【正文】 卡 )?；厥准韧?，自己一生最寶貴的時(shí)光能于這樣的校園之中，能在眾多才華橫溢的老師們的熏陶下度過(guò)，實(shí)是榮幸之極。懇請(qǐng)閱讀此篇論文的老師、同學(xué)，多予指正，不勝感激！ 同時(shí)， 我還要 感謝所有 的 任課老師和所有同學(xué)在這四年來(lái)給自己的指導(dǎo)和幫助。從論文的選題、結(jié)構(gòu)的布局到 多次細(xì)節(jié)的修改 ， 他都 費(fèi)盡心血 ，給了我耐心的指導(dǎo)和無(wú)私的幫助。如 下 圖 所示。 4 在連接管理中，新增一條 連接；在主 WebAgent 選項(xiàng)中填入“中心橋區(qū) WAN 的 IP地址： 4009”；輸入分配給分校區(qū)的用戶名、密碼；并為新連接命名，傳輸類型選擇 TCP，勾選【啟用】選項(xiàng)。用戶直接在瀏覽器里面輸入學(xué)校 WAN口 IP 就可以訪問(wèn) SSL VPN。 我校網(wǎng)絡(luò)布局特點(diǎn) 我校分為 二 個(gè)校區(qū)：東校區(qū)、西校區(qū)。 SSL 實(shí)現(xiàn)過(guò)程 SSL 協(xié)議是基于 Web 應(yīng)用的安全協(xié)議，它指定了在應(yīng)用程序協(xié)議（如 HTTP/Tel和 FTP 等）和 TCP/IP 協(xié)議之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制，為連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證以及可選的客戶機(jī)認(rèn)證。而Ipsec VPN 是在兩個(gè)局域網(wǎng)之間通過(guò) Inter 建立安全連接，保護(hù)的是點(diǎn)對(duì)點(diǎn)間的通訊，并不局限于 web 應(yīng)用，還能構(gòu)建局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò)，功能和應(yīng)用的擴(kuò)展更強(qiáng)。 最關(guān)鍵的是 VPN技術(shù)是基于安全基礎(chǔ)之上使用隧道技術(shù)、身份驗(yàn)證、密鑰管理技術(shù)和加解密技術(shù)等 高效控制性的 技術(shù)，使得校園網(wǎng)絡(luò)免受非授權(quán)侵?jǐn)_ ，為校園網(wǎng)信息安全提供了安全性保障 。 (6 ) SSL: 安全套接字層（ SSL）是一種可以通過(guò) 加密 Web瀏覽器獨(dú)立 處理 安全傳輸 Web連接和事務(wù)。 L2TP使河池學(xué)院 2021 屆本科畢業(yè)論文（設(shè)計(jì)） 8 用 MPPE來(lái)做保護(hù)，但是和 PPTP一樣，和 IPSec保護(hù)機(jī)制相比能力較弱。不 像 IPSec，它可以支持所有的 VPN連接類型，這包括站點(diǎn)對(duì)站點(diǎn)和遠(yuǎn)程訪問(wèn)。數(shù)據(jù)完整性負(fù)責(zé)檢驗(yàn)數(shù)據(jù)包的內(nèi)容是否被損壞。 ( 1 )GRE 通用路由封裝（ GRE） 由 Cisco開(kāi)發(fā) 作為封 裝方法 的一種 VPN技術(shù)， 目的是 使得一個(gè)協(xié)議的數(shù)據(jù)包可以封裝進(jìn) IP數(shù)據(jù)包中，并且將封裝后的數(shù)據(jù)包 通過(guò) IP骨干傳輸。防火墻廠商必須對(duì)特殊類型的檢查 進(jìn)行 編碼來(lái)處理這些情況。 （ 2） 碎片 VPN實(shí)施時(shí)，我們需要考慮由于性能開(kāi)銷而導(dǎo)致的碎片問(wèn)題，這就要求 檢查 VPN的實(shí)施來(lái)查看它給數(shù)據(jù)包增加的開(kāi)銷量， 了解客戶端設(shè)備原來(lái)正在使用的 MTU大小 ， 能動(dòng)態(tài)或者手動(dòng)調(diào)整 MTU大小來(lái) 解決碎片故障和排除故障問(wèn)題。使用 MD5 來(lái)協(xié)商加密身份驗(yàn)證的安全形式 ,在響應(yīng)時(shí)使用質(zhì)詢一響應(yīng)機(jī)制和單向 MD5 散列。對(duì)稱加密算法 ,通信雙方共享一個(gè)密鑰，發(fā)送方使用該密鑰將明文加密成密文， 接收方使用相同的密鑰將密文還原成明文 ，對(duì)稱加密算法運(yùn)算速度快。 它能一些網(wǎng)絡(luò)技術(shù) (如 IPSec、MPLS)的結(jié)合 根據(jù)用戶需求 為用戶提供不同等級(jí)的服務(wù)質(zhì)量保證，為重要數(shù)據(jù)提供可靠的帶寬。在外部的 IP頭中，源地址是遠(yuǎn)程訪問(wèn)用戶的 ISP分配的 NIC地址，而目標(biāo)地址是 VPN網(wǎng)關(guān)。 需要注意的是，在傳輸模式中，如果 VPN 保護(hù)的數(shù)據(jù)包被竊聽(tīng)攻擊所檢查，攻擊者將會(huì)知道通信中實(shí)際源和目標(biāo)設(shè)備， 且傳輸模式不具備很好的擴(kuò)展性，不適合于多臺(tái)設(shè)備在不同區(qū)域的通訊方式。 本文從這一問(wèn)題出發(fā)，通過(guò)對(duì) VPN技術(shù)的具體分析和研究， 并 針對(duì)我校校園網(wǎng)情況提出了一種采用 IPSec/SSL一體化 VPN技術(shù)解決我校校園網(wǎng)建設(shè)的方案。 2021年 12月 21號(hào)－ 2021年 1月 20日 完成文獻(xiàn)綜述 ， 整理相關(guān)資料并完成概要和 論文構(gòu)架設(shè)計(jì) 2021 年 1 月 21 號(hào) — 2021 年 3月 30號(hào) 進(jìn)行 VPN技術(shù)校園應(yīng)該方案的相關(guān)配置和調(diào)試，并 總結(jié)畢業(yè)設(shè)計(jì)的整個(gè)過(guò)程，完成畢業(yè)論文 初稿 2021年 4月 1號(hào) — 5月 1號(hào) 與老師溝通交流，修改和完善論文。 三、研究校園網(wǎng)中如何運(yùn)用 VPN技術(shù)、哪方面需要運(yùn)用 VPN技術(shù)，怎樣運(yùn)用 VPN技術(shù)，以及運(yùn)用 VPN技術(shù)應(yīng)該考慮哪方面的因素和需要注意哪些問(wèn)題，如使用 VPN技術(shù)時(shí)是應(yīng)該使用站點(diǎn)到站點(diǎn)的 VPN模式還是應(yīng)該使用遠(yuǎn)程接入 VPN模式；是應(yīng)該使用隧道模式還是應(yīng)該使用傳輸模式；以及該采用什么樣的技術(shù)支持才可最適合實(shí)際校園網(wǎng)應(yīng)用等等。 VPN技術(shù)對(duì)網(wǎng)絡(luò)流量的安全性保障及服務(wù)質(zhì) 量保證（ QoS） 使得它將更為廣泛的應(yīng)用在校際通信、校間通信及遠(yuǎn)程通信等等。 隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展 ，教育信息化的深入，很多學(xué)校 都不斷擴(kuò)大校園規(guī)模或建立新校園，使得很多學(xué)校有了多個(gè)校區(qū)，實(shí)行多校區(qū)網(wǎng)絡(luò)管理。 研究綜述 : VPN（虛擬專用網(wǎng)） 技術(shù)是 DDN、 FR( 幀中繼 )、 ATM等 PVC(虛擬固定線路 )技術(shù)的替代連接技術(shù)， 其發(fā)展由 Cisco最早開(kāi)發(fā)的不能提供任何安全性的 GRE（通用路由封裝） VPN技術(shù)，發(fā)展到由微軟開(kāi)發(fā)的只適合微軟環(huán)境的 PPTP（點(diǎn)對(duì)點(diǎn)隧道協(xié)議），針對(duì) GRE和 PPTP的局限性，發(fā)展出了 Cisco L2F和微軟的 PPTP的組合體 L2TP（第二層隧道協(xié)議） VPN， L2TP將 PPP通過(guò)公網(wǎng)進(jìn)行隧道傳輸，提供如數(shù)據(jù)機(jī)密性的服務(wù)。 大體上，本選題需要探討 VPN技術(shù)的如下幾個(gè)方面內(nèi)容及在校園中應(yīng)用方案： 一、 研究 VPN技術(shù)的原理及 VPN技術(shù)的特點(diǎn)，如 VPN技術(shù)與租用專線的區(qū)別； VPN技術(shù)的優(yōu)點(diǎn)； VPN技術(shù)的分類或者特征等等。 d）借助 Cisco Packet Tracer 虛擬網(wǎng)絡(luò)配置調(diào)試工具，測(cè)試 VPN校園網(wǎng)方案的可行性。 引言 近年來(lái)，各高校校園網(wǎng)建設(shè)步伐不斷加快 ，同時(shí)面臨著校園網(wǎng)規(guī)模擴(kuò)大，甚至是跨地域分布，且遠(yuǎn)程教育也越來(lái)越普及 。整個(gè)隧道的處理過(guò)程對(duì)網(wǎng)絡(luò)上的其他設(shè)備是高度透明 2 VPN連接模式 VPN有 兩種基本類型的連接模式 ：傳輸模式和隧道模式 ，它們用在設(shè)備之間傳輸數(shù)據(jù) 并 定義了兩臺(tái)實(shí)體設(shè)備之間傳輸數(shù)據(jù)時(shí) 基本 的封裝過(guò)程。 3 VPN構(gòu)成分類 遠(yuǎn)程訪問(wèn)虛擬專用網(wǎng)（ acces VPN） 遠(yuǎn)程訪問(wèn) VPN通常 使用隧道模式 在 低帶寬或者帶寬連接 之間 應(yīng)用。它是解決外聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法，可以 少 花費(fèi)完成企業(yè)電子商務(wù)需求。其 基本過(guò)程是在內(nèi)部網(wǎng)絡(luò)與公網(wǎng)的接口處將數(shù)據(jù)作為負(fù)載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中 ,在目的網(wǎng)絡(luò)與公網(wǎng)的接口處將數(shù)據(jù)解封裝 ,取出數(shù)據(jù)。 SKIP 是利用 DiffieHellman 的演算法則 ,在網(wǎng)絡(luò)上傳輸密鑰 。 6 VPN設(shè)計(jì) 考慮 （ 1） 被保護(hù)的流量與非保護(hù)的流量： 我們建立 VPN連接時(shí) 首先你需要考慮 它們之間 發(fā)送的流量是否需要被保護(hù) ，以及 有沒(méi)有 必要保護(hù)。我們將使用 IPSec來(lái)解決這個(gè)問(wèn)題， IPSec有兩種協(xié)議可以用來(lái)將數(shù)據(jù)通過(guò) VPN設(shè)備進(jìn)行傳輸：驗(yàn)證頭（ AH）和封裝安全負(fù)載協(xié)議（ ESP） 。如果中心路由器失效了，那么每個(gè)站點(diǎn)都將失去與其他站點(diǎn)的連接。 它 被特別設(shè)計(jì)用來(lái)處理在非安全的網(wǎng)絡(luò)上傳輸敏感的數(shù)據(jù)。 它 支持 3中類型的設(shè)備驗(yàn)證：預(yù)共享密匙； RSA加密的隨機(jī)數(shù)和 RSA簽名（數(shù)據(jù)證書(shū)）。但是，它是一個(gè)半開(kāi)放的標(biāo)準(zhǔn)，只能工作中一種微軟的環(huán)境中， 通常不能在一個(gè)混合廠商的網(wǎng)絡(luò)環(huán)境中運(yùn)行。 MPLS甚至可以在以太網(wǎng)骨干中提供這種功能。 8 VPN在 校園網(wǎng) 中的應(yīng)用 目前校園網(wǎng)建設(shè)都會(huì)面臨這幾個(gè)常見(jiàn)的問(wèn)題：（ 1）校園網(wǎng)規(guī)模擴(kuò)建，建立專用網(wǎng)面臨經(jīng)濟(jì)承受能力不允許；（ 2）校園網(wǎng)絡(luò)管理 IT人才缺失，致使網(wǎng)絡(luò)管理和維護(hù)技術(shù)上不足；（ 3）校園網(wǎng)絡(luò)信息安全面臨被攻擊隱患時(shí)有發(fā)生，校園網(wǎng)信息安全丞待解決。且 IPSec VPN 不允許從公網(wǎng)計(jì)算機(jī)接入專網(wǎng)。 （ 4） 數(shù)據(jù)傳輸 — 基于保存在安全關(guān)聯(lián)數(shù)據(jù)庫(kù)中的 IPSec 參數(shù)和密鑰，在 IPSec 對(duì)等體間傳送數(shù)據(jù)。其協(xié)議棧如 圖 ： 圖 SSL協(xié)議棧 SSL 協(xié)議的主要用途是在兩個(gè)通信應(yīng)用程序之間提供機(jī)密性和可靠性，這個(gè)過(guò)程通過(guò)三個(gè)協(xié)議來(lái)完成：握手協(xié)議、記錄協(xié)議和警告協(xié)議。 ② 將需要被分校區(qū)和移動(dòng)辦公人員訪問(wèn)的各種應(yīng)用服務(wù)器（財(cái)務(wù)系統(tǒng)、 OA、 WEB 服務(wù)器）的網(wǎng)關(guān)指 向 SINFOR M5100S VPN 的內(nèi)網(wǎng)接口。所以添加“資源”時(shí)，盡量使用 App 資源來(lái)添加， 可視情況而定。 至此，一次登錄 SSLVPN，并訪問(wèn) SSLVPN 內(nèi)網(wǎng)資源的過(guò)程即完成。在這四年的時(shí)間里，我在學(xué)習(xí)上和思想上都受益非淺。正是 你們的教導(dǎo) ，我才能在各方面取得顯著的進(jìn)步，在此向他們表 達(dá)我 由衷的 感謝 ，祝老師 們生活愉快，工作愉快 ！ 。我特別要感謝我的 指 導(dǎo)師 楊云峰 老師。注 銷之后，用戶將不能訪問(wèn) SSLVPN 的資源，所以彈出一個(gè)提示框，讓用戶確認(rèn)，選擇【確定】即可。 3 在 WebAgent 設(shè)置中，輸入“任何 IP 地址： 4009”。 ② 針對(duì)中心校區(qū)需開(kāi)發(fā)資源情況設(shè)定中心校區(qū) VPN 內(nèi)網(wǎng)服務(wù)設(shè)置，以便為各接入分校區(qū)分配相應(yīng)權(quán)限（如對(duì)財(cái)務(wù) /OA/