关于虚拟专用网络运用的研究.doc

关于虚拟专用网络运用的研究与运用 摘要：虚拟专用网络（VPN）作为目前网络安全的重要分支一直都是热门的研究和运用对象。本文比较目前虚拟专用网络在实际应用中的3种类型，分析虚拟专用网络的优缺点，详细讲解了基于因特网通过路由器建立VPN的过程以及客户端进入VPN的配置。 关键词：VPN;网络安全;路由器， 引言 虚拟专用网络（VPN）是企业网通过公共网络（一般指因特网）的延伸。公共网是一个共享的公共资源，因此在两点数据传输时并不能保证数据的安全，要想安全的连接网络的两个接入点，这就必须要确保接入点均获得了认证，虚拟专用网络通过认证和加密建立了安全连接。它在公共网络建立起来的一条安全、稳定的隧道来连接各远程的分支网络和远程用户，构成一个扩展的企业网，该网络的所有主机都如同处于一个网络之中。对企业来说虚拟专用网络不仅有助于减少用于远程网络连接上的费用，提高信息在网络传输中的安全性，而且有助于优化网络布局和管理，便于快速扩展新的分支和用户，为企业网络的发展节约了资金和时间。正是基由众多优点，虚拟专用网络的到了广大企业青睐得以快速推广开来。虚拟专用网络的运用越来越频繁，如何建立虚拟专用网络成为目前网络工程的热点问题。 1. VPN的网络模型 1.1虚拟租用线路（vll）：用户只要使用点到点的连接设备两个接入设备，通过接入设备和isp节点进行连接。 1.2虚拟专用路由网络。通过公网的ip进行专用网的模拟，它是基于网络层的数据转发。这种模式加大了组网的灵活性，可以更大范围的组网。 1.3虚拟专用拨号网，该模式允许远端用户按需接入另一个网络的某个站点，该网络的关键特性是对接入的用户进行身份认证。 2.VPN的解决方案 VPN有三种解决方案。一般根据实际情况和需求进行选择。这三种解决方案分别是远程访问虚拟网（Access VPN）、内部虚拟网（Intranet VPN）和扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络、内部网络以及企业和合作伙伴的网络所构成的扩展网相对应。 2.1远程访问虚拟网（Access VPN），通过拨入当地的isp进入公网在连接企业的VPN网关，在用户和VPN网关建立一个相对安全的隧道，通过该隧道安全的远程访问内部网络。其网络结构如图1所示： 图1 2.2远程访问虚拟网（Intranet VPN）为解决企业分支互联而使用的VPN组网方式。两个分支网络必须各自使用一个VPN网关，这样两个分支网络通过通过网关建立起了一个加密VPN隧道。两个分支网络的访问就如同在一个网络中一样。其总体结构如图2所示： 图2 2.3 Extranet VPN也是基于网关对网关的VPN，其实质是对Intranet VPN的增强以满足各不同分支网络的访问。其总体结构如图3所示： 图3 3．架设VPN的优缺点 3．1 vpn优点分析 3.1.1 减少网络成本支出 VPN是利用了现有因特网等公共网络资源为用户创建的安全隧道，不需要架设专门的线路，而专门线路费用通常贵于因特网的费用。如果采用远程拨号进入内部网络，其按时计费也是十分昂贵的。而采用vpn技术只需要联入当地因特网就可以安全访问内部网络，不用额外付费。 3.1.2便于网络的扩展 如果采用专线连接，实施起来比较麻烦，随着规模的不断扩大网络结构越来复杂，不断的要修改网络甚至购买新的网络设备。如果采用vpn只是在接入点架设VPN设备即可利用因特网建立安全的隧道。如果有新的外部分支要加入，只需给新的分支网络配备VPN设备，原有内部网络不需要做任何修改。 3.1.3网络安全的保证 VPN中可使用加密认证技术在远程的内部网络之间建立隧道，能够保证通信数据的机密性和完整性，保证信息不泄漏或暴露给未授权的用户。 3．2 vpn缺点分析 3.2.1 VPN扩展了机构的安全边界，将远程的网络包括其中。远程接入网络的安全性的强弱成为整个网络的瓶颈，如果远程支点网络安全性较薄弱，那么vpn可能会是一个入侵者的突破口，因此，需要严格的策略和审计功能，以保证机构的整体安全。当两个部门使用vpn接入网络时，每一网点的安全策略都是十分重要的。两个部门都要对用户的的访问做不同的限制以减少安全风险，而这个过程需要花费大量的时间和工作量的。 3.2.2传输数据的处理量超过VPN设备处理的最大负载将导致数据的丢失和延时。较之于普通线路vpn设备对网络中的数据实施了加密解密工作，因此对数据的处理要求远高于普通线路。但随这技术的发展VPN设备的处理能力会越来越强，此类问题会逐渐消失。 3.2.3内部网络的扩张导致所使用的私有ip地址冲突或者ip不够用。当两个内部网络通过vpn连接时，一旦使用的私有ip段相同就有可能会出现地址冲突，要解决此类情况只有重新设计内部网络地址，或者做其他处理如启用NAT等来解决问题。 4. 基于L2TP下的vpn实现 4.1 L2TP协议是由IETF起草，微软、Ascend、Cisco、3COM等公司参予制定的二层隧道协议，它结合了PPTP和L2F两种二层隧道协议的优点，为众多公司所接受，已经成为IETF有关2层通道协议的工业标准，基于微软的点对点隧道协议 (PPTP)和思科2层转发协议(L2F)之上的，被一个因特网服务提供商和公司使用使这个虚拟私有网络的操作能够通过因特网。 一般使用L2TP来实现Access VPN 4.2在企业端配置L2TP。 (config)#username cisco password 0 cisco (config)#vpdn enable (config)#vpdn-group myl2tp (config-vpdn)#accept-dialin (config-vpdn-acc-in)#protocol l2tp (config-vpdn-acc-in)#virtual-template 1 (config-vpdn-acc-in)#exit (config-vpdn)#no l2tp tunnel authentication (config)#interface Virtual-Template1 (config-if)#ip unnumbered FastEthernet0/0 (config-if)#encapsulation ppp (config-if)#peer default ip address pool l2tp-user (config-if)#ppp authentication chap (config)#ip local pool l2tp-user 10.10.1.50 10.10.1.59 4.3、Windows客户端设置。 Windows2000/xp/2003的L2TP缺省启动证书方式的IPSEC，因此必须向Windows添加 ProhibitIpSec 注册表值，以防止创建用于 L2TP/IPSec 通信的自动筛选器。 ProhibitIpSec 注册表值设置为 1 时，基于 Windows 2000 的计算机不会创建使用 CA 身份验证的自动筛选器，而是检查本地 IPSec 策略或 Active Directory IPSec 策略。 要向Windows添加 ProhibitIpSec 注册表值，请按照下列步骤操作： (1). 单击“开始”，单击“运行”，键入 regedit，然后单击“确定”。 (2). 找到下面的注册表子项，然后单击它： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters (3). 在该项中新建一个“DWORD值”。 (4). 将该值名称修改为“ProhibitIpSec”。 (5). 双击该值，将Value data修改为“1”， 然后单击“确定”。 (6). 退出注册表编辑器，然后重新启动计算机。 5.基于ipsec协议下的vpn实现 5.1 IPSec : IPsec(缩写IP Security)是保护IP协议安全通信的标准，它主要对IP协议分组进行加密和认证。 IPsec作为一个协议族（即一系列相互关联的协议）由以下部分组成：(1)保护分组流的协议；(2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部 加密分组流的封装安全载荷（ESP）及较少使用的认证头（AH），认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，IKE协议是唯一已经制定的密钥交换协议。 5.2以Intranet VPN为模型通过ipsec实现网络安全，进行网络配置（网络拓扑图如图4所示），使用思科路由器配置 图4 总部路由器配置 crypto isakmp policy 1        ;配置IKE 策略1 authentication pre-share     ；IKE 策略1验证方法设为pre-share group 2       ；1024-bit Diffie-Hellman，加密算法未设置则取缺省值：DES crypto isakmp key test123 address 202.96.1.2  ；设置Pre-share密钥为test123,此值两端需一致 crypto ipsec transform-set VPNtag ah-md5-hmac esp-des ；设置AH散列算法为md5 ，   ESP加密算法为DES。 crypto map VPNdemo 10 ipsec-isakmp     ；定义crypto map set peer 202.96.1.2           ；设置隧道对端IP地址 set transform-set VPNtag    ；设置隧道AH及ESP，  match address 101           ； interface Tunnel0          ；定义隧道接口 ip address 192.168.1.1 255.255.255.0 ；隧道端口IP地址 no ip directed-broadcast tunnel source 202.96.1.1         ;隧道源端地址 tunnel destination 202.96.1.2    ；隧道目的端地址 crypto map VPNdemo          ；应用VPNdemo 于此接口 interface Serial0/0 ip address 202.96.1.1 255.255.255.252  ；串口的Internet IP地址 no ip directed-broadcast crypto map VPNdemo             ；应用VPNdemo 于串口 interface Ethernet0/1 ip address 168.1.1.1 255.255.255.0   ；外部端口IP地址 no ip directed-broadcast interface Ethernet0/0   ip address 172.22.1.100 255.255.255.0   ； 内部端口IP地址 no ip directed-broadcast ip classless ip route 0.0.0.0 0.0.0.0 202.96.1.2   ；缺省路由 ip route 172.22.2.0 255.255.0.0 192.168.1.2  ； 到内网静态路由（经过隧道） access-list 101 permit gre host 202.96.1.1 host 202.96.1.2  ；定义存取列表 分部路由器配置 crypto isakmp policy 1        authentication pre-share     group 2        crypto isakmp key test123 address 202.96.1.2  crypto ipsec transform-set VPNtag ah-md5-hmac esp-des crypto map VPNdemo 10 ipsec-isakmp     set peer 202.96.1.2           set transform-set VPNtag     match address 101           interface Tunnel0          ip address 192.168.1.2 255.255.255.0 no ip directed-broadcast tunnel source serial0/0         tunnel destination 202.96.1.1    crypto map VPNdemo           interface Serial0/0 ip address 202.96.1.1 255.255.255.252  no ip directed-broadcast crypto map VPNdemo             interface Ethernet0/1 ip address 167.1.1.1 255.255.255.0   no ip directed-broadcast interface Ethernet0/0   ip address 172.22.1.100 255.255.255.0   no ip directed-broadcast ip classless ip route 0.0.0.0 0.0.0.0 202.96.1.1    ip route 172.22.2.0 255.255.0.0 192.168.1.1  access-list 101 permit gre host 202.96.1.2 host 202.96.1.1  4.总结 本文分析了vpn网络的特点以及相关网络模型后，基于思科路由器根据实际运用中给出了配置方法。文中介绍了该项技术的总体框架，并详细探讨了其设计与实现思路。对实际VPN网络的组建有很强的参考价值。 参考文献 1、谢希仁 计算机网络 清华大学出版社 2、徐邦海 TCP/IP协议族第三版 清华大学出版社 3、张公忠 现代网络技术教程 电子工业出版社 4、赵安军 常春藤 网络安全技术与应用 邮电出版社 5、雷震甲 网络工程师教程 清华大学出版社