VPN在企业网中的规划与实现-本科毕业论文.doc

《VPN在企业网中的规划与实现-本科毕业论文.doc》由会员分享，可在线阅读，更多相关《VPN在企业网中的规划与实现-本科毕业论文.doc（50页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、本 科 毕 业 论 文题目： VPN在企业网中的规划与实现 学院： 班级： 姓名： 吉九学 指导教师： 职称： 完成日期： 2016 年 5 月 23 日本科毕业论文摘 要当前互联网技术快速而高效的发展，通过电子商务进行办公成为各级单位和企业的办公方式，各个企业和政府都允许各自的分支机构访问自己的内部资源，以此来加强了解和方便办公。但是这一种信息交流使网络更加复杂,而且安全性也非常差,管理也不方便。目前比较主流且昂贵的组网方式有专线组网方式。它是通过同步数字体系将企业和政府单位连接到公用网络来实现点到点的通信。虽然这一种组网方式它的保密性比较强，独享带宽，传输快，不被其他信号干扰。但是花费太大

2、,许多企业不能负担起这么高的费用,但是花费太大,许多企业不能负担起这么高的费用,VPN技术是通过在互联网上建立自己的私有网络，换言之,就是在公网上虚拟出一条专网,这样既让服务质量得到保证,也提高了安全性和专用性,同时也节省了公司的开支。组建虚拟专用网是利用互联网的大量资源，为企业和政府的重要数据提供可用带宽传输数据。VPN的组网方式有两种可以分为点到点的虚拟网络和远程访问方式。当前比较主流的接入方式有IPSEC。在本论文中，通过对VPN技术的基本了解和配置，比较了几种不同的虚拟专用网配置方式和优缺点。对加密认证，密钥管理，身份认证技术加以实现和验证。当前配置环境是在微软2003操作系统上配置服

3、务器。通过在服务器添加用户名和密码，实现远程VPN访问。论文中也涉及了一部分电力系统中组建VPN的相关知识。当然本论文只是对企业中的VPN进行了简单的规划与实现，这与实际中的企业VPN来说，是远远不够的。但是通过在模拟环境下配置VPN，对企业VPN组网有了深入的了解。这对于以后在实际情况中组建VPN网络起到了很大的作用。关键词：企业；IPsecVPN；安全；数据加密- I -AbstractAt present, and high speed and rapid development of Internet technology in China. Office become units a

4、t all levels and enterprises through the electronic commerce in the office. Branch companies and the government will allow their access to their internal resources. In order to strengthen the understanding and convenience of office.But this kind of information exchange makes the network more complex

5、, and the security is also very poor, the management is not convenient. At present, there are more mainstream and cheaper way of networking. It is the communication enterprises and government units connected to the public network to achieve point-to-point through synchronous digital systemWhile this

6、 kind of network mode its confidentiality, exclusive bandwidth, transmission is fast, without the interference by other signals. But costs too much, many companies cant afford such a high cost.VPN technology is through the Internet to build their own private network, in other words, It is a virtual

7、private network bulided on the Internet, such already let the service quality guaranteed, also improves the security and specificity, but also save the companys expenses. Set up a virtual private network is to use a large number of data to use the Internet and video resources, for the enterprise and

8、 the governments important data provide the available bandwidth to transmit data. There are two main ways of VPN network can be divided into the point-to-point virtual network and remote access. Comparing the current mainstream way of accessing a IPSEC. In this paper, through the basic understanding

9、 of VPN technology and configuration, compared with several different virtual private network configuration and advantages and disadvantages. Encryption and authentication, key management, identity authentication technology to achieve and verify. The current configuration environment is configured o

10、n the Microsoft 2003 operating system. By adding a user name and password on the server to achieve remote VPN access. Paper also covered part of the power system in the form of VPN.of course, this paper carried on the simple to the enterprise VPN planning and implementation, it has to do with the en

11、terprise actual VPN, it is not enough. But through the VPN configuration in a simulated environment, to the enterprise VPN network have in-depth understanding. For the later set up VPN network in practice has played a big role.Key Words： company；IPsec VPN; security; data encryption- III -目 录摘 要IAbst

12、ract II引 言1第一章综 述21.1 VPN技术概述21.1.1 VPN的产生背景21.1.2 VPN的特点21.2 VPN的分类31.2.1 按VPN的业务类型划分31.2.2 按所用设备类型划分31.2.3 按VPN的业务类型划分31.3 VPN的相关技术及协议41.3.1 VPN关键技术41.3.2 VPN的基本协议5第二章 VPN方案设计112.1 IPsec VPN与SSL VPN的比较112.2 IPsec VPN简述112.2.1 IPsec VPN加密算法112.2.2 IPsec VPN安全服务132.3 IPsec VPN配置方式132.3.1 IPsec VPN端到

13、端132.3.2 IPsec VPN远程访问14第三章 VPN网络设计方案与实现153.1 项目背景153.2 需求分析153.3 解决方案153.4 网络设计图163.5 拓扑图设计163.5.1 设备描述173.5.2地址规划173.5.3VLAN规划183.5.4VTP协议规划183.5.5拓扑图配置18第四章 WindowsServer2003下VPN的配置264.1启动服务264.2配置服务264.3测试配置29第五章 VPN在电力系统中的应用简述32结论.34致谢35参考文献36附录A设备配置代码37引 言随着企业和政府对业务拓展的需求,各国和企业为了加强了解和互动,建立了海外分支

14、机构,这样就导致通信量急剧扩大,相互之间的资源共享和信息交流成为非常重要的手段,鉴于以上这些情况, 我们急需一种技术，需要很快速，非常安全，且稳定的实现内部网络和外部网络的连接。虚拟专用网络是可以很好的解决这些问题。VPN通过互联网建立私有隧道，允许远程办公人员接入公司内网，并且提供端到端的通信安全。VPN组网是对企业内部网络的扩展，通过它可以让企业分支机构和总部建立可信任的安全连接。当前企业VPN采用的大多都是IPsec VPN，这种组网比较简单，也很方便在现有设备上即可配置。本论文主要是对企业VPN规划和如何实现，在实验中我们采用的是思科的路由器来配置VPN的相关服务，这些服务包括加密，配

15、置交换集，感兴趣流等服务。这是在设备这一层次上，创建的虚拟专用网，除了它之外还有一种是在操作系统上实现虚拟专网。主要是在微软2003上配置虚拟专用网服务器。需要解决的是保证两台主机之间的网络是互通的，可以通过将两台主机的地址配置成同一网段来实现。通过思科模拟器创建了一个仿真平台，实现总公司与分支机构的VPN网络连接。VPN技术加快了企业信息化建设的步伐，使得公司可以将分布在全国各地的分公司零距离连接。实现虚拟现场办公。VPN技术推动了企业的快速发展。- 43 -第一章 综 述1.1 VPN技术概述 VPN（虚拟专用网）技术是一种建立在公共网络上的一条隧道，我们可以把它想象成一条公路上划分了多条

16、车道，每条车道是不会相互影响各自运行的。它实现了不同网络组件之间资源的相互连接。VPN（虚拟专用网）是在互联网的基础之上建立连接，而且它在逻辑上等同与在广域网上建立连接。虚拟专用网是一种在物理上虚拟出的一条线路，对于使用者来说就像是一条专线上网，使用者的感觉就好比是使用了一条专线连接到了企业总部网络，来进行数据传输。VPN允许远程用户，企业分支机构使用互联网等公共网络设施建立数据传输通道，以便更加安全的通信。当前远程接入通信量越来越大，企业全球化日益扩大，公司员工需要访问企业内部资源，企业之间也要进行有效且安全的通讯，VPN技术可以很好的解决以上问题。它建立在公共互联网上，用户体验也是极佳。1

17、.1.1 VPN的产生背景 随着当今社会信息化的高速发展,IT技术越来越多的影响现代企业和政府的办事流程,例如企业视频会议,政府远程电话会议,IP语音电话等,为企业和政府的自动化办公和获取信息提供了方便。每一个大公司的合作伙伴也逐渐增多，公司员工在外办公也渐渐增多。这就使得企业需要借助互联网连接总部和分公司,组件自己的私有网络,同时也为移动办公人员在外办公提供方便。由于传统专网建设时间偏长，建设成本太高，难以管理和控制，虽然一些新技术也应用在网络中，但由于网络建设成本高，已经不能满足当前互联网对于速率的要求，而且部署过于复杂，由于以上这些原因，VPN技术应运而生，原有传统网络不能满足企业和政府

18、的需要，尤其是在经济性和安全方面远远不能满足，以促使企业效益日益增长，VPN是依靠互联网服务提供商和网络提供商在公共网络上建立虚拟专用通道。1.1.2 VPN的特点VPN特点：安全方面，VPN（虚拟专用网）在互联网上建立一条企业专用隧道，对发送的数据采取加密方式，来保证数据完整性。虚拟性：VPN网络不是一条实际存在的线路，而是在现有网络的基础上通过配置而形成的一种逻辑上的网络。 灵活性：互联网和私有网的任何类型的数据都可以通过。保证服务质量：VPN可以为不同的服务提供专属于该服务的质量保障。易管理性：VPN管理角度有用户和运营商。 专用性：对VPN的使用者来说，它与专用网没有任何的差别。VPN

19、网络与底部的网络之间始终是独立关系，也就是说，非法用户不能获取企业资源，它能够保障数据安全和完整性。 VPN技术是一种将公用网络逻辑划分出一条虚拟通道的路由策略，这一种逻辑划分的网络应用是非常丰富的，不仅可以解决企业内部的互联，不同办事部门的互联，也可以提供新的业务需求。1.2 VPN的分类1.2.1 按VPN的业务类型划分我们依据虚拟专网的服务体系来划分可以分为三大类：（1）接入VPN：它是一种远程访问网络模型，是企业员工通过公用网来访问企业内部网络的方式。（2）内联网：这是公司总部与分支机构通过公用网络搭建的虚拟网，它是一种点到点的方式连接起来所组成的虚拟专用网。（3）外联网：这是不同的企

20、业建立的虚拟网。它是一种不对等的网络连接方式。1.2.2 按所用设备类型划分网络设备提供商根据客户不同的需要来制造与客户相符合的设备，其主要分为思科路由器，思科防火墙，和思科交换机。（1） 路由式：主要是在路由器上配置VPN的相关服务即可。（2） 交换机式：主要是为不同用户所设计。（3） 防火墙式：这是一种非常常见的实现方式，许多网络设备制造厂商都提供这种配置。1.2.3 按VPN的业务类型划分 当前，主流的VPN技术主要有IPsecVPN，MPLSVPN，SSLVPN等技术。网络层的VPN技术是一个非常安全，开放的安全协议，他提供了如何在开放式的网络环境下如何保证数据传输安全。它是工作在网络

21、层，为数据传输提供了安全机制，它采取的方式是对发送的数据进行机密，并且在接收方进行身份认证，网络层VPN技术有两种模式，一是传输模式，它隐藏了路由信息，并期望提供端到端的网络安全。另一种是隧道模式，主要是将数据包封装在IP帧传输数据。 SSL VPN通过TCP传输协议为上层的数据提供封装，加密等功能。它是一种在互联网上保障信息安全收发是技术。它为客户提供了服务器的认证方式，客户认证，数据传输完整性保证，SSL VPN技术处于TCP协议与各种应用层协议之间。当前，SSL VPN也被广泛应用在各种浏览器中，用户通过利用浏览器内部的SSL封装包处理数据，用浏览器连接公司内网的VPN服务器，通过网络封

22、包转向方式，让客户计算机读取公司内网上的资源。 MPLS VPN（多协议标签交换）主干有两个组成部分：存储在提供商边缘路由器中的客户路由选择和转发以及用于传输客户数据流的底层机制。客户的数据分组到达入口服务提供商边缘路由器时，使用一个MPLS（VPN）标签对其进行封装，该标签对应于相应路由选择和转发表中的最佳路由。然而他通过一条标签交换路径被转发到一台出口服务提供商的边缘路由器。另外，也可以使用IP，GRE，以隧道方式通过非MPLS来传输MPLS VPN数据流。MPLS的优点，其中包括更紧密地集成IP和ATM，无需在核心路由器上使用BGP配置，支持VPN和流量工程等。1.3 VPN的相关技术及

23、协议1.3.1 VPN关键技术（1）隧道技术。在企业构建自己的VPN专用网络时，它的核心技术是如何在服务商提供的公用网络上构建适合于本企业的连接线路。企业虚拟专用网的建立基于隧道技术原理的，利用它是在网络层建立属于企业的数据传输隧道。当前虚拟专用网的连接方式主要是点到点的连接方式，这一种隧道是便于建立和维护的，对于用户来说是非常有用的。但对于企业用户来说数据传输是非常保密和严格的，这就使得的另外一层隧道技术产生，即IPinIP技术。相对于前一层隧道技术来讲，它的可容性和保障性有了明显的优化和提高，缺点是操作太过复杂、比较难理解。（2）身份认证技术。随着数据传输的安全性提高，数据的完整性要求越来

24、越高，为了保证数据不被篡改，认证技术应运而生，它就是要保证用户是否合法，数据是否完整，认证安全技术是通过散列函数作为基础，用它来实现数据报文格式的转变。由于散列函数的特性，在使用完这一媒介后没有同样的内容。在VPN中使用它就是对用户认证和数据完整性验证。（3）加密技术。各个企业之间传输数据需要保证数据的安全性，安全对于企业来说是非常重要的，采用VPN技术可以方便的解决这个问题，不需要重新购买其他与安全相关的设备，不仅节省了企业的开支，也保证了被传输数据的安全。VPN所采用的加密技术主要可以分为高级加密标准DES和三重高级加密标准3DES,加密基本思路是对传输的信息加密,，这样就使得非法用户不能

25、访问相关信息，以此对企业的敏感数据进行保护。DES加密方式对于加密要求不高的个人用户来说已经足够但对于对安全级别相对高的企业来说是远远不够的，三重高级加密标准是最好的选择，它的加密强度更高，可以传输企业敏感数据，此加密方案可以有效的保护用户的权益。（4）密钥管理技术。它的任务是保障用户密钥不被非法盗取。给用户分配密钥时要保证安全并且合理的分配密钥。1.3.2 VPN的基本协议VPN方案可以支持的基本协议有PPTP（点对点隧道协议）和L2TP(第二层隧道协议)，这些协议可以满足各种需求，又能够更大范围的利用国际互联网。点对点隧道协议是工作在第二层的支持多协议虚拟专用网络的技术，远程用户可以通过W

26、INDOWS2003，WINDOWS7等操作系统通过互联网连接到公司网络。由于思科的设备不支持强制隧道模式的PPTP，因此我们只讨论自发隧道模式。与强制隧道模式不同的是，自发模式是由远程接入用户发起的。在这种运行模式下，远程接入客户充当了PNS，他建立了一条直接到PAC的隧道。PPTP提供了不同的通信通道，主要是为远程访问客户机提供服务。（1）控制连接/信道：控制连接用于在远程接入客户/PAS和PAC之间交换控制信息。这些控制消息用于建立并且终止与客户的会话，还有存活期，错误报告和一些配置参数。（2）用户隧道模式：它的主要作用是在客户机之间发送点对点的数据帧。在强制隧道模式下，可以通过该隧道多

27、路复用多个用户PPP会话；然而，在自发隧道模式下，只允许有一个会话在隧道里通信。主要是通过隧道在PNS和PAC之间建立用户的点对点会话，必须要建立控制信道。控制信道的建立是由远程接入客户通过一个目标端口1723的TCP连接发起的。根据RFC2637，该端口可以为任何未使用的端口。在远程接入客户/PNS和PAC之间建立控制信道后，远程接入客户/PNS便指出自己想建立一个客户会话。这是通过控制信道发送一条呼出请求（OCRQ）消息实现的。最初OCRQ被设计为在强制隧道模式下由PNS发送给PAC。顾名思义，其用途是命令PAC呼叫终端用户。在自发隧道模式下，远程客户机向PAC发送一条消息，提出想要在隧道

28、里建立一个会话在远程用户和PAC之间交换OCRQ和OCRP消息后，便进行PPP协商。（2）第二层隧道协议使用两种消息。控制消息：通信所需要的隧道和一些会话被创建，控制消息通过控制连接可靠的传输。相对于第二层隧道，只需要一条控制连接会话，而不管其包含多少个数据会话。数据消息：它用于在LAC和LNS之间传输PPP帧。每条PPP帧都是通过L2TP（第二层隧道传输）隧道当中一个独立的会话传输的。LAC和LNS之间的单条L2TP隧道可支持多条PPP连接，理论上为65535条。图1.1说明了LAC和LNS之间的控制连接和数据会话。图1.1 根据RFC2661，L2TP消息可以通过很多方式进行传输，包括UD

29、P，帧中继等。第二层隧道协议需要远程接收系统，并且建立控制连接，为了方便客户机之间转发数据帧。建立隧道的第一步就是要接收远程客户机的呼叫。之后通过验证机制对客户机的合法性进行验证，如果验证通过，则允许接入，反之，不允许连接。会话建立期间将有关协商和验证的信息传递给LNS。LAC将依据客户机的名称，和一些识别字符串或用户名，将这些信息建立连接。在隧道里建立会话的第一步是要建立连接，连接成功后所有的数据都通过该隧道发送。会话建立初始，首先就是要允许接入消息呼入，如果有足够的硬件资源，并且允许建立连接LNS将利用呼入应答来接受请求消息。然后发送一条消息来响应当前的操作，这一条消息说明正在处理会话的建

30、立过程，如果一直没有别的消息发送，则发送一条确认消息。建立会话的时候交换的消息不包括会话序号，呼号和主叫号以及验证消息。1.4 VPN的实现原理在网络安全中，保证网络层的数据安全一直是一个非常关注的领域。不管是在互联网还是在企业局域网，都有一些网络攻击是不能抵御的，对于一个企业局域网来说，这一种攻击可能是来自于外部非法用户的入侵，也可能来自内部人员的入侵。但是不管是哪一种入侵方式，都将使企业受到很大的损失。单单依靠口令来防止非法用户访问已经不能满足当前的需要。首先列举几种常用的攻击方式，正常情况下，大多数网络传输数据都是以明文的方式传输。这样的话就很容易受到攻击，只要是有一种方式能够获取该数据

31、流，就很容易解读该数据流所包含的信息。不能更改和破坏数据，但是很容易导致用户的信息外泄，导致数据安全问题不断。对于大多数企业和政府来说一种窃听行为已经成为很大的安全问题。攻击者得到数据后，首先想到的就是要修改数据，这一种方式不会让发送者和接受者感觉到。作为通信的客户，他所拥有的数据时非常机密的的，没有人想让自己的数据被破坏。身份欺骗方式是一种修改本地主机网络地址的方式。这样的话可以获取正常的数据。口令攻击方式是通过非法手段获取用户的用户名和密码。然后通过这些信息进入客户内部网络。IPSEC是一种安全协议，它是为了避免网络层的数据遭到窃听，可以有效的抵抗攻击。它的主要方向是保护网络层的数据安全，

32、提供网络攻击防御。IPSEC防护是基于特定的数据流来实现加密传输这一种加密方法的接收端和发送端都负责相应的数据加解密。我们都知道，网络攻击很容易使系统遭到破坏，导致数据外泄，所以数据必须加强保护，以防止被修改，窃听。常用的保护方式主要是在外部的网管设备上配置保护策略，但这一种方式只是防护外部的攻击，它并不能防范内部的攻击。IPsec采用的是点到点的加密模式，工作原理是。用户的数据都是通过加密传输的，数据包通过加密函数对数据重新编码。在接收端对加密数据解码。IPsec对数据流加密，这种方式非常方便和灵活，也提高了数据包的安全。通过这种方式可以有效的防止网络攻击。IPsec加密的数据很难破解，根据

33、不同级别的保密要求，在它的策略中可以根据不同的等级配置不同的密码强度。使用它可以明显的减少网络攻击。第三层的保护方式几乎不需要其他额外的支出就可以实现安全方式。在现有的操作系统上无需要做更改，安全策略就可以在主机上实现管理。IPsec策略在ISO/OSI参考模型的第三层上实施安全策略，它的范围包括了所有IP协议和上层协议，还有网络层发送的自定义协议。这一层的安全防护不需要对系统本身做相关的修改。IPsec协议基本类型IPsec包含数据加密和用户认证两种机制。认证机制是为了确认发送方的真实身份。加密数据的最终原因是保证数据的安全性，防止非法用户将数据篡改，将数据多次编码，ESP协议定义了加密和可

34、选择的认证方式。在实际的通信过程中，AH的解密和认证强度要高于ESP。（1）AH认证头协议结构AH协议是为数据通信提供了源地址认证，数据完整性检测，以及重放校验，它的目的是保证数据不被非法修改，如果有非法接入者窃听是不能防止的。它只是适合传输一些保密要求较低的数据，原理很简单，只是在数据包头部添加一个报头，但它是带了一个密钥，所发送和接收的数据包计算，如果有一个字母被修改，它将变为无效数据包，这样做的目的就是要保障数据完整性，认证报头的位置处于报头和传输层协议中间。认证头处于报头和传输层协议之间，如图1.2所示。图1.2AH报头字段包含：下一个报头：它的作用是标识出下一个协议的数据报头文件。长

35、度：主要描述AH报头的长度。安全索引参数：它的作用是给数据包提供一种方法如图1.3所示，AH报头的位置处于IP数据报头的后边，它的目的是为了保证数据完整性不被破坏。如果一些可变的值发生变化，就在完整性检查时去掉这些字段的值。图1.3(2) ESP安全封装层：安全封装层是保证数据完整性，为数据加密和用户身份验证提供必要的信息。也可以和安全认证头一起使用，如图1.4所示。图1.4ESP报头字段包括： 安全参数索引：数据包安全关联的方法是它提供的。 序列号：唯一的标识一个数据包，防止数据包重放。 扩展位长度：用户接收端通过根据它的长度来取消数据中的相对应的扩展位。下一个报头：用户主机识别出下一个数据

36、包。主要是TCP和UDP。认证数据：主要是为了确保数据的完整性，如图1.5所示。图1.5(3) 互联网密钥交换(IKE) 两台使用网络层安全协议的计算机在交换数据时，需要在它们之间计算机需要交换数据时，在计算机之间建立一种约束条件，它也被称为安全关联。它的目的是为了让计算机之间约定如何保护数据，密钥长度是否一致，采用的安全策略是否一致，最重要的是他们之间要安全的交换一套变化的密钥，使它们在连接中使用。如图1.6所示.图1.6互联网工作任务组制定了一些安全关联法案和一些密钥管理解决方案，它是目的是为了给计算机之间传输数据并加密提供相关的标准，对于他们之间的数据协议要重新编码，规定他们之间的算法是

37、哪一种，和长度是多少。还有采用哪一种加密方法。互联网交换密钥协议主要有两个作用：减少用户客户机的连接时间，方便安全管理。生产密钥和管理分配密钥。第二章 VPN方案设计2.1 IPsec VPN与SSL VPN的异同IPsec和SSLVPN技术可以访问多种应用平台和资源。SSLVPN具有多种特性，比如通过非公司管理的桌面可以进行轻松连接，不需要对软件进行维护或者说只需要少量维护，登陆后显示用户自定义的web门户。IPsec VPN在许多重要方面优于SSL例如支持的应用程序的数量；加密的强度；身份验证的强度；整体安全性。如果需要考虑安全性，那么IPsec将是最好的选择。如果考虑是否方便部署，则应当

38、使用SSLVPN。其实他们两者是相互互补的，主要原因是他们解决的是不同的问题。根据企业的需要，可以考录部署一种或同事部署两种方案。这种方法可以使设备处理所有访问用户的要求。许多解决方案都可以使用IPsec或SSLVPN，思科的远程访问方式可以提供两种方案，将两种方案集成到一个平台上。进行统一的管理。思科设备同时使用两种技术来配置属于自己的VPN策略。而且丝毫不会增加其他硬件。SSL主要是基于应用程序的安全传输，文件共享方式，发送电子邮件，加密强度相对高，密钥长度最低是40位，最高是256位，常用单向或者双向的身份验证，连接的复杂性相对较低，所有在客户端使用浏览器的设备和客户端都可以连接，安全性

39、也是高一些。IPsec的应用程序时基于所有IP的应用程序，加密强度较强，密钥长度为56256位，使用共享密钥或数字证书的双向身份验证，连接复杂性为中，只有具有特定配置的特点设备可以连接。2.2 IPsec VPN简述 IPsec VPN用于保护IP通信的协议簇，可以为企业用户提供数据加密功能，数据完整性和身份验证。2.2.1 IPsec VPN加密算法安全程度取决于加密算法的密钥长度。当密钥长度增加时，破解密码就变得更加困难。但是在加密和解密数据时，密钥越长，需要的处理器资源越多。加密算法包括数据加密标准算法和三重数据加密算法两种。DES和3DES目前已经被破解，所以不太安全；因此建议使用高级

40、加密标准（AES）进行IPsec加密。AES256位选项可为思科设备之间VPN的IPsec加密提供最高安全性。此外，由于512位和768位RSA密钥已经被破解，因此思科建议在IKE身份验证阶段使用具有RSA选项的2048位密钥。对称加密方式加密算法需要使用同一个密钥来加密和解密，两台设备必须知道同一个密钥才能解密信息。使用对称加密方式时，每一台设备先加密信息，然后将加密信息发送到另一台设备，对称加密需要在每一台设备上配置相同密钥才能够使一些设备通信。如图2.1所示。图2.1非对称加密方式：非对称加密方式在加密和解密时使用不同的密钥。即使是非法接入者获得了一个密钥，他也不能通过这一个密钥来计算出

41、另一个密钥，用户的公钥和私钥都可以加密和解密，两种方式都有它的优点。如图2.2所示。图2.2公钥加密是非对称加密的一个变体，它将私钥和公钥组合使用。接收端使用发送端的公钥加密，发送端使用接收端的公钥加密，用各自的私钥解密，而且密钥的选择为客户提供了不同的安全需要。2.2.2 IPsec VPN安全服务VPN具有机密性：实施的时候，私有数据通过公共网络传输。所以数据的机密性非常重要。这种情况可以通过加密要发送的数据来解决。这种模式可以理解为在一台计算机上将数据重新编码，然后再另一台计算机上解码的过程，如果数据在传输过程中被不法分子截获，是不能读取其内容，要想提供更强的安全级别，需要强加密算法。V

42、PN具有保护数据完整性：数据接收方可以检验通过互联网传输过来的数据是否没有以任何方式更改过。IPsec通过使用一种简单的冗余检查，即校验和，来保证数据的完整性。数据在公共网络中加密传输很重要，但也要保证数据不被修改，IPsec可以解决此问题，如果检验到数据遭到篡改，则丢弃数据包。VPN具有身份验证功能：检查数据来源。对于防止欺骗发送方的身份而进行攻击是非常必要的。IPsec使用IKE对独立通信的用户和相关设备进行身份验证。它采用了几种身份验证方式，主要有用户名和密码验证，预共享密钥，指纹，声音以及数字认证方式。 VPN具有反重放保护：可以检测并拒绝重放的数据包以防止被欺骗。它是通过比较已经接收

43、的数据包的序列号和目标主机的滑动窗口，从而保护数据包。延迟和重复的数据包检测数来后将会被丢弃。2.3 IPsec VPN配置方式 VPN的配置方式主要包括端到端的访问方式，这种方式需要保护特定的数据流量。另外一种是简单虚拟局域网访问即思科easyVPN配置方式，这样就需要把出口设备配置为服务器模式。端到端方式配置时需要在企业的出口网关上配置VPN的相关策略，这样才能保证发送的数据是被加密的。而远程访问方式需要配置VPN服务器，然后在客户端登陆账号来实现访问内部网络。2.3.1 IPsec VPN端到端通过在公司对端路由器配置相关策略实现，主要有配置IKE策略，IPsec参数，感兴趣流。在配置I

44、Psec之前，首先要保证网络是通畅的，在主机默认情况下，IKE策略处于开启的状态，在全局状态下，默认对所有的端口启用。如果不希望使用一个端口使用策略，就可以用访问控制列表来阻断该端口。创建IKE策略集policy。使用共享秘钥身份验证。配置IPsec交换集，用ACL定义需要保护的流量，两端都要配置对称的ACL，创建crypto map。应用加密映射表到路由器端口上，如下图2.3所示。图2.32.3.2 IPsec VPN远程访问远程访问解决方案由服务器和客户端这两个组件组成。我们使用的是思科VPN server能够使移动办公人员通过其PC上的VPN客户端创建安全的隧道访问公司的内网，如下图所示

45、。图2.4服务器可以使用思科路由器和ASA防火墙任意一台设备实现。远程办公室使用思科easyVPN实现。第三章 VPN网络设计方案与实现3.1 项目背景 随着中国经济近些年高速而平稳的发展，国内保险和金融行业快速发展，加上国内民众对金融和保险意识的提高，互联网在市场上所占的份额日益扩大，这一情况也加速了国内和国外许多保险公司之间的竞争，国内保险企业面临的压力越来越大，如何更好的为客户服务，如何在业务上取得更大的突破，如何迅速的占领市场，已经成为保险业思考的重点。保险企业大多数都认为除了自身的实力之外，企业信息化已成为重中之重。这意味着国内保险行业之间的竞争已经上升为信息化程度的竞争。随着保险业

46、信息化建设不断完善，越来越多的信息化建设项目在各个企业实施。信息化项目基本的一个要求就是要保证信息安全。众所周知，用户将大量个人信息储存在企业数据库，并且通过远程网络访问，安全性对于企业来说是至关重要的，它所涉及的大量数据，关系到国计民生，在允许普通用户访问的同时，还要防范外来的攻击，不正当操作。如果这些数据遭到篡改和删除，可想而知，这是多么大的损失。由于互联网的快速发展，导致安全问题频发。如何在信息化建设之初，规划出一整套安全防护体系，在开放的网络中安全的传输信息，已经成为保险行业面临的一件大事。3.2 需求分析(1)稳定性：由于保险企业分支机构太多，地域分散，故对网络平台的稳定性要求就比较

47、高。尤其是公司总部出口网关要汇集各个分公司的数据流量，所以需要保障平台的稳定性。(2)安全性：保险业的业务都与金钱有关，被攻击的可能性同比其他行业要高出许多，对操作系统的安全性要求也就更高。在保证公司内部网路安全，防止非法访问和免受攻击的同时，也要确保数据传输完整性和保密性。(3)专线价格偏高：保险公司是一个采用一个树状网络结构，跨区域的大型金融企业。公司与分支机构采用多级结构，如果租用专线，费用过高，而且扩展性差。(4)即时性：公司内部数据包要防止延迟，所有数据都是实时变化。3.3 解决方案 本论文讨论的是金融保险行业的VPN配置，这些行业对于网络实时性要求高，公司的出口网关，一般是由路由器来担任。它需要汇聚大量的数据。在模拟器中通过路由器模拟网关，将其配置为VPN服务器，它的配置相对难一些。为了防备设备出现故障，我们采用双机备份，