基于Cisco系统的企业网IPSecVpn的设计与实现毕业设计论文.docx
- 文档编号:26944742
- 上传时间:2023-06-24
- 格式:DOCX
- 页数:57
- 大小:650.37KB
基于Cisco系统的企业网IPSecVpn的设计与实现毕业设计论文.docx
《基于Cisco系统的企业网IPSecVpn的设计与实现毕业设计论文.docx》由会员分享,可在线阅读,更多相关《基于Cisco系统的企业网IPSecVpn的设计与实现毕业设计论文.docx(57页珍藏版)》请在冰豆网上搜索。
基于Cisco系统的企业网IPSecVpn的设计与实现毕业设计论文
本科学生毕业论文(设计)
题目(中文):
基于Cisco系统的企业网IPSecVpn的设计与实现
(英文):
BasedonCiscoSystemsIPSecVpnNetworkDesignAndImplementation
姓名
学号
院(系)
专业、年级
指导老师
基于Cisco系统的企业网IPSecVpn的设计与实现
摘要
企业网的连通需要安全协议,IPSecVpn就是其中的一种,它具有安全可靠性。
本设计使用Cisco的网络设备作为接入层网络设备;在外部模拟一个外网,要实现内网与外网的连通需要在网络之间运行TCP/IP协议,但是由于这个协议没有安全性,于是在网络之间还要运行IPSecVpn协议来保证网络的安全性。
在实现IPSecVpn过程中要建立隧道,完整性检测,加密算法,密钥的设置,最后实现全网的连通性。
本文所研究的就是IPSecVpn在企业内网的实际应用,以及解决客户的需求。
【关键词】IPSecVpn技术;接入安全;内部组网
BasedonCiscoSystemsIPSecVpnNetwork
DesignAndImplementation
Abstract
Securityprotocolcommunicationnetwork,IPSecVpnisoneofthem,itissafeandreliable.
ThedesignusesCisconetworkequipmentastheaccesslayernetworkequipment;externalanalogexternalnetworktotheinternalnetworkandexternalnetworkconnectivitybetweennetworksrunningTCP/IPprotocol,butbecausethisagreementisnotsecurity,sobetweenthenetworkwillrunforIPSecVPNprotocolstoensurethesecurityofthenetwork.TocreateaprocesstoachieveIPSecVPNtunnels,integritytesting,encryptionalgorithm,keysettings,andfinallythewholenetworkconnectivity.ThepracticalapplicationofthisarticleisthestudyoftheIPSecVpnintheenterprisenetwork,andsolvetheneedsofcustomers.
【Keywords】IPSecVPNtechnology;Accesssecurity;Internalnetwork
目 录
1绪论
随着信息技术在企业应用中的不断深化,企业信息系统对VPN网络也提出了越来越高的要求。
最初的VPN仅实现简单的网络互联功能,采用了L2TP、GRE等隧道技术。
为了保证数据的私密性和完整性,而产生了IPSecVPN。
1.1IPSecVpn的研究背景
IPSecVpn协议是一种目前广泛采用的较为安全的网络安全协议,导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。
IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。
另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。
IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。
1.2IPSecVpn的发展历程
从刚开始的网络连通无安全性,到后来的Vpn的形成,再到IPSecVpn的产生,IPSecVpn的发展是顺应网络安全的需求。
1.2.1Vpn的形成
最开始部署VPN是为了减少企业的费用,办事处遍布世界各地的公司;为了开展业务经常需要将这些办事处连接起来。
为了建立这些连接,可以在办事处之间使用租用线;也可以让每个办事处连接到本地的公共网络,并通过公共网络建立VPN。
简单的说,VPN就是通过公共网络连接到两个端点,在他们之间建立一条逻辑连接。
逻辑连接可以在OSI模型的第二层或是第三层建立,根据逻辑连接模型,将VPN技术粗略的划分为第二层VPN和第三层VPN。
从概念上来说,通过第二层的VPN和通过第三层的VPN在场点之间建立的连接性是相同的。
需要在有效负载的前面加上“传递报头”,以便将其传输到目标地点。
1.2.2IPSecVpn的形成
但是对于数据的传输安全性VPN就不能做到保护,所以很多黑客就开始攻击企业的连接通道,针对于这种现象,人们就开发出一种可以进行安全传输的协议,来解决这个问题。
一种对IPSec的常见误解是,认为它只是一种为IP数据流提供安全服务的协议。
实际上IPSec是IETFIPSec工作组定义的一套安全协议。
在RFC2401中,对IPSec基本构架和基本部件做了定义。
这就逐渐形成了今天大家熟知的IPSecVpn。
1.2.3IPSecVpn的实际应用
在企业中,两个办事处建立了连接,但是只是单纯的三层连接,并没有安全性,于是可以再连接的基础上,在这个连接中加上IPSecVpn协议来保证信息的安全传输。
对于IPSecVpn做了基本的定义:
安全协议:
验证报头和封装安全有效负载;
秘钥管理:
ISAKMPIKESKEME;
算法:
用于加密和身份验证;
1.3IPSecVpn的应用领域
(1)电力系统主要是防止破坏分子恶意攻击电网系统;
(2)部队系统主要防止外国的网络攻击,窃取本国的军事机密;
(3)银行系统主要保证信息的安全传输,避免不法分子进入窃取用户的个人信息以及账户密码;
(4)税务系统主要是防止外人篡改税务信息;
(5)政府系统主要是防止有人恶意入侵,破坏;
(6)企业系统主要是防止其他企业入侵拦截企业机密;
(7)个人需求主要是保证与其他用户连接时的安全性;
几乎每个行业都有多种需求,IPSecVpn可以满足网络安全的需求,为此设计了本文内容。
2IPSecVpn的关键技术
TCP是面向连接的通信协议,通过三次握手建立连接,通讯完成时要拆除连接,由于TCP是面向连接的所以只能用于点对点的通讯。
IP层接收由更低层(网络接口层例如以太网设备驱动程序)发来的数据包,并把该数据包发送到更高层---TCP或UDP层;相反,IP层也把从TCP或UDP层接收来的数据包传送到更低层。
IP数据包是不可靠的,因为IP并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏。
IP数据包中含有发送它的主机的地址(源地址)和接收它的主机的地址(目的地址)。
2.1TCP/IP协议的简介
TransmissionControlProtocol/InternetProtocol的简写,中译名为传输控制协议因特网互联协议,又名网络通讯协议,是Internet最基本的协议、Internet国际互联网络的基础,由网络层的IP协议和传输层的TCP协议组成。
TCP/IP定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准。
协议采用了4层的层级结构,每一层都呼叫它的下一层所提供的网络来完成自己的需求。
通俗而言:
TCP负责发现传输的问题,一有问题就发出信号,要求重新传输,直到所有数据安全正确地传输到目的地。
而IP是给因特网的每一台电脑规定一个地址。
TCP/IP传输层有两个并列的协议:
TCP协议和UDP协议。
其中TCP是面向连接的,而UDP是面向无连接的。
它们都是建立在IP协议之上。
TCP提供应用程序的服务与UDP提供的服务是不同的。
(1)面向连接
TCP协议是面向连接,客户程序要与服务程序建立一个连接才能通过这个连接传输数据,并在结束时断开这个连接。
(2)可靠性
TCP协议提供了可靠性,发送的数据都需要获得一个对方的确认。
如果没有收到确认,TCP会自动重发数据。
(3)数据有序
TCP会为每个发送的字节分配一个序号,这样可以确保对方收到数据后能按序号重新组装,并且能识别收到的重复的数据。
(4)流控
TCP提供了数据的流控,TCP总是告知对方自己一次能接收的最大字节数。
这就是TCP的窗口(window),即当前接收缓冲区的可用大小,以保证发送方不会造成接收方的缓冲区溢出。
TCP的窗口大小是随着接收数掘而动态改变的。
(5)全双工
一个TCP的连接是全双工方式的,应用程序可以在一个连接上双向地发送和接收数据。
TCP必须能记录发送和接收的数据流的状态信息[4]。
2.2TCP/IP的建立
TCP/IP协议并不完全符合OSI的七层参考模型,OSI(OpenSystemInterconnect)是传统的开放式系统互连参考模型,是一种通信协议的7层抽象的参考模型,其中每一层执行某一特定任务。
该模型的目的是使各种硬件在相同的层次上相互通信。
这7层是:
物理层、数据链路层(网络接口层)、网络层(网络层)、传输层、会话层、表示层和应用层(应用层)。
而TCP/IP通讯协议采用了4层的层级结构,每一层都呼叫它的下一层所提供的网络来完成自己的需求。
由于ARPANET的设计者注重的是网络互联,允许通信子网(网络接口层)采用已有的或是将来有的各种协议,所以这个层次中没有提供专门的协议。
实际上,TCP/IP协议可以通过网络接口层连接到任何网络上,例如X.25交换网或IEEE802局域网。
TCP是面向连接的通信协议,通过三次握手建立连接。
2.3IPSecVpn的两种模式
IPSecVpn的协议有两种模式,一种是传输模式,一种是隧道模式。
2.3.1IPSec传输模式
在传输模式下,在IP报头好了高层协议报头之间插入一个IPSec报头。
在这种模式中,IP报头与原始IP分组中的IP报头相同,只是IP协议被改为ESP和AH,并重新计算IP报头的校验和。
IPSec假定IP端点是可达的。
在这种模式下,IPSec原端点不会修改IP报头中的目标IP地址,因此这种模式只能用于IP端点和IPSec端点相同的情形。
2.3.2IPSec隧道模式
在隧道模式下,原始IP分组被封装成一个新的IP数据报,并在内部报头和外部报头之间插入一个IPSec报头。
由于这种封装包含一个外部IP报头,因此隧道模式可被用于在场点之间提高安全服务,而场点代表了网关路由器后面的IP节点。
另外这种模式也可以用于这样的情形:
远程办公人员通过终端主机连接到站点中的IPSec网关。
2.4IPSecVpn的协议组成
(1)封装安全有效负载(ESP)
ESP提供了机密性、数据完整性以及可选的数据来源验证和反重放服务,这是通过对原始有效负载进行加密并将分组封装在一个报头和报尾之间实现的,在IP报头中,用50表示ESP。
ESP报头被插入到IP报头和上层协议报头之间。
在隧道模式下,IP报头是新的,如图2-2;在传输模式下,是原始IP分组的报头,如图2-3。
原始IP报头
TCP
Data
丨被验证丨
原始IP报头
ESP报头
TCP
数据
ESP报尾
ESP验证
丨被加密丨
在传输模式下用ESP保护的IP分组
图2-2
原始IP报头
TCP
Data
丨被验证丨
新IP报头
ESP报头
原始IP报头
TCP
数据
ESP报尾
ESP验证
丨被加密丨
在隧道模式下用ESP保护的IP分组
图2-3
(2)验证报头(AH)
AH提供无连接完整性、数据验证和可选的反重放保护,但不同于ESP,它不提供机密性。
因此报文比ESP简单的多。
AH是一种协议,在IP报头中用51比表示。
“下一报头”字段指出AH报头后面是什么内容。
在传输模式下,这是被保护的上层协议(如UDP和TCP)的编号,如图2-4;在隧道模式下,这个值为4,如图2-5。
原始IP报头
TCP
Data
原始IP报头
AH
TCP
数据
丨除可变字段外都被验证丨图2-4
原始IP报头
TCP
Data
新IP报头
AH
原始IP报头
TCP
数据
丨除新IP头中可变字段外都被验证丨
图2-5
2.5IPSecVpn的秘钥管理和安全关联
IPSecVpn的加密算法有两种:
对称和非对称。
IPSecVpn是通过公共基础建设部署的,因为IPSec提供了加密服务,以确保数据对非目标接收者是机密的。
DES和3DES是IPSecVpn使用得最多的两种加密算法;它们就是对称加密算法,因此必须解决安全的分发秘钥的问题。
生成分发和储存秘钥统称为秘钥管理。
所有加密关系都必须处理秘钥管理问题。
默认情况下,IPSec使用Internet秘钥交换(IKE)协议来安全的协商秘钥。
IKE用于系统相互验证以及确定共享秘钥以创建安全关联。
安全关联常被称为SA,它是IPSec的一个基本部件。
SA是SA数据库(SADB)中的一个条目,SADB包含双方协议的IKE或IPSec安全信息。
SA分两种:
IKE(ISAKMP)SA;
IPSecSA。
虽然通常用SA来统称它们,但对排除故障来说,对它们进行区分至关重要,因为每种SA的用途都不同。
两种SA都是使用IKE协议在IPSec对等体之间确定的。
对等体之间的IKESA用于控制数据流,如协商对IKE数据流进行加密以及对对等体进行验证的算法。
在对等体之间自由一个IKESA,它的寿命通常比IPSecSA长,因此增加的数据流量更少。
IPSecSA用于协商对等体之间的IP数据流进行加密的算法,对哪些数据流进行加密由策略定义决定。
IPSecSA是单向的,因此两个需要两个;一个用于入站数据流,另一个用于出站数据流。
在对等体之间可以有多对IPSecSA,用于描述不同的IP主机组或IP数据流。
对于网络信息的安全传输有很多种VPN,IPSecVpn只是其中的一种,如今有很多种VPN,这些VPN都有自己的特点和应用场景。
IPSecVpn也有着自己的优势。
2.6VPN的种类
VPN根据OSI模型分为三种,二层的VPN、三层的VPN和七层的VPN。
二层的VPN有L2F、L2TP和PPTP,三层的VPN除了IPSecVpn以外还有GRE、MPLSVPN,七层VPN有SSLVPN。
2.7其他Vpn与IPSecVpn的区别
(1)L2F(Layer2Forwarding):
1998年标准化的远程访问VPN的协议它是基于ISP的由若干远程接入服务器(remoteaccessserver)提供VPN功能的协议。
(2)PPTP(PointtoPointTunnelingProtocol)也是为实现基于ISP的远程访问VPN而制订的协议。
在分组和封装化头标中采用了扩展GRE(GenericRoutingEncapsulation:
通用寻路封装)。
在Windows微机中将GRE作为标准功能提供,是当前最易于使用的VPN协议。
PPTP协议基础:
点到点协议(PPP,Point-to-PointProtocol),口令验证协议(PAP,PasswordAuthenticationProtocol),通用路由选择封装协议(GRE,GenericRoutingEncapsulation),PPP挑战握手验证协议(CHAP,ChallengeHandshakeAuthenticationProtocol)
(3)L2TP(Layer2TunnelingProtocol)是远程访问型VPN今后的标准协议。
它将PPTP和L2F综合,以便扩展功能。
其格式基于L2F,信令(signaling)基于PPTP。
尽管技术上是相同的,但厂商和用户都会察觉PPTP和L2F有明显的不同。
PPTP受到Microsoft的关爱,它拥有世界上绝大多数的桌面电脑,而L2F受到Cisco的关注,它主要用于Internet。
尽管PPTP和L2F都使用封装和加密,但它们互相不兼容。
IETF建议将PPTP和L2F的最优秀的部分组成一个工业标准,并称为第2层隧道协议(L2TP)。
(4)MPLS(MultiProtocolLabelSwitching):
多协议标记(标签)交换起源于Cisco的TagSwitching(1996),后由IETF标准化,并改为多协议标记交换。
是一种支持多种网络层协议的快速转发技术,它就象一个垫片(shim),处于OSI的第2、3层之间。
MPLS吸收了ATM网络的VPI/VCI交换思想,集成了IP路由技术的灵活性和2层交换的简捷性,为IP网络提供了面向连接的交换。
利用标记通道为用户提供有安全的、有服务质量保证的虚拟专网服务。
利用MPLS构建VPN时,只需对不同的企业集团分配不同的标记通道,企业网使用的内部地址也仍可以原封不动使用(即企业网网关可以不用NAT)。
利用标记堆叠来实现VPN,在一个IP分组上叠加两个MPLS标记头标进行转发,外侧标记用于转发,内侧标记用于VPN。
MPLSVPN的安全性与帧中继、ATM类似,即租用了一条虚连接(局部)。
MPLSVPN不涉及认证、加密功能。
IPSecVPN提供认证、加密功能,能保证数据的机密性、完整性对安全需求强的业务可以将IPSec和MPLSVPN结合使用。
(5)GREVPN
GRE(GenericRoutingEncapsulation)即通用路由封装协议是对某些网络层协议(如IP和IPX)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输。
GRE是VPN(VirtualPrivateNetwork)的第三层隧道协议,即在协议层之间采用了一种被称之为Tunnel(隧道)的技术。
(6)SSLVPN
从概念角度来说,SSLVPN即指采用SSL(SecuritySocketLayer)协议来实现远程接入的一种新型VPN技术。
SSL协议是网景公司提出的基于WEB应用的安全协议,它包括:
服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。
对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。
目前SSL协议被广泛应用于各种浏览器应用,也可以应用于Outlook等使用TCP协议传输数据的C/S应用。
正因为SSL协议被内置于IE等浏览器中,使用SSL协议进行认证和数据加密的SSLVPN就可以免于安装客户端。
相对于传统的IPSECVPN而言,SSLVPN具有部署简单,无客户端,维护成本低,网络适应强等特点,这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别[10]。
一般而言,SSLVPN必须满足最基本的两个要求:
1.使用SSL协议进行认证和加密;没有采用SSL协议的VPN产品自然不能称为SSLVPN,其安全性也需要进一步考证。
2.直接使用浏览器完成操作,无需安装独立的客户端;即使使用了SSL协议,但仍然需要分发和安装独立的VPN客户端(如OpenVPN)不能称为SSLVPN,否则就失去了SSLVPN易于部署,免维护的优点了[10]。
选购理想的虚拟专用网对企业用户来说相当困难,当前盛行的说法是:
风头渐劲的SSLVPN将迅速赶超并有可能替代传统的IPSecVPN,这更加大了选购决策的难度。
当然,有人坚持认为:
SSLVPN这个灰姑娘很快会大放光彩,IPSecVPN将随之黯然失色。
这更是为近期业界的喧闹加了一把火。
业内人士认为,IPSec被淘汰的传闻说得过早了,但在远程访问领域,无疑出现了非常明显的一股潮流——远离IPSec,这股潮流源于一些非常实际的原因。
相对于其他几种VPN来说,SSLVPN是目前最有望代替IPSecVpn的VPN技术,但是根据上面的叙述,SSLVPN还是没有办法真正的代替IPSecVpn的,对于很多的客户要求和应用,SSLVPN都无法做到代替的情况,所以IPSecVpn还是很有应用前景的。
2.8IPSecVpn的优势
IPSecVPN技术在IP传输上通过加密隧道,在用公网传送内部专网的内容的同时,保证内部数据的安全性,从而实现企业总部与各分支机构之间的数据、话音、视频业务互通。
如今,许多世界500强的企业已经把VPN作为远端分支和移动用户连接的主要手段,构建企业虚拟业务网,而国内大量企业也已开始考虑现在这种方式,并逐渐开始实施。
总结起来有9个优点[7]:
(1)经济:
不再承担昂贵的固定线路的租费。
DDN、帧中继、SDH的异地收费随着通讯距离的增加而递增,分支越远,租费越高。
而Internet的接入费用则只承担本地的接入费用,无论分支多远,费用却是一样的。
因此,连接长途分支时,采用Internet作为传输骨干是非常便宜的,但带宽却可以较高。
此外,VPN设备功能强劲但造价低廉。
(2)灵活:
连接Internet的方式可以是10M、100M端口,也可以是2M或更低速的端口,还可以是便宜的DSL连接,甚至于拨号连接都可以连接Internet,因而成为选择种类众多的端口连接方式。
一个IPSecVPN网络可以连接任意地点的分支,即使跨越大洋也毫不受限制。
(3)广泛:
IPSecVPN可以以低廉的价格连接少量的分支,也适合连接众多的分支。
IPSecVPN的核心设备的扩展性好,一个端口可以同时连接成千上万的分支,包括分支部门和移动办公的用户,而不需要SDH、DDN等一个端口对应一个远端用户。
(4)多业务:
远程的IP话音业务和视频也可传送到远端分支和移动用户,连通数据业务一起,为现代化办公提供便利条件,节省大量长途话费。
(5)安全:
IPSecVPN的显著特点就是它的安全性,这是它保证内部数据安全的根本。
在VPN交换机上,通过支持所有领先的通道协议、数据加密、过滤/防火墙、通过RADIUS、LDAP和SecurID实现授权等多种方式保证安全。
同时,VPN设备提供内置防火墙功能,可以在VPN通道之外,从公网到私网接口传输流量。
此外,该技术还可通过RADIUS、PAP、CHAP、Tokens、X.509、LDAP和SecurID等认证方式。
(6)冗余设计:
VPN设备可提供冗余机制,保证链路和设备的可靠性。
在中心节点VPN核心设备提供冗余CPU、冗余电源的硬件冗余设计。
而在链路发生故障时,VPN交换机支持静态隧道故障恢复功能,其安全IP服务网关可以在多条路由选择路径以及多个交换机之间实现负载均衡。
此外在连接时,VPN客户端会自动选择通讯列表中设置的本区域的骨干节点,当本区域节点故障时,自动依列表上的设置选择连接其他VP
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 Cisco 系统 企业 IPSecVpn 设计 实现 毕业设计 论文