【正文】 很多企業(yè)無法利用這種方式來建立自己的專網(wǎng)，而在 Inter 發(fā)展的早期，窄帶線路的通 信質(zhì)量、帶寬、以及資費，都無法滿足企業(yè)長期利用其來構(gòu)建自身遠(yuǎn)程私有網(wǎng)絡(luò)的需要，很多企業(yè)只能暫時放棄利用網(wǎng)絡(luò)來實現(xiàn)更好的信息應(yīng)用的念頭。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的物理鏈路資源動態(tài)組成的。早期的虛擬專用網(wǎng)一般指的是電信運營商提供的 Frame Relay 或 ATM 等虛擬固定線路（ PVC）服務(wù)的網(wǎng)絡(luò)，或通過運營商的 DDN 專線網(wǎng)絡(luò)構(gòu)建用戶自己虛擬專用網(wǎng)。 從經(jīng)濟角度考慮，電信部門提供的專線組網(wǎng)方式費用比較昂貴，由于某某企業(yè)企業(yè)是一個快速發(fā)展的現(xiàn)代企業(yè)，先后在北京、上海、東莞設(shè)立了多家分支機構(gòu)，同時擁有多家緊密型的合作伙伴或分銷客戶網(wǎng)絡(luò)，相關(guān)需要聯(lián)網(wǎng)的網(wǎng)點數(shù)目比較多，分部地區(qū)比較廣，信息交互比較頻繁，每月的巨額通訊費用和專線租用費會給某某企業(yè)企業(yè)帶來很大的壓力。 采用 VPN 方式組網(wǎng)具有投資成本低、高帶寬、高可靠性、高安全性以及靈活的可擴展性的優(yōu)點，且 VPN 產(chǎn)品特有的具有對 inter 上的內(nèi)部移動用戶安全接入，可以徹底消除地域差異，實現(xiàn)可移動用戶的網(wǎng)絡(luò)互連及基于 inter 的可移動安全訪問控制。公司可以借助 Inter 或公用的廣域網(wǎng)搭建安全的虛擬專用網(wǎng)絡(luò)。這一做法降低了流動辦公雇員及遠(yuǎn)距離工作者的長途電話費用。盡管在電子商務(wù)的許多應(yīng)用中已嵌入了一些安全協(xié)議， IPSec 的使用仍可以使其安全級別在原有的基礎(chǔ)上更進一步，因為所有由網(wǎng)絡(luò)管理員指定的通信都是經(jīng)過加密和認(rèn)證的。 機密性 使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。大部分的應(yīng)用實例中都采用了 ESP 而不是 AH。至于認(rèn)證技術(shù)，將會推出一個叫作 HMAC（ MAC 即信息認(rèn)證代碼Message Authentication Code）的新概念。來對用戶進行認(rèn)證。 安全加載封裝（ ESP）通過對數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進行全加密來嚴(yán)格保證傳輸信息的機密性，這樣可以避免其他用戶通過監(jiān)聽來打開信息交換的內(nèi)容，因為只有受信任的用戶擁有密匙打開內(nèi)容。 密匙管理包括密匙確定和密匙分發(fā)兩個方面，最多需要四個密匙： AH 和 ESP各兩個發(fā)送和接收密匙。密匙管理包括手工和自動兩種方式。使用手工管理系統(tǒng)，密匙由管理站點確定然后分發(fā)到所有的遠(yuǎn)程用戶。自動管理系統(tǒng)具有一個中央控制點，集中的密匙管理者可以令自己更加安全，最大限度的發(fā)揮 IPSEC 的效用?；ヂ?lián)網(wǎng)安全組織及密鑰管理協(xié)議（ Inter Security Association and Key Management Protocol ISAKMP）對互聯(lián)網(wǎng)密鑰管理的架構(gòu)以及特定的協(xié)議提供支持。在客戶端， IPSEC 架構(gòu)允許使用在遠(yuǎn)程訪問介入路由器或基于純軟件方式使用普通MODEM 的 PC 機和工作站。當(dāng)隧道模式用在用戶終端設(shè)置時，它可以提供更多的便利來隱藏內(nèi)部服務(wù)器主機和客戶機的地址。這種配置對于裝有 IPSec 的小型網(wǎng)絡(luò)特別有用。原來的（及內(nèi)層）包通過 “隧道 ”從一個 IP 網(wǎng)絡(luò)起點傳輸?shù)搅硪粋€ IP 網(wǎng)點，中途的路由器可以檢查 IP 的內(nèi)層包頭。這些主機所生成的未加保護的網(wǎng)包，經(jīng)過外網(wǎng)，使用隧道模式的安全組織規(guī)定（即 SA，發(fā)送者與接收者之間的單向關(guān)系，定義裝在本地網(wǎng)絡(luò)邊緣的安全第六章 全面認(rèn)識 VPN 31 路由器或防火墻中的 IPSec 軟件 IP 交換所規(guī)定的參數(shù)）傳輸。防火墻把所有出去的包過濾，看看有哪些包需要進行 IPSec的處理。主機乙網(wǎng)絡(luò)的防火墻會把外層 IP 包頭除掉，把 IP 內(nèi)層發(fā)送到主機乙去。我們可以看到安全 IP 的功能會首先被廣泛使用，它會比IPv6 先流行起來，因為對 IP 層的安全需求遠(yuǎn)比增加 IPv6 功能的需求多許多。 如下表： VPN 在 OSI 中的層次 VPN 實現(xiàn)技術(shù) 數(shù)據(jù)鏈路層 PPTP 及 L2TP 網(wǎng)絡(luò)層 IPSEC 會話層 Socket5 應(yīng)用層 SSL L2TP：第二層隧道協(xié)議 （ L2TP: Layer 2 Tunneling Protocol） 第二層隧道協(xié)議（ L2TP）是用來整合多協(xié)議撥號服 務(wù)至現(xiàn)有的因特網(wǎng)服務(wù)提供商點。 L2TP 擴展了 PPP 模型，允許第二層和 PPP 終點處于不同的由包交換網(wǎng)絡(luò)相互連接的設(shè)備來。從用戶角度看，直接在 NAS 上終止 L2 連接與使用 L2TP 沒有什么功能上的區(qū)別。 L2TP 使用以下兩種信息類型，即控制信息和數(shù)據(jù)信息。當(dāng)發(fā)生包丟失時，不轉(zhuǎn)發(fā)數(shù)據(jù)信息 。對于控制信息，必須設(shè)置該值。對于控制信息， S 位必須設(shè)置。 Ver ― Ver 位的值總為 002。如果對等結(jié)構(gòu)還沒有接收到分配的 Tunnel ID，那么 Tunnel ID 必須設(shè)置為 0。 Nr ― 期望在下一個控制信息中接收到的序列號。 Offset Padding 中的實際數(shù)據(jù)并沒有定義。 Offset Size amp。 Call ID ― 識別控制信息應(yīng)用的 Tunnel 中的用戶會話。 Length ― 信息總長，包括頭、信息類型 AVP 以及另外的與特定控制信息類型相關(guān)的 AVPs。對于控制信息，該字段值設(shè)為 0。在導(dǎo)出信息中所有預(yù)留位被設(shè)置為 0，導(dǎo)入信息中該值忽略。若是數(shù)據(jù)信息，該值為 0；若是控制信息，該值為 1。數(shù)據(jù)信息用于封裝隧道所攜帶的 PPP 幀。多鏈接 PPP ，一般用來集中 ISDN B 通道，需要構(gòu)成多鏈接捆綁的所有通道在一個單網(wǎng)絡(luò)訪問服務(wù)器（ NAS）上組合。這樣，可以把 PPP 包的實際處理過程與 L2 連接的終點分離開來。特別地，用戶通過使用眾多技術(shù)之一（如：撥號 POTS、 ISDN、 ADSL 等）獲得第二層連接到網(wǎng)絡(luò)訪問服務(wù)器（ NAS），然后在此連接上運行 PPP 。此外，所有在 IPSec 中使用的加密及認(rèn)證算法已經(jīng)過仔細(xì)的研究和幾年的驗證，所以用戶大可放心地將安全問題交付給 IPSec。用戶需要把它們的網(wǎng)絡(luò)與互聯(lián)網(wǎng)分隔，但同時要在網(wǎng)上 發(fā)送及接受網(wǎng)包安全的 IP 就可以提供網(wǎng)上的認(rèn)證及隱私機制。 這個外層包頭的源地址是防火墻，而目的地址可能是主機乙的網(wǎng)絡(luò)邊緣的防火墻。某網(wǎng)絡(luò)的主機甲生成一個 IP 包，目的地址是另一個網(wǎng)中的主機乙。 隧道模式被用在兩端或是一端是安全網(wǎng)關(guān)的架構(gòu)中，例如裝有 IPSec 的路由器或防火墻。 ESP 也支持隧道模式，保護了整個 IP 包。傳輸模式也保護了 IP 包的內(nèi)容，特別是用于兩個主機之間的端對端通訊（例如，客戶與服務(wù)器，或是兩臺工作站）。 IPSEC Packet 可以在壓縮原始 IP 地址和數(shù)據(jù)的隧道模式使用 傳送模式通常當(dāng) ESP 在一臺主機（客戶機或服務(wù)勤）上實現(xiàn)時使用，傳送模式使用原始明文 IP 頭，并且只加密數(shù) 據(jù)，包括它的 TCP 和 UDP 頭。特別是 Oakley包括認(rèn)證用戶的機制 。自動管理模式是很有彈性的，但需要花費更多的時間及精力去設(shè)置，同時，還需要使用更多的軟件。 自動管理系統(tǒng)能滿足其他所有的應(yīng)用要求。這種方法在小型網(wǎng)絡(luò)環(huán)境中使 用比較實際。注意全部長度總共是64 位，包括了 8 位的奇偶校驗。最主要的 ESP 標(biāo)準(zhǔn)是數(shù)據(jù)加密標(biāo)準(zhǔn)（ DES）， DES 最高支持 56 位的密匙，而 TripleDES 使用三套密匙加密，那就相當(dāng)于使用最高到 168 位的密匙。不過由于 AH 不能加密數(shù)據(jù)包所加載的內(nèi)容，因而它不保證任何的機 密性。正如整個名稱所示， AH通過一個只有密匙持有人才知道的 quot。 當(dāng)前的 IPSec 支持?jǐn)?shù)據(jù)加密標(biāo)準(zhǔn)（ DES），但也可以使用其它多種加密算法。認(rèn)證協(xié)議頭和安全加載封裝可以通過分開或組合使用來達(dá)到所希望的保護等級。 VPN 工作原理 IPSEC 提供三種不同的形式來保護通過公有或私有 IP 網(wǎng)絡(luò)來傳送的私有數(shù)據(jù)： 認(rèn)證 可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的，同時可以確定申請發(fā)送者在實際上是真實發(fā)送者，而不是偽裝的。 IPSec 通過認(rèn)證和鑰匙交換機制確保企業(yè)與其它組織的信息往來的安全性與機密性。 保證 Inter 上遠(yuǎn)程訪問的安全。 華南理工大學(xué)網(wǎng)絡(luò)教育學(xué)院畢業(yè)論文 (設(shè)計說明書 ) 28 第六章 全面認(rèn)識 VPN IPSEC 簡介 IPSEC 是一 系列基于 IP 網(wǎng)絡(luò)（包括 Intra、 Extra 和 Inter）的，由 IETF正式定制的開放性 IP 安全標(biāo)準(zhǔn)，是虛擬專網(wǎng)的基礎(chǔ)，已經(jīng)相當(dāng)成熟可靠。 DDN、 ADSL 等組網(wǎng)方式由于本身的技術(shù)限制，不可能提供強大的管理平臺，也不可能解決大規(guī)模的應(yīng)用和管理問題。這就是 VPN 價格低廉的原因。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用 Inter 公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。 華南理工大學(xué)網(wǎng)絡(luò)教育學(xué)院畢業(yè)論文 (設(shè)計說明書 ) 26 VPN 簡介 VPN 是虛擬專用網(wǎng)的簡稱，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。既然越來越多的應(yīng)用了計算機和各類軟件系統(tǒng)來處理企業(yè)業(yè)務(wù)，如何將位于不同地點的分支機構(gòu)網(wǎng)絡(luò)互聯(lián)互通，就成了現(xiàn)代的企業(yè)必須解決的問題。最后一個字段 “功能 ”，主要用于設(shè)備型號、地理位置都相同的時候， “身份 ”字段又不能夠完全區(qū)分的條件下使用 “功能 ”字段。 在網(wǎng)絡(luò)訪問的安全控制上核心交易網(wǎng)段的安全級別最高，只允許中間層對其訪問，其他網(wǎng)段不得對核心交易層訪問；中間層網(wǎng)段的訪問權(quán)限最高，可以對外圍和報盤、各營業(yè)部訪問，也就是說中間層可以訪問所以有網(wǎng)絡(luò)。 ZT 機房集中交易網(wǎng)絡(luò)設(shè)計從應(yīng)用的角度來分析分為三層結(jié)構(gòu)，它們分別是核心層、中間件層、外圍層。 Cisco 3662 提供營業(yè)部的 2M 的幀中繼備份線路接入。 Catalyst 4006 通過 1 條 34M 的 SDH 和一條裸光纖與深圳總部中心機房相連，可以實現(xiàn)負(fù)載均衡和冗余備份。 網(wǎng)絡(luò)總體設(shè)計 第三章 營業(yè)部接入設(shè)計 15 圖 34 此次網(wǎng)絡(luò)項目將建設(shè)成為深圳總部中心機房和北京災(zāi)備機房。 華南理工大學(xué)網(wǎng)絡(luò)教育學(xué)院畢業(yè)論文 (設(shè)計說明書 ) 14 廣域網(wǎng)線路整體規(guī)劃 圖 33 各個營業(yè)部以 2M SDH 作為主線路與深圳總部進行通訊，以第二電信運營商的 2M 幀中繼作為備份線路，連接到北京災(zāi)備機房，并通過北京災(zāi)備機房連接深圳總部中心機房的備用線路與深圳總部通訊。 RSZZT7606M 相關(guān)配置如下： !EIGRP 動態(tài)路由配置 router eigrp 64512 Redistribute ospf 64 metric 1000 100 1 255 1500 routemap TAG10 !OSPF 動態(tài)路由配置 router ospf 64 Redistribute eigrp 64512 subs routemap TAG20 第二章 網(wǎng)絡(luò)改造技術(shù)方案 11 ! accesslist 10 permit ip accesslist 10 permit ip accesslist 10 permit ip accesslist 10 permit ip accesslist 10 permit ip accesslist 10 permit ip routemap TAG10 deny 10 match ip address 10 set tag 10 set metrictype type1 ! routemap TAG20 permit 20 ! accesslist 20 permit ip accesslist 20 permit ip accesslist 20 permit ip accesslist 20 permit ip accesslist 20 permit ip accesslist 20 permit ip routemap TAG20 deny 10 match ip address 20 set tag 20 set metrictype type1 ! routemap TAG20 permit 20 華南理工大學(xué)網(wǎng)絡(luò)教育學(xué)院畢業(yè)論文 (設(shè)計說明書 ) 12 第三章 營業(yè)部接入設(shè)計 圖 31 各營業(yè)部新申請到深圳總部中心機房的 2M SDH 作為主線路，保留的原 B 證券的 2M 幀中繼線路作為備份線路；原 C 證券需要申請 2 條新的線路，一條是2M SDH 到深圳總部中心機房作為主線路，另一條是 2M 幀中繼線路到北京災(zāi)備機房作為備份線路。因為 C7606和 C3662 是整個網(wǎng)絡(luò)的 ASBR， EIGRP 區(qū)域的網(wǎng)絡(luò)和 OSPF 區(qū)域的網(wǎng)絡(luò)之間需要進行無誤的通信、在兩個不同的網(wǎng)絡(luò)協(xié)議間傳送 EIGRP 和 OSPF 的路由信息，因此需要在這兩臺核心接入路由器上進行路由的重分發(fā)。 在 OSPF 的 Area 規(guī)劃當(dāng)中，我們將把深圳總部中心機房 C7606 路由器與北京災(zāi)備機房的 C3662 路由器劃為主干區(qū)域 Area0；深圳總部中心機房 C7606 路由器和北京災(zāi)備中心 C3662 路由器