【正文】 ...................... 10 企業(yè)網(wǎng)絡(luò)背景分析 .......................................................................................... 10 IP 規(guī)劃： ...........................................................................................................11 VPN 服務(wù)器配置 .........................................................................................................11 環(huán)境 ...................................................................................................................11 活動目錄 .......................................................................................................... 12 配置服務(wù)器之間的 VPN 連接 ........................................................................ 12 申請證書設(shè)置 .................................................................................................. 16 客戶端與服務(wù)器連接 ...................................................................................... 19 5. 實驗測試 ............................................................................................................................. 20 安裝網(wǎng)絡(luò)監(jiān)視工具 .................................................................................................... 20 南陽服務(wù)器與鄭州服務(wù)器和許昌服務(wù)器間的設(shè)置測試如下圖所示 .................... 21 在南陽服務(wù)器中可以看到的連接和活動端口 ........................................................ 22 證明連接的安全性 .................................................................................................... 23 結(jié)束語 ...................................................................................................................................... 23 參考文獻 .................................................................................................................................. 23 致謝 .......................................................................................................................................... 25 1 1. 緒論 引言 VPN 是 Virtual Private Network 的縮寫 ， 中文譯為虛擬專用網(wǎng)。 Virtual Network的含義有兩個，一是 VPN 是建立在現(xiàn)有物理網(wǎng)絡(luò)之上，與物理網(wǎng)絡(luò)具體的網(wǎng)絡(luò)結(jié)構(gòu)無關(guān)，用戶一般無需關(guān)心物理網(wǎng)絡(luò)和設(shè)備；二是 VPN 用戶使用 VPN 時看到的是一個可預(yù)先設(shè)定義的動態(tài)的網(wǎng)絡(luò)。 Private Network 的含義也有兩個，一是表明 VPN 建立在所有用戶能到達的公共網(wǎng)絡(luò)上，特別是 Inter，也包括 PSTN、幀中繼、 ATM 等，當(dāng)在一個由專線組成的專網(wǎng)內(nèi)構(gòu)建 VPN 時，相對 VPN 這也是一個 “ 公網(wǎng) ” ；二是 VPN 將建立專用網(wǎng)絡(luò)或者稱為私有網(wǎng)絡(luò)，確保提供安全的網(wǎng)絡(luò)連接，它必須具備幾個關(guān)鍵功能：認證、訪問控制、加密和數(shù)據(jù)完整。 VPN 技術(shù)發(fā)展的前提和背景 目前稍具規(guī)模的企業(yè)都不會只有一個辦公場所，而是具有總部，分公司，辦事處，工廠等多個業(yè)務(wù)點。既然越來越多的應(yīng)用計算機和各類軟件系統(tǒng)來處理企業(yè) 業(yè)務(wù)，如何將位于不同地點的分支機構(gòu)的網(wǎng)絡(luò)互聯(lián)互通，就成了現(xiàn)代企業(yè)必須解決的問題。同時，伴隨著筆記本電腦的逐漸普及，大量的出差員工，移動辦公人員，合作伙伴等迫切需要通過無處不在的 Inter 網(wǎng)絡(luò)，安全，方便地介入公司內(nèi)部網(wǎng)絡(luò)，使用各項應(yīng)用系統(tǒng)。因而，伴隨著互聯(lián)網(wǎng)間以及遠程安全的計入需求， VPN 技術(shù)在近幾年迅速走紅并得到廣泛應(yīng)用，也正是基于這樣的前提和背景。 VPN 在國內(nèi)外的發(fā)展 計算機的廣泛應(yīng)用把人類帶入了一個全新的時代，特別是計算機網(wǎng)絡(luò)的社會化，已經(jīng)成為信息時代的主要推動力。隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展 。尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時，網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要起來，已被信息社會的各個領(lǐng)域所重視。 目前，全世界的軍事，經(jīng)濟，社會，文化各個方面都有越來越依賴于計算機網(wǎng)絡(luò)，人類社會對計算機的依賴程度達到了空前的記錄。另外，隨著企業(yè)規(guī)模日益擴大，客戶分布日益廣泛，合作伙伴日益增多，傳統(tǒng)企業(yè)基于固定地點的專線連接方式，已難以適應(yīng)現(xiàn)代企業(yè)的需求，虛擬專用網(wǎng)（ VPN）滿足了企業(yè)對于網(wǎng)絡(luò)的靈活性，安全性，經(jīng)濟型，擴展性 等多方面的要求，贏得了越來越多企業(yè)的青睞，使企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運行與維護，更多地致力于企業(yè)商業(yè)目標的實現(xiàn)。 2 對于企業(yè)網(wǎng)用戶來說， IPSec VPN 是一個公認的理想的解決方案， IPS 是業(yè)界標準的網(wǎng)絡(luò)安全協(xié)議，可以為 IP 網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護 TCP/IP 通信免遭竊聽和篡改，從而有效抵御網(wǎng)絡(luò)攻擊。 研究內(nèi)容 (1)IPSec體系結(jié)構(gòu) : 包括 ESP(封裝安全載荷 )、 AH(驗證頭 )、 SA(安全聯(lián)盟 )、 IKE(Inter 密鑰交換 ) (2) IPSec 的兩種模式 : 包括 傳送模式 和 通道模式 (3) IPSec 包的處理過程 : 包括 外出處理 和進入處理 (4)VPN 的類型 包括 Access VPN(遠程訪問虛擬專用網(wǎng) )、 Inter VPN(企業(yè)內(nèi)部虛擬專用網(wǎng) )、Extra VPN(外連虛擬專用網(wǎng) ) (5)IPSec的 組件的設(shè)計 包括 IPSec 基本協(xié)議 、 SPD 和 SADB、 IKE (6) VPN 使用的安全協(xié)議 包括 SOCKSv5 協(xié)議 、 IPSec 協(xié)議 、 PPTP/L2TP 協(xié)議 (7) 基于 IPSec 的 VPN 設(shè)計與實現(xiàn) 包括 企業(yè)原網(wǎng)絡(luò)分析 、 企業(yè)對網(wǎng)絡(luò)的新需求 、 企業(yè)新網(wǎng)絡(luò)設(shè)計原則 、 企業(yè)新網(wǎng)絡(luò)實現(xiàn)方案 (8) IPSec VPN 的測試 包括 IKE 方式建立 IPSec 隧道 、 預(yù)共享方式建立隧道 、 數(shù)字證書方式建立隧道 、 IKE自動協(xié)商 、 VPN 備份隧道功能 、 VPN 客戶端測試 2. 虛擬專用網(wǎng) VPN 概述 為了使遠程的企業(yè)員工可以與總部實時的交換數(shù)據(jù)信息，企業(yè)得向 ISP 租用網(wǎng)絡(luò)提供服務(wù)。但公用網(wǎng)容易遭受各種安全攻擊（比如拒絕服務(wù)攻擊來阻塞正常的網(wǎng)絡(luò)服務(wù)，或竊取重要的企業(yè)內(nèi)部信息）。 VPN 這個概念的引進就是用來解決這個問題。它是利用公用網(wǎng)絡(luò)來連接到企業(yè)私有網(wǎng)絡(luò)。但在 VPN 中，用安全機制來保障機密性，真實可靠性、完整性嚴格的訪問控制 。這樣就建立了一個邏輯上虛擬的私有網(wǎng)絡(luò)。虛擬局域網(wǎng)提供了一個經(jīng)濟有效的手段來解決通過公用網(wǎng)絡(luò)安全的交換私有信息。 3 VPN 功能 VPN 可以提供的功能： 防火墻功能、認證、加密、隧道化 。 VPN 可以通過特殊的加密的通訊協(xié)議在連接在 Inter 上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費用，也不用購買路由器等硬件設(shè)備。 VPN 技術(shù)原是路由器具有的重要技術(shù)之一，在交換機 ，防火墻設(shè)備或 Windows 20xx/20xx/20xx 等軟件里也都支持 VPN 功能，一句話， VPN 的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。 VPN 的分類 Access VPN(遠程訪問虛擬專用網(wǎng) ) Access VPN 是通過一個擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠程訪問，使用戶隨時、隨地以其所需的方式訪問企業(yè)資源。 它包括模擬、撥號、 ISDN、數(shù)字用戶線路 (XDSL)、移動 IP 和電纜技術(shù)，可以安全地連接移動用戶、遠程工作者或分支機構(gòu)。它適合于內(nèi)部有人員移動或遠程辦公需要的企業(yè) 。 Intra VPN(企業(yè)內(nèi)部虛擬專用網(wǎng) ) 如果要進行企業(yè)內(nèi)部各分支機構(gòu)的互聯(lián)，使用 Intra VPN 是很好的方式。越來越多的企業(yè)需要在全國乃至世界范圍內(nèi)建立各種辦事機構(gòu)、分公司、研究所等，各個分公司之間傳統(tǒng)的網(wǎng)絡(luò)連接方式一般是租用專線。顯然，在分公司增多、業(yè)務(wù)開展越來越廣泛時，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費用昂貴。利用 VPN 特性可以在 Inter 上組建世界范圍內(nèi)的 Intra VPN。利用 Inter 的線路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等VPN 特性可以保證信息在整個 Intra VPN 上安全傳輸。 Intra VPN 通過一個使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠程辦事處和分支機構(gòu)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量 (QoS)、可管理性和可靠性。 Extra VPN(外連虛擬專用網(wǎng) ) [1] 如果是提供 B2B 之間的安全訪問服務(wù)，則可以考慮 Extra V