VPN在企业实际应用与实现Word文档下载推荐.docx
- 文档编号:22940829
- 上传时间:2023-02-06
- 格式:DOCX
- 页数:19
- 大小:30.28KB
VPN在企业实际应用与实现Word文档下载推荐.docx
《VPN在企业实际应用与实现Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《VPN在企业实际应用与实现Word文档下载推荐.docx(19页珍藏版)》请在冰豆网上搜索。
actually,typeinthecity"
Mr.handsovertheappropriationline"
ofthebigway,differentis,isnotaphysicsfrom"
circuit"
thattheVPNconstituteexistent,butimitateoutthroughthetechniquemeans,is"
conjecture"
of.However,thiskindofvirtualappropriationnetworktechniquecanbuildupalogicalappropriation"
passage"
fortwopedestalcalculatorsinaMr.usecircuit,ithastokeepsecretandbefreefromtheinterferencegoodly,makingthebothpartiesbeabletocarryontheorderoffreedombutsafetytopayattentiontotowardsorderingtheconjunction,sodrivenetworkthemanagingpersonsverybroadly.ThisarticlepresentsVPNanditsmainimplementingtechnologythatistheTunnelTechnology.First,thepaperanalysestheemergingbackgroundandthefunctionsitcanrealizeoftheVPN.VPNusesthefallibleInternetasitsinformationtransportmedia,throughtheadditionalsecuretunnel,authentication,accesscontrolandothertechnology,itcanachievethesamesafefuctionsasprivatenetwork。
andthentheacticleproposestheTunnelTechnologyandTunnelprotocolrealizingVPN,anditanalysestherealizingprinciplesoflayertwoprotocolsandthenitgivesacomparationbetweentheprotocols,includingrealizingdifficulty,performanceandsoon.Atlast,weshowtwowaysofVPNrealizationandthenshowtheprojectofVPNinthecorporationnet.
ThekeywordVPN,thecorporationnet,L2TP,Tunnel
第一章绪论
随着全球经济一体化VPN目前已成为全社会的信息基础设施,企业端应用也大多基于IP,在Internet上构筑应用系统已成为必然趋势,因此基于IP的虚拟专用网业务获得了极大的增长空间。
在国内,虚拟专用网也得到迅猛的发展。
由于VPN传输的是私有信息,VPN用户对数据的安全性都比较关心。
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&
Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)。
1.隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。
2.加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3.密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。
4.身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
本论文只介绍隧道协议以及VPN的组建部分,身份验证机制将不在讨论范围。
在企业,许多信息只能通过企业内的网络共享(如生产管理的一些数据库,企业内的协同办公系统),如果走出企业范围就无法访问。
如何让企业的资源不被外人轻易得到而又使有资格访问的人获得方便呢?
VPN的实现可以轻易解决这些问题。
具体怎么实现我们将在以后章节介绍,下面我们开始介绍VPN的一些概念和协议。
第二章VPN概述
2.1VPN简介
虚拟专用网(VirtualPrivateNetwork,VPN)是一种"
基于公共数据网,给用户一种直接连接到私人局域网感觉的服务"
。
VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。
VPN可分为三大类:
(1)企业各部门与远程分支之间的IntranetVPN;
(2)企业网与远程(移动)雇员之间的远程访问(RemoteAccess)VPN;
(3)企业与合作伙伴、客户、供应商之间的ExtranetVPN。
图1一个VPN网络
2.2VPN的优点
◆降低费用 首先远程用户可以通过向当地的ISP申请账户登陆到Internet,以Internet作为隧道与企业内部专用网络相连,通信费用大幅度降低;
其次企业可以节省购买和维护通讯设备的费用。
◆增强安全性
◆VPN通过使用点到点协议用户级身份验证的方法进行验证,对于敏感的数据,可以使用VPN连接通过VPN服务器将高度敏感的数据地址物理地进行分隔,只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源。
所有的流量均经过加密和压缩后在网络中传输,为用户信息提供了最高的安全性保护。
◆高度灵活性
用户不论是在家中、在出差途中、或是在其他任何环境中,只要该用户能够接入Internet,便能够安全地接入企业网内部。
既不受地域限制,也不受接入方式限制。
◆带宽
用户可以选择使用本地服务供应商所能够提供的任何宽带接入技术,不论是ADSL、CableModem,还是在信息化小区或酒店中使用以太网接入。
◆网络协议支持
VPN支持最常用的网络协议,基于IP、IPX和NetBEUI协议,网络中的客户机都可以很容易得使用VPN。
这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。
◆IP地址安全
因为VPN是加密的,VPN数据包在Internet中传输时,Internet上的用户只看到公用的IP地址,看不到VPN使用的协议。
因此,利用Internet作为传输载体,采用VPN技术,实现企业网宽带远程访问是一个非常理想的企业网远程宽带访问解决方案。
2.3VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,QoS技术对VPN的实现也很重要。
◆隧道技术
隧道技术简单的说就是:
原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。
目前实现隧道技术的有一般路由封装(GenericRoutingEncapsulation,GRE)L2TP和PPTP。
(1)GRE
GRE主要用于源路由和终路由之间所形成的隧道。
例如,将通过隧道的报文用一个新的报文头(GRE报文头)进行封装然后带着隧道终点地址放入隧道中。
当报文到达隧道终点时,GRE报文头被剥掉,继续原始报文的目标地址进行寻址。
GRE隧道通常是点到点的,即隧道只有一个源地址和一个终地址。
然而也有一些实现允许点到多点,即一个源地址对多个终地址。
这时候就要和下一跳路由协议(Next-HopRoutingProtocol,NHRP)结合使用。
NHRP主要是为了在路由之间建立捷径。
GRE隧道技术是用在路由器中的,可以满足ExtranetVPN以及IntranetVPN的需求。
但是在远程访问VPN中,多数用户是采用拨号上网。
这时可以通过L2TP和PPTP来加以解决。
(2)L2TP和PPTP
L2TP是L2F(Layer2Forwarding)和PPTP的结合。
但是由于PC机的桌面操作系统包含着PPTP,因此PPTP仍比较流行。
隧道的建立有两种方式即:
"
用户初始化"
隧道和"
NAS初始化"
(NetworkAccessServer)隧道。
前者一般指"
主动"
隧道,后者指"
强制"
隧道。
隧道是用户为某种特定目的的请求建立的,而"
隧道则是在没有任何来自用户的动作以及选择的情况下建立的。
采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。
L2TP比PPTP更安全,因为L2TP接入服务器能够确定用户从哪里来的。
L2TP主要用于比较集中的、固定的VPN用户,而PPTP比较适合移动的用户。
◆加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。
加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。
RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;
DES和三次DES强度比较高,可用于敏感的商业信息。
◆QoS技术
通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。
但是该VPN性能上不稳定,管理上不能满足企业的要求,这就要加入QoS技术。
实行QoS应该在主机网络中,即VPN所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。
2.4VPN发展趋势
VPN的发展代表了互联网络今后的发展趋势,它综合了传统数据网络的安全和服务质量,以及共享数据网络结构的简单和低成本,建立安全的数据通道。
VPN在降低成本的同时满足了用户对网络带宽、接入和服务不断增加的需求,因此,VPN必将成为未来网络发展的主要方向。
VPN技术的发展将促进业务市场的繁荣。
VPN上传输的数据流是经过加密处理的,这条安全通道的协议必须保证数据的真实性、数据的完整性、通道的机密性,提供动态密匙交换功能,提供安全防护措施和访问控制,抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。
随着市场的扩大,用户需求将成为VPN技术发展的动力,多形式、多用途、灵活易用、功能强大、服务优异的VPN产品将适用于不同的用户群,部署在宽带、窄带、拨号或者移动通信网络上。
2.5企业内需要VPN
现在的电力企业内有着复杂的网络需求和应用,作为一个大型的机构是有许多网上资源,这些资源中有些是自己开发的,而有些数据库资源是向数据库厂商购买的(如生产管理系统,协同办公系统),其主要用户是企业内领导和员工,他们从企业内都是从统一的出口去访问,IP地址在转换后在一个有限的,固定的范围之内,VPN服务器根据访问者的IP地址作为判断是否是合法用户的依据(对IP进行限制)。
可是这些用户一旦走出企业使用电信服务商提供的上网方式其IP地址是不固定的、动态的,而企业内部网无法对动态IP开放。
如何解决这样的问题呢?
在企业内组建VPN所有问题将迎刃而解,所以企业网需要VPN。
第三章VPN协议及动态VPN
3.1L2TP协议及配置
3.1.1L2TP协议简介
(1)协议背景
PPP协议定义了一种封装技术,可以在二层的点到点链路上传输多种协议数据包,这时,用户与NAS之间运行PPP协议,二层链路端点与PPP会话点驻留在相同硬件设备上。
L2TP协议提供了对PPP链路层数据包的通道(Tunnel)传输支持,允许二层链路端点和PPP会话点驻留在不同设备上,并且采用包交换网络技术进行信息交互,从而扩展了PPP模型。
L2TP协议结合了L2F协议和PPTP协议的各自优点,成为IETF有关二层隧道协议的工业标准。
(2)典型L2TP组网应用
使用L2TP协议构建的VPDN应用的典型组网如图所示
图2应用L2TP构建的VPDN服务
其中,LAC表示L2TP访问集中器(L2TPAccessConcentrator),是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备。
LAC一般是一个网络接入服务器NAS,主要用于通过PSTN/ISDN网络为用户提供接入服务。
LNS表示L2TP网络服务器(L2TPNetworkServer),是PPP端系统上用于处理L2TP协议服务器端部分的设备。
LAC位于LNS和远端系统(远地用户和远地分支机构)之间,用于在LNS和远端系统之间传递信息包,把从远端系统收到的信息包按照L2TP协议进行封装并送往LNS,将从LNS收到的信息包进行解封装并送往远端系统。
LAC与远端系统之间可以采用本地连接或PPP链路,VPDN应用中通常为PPP链路。
LNS作为L2TP隧道的另一侧端点,是LAC的对端设备,是被LAC进行隧道传输的PPP会话的逻辑终止端点。
(3)L2TP协议的技术细节
Ø
L2TP协议结构
图3L2TP协议结构
上图所示L2TP协议结构描述了PPP帧和控制通道以及数据通道之间的关系。
PPP帧在不可靠的L2TP数据通道上进行传输,控制消息在可靠的L2TP控制通道内传输。
通常L2TP数据以UDP报文的形式发送。
L2TP注册了UDP1701端口,但是这个端口仅用于初始的隧道建立过程中。
L2TP隧道发起方任选一个空闲的端口(未必是1701)向接收方的1701端口发送报文;
接收方收到报文后,也任选一个空闲的端口(未必是1701),给发送方的指定端口回送报文。
至此,双方的端口选定,并在隧道保持连通的时间段内不再改变。
隧道和会话的概念
在一个LNS和LAC对之间存在着两种类型的连接,一种是隧道(Tunnel)连接,它定义了一个LNS和LAC对;
另一种是会话(Session)连接,它复用在隧道连接之上,用于表示承载在隧道连接中的每个PPP会话过程。
在同一对LAC和LNS之间可以建立多个L2TP隧道,隧道由一个控制连接和一个或多个会话(Session)组成。
会话连接必须在隧道建立(包括身份保护、L2TP版本、帧类型、硬件传输类型等信息的交换)成功之后进行,每个会话连接对应于LAC和LNS之间的一个PPP数据流。
控制消息和PPP数据报文都在隧道上传输。
L2TP使用Hello报文来检测隧道的连通性。
LAC和LNS定时向对端发送Hello报文,若在一段时间内未收到Hello报文的应答,该会话将被清除。
控制消息和数据消息的概念
L2TP中存在两种消息:
控制消息和数据消息。
控制消息用于隧道和会话连接的建立、维护以及传输控制;
数据消息则用于封装PPP帧并在隧道上传输。
控制消息的传输是可靠传输,并且支持对控制消息的流量控制和拥塞控制;
而数据消息的传输是不可靠传输,若数据报文丢失,不予重传,不支持对数据消息的流量控制和拥塞控制。
控制消息和数据消息共享相同的报文头。
L2TP报文头中包含隧道标识符(TunnelID)和会话标识符(SessionID)信息,用来标识不同的隧道和会话。
隧道标识相同、会话标识不同的报文将被复用在一个隧道上,报文头中的隧道标识符与会话标识符由对端分配
(4)两种典型的L2TP隧道模式
远端系统或LAC客户端(运行L2TP协议的主机)与LNS之间的隧道模式如图所示:
图4两种典型的L2TP隧道模式
由远程拨号用户发起。
远程系统通过PSTN/ISDN拨入LAC,由LAC通过
Internet向LNS发起建立通道连接请求。
拨号用户地址由LNS分配;
对远程拨号用户的验证与计费既可由LAC侧的代理完成,也可在LNS侧完成。
直接由LAC客户(指可在本地支持L2TP协议的用户)发起。
此时LAC客户可直接向LNS发起通道连接请求,无需再经过一个单独的LAC设备。
此时,LAC客户地址的分配由LNS来完成。
(5)L2TP隧道会话的建立过程
L2TP应用的典型组网如下图所示:
图5L2TP应用的典型组网
L2TP隧道的呼叫建立流程可如下图所示:
图6L2TP隧道的呼叫建立流程
L2TP隧道的呼叫建立流程过程为:
用户端PC机发起呼叫连接请求;
PC机和LAC端(GWA)进行PPPLCP协商;
LAC对PC机提供的用户信息进行PAP或CHAP认证;
LAC将认证信息(用户名、密码)发送给RADIUS服务器进行认证;
RADIUS服务器认证该用户,如果认证通过则返回该用户对应的LNS地址等相关信息,并且LAC准备发起Tunnel连接请求;
LAC端向指定LNS发起Tunnel连接请求;
LAC端向指定LNS发送CHAPchallenge信息,LNS回送该challenge响应消息CHAPresponse,并发送LNS侧的CHAPchallenge,LAC返回该challenge的响应消息CHAPresponse;
隧道验证通过;
LAC端将用户CHAPresponse、responseidentifier和PPP协商参数传送给LNS;
LNS将接入请求信息发送给RADIUS服务器进行认证;
RADIUS服务器认证该请求信息,如果认证通过则返回响应信息;
若用户在LNS侧配置强制本端CHAP认证,则LNS对用户进行认证,发送CHAPchallenge,用户侧回应CHAPresponse;
LNS再次将接入请求信息发送给RADIUS服务器进行认证;
验证通过,用户访问企业内部资源。
(6)L2TP协议的特点灵活的身份验证机制以及高度的安全性
L2TP协议本身并不提供连接的安全性,但它可依赖于PPP提供的认证(比如CHAP、PAP等),因此具有PPP所具有的所有安全特性。
L2TP可与IPSec结合起来实现数据安全,这使得通过L2TP所传输的数据更难被攻击。
L2TP还可根据特定的网络安全要求在L2TP之上采用通道加密技术、端对端数据加密或应用层数据加密等方案来提高数据的安全性。
多协议传输
L2TP传输PPP数据包,这样就可以在PPP数据包内封装多种协议。
支持RADIUS
服务器的验证
LAC端将用户名和密码发往RADIUS服务器进行验证申请,RADIUS服务器负责接收用户的验证请求,完成验证。
支持内部地址分配LNS可放置于企业网的防火墙之后,它可以对远端用户的地址进行动态的分配和管理,可支持私有地址应用(RFC1918)。
为远端用户所分配的地址不是Internet地址而是企业内部的私有地址,这样方便了地址的管理并可以增加安全性。
网络计费的灵活性
可在LAC和LNS两处同时计费,即ISP处(用于产生帐单)及企业网关(用于付费及审计)。
L2TP能够提供数据传输的出入包数、字节数以及连接的起始、结束时间等计费数据,可根据这些数据方便地进行网络计费。
可靠性
L2TP协议支持备份LNS,当一个主LNS不可达之后,LAC可以重新与备份LNS
建立连接,这样,增加了VPN服务的可靠性和容错性。
下面从LAC、LNS两侧分别介绍L2TP的配置。
3.1.2LAC配置
在L2TP的配置中,LAC端和LNS端的配置有所不同,下面先介绍一下LAC端的配置。
在各项配置任务中,必须先启动L2TP、创建L2TP组,然后再进行其它功能特性的配置。
LAC侧要进行的配置包括:
(以华为路由器为例)
启用L2TP(必选)
创建L2TP组(必选)
设置发起L2TP连接请求及LNS地址(必选)
设置本端名称(可选)
启用通道验证及设置密码(可选)
配置将AVP数据隐含(可选)
设置通道Hello报文发送时间间隔(可选)
设置域名分隔符及查找顺序(可选)
设置用户名、密码及配置用户验证(必选)
强制挂断通道(可选)
开启或关闭流控功能(可选)
3.1.3LNS配置
在LNS的各项配置任务中,必须先启动L2TP、创建L2TP组,然后再进行其它功能特性的配置。
LNS主要配置包括:
创建虚接口模板(必选)
设置接收呼叫的虚拟接口模板、通道对端名称和域名(必选)
设置本端名称(可选)配置隧道验证及设置密码(可选)
强制本端CHAP验证(可选)
强制LCP重新协商(可选)
设置本端地址及分配的地址池(必选)
开启或关闭流控功能(
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN 企业 实际 应用 实现