【正文】 ...................... 10 企業(yè)網(wǎng)絡(luò)背景分析 .......................................................................................... 10 IP 規(guī)劃： ...........................................................................................................11 VPN 服務(wù)器配置 .........................................................................................................11 環(huán)境 ...................................................................................................................11 活動(dòng)目錄 .......................................................................................................... 12 配置服務(wù)器之間的 VPN 連接 ........................................................................ 12 申請(qǐng)證書設(shè)置 .................................................................................................. 16 客戶端與服務(wù)器連接 ...................................................................................... 19 5. 實(shí)驗(yàn)測(cè)試 ............................................................................................................................. 20 安裝網(wǎng)絡(luò)監(jiān)視工具 .................................................................................................... 20 南陽服務(wù)器與鄭州服務(wù)器和許昌服務(wù)器間的設(shè)置測(cè)試如下圖所示 .................... 21 在南陽服務(wù)器中可以看到的連接和活動(dòng)端口 ........................................................ 22 證明連接的安全性 .................................................................................................... 23 結(jié)束語 ...................................................................................................................................... 23 參考文獻(xiàn) .................................................................................................................................. 23 致謝 .......................................................................................................................................... 25 1 1. 緒論 引言 VPN 是 Virtual Private Network 的縮寫 ， 中文譯為虛擬專用網(wǎng)。 Virtual Network的含義有兩個(gè)，一是 VPN 是建立在現(xiàn)有物理網(wǎng)絡(luò)之上，與物理網(wǎng)絡(luò)具體的網(wǎng)絡(luò)結(jié)構(gòu)無關(guān)，用戶一般無需關(guān)心物理網(wǎng)絡(luò)和設(shè)備；二是 VPN 用戶使用 VPN 時(shí)看到的是一個(gè)可預(yù)先設(shè)定義的動(dòng)態(tài)的網(wǎng)絡(luò)。 Private Network 的含義也有兩個(gè)，一是表明 VPN 建立在所有用戶能到達(dá)的公共網(wǎng)絡(luò)上，特別是 Inter，也包括 PSTN、幀中繼、 ATM 等，當(dāng)在一個(gè)由專線組成的專網(wǎng)內(nèi)構(gòu)建 VPN 時(shí)，相對(duì) VPN 這也是一個(gè) “ 公網(wǎng) ” ；二是 VPN 將建立專用網(wǎng)絡(luò)或者稱為私有網(wǎng)絡(luò)，確保提供安全的網(wǎng)絡(luò)連接，它必須具備幾個(gè)關(guān)鍵功能：認(rèn)證、訪問控制、加密和數(shù)據(jù)完整。 VPN 技術(shù)發(fā)展的前提和背景 目前稍具規(guī)模的企業(yè)都不會(huì)只有一個(gè)辦公場(chǎng)所，而是具有總部，分公司，辦事處，工廠等多個(gè)業(yè)務(wù)點(diǎn)。既然越來越多的應(yīng)用計(jì)算機(jī)和各類軟件系統(tǒng)來處理企業(yè) 業(yè)務(wù)，如何將位于不同地點(diǎn)的分支機(jī)構(gòu)的網(wǎng)絡(luò)互聯(lián)互通，就成了現(xiàn)代企業(yè)必須解決的問題。同時(shí)，伴隨著筆記本電腦的逐漸普及，大量的出差員工，移動(dòng)辦公人員，合作伙伴等迫切需要通過無處不在的 Inter 網(wǎng)絡(luò)，安全，方便地介入公司內(nèi)部網(wǎng)絡(luò)，使用各項(xiàng)應(yīng)用系統(tǒng)。因而，伴隨著互聯(lián)網(wǎng)間以及遠(yuǎn)程安全的計(jì)入需求， VPN 技術(shù)在近幾年迅速走紅并得到廣泛應(yīng)用，也正是基于這樣的前提和背景。 VPN 在國內(nèi)外的發(fā)展 計(jì)算機(jī)的廣泛應(yīng)用把人類帶入了一個(gè)全新的時(shí)代，特別是計(jì)算機(jī)網(wǎng)絡(luò)的社會(huì)化，已經(jīng)成為信息時(shí)代的主要推動(dòng)力。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展 。尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時(shí)，網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要起來，已被信息社會(huì)的各個(gè)領(lǐng)域所重視。 目前，全世界的軍事，經(jīng)濟(jì)，社會(huì)，文化各個(gè)方面都有越來越依賴于計(jì)算機(jī)網(wǎng)絡(luò)，人類社會(huì)對(duì)計(jì)算機(jī)的依賴程度達(dá)到了空前的記錄。另外，隨著企業(yè)規(guī)模日益擴(kuò)大，客戶分布日益廣泛，合作伙伴日益增多，傳統(tǒng)企業(yè)基于固定地點(diǎn)的專線連接方式，已難以適應(yīng)現(xiàn)代企業(yè)的需求，虛擬專用網(wǎng)（ VPN）滿足了企業(yè)對(duì)于網(wǎng)絡(luò)的靈活性，安全性，經(jīng)濟(jì)型，擴(kuò)展性 等多方面的要求，贏得了越來越多企業(yè)的青睞，使企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運(yùn)行與維護(hù)，更多地致力于企業(yè)商業(yè)目標(biāo)的實(shí)現(xiàn)。 2 對(duì)于企業(yè)網(wǎng)用戶來說， IPSec VPN 是一個(gè)公認(rèn)的理想的解決方案， IPS 是業(yè)界標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全協(xié)議，可以為 IP 網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù) TCP/IP 通信免遭竊聽和篡改，從而有效抵御網(wǎng)絡(luò)攻擊。 研究內(nèi)容 (1)IPSec體系結(jié)構(gòu) : 包括 ESP(封裝安全載荷 )、 AH(驗(yàn)證頭 )、 SA(安全聯(lián)盟 )、 IKE(Inter 密鑰交換 ) (2) IPSec 的兩種模式 : 包括 傳送模式 和 通道模式 (3) IPSec 包的處理過程 : 包括 外出處理 和進(jìn)入處理 (4)VPN 的類型 包括 Access VPN(遠(yuǎn)程訪問虛擬專用網(wǎng) )、 Inter VPN(企業(yè)內(nèi)部虛擬專用網(wǎng) )、Extra VPN(外連虛擬專用網(wǎng) ) (5)IPSec的 組件的設(shè)計(jì) 包括 IPSec 基本協(xié)議 、 SPD 和 SADB、 IKE (6) VPN 使用的安全協(xié)議 包括 SOCKSv5 協(xié)議 、 IPSec 協(xié)議 、 PPTP/L2TP 協(xié)議 (7) 基于 IPSec 的 VPN 設(shè)計(jì)與實(shí)現(xiàn) 包括 企業(yè)原網(wǎng)絡(luò)分析 、 企業(yè)對(duì)網(wǎng)絡(luò)的新需求 、 企業(yè)新網(wǎng)絡(luò)設(shè)計(jì)原則 、 企業(yè)新網(wǎng)絡(luò)實(shí)現(xiàn)方案 (8) IPSec VPN 的測(cè)試 包括 IKE 方式建立 IPSec 隧道 、 預(yù)共享方式建立隧道 、 數(shù)字證書方式建立隧道 、 IKE自動(dòng)協(xié)商 、 VPN 備份隧道功能 、 VPN 客戶端測(cè)試 2. 虛擬專用網(wǎng) VPN 概述 為了使遠(yuǎn)程的企業(yè)員工可以與總部實(shí)時(shí)的交換數(shù)據(jù)信息，企業(yè)得向 ISP 租用網(wǎng)絡(luò)提供服務(wù)。但公用網(wǎng)容易遭受各種安全攻擊（比如拒絕服務(wù)攻擊來阻塞正常的網(wǎng)絡(luò)服務(wù)，或竊取重要的企業(yè)內(nèi)部信息）。 VPN 這個(gè)概念的引進(jìn)就是用來解決這個(gè)問題。它是利用公用網(wǎng)絡(luò)來連接到企業(yè)私有網(wǎng)絡(luò)。但在 VPN 中，用安全機(jī)制來保障機(jī)密性，真實(shí)可靠性、完整性嚴(yán)格的訪問控制 。這樣就建立了一個(gè)邏輯上虛擬的私有網(wǎng)絡(luò)。虛擬局域網(wǎng)提供了一個(gè)經(jīng)濟(jì)有效的手段來解決通過公用網(wǎng)絡(luò)安全的交換私有信息。 3 VPN 功能 VPN 可以提供的功能： 防火墻功能、認(rèn)證、加密、隧道化 。 VPN 可以通過特殊的加密的通訊協(xié)議在連接在 Inter 上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購買路由器等硬件設(shè)備。 VPN 技術(shù)原是路由器具有的重要技術(shù)之一，在交換機(jī) ，防火墻設(shè)備或 Windows 20xx/20xx/20xx 等軟件里也都支持 VPN 功能，一句話， VPN 的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。 VPN 的分類 Access VPN(遠(yuǎn)程訪問虛擬專用網(wǎng) ) Access VPN 是通過一個(gè)擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對(duì)企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問，使用戶隨時(shí)、隨地以其所需的方式訪問企業(yè)資源。 它包括模擬、撥號(hào)、 ISDN、數(shù)字用戶線路 (XDSL)、移動(dòng) IP 和電纜技術(shù)，可以安全地連接移動(dòng)用戶、遠(yuǎn)程工作者或分支機(jī)構(gòu)。它適合于內(nèi)部有人員移動(dòng)或遠(yuǎn)程辦公需要的企業(yè) 。 Intra VPN(企業(yè)內(nèi)部虛擬專用網(wǎng) ) 如果要進(jìn)行企業(yè)內(nèi)部各分支機(jī)構(gòu)的互聯(lián)，使用 Intra VPN 是很好的方式。越來越多的企業(yè)需要在全國乃至世界范圍內(nèi)建立各種辦事機(jī)構(gòu)、分公司、研究所等，各個(gè)分公司之間傳統(tǒng)的網(wǎng)絡(luò)連接方式一般是租用專線。顯然，在分公司增多、業(yè)務(wù)開展越來越廣泛時(shí)，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費(fèi)用昂貴。利用 VPN 特性可以在 Inter 上組建世界范圍內(nèi)的 Intra VPN。利用 Inter 的線路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等VPN 特性可以保證信息在整個(gè) Intra VPN 上安全傳輸。 Intra VPN 通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量 (QoS)、可管理性和可靠性。 Extra VPN(外連虛擬專用網(wǎng) ) [1] 如果是提供 B2B 之間的安全訪問服務(wù)，則可以考慮 Extra V