSEC轉(zhuǎn)換規(guī)則和VPN感興趣流列表(8)配置交換機(jī)網(wǎng)絡(luò)接口FA0和fa1啟用VPN(9)通過(guò)測(cè)試PC之間的通信，測(cè)試VPN功能，在路由器上打開(kāi)DEbugcryptoisakmp和DEbugcryptoIpsec兩條命令，可以看到相關(guān)調(diào)試信息本人在課題中承擔(dān)的工作及具體思路

(1)搜集相應(yīng)資料了解VPN的場(chǎng)合應(yīng)用。(2)企業(yè)網(wǎng)絡(luò)的策劃與實(shí)施。

(3)選擇相應(yīng)設(shè)備構(gòu)建網(wǎng)絡(luò)。

(4)拓?fù)鋱D的繪制。(5)各部門網(wǎng)段IP地址以及VLAN的規(guī)劃

(6)交換機(jī),路由器等設(shè)備的配置

(7)了解關(guān)于網(wǎng)絡(luò)安全的協(xié)議并應(yīng)用。(8)設(shè)置控制臺(tái)線路登錄口令、vty0-4登錄口令、加密口令、標(biāo)語(yǔ)。(9)配置ACL訪問(wèn)控制列表和路由協(xié)議(10)路由器IKEPhaseIPolicy與IKEPhaseIIPolicy的配置(11)網(wǎng)絡(luò)接口啟用VPN(12)測(cè)試VPN功能。(13)測(cè)試網(wǎng)絡(luò)連通性，與各協(xié)議的應(yīng)用成功與否。5.本課題的工作方案及進(jìn)度計(jì)劃（突出本人的工作）

(1)需求分析并查閱資料（3月22-3月25號(hào)）本人完成

(2)企業(yè)網(wǎng)絡(luò)的規(guī)劃（3月26號(hào)-4月28號(hào)）

(3)撰寫開(kāi)題報(bào)告（3月29號(hào)-4月3號(hào)）本人完成

(4)繪制網(wǎng)絡(luò)拓?fù)鋱D（4月4號(hào)-4月25號(hào)）

(5)配置實(shí)驗(yàn)方案（4月26號(hào)-5月15號(hào)）本人完成

(6)測(cè)試實(shí)驗(yàn)方案（5月16號(hào)-5月20號(hào)）