vpn虚拟专用网毕业设计论文(编辑修改稿)

vpn虚拟专用网毕业设计论文(编辑修改稿)内容摘要：

自的验证加密参数。 IKE 交换的最终目的是提供一个通过验证的密钥以及建立在双方同意基础上的安全服务。 SKIP 主要是利用 DiffieHellman 的演算法则，在网络上传输密钥。 IKE 协议是目前首选的密钥管理标准，较 SKIP 而言，其主要优势在于定义更灵活，能适应不同的加密密钥。 IKE 协议的缺点是它虽然提供了强大的主机级身份认证，但同时却只能支持有限的用户级身份认证，并且不支持非对称的用户认证。 （ 4）访问控制技术 虚拟专用网的基本功能就是不同的用户对不同的主机或服务器的访问权限是不一样 的。 由 VPN 服务的提供者与最终网络信息资源的提供者共同来协商确定特定用户对特定资源的访问权限， 以此实现基于用户的细粒度访问控制，以实现对信息资源的最大限度的保护。 山东科技大学毕业设计 (论文 ) 13 访问控制策略可以细分为选择性访问控制和强制性访问控制。 选择性访问控制是基于主体或主体所在组的身份，一般被内置于许多操作系统当中。 强制性访问控制是基于被访问信息的敏感性。 VPN 两种协议的分析 IPSec协议 IPSec 是 IETF 提出的 IP 安全标准 [2] 它在 IP 层上对数据包进行安全处理提供数据源验证无连接数据完整 性数据机密性抗重播和有限业务流机密性等安全服务各种应用程序完全可以享用 IP 层提供的安全服务和密钥管理而不必设计和实现自己的安全机制因此减少了密钥协商的开销也降低了产生安全漏洞的可能性 IPSec 可连续或递归应用在路由器防火墙主机和通信链路上配置实现端到端安全虚拟专用网络(VPN) Road Warrior 和安全隧道技术 [1]。 IPSec 协议由核心协议和支撑模块组成。 核心协议包括 AH(验证头 )与 ESP(封装安全载荷 ) 支撑部分包括加密算法 HASH 算法安全策略安全关联 IKE 密钥交换机制 [4~7] IP 技术是在原始的 IP 头部和数据之间插入一个 IPSec 头部，这样可以对原始 IP 负载实现加密，同时还可以实现对 IPSec 头部和原始 IP负载的验证，以确保数据的完整性。 IPSec 的结构是一种框架性的结构， IPSec 没有具体的加密和散列函数，它是每一次的 IPSec 会话所用的具体算法都是通过协商来确定，这样更具有安全性。 还包括 IPSec 框架中的封装协议和模式、密钥有效期等内容都是通过协商决定，在两个 IPSec 对等体之间协商的协议叫做IKE。 协商完成后产生安全关联 SA，实现安全通信。 山东科技大学毕业设计 (论文 ) 14 IPSec 是 IETF(Inter Engineer Task Force) 正在完善的安全标准，它把几种安全技术结合在一起形成一个较为完整的体系，受到了众多厂商的关注和支持。 通过对数据加密、认证、完整性检查来保证数据 传 输 的 可 靠 性 、 私 有 性 和 保 密 性。 IPSec 由 IP 认证头AH(Authentication Header)、 IP 安全载荷封载 ESP(Encapsulated Security Payload)和密钥管理协议组成。 IPSec 的体系结构如图 22所示： 图 22 IPSec的体系结构 IPSec协议是一个范围广泛、开放的虚拟专用网安全协议。 IPSec 适IPsec 体系 封装安全负载（ ESP） 认证包 头（ AH） 加密算法 认证算法 解释域 密钥管理 策略 山东科技大学毕业设计 (论文 ) 15 应向 IPv6 迁移， 它提供所有在网络层上的数据保护，提供透明的安全通信。 IPSec 用密码技术从三个方面来保证数据的安全。 即 : 认证：用于对主机和端点进行身份鉴别。 完整性检查：用于保证数据在通过网络传输时没有被修改。 加密：加密 IP 地址和数据以保证私有性，这样就算被第三方捕获后也无法将其恢复成明文。 IPSec 协议可以设置成在两种模式下运行 :一种是隧道模式，一种是传输模式。 在隧道模式下， IPSec 把 IPv4 数据包封装在安全的 IP帧 中 ,这样保护从一个防火墙到另一个防火墙时的安全性。 在隧道模式下，信息封装是为了保护端到端的安全性，即在这种模式下不会隐藏路由信息。 隧道模式是最安全的，但会带来较大的系统开销。 IPSec 现在还不完全成熟，但它得到了一些路由器厂商和硬件厂商的大力支持。 预计它今后将成为虚拟专用网的主要标准。 IPSec 有扩展能力以适应未来商业的需要。 在 1997 年底， IETF 安全工作组完成了 IPSec 的扩展， 在IPSec 协议中加上 ISAKMP(Inter Security Association and Kay Management Protocol)协议，其中还包括一个密钥分配协议 Oakley。 ISAKMP/Oakley 支持自动建立加密信道，密钥的自动安全分发和更新。 IPSec 也可用于连接其它层己存在的通信协议，如支持安全电子交易(SET:Secure Electronic Transaction)协议和 SSL（ Secure Socket layer）协议。 即使不用 SET 或 SSL,IPSec 都能提供认证和加密手段以保证信息的传输。 GRE 协议 GRE（ Generic Routing Encapsulation，通用路由封装）协议是对山东科技大学毕业设计 (论文 ) 16 某些网络层协议（如 IP 和 IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如 IP）中传输。 GRE 是 VPN（ Virtual Private Network）的第三层隧道协议，在协议层之间采用了一种被称之为 Tunnel（隧道）的技术。 Tunnel 是一个虚拟的点对点的连接，在实 际中可以看成仅支持点对点连接的虚拟接口，这个接口提供了一条通路使封装的数据报能够在这个通路上传输，并且在一个 Tunnel 的两端分别对数据报进行封装及解封装。 一个报文要想在 Tunnel 中传输，必须要经过加封装与解封装两个过程，下面 介绍 这两个过程 如图 23 所示 ： 图 23 IPX 网络通过 GRE 隧道互联 (1) 加封装过程 连接 Novell Group1 的接口收到 IPX 数据报后首先交由 IPX 协议处理，IPX 协议检查 IPX 报头中的目的地址域来确定如何路由此包。 若报文的目的地址被发现要路由经过 网号为 1f 的网络（ Tunnel 的虚拟网号），则将此报文发给网号为 1f 的 Tunnel 端口。 Tunnel 口收到此包后进行GRE 封装，封装完成后交给 IP 模块 处理，在封装 IP 报文头后，根据此包的目的地址及路由表交由相应的网络接口处理。 (2) 解封装的过程 解封装过程和加封装的过程相反。 从 Tunnel 接口收到的 IP 报文，通过检查目的地址，当发现目的地就是此路由器时，系统剥掉此报文的IP 报头，交给 GRE 协议模块处理（进行检验密钥、检查校验和及报文山东科技大学毕业设计 (论文 ) 17 的序列号等）； GRE 协议模块完成相应的处理后，剥掉 GRE 报头，再交由 IPX 协议模块处理， IPX 协议模块象对待一般数据报一样对此数据报进行处理。 系统收到一个需要封装和路由的数据报，称之为净荷（ payload），这个净荷首先被加上 GRE 封装，成为 GRE 报文；再被封装在 IP 报文中，这样就可完全由 IP 层负责此报文的向前传输（ forwarded）。 人们常把这个负 责向前传输 IP 协议称为传输协议（ delivery protocol 或者 transport protocol）。 封装好的报文的形式如下图 24 所示： 图 24 封装的 Tunnel 报文格式 举例来说，一个封装在 IP Tunnel 中的 IPX 传输报文的格式如下图 25所示： 图 25 Tunnel 中传输报文的格式 山东科技大学毕业设计 (论文 ) 18 PPTP/L2TP 1996 年， Microsoft 和 Ascend 等在 PPP 协议的基础上开发了PPTP ， 它集成于 Windows NT 中， Windows NT Workstation 和 Windows 也提供相应的客户端软件。 PPP 支持多种网络协议，可把 IP 、 IPX、 AppleTalk 或 NetBEUI 的数据包封装在 PPP 包中，再将整个报文封装在 PPTP 隧道协议包中，最后，再嵌入 IP 报文或帧中继或ATM 中进行传输。 PPTP 提供流量控制，减少拥塞的可能性，避免由于包丢弃而引发包重传的数量。 PPTP 的加密方法采用 Microsoft 点对点加密 (MPPE: Microsoft Pointto Point) 算法，可以选用较弱的 40 位密钥或强度较大的 128 位密钥。 1996 年， Cisco 提出 L2F(Layer 2 Forwarding)隧道协议，它也支持多协议，但其主要用于 Cisco 的路由器和拨号访问服务器。 1997 年底， Microsoft 和 Cisco 公司把 PPTP 协议和 L2F 协议的优点结合在一起，形成了 L2TP 协议。 L2TP 支持多协议，利用公共网络封装 PPP 帧，可以实现和企业原有非 IP 网的兼容。 还继承了 PPTP 的流量控制，支持 MP(Multilink Protocol)，把多个物理通道捆绑为单一逻辑信道。 L2TP 使用 PPP 可靠性发送 (RFC 1663)实现数据包的可靠发送。 L2TP 隧道在两端的 VPN 服务器之间采用口令握手协议 CHAP 来验证对方的身份 .L2TP 受到了许多大公司的支持 . PPTP/L2TP协议的优点 : PPTP/L2TP对用微软操作系统的 用户来说很方便，因为微软己把它作为路由软件的一部分。 PPTP/ L2TP 支持其它网络协议。 如 NOWELL 的 IPX,NETBEUI 和 APPLETALK 协议 ,还支持流量控制。 它通过减少丢弃包来改善网络性能，这样可减少重传。 PPTP/ L2TP 协议的缺点 :PM 和 L2TP 将不安全的 IP 包封装在安全的 IP 包内 ，它们用 IP 帧在两台计算机之间创建和打开数据通道，一旦山东科技大学毕业设计 (论文 ) 19 通道打开，源和目的用户身份就不再需要，这样可能带来问题，它不对两个节点间的信息传输进行监视或控制。 PPTP 和 L2TP 限制同时最多只能连接 255 个用户，端点用户需要在连接前手工建立加密信道，认证和加密受到限制，没有强加密和认证支持。 PPTP/ L2TP 最适合于远程访问 VPN. 山东科技大学毕业设计 (论文 ) 20 3. 基于 GRE VPN 的架构 基于 GRE 实验的需求分析 山东科技大学有多个校区，包括青岛校区（总校）、泰安校区、济南校区，总校与分校之 间不可避免需要访问彼此私有地址服务器的信息，为了实现彼此数据的安全访问，我们学校使用了 VPN 技术。 所以我对 VPN 进行了学习，因为两个校区可能用到不同网络协议，所以我采用了 GRE 技术。 通过 GRE 技术在不同的两个校区之间建立了一个点到点的GRE 隧道，前期处于学习阶段，因此在 GRE 的隧道口上运行了静态路由协议，又来学习彼此的网络路由。 两点之间的流量通过 GRE 隧道封装穿越 Inter。 GRE 实验的设计 本实验使用模拟软件所做的 PT 实验，隧道建立在路由器上，没有专门的 VPN 网关来管理。 在青岛校区和泰安 校区之间建立 GRE 隧道，通过对两边缘路由器的配置，实现两校区之间无障碍通信。 下面是实验拓扑图图 31： 山东科技大学毕业设计 (论文 ) 21 图 31 GRE 实验拓扑图 GRE 协议的 VPN 实现配置 分别各个路由器端口、 PC 机和服务器配置地址 IP 规划表： Inter Inter Inter 青岛总校 青岛总校 青岛总校 本实验配置的关键在青岛总校，所以下面主要介绍总校的配置。 配置如下： 山东科技大学毕业设计 (论文 ) 22 interface Tunnel0 ip address tunnel source FastEther0/0 tunnel destination interface Tunnel1 ip address tunnel source FastEther0/0 tunnel destination （ ip route ip route ip route f0/1 主要设备之间连通性测试 下面是主机 1对连通性的测试图 32所示： 山东科技大学毕业设计 (论文 ) 23 图 32 主机 1 对服务器的连通性测试 4. 基于 IPSec VPN 的架构 基于 IPSec 实验的需求分析 山东科技大学的教务管理系统为了实现安全，只允许在校内网上访问，若老师或同学在校外就无法访问，。