基于Ipsec隧道协议的vpn解决方案研究7.doc
《基于Ipsec隧道协议的vpn解决方案研究7.doc》由会员分享,可在线阅读,更多相关《基于Ipsec隧道协议的vpn解决方案研究7.doc(15页珍藏版)》请在咨信网上搜索。
1、计算机学院网络工程课程设计 题 目基于IPSEC的VPN解决方案研究学 号000000姓 名000000系 部000000年级专业班级000000指导教师、职称000000基于Ipsec隧道协议的vpn解决方案研究摘要摘要 目前,TCP/IP几乎是所有网络通信的基础,而IP本身是没有提供“安全”的,在传输过程中,IP包可以被伪造、篡改或者窥视。针对这些问题,IPSec可有效地保护IP数据报的安全,它提供了一种标准的、健壮的以及包容广泛的机制,可用它为IP及上层协议(如UDP和TCP)提供安全保证。 目前许多电信运营商采用IPSec隧道加密技术,在宽带业务的基础上推出主要针对商用客户的VPN新业
2、务,为商用客户既提供了高带宽低资费的企业网络联网服务,又提供了在公用网络上拥有私有VPN网络的数据传输安全保障服务,赢得了广大商用客户的青睐。本文将研究IPSec体系结构、技术原理和VPN基本技术,分析了IPSec VPN的主要实现方式. 关键词 IPsec vpn 加密 隧道 安全绪 论3第一章、vpn简介51、定义52、分类5(1)按VPN的协议分类5(2) 按VPN的应用分类:5(3) 按所用的设备类型进行分类:5第二章、ipsec vpn61、简介62、IPsec AH(认证头协议)63、IPsec ESP:封装安全负载74、 IPsec IKE( 密钥交换协议)85、IPsec IS
3、AKMP(安全连接和密钥管理协议)96、优缺点:106.1优点 (1)IPSec是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议; (2)IPSec技术中,客户端至站点(client-to-site)、站点对站点(site-to-site)、客户端至客户端(client-to-client)连接所使用的技术是完全相同的; (3)IPSec VPN网关一般整合了网络防火墙的功能; 6.2不足 (1) IPSec VPN需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的客户端程序; (2)IPSec VPN的连接性会受到网络地址转换(NAT)的影响,或受网关
4、代理设备(proxy)的影响; (3)IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置复杂。107、IPSEC的运行模式117.1隧道模式(Tunneling Mode)117.2传送模式(Transport Mode)11基本协议模块:13第三章、ipsec vpn案例14总 结15绪 论随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机
5、应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。网络安全问题伴随着网络的产生而产生,可以说,有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件,目前主要是通过网络进行的,而且几乎每时每刻都在发生,遍及全球。除此之外,像恶意软件入侵、攻击,用户的非法访问和操作,用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害,相信我们每个计算机用户都或多或少
6、地亲身体验过一些:轻则使电脑系统运行不正常,重则使整个计算机系统中的磁盘数据全部覆灭,甚至导致磁盘、计算机等硬件的损坏。为了防范这些网络安全事故的发生,每个计算机用户,特别是企业网络用户,必须采取足够的安全防范措施,甚至可以说要在利益均衡情况下不惜一切代价。但要注意,企业网络安全策略的实施是一项系统工程,它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁,又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视,不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的,而许多安全措施都是相辅相成的。第一章、vpn简介1、定义虚拟专用网络(Virtua
7、l Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。2、分类(1)按VPN的协议分类 VPN的隧道协议主要有三种,PPTP,L2TP和IPSec,
8、其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议,也是最常见的协议。L2TP和IPSec配合使用是目前性能最好,应用最广泛的一种。 (2) 按VPN的应用分类: 1) Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN的数据流量; 2)Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源; 3) Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接; (3) 按所用的设备类型进行分类: 网络设备提供商
9、针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机,路由器,和防火墙 1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可; 2)交换机式VPN:主要应用于连接用户较少的VPN网络; 3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型图1虚拟专用网络模型:第二章、ipsec vpn1、简介Internet 协议安全性 (IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。Microsoft® Windows®2000、Windo
10、ws XP 和 Windows Server 2003家族实施 IPSec 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发的标准。2、IPsec AH(认证头协议)IPsec AH(IPsec AH:IPsec Authentication Header)认证头协议是 IPsec 体系结构中的一种主要协议。(如图1-3所示)它为IP数据报提供无连接完整性与数据源认证,并提供保护以避免重播情况。一旦建立安全连接,接收方就可能会选择后一种服务。 AH 尽可能为IP头和上层协议数据提供足够多的认证。但是,在传输过程中某些 IP 头字段会发生变化,且发送方无法预测当数据包到
11、达接受端时此字段的值。 AH 并不能保护这种字段值。因此,AH提供给IP头的保护有些是零碎的。 AH 可被独立使用,或与 IP 封装安全负载(ESP)相结合使用,或通过使用隧道模式的嵌套方式。在通信主机与通信主机之间、通信安全网关与通信安全网关之间或安全网关与主机之间可以提供安全服务。 ESP 提供了相同的安全服务并提供了一种保密性(加密)服务,而ESP与AH各自提供的认证其根本区别在于它们的覆盖范围。特别地,不是由 ESP 封装的IP头字段则不受ESP保护。通常,当用与 IPv6时,AH出现在IPv6逐跳路由头之后IPv6目的选项之前。 而用于IPv4 时,AH跟随主IPv4头。 图2认证头
12、协议示意图:3、IPsec ESP:封装安全负载Psec ESP( IPsec Encapsulating Security Payload)封装安全负载是 IPsec 体系结构中的一种主要协议,其主要设计来在IPv4和IPv6中提供安全服务的混合应用。IPsec ESP通过加密需要保护的数据以及在 IPsec ESP 的数据部分放置这些加密的数据来提供机密性和完整性。根据用户安全要求,这个机制既可以用于加密一个传输层的段(如:TCP、UDP、ICMP、IGMP),也可以用于加密一整个的 IP 数据报。封装受保护数据是非常必要的,这样就可以为整个原始数据报提供机密性ESP头可以放置在IP头之后
13、、上层协议头之前(传送层),或者在被封装的IP头之前(隧道模式)。IANA分配给ESP一个协议数值 50,在ESP头前的协议头总是在“next head”字段(IPv6)或“协议”(IPv4)字段里包含该值50。ESP 包含一个非加密协议头,后面是加密数据。该加密数据既包括了受保护的ESP头字段也包括了受保护的用户数据,这个用户数据可以是整个IP数据报,也可以是IP的上层协议帧(如:TCP或UDP)。ESP 提供机密性、数据源认证、无连接的完整性、抗重播服务(一种部分序列完整性的形式) 和有限信息流机密性。所提供服务集由安全连接(SA)建立时选择的选项和实施的布置来决定,机密性的选择与所有其他
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 Ipsec 隧道 协议 vpn 解决方案 研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【胜****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【胜****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。