1、<p>　　虛擬專用網(wǎng)技術研究與實現(xiàn)</p><p>　　作 者 ***</p><p><b>　　指導教師 ***</b></p><p>　　摘要隨著Internet日新月益的發(fā)展，對信息基礎設施的要求越來越高，虛擬專用網(wǎng)技術顯得格外重要。本文首先介紹了虛擬專用網(wǎng)技術定義和研究意義，接著介紹了虛擬專用網(wǎng)技術的關鍵技術（

2、包括隧道技術、加解密認證技術等）以及實現(xiàn)虛擬專用網(wǎng)技術的主要協(xié)議如PPTP/L2TP協(xié)議、IPSet協(xié)議等的進行研究分析，最后從中選取一種虛擬專用網(wǎng)技術進行實現(xiàn)。</p><p>　　關鍵詞：虛擬專用網(wǎng);隧道技術; L2TP;IPSet</p><p><b>　　目 錄</b></p><p><b>　　引言2</b&

3、gt;</p><p>　　1 VPN的概述3</p><p>　　1.1 VPN的發(fā)生背景3</p><p>　　1.2 VPN的定義3</p><p>　　1.3VPN的工作原理4</p><p>　　2 VPN的應用領域和設計目標5</p><p>　　2.1 VPN的主要應

4、用領域5</p><p>　　2.2 VPN的設計目標5</p><p><b>　　3 隧道技術6</b></p><p>　　3.1 隧道技術的概述6</p><p>　　3.2 隧道協(xié)議7</p><p>　　3.2.1 隧道協(xié)議的分類7</p><p>

5、;　　3.2.2 不同隧道協(xié)議優(yōu)缺點10</p><p>　　4 加密技術以及其它技術11</p><p>　　4.1 實現(xiàn)VPN的加密技術11</p><p>　　4.1.1 認證技術11</p><p>　　4.1.2 加密技術11</p><p>　　4.1.3 密鑰交換和管理12</p>

6、;<p>　　4.2 QoS技術12</p><p>　　5 VPN的實現(xiàn)13</p><p>　　5.1 拓撲結構13</p><p>　　5.2 主要實驗步驟13</p><p>　　5.3測試結果16</p><p><b>　　結論17</b></p>

7、;<p><b>　　致謝18</b></p><p><b>　　參考文獻19</b></p><p><b>　　引言</b></p><p>　　隨著Internet和電子商務行業(yè)的蓬勃發(fā)展，越來越多的用戶認識到，Internet帶來極大的經(jīng)濟效益的同時也存在著一定的不安全分子

8、，如非法訪問和攻擊，竊聽和篡改。由此年來網(wǎng)絡通信安全的重要極為重要。</p><p>　　VPN是企業(yè)內(nèi)部網(wǎng)在因特網(wǎng)上的延伸，能過一個私用的通道來建立一個安全的私有連接，將運程用戶、公司分支機構、公司的業(yè)務伙伴等跟公司的內(nèi)部網(wǎng)連接起來，構成一個擴展的公司企業(yè)網(wǎng)，通過虛擬專用網(wǎng)絡既實現(xiàn)了傳統(tǒng)專用網(wǎng)絡所需的性能，同時相對于傳統(tǒng)的專用網(wǎng)絡的運營成本。對VPN技術的實現(xiàn)方法進行比較研究，可以充分發(fā)揮其優(yōu)勢，為企業(yè)的現(xiàn)代化

9、管理與經(jīng)營服務。</p><p>　　VPN的最終目的是服務于企業(yè)，為企業(yè)帶來可觀的經(jīng)濟效益，為現(xiàn)代企業(yè)的信息交換提供一個安全的、可靠的網(wǎng)絡信息傳輸和管理平臺。隨著骨干網(wǎng)絡帶寬十倍、百倍提升，以及ADSL等寬帶接入方式的普及，Internet已經(jīng)成為了一個極為重要的信息傳輸載體，而用戶的注意力也同原來的關注網(wǎng)絡的穩(wěn)定性、可用性逐漸集中到聯(lián)網(wǎng)方案的易用性和安全性上來。VPN技術的發(fā)展與成熟，可為企業(yè)的商業(yè)運行提供一

10、個無處不在的、安全的、可靠的的數(shù)據(jù)傳輸網(wǎng)絡。</p><p>　　本文主要介紹了VPN的隧道技術、加密技術以及選取其中一種方法進行VPN技術的實現(xiàn)。從而對VPN技術有更進一步的了解。</p><p><b>　　1 VPN的概述</b></p><p>　　1.1 VPN的發(fā)生背景</p><p>　　在經(jīng)濟全球化的今

11、天，隨著網(wǎng)絡，尤其是網(wǎng)絡經(jīng)濟的發(fā)展，客戶分布日益廣泛，合作伙伴增多，移動辦公人員也隨之劇增。傳統(tǒng)企業(yè)網(wǎng)基于固定地點的專線連接方式，已難以適應現(xiàn)代企業(yè)的需求。在這樣的背景下，遠程辦公室、公司各分支機構、公司與合作伙伴、供應商、公司與客戶之間都可能要建立連接通道以進行信息傳送。</p><p>　　而在傳統(tǒng)的企業(yè)組網(wǎng)方案中，要進行遠程LAN 到 LAN互聯(lián)，除了租用DDN專線或幀中繼之外，并沒有更好的解決方法。對于移

12、動用戶與遠端用戶而言，只能通過撥號線路進入企業(yè)各自獨立的局域網(wǎng)。這樣的方案必然導致高昂的長途線路租用費及長途電話費。于是，虛擬專用網(wǎng)VPN（Virtual Private Network）的概念與市場隨之出現(xiàn)。利用VPN網(wǎng)絡能夠獲得語音、視頻方面的服務，如IP電話業(yè)務、電視會議、遠程教學，甚至證券行業(yè)的網(wǎng)上路演、網(wǎng)上交易等。</p><p>　　1.2 VPN的定義</p><p>　　V

13、PN（Virtual Private Network，虛擬專用網(wǎng)絡）是一門網(wǎng)絡新技術，提供一種通過公用網(wǎng)絡安全地對企業(yè)內(nèi)部專用網(wǎng)絡進行遠程訪問的連接方式。虛擬專用網(wǎng)不是真正的專用網(wǎng)絡，但卻能實現(xiàn)專用網(wǎng)絡的功能。VPN通用一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全的、穩(wěn)定的隧道。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬

14、專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接水可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。</p><p>　　虛擬專用網(wǎng)至少應能提供如下功能：</p><p>　　·加密數(shù)據(jù)，以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰麄兘孬@也不會泄露。</p><p>　　·信息認證和身份認證

15、，保證信息的完整性、合法性，并能鑒別用戶的身份。</p><p>　　·提供訪問控制，不同的用戶不同的訪問權限。</p><p>　　1.3VPN的工作原理</p><p>　　把因特網(wǎng)用作專用廣域網(wǎng)，有兩個主要障礙。首先經(jīng)常使用多種不同協(xié)議進行通信，但因特網(wǎng)只能處理IP流量。所以，VPN就需要提供一種方法，將非IP的協(xié)議進行兩個網(wǎng)絡中的傳輸。其次，網(wǎng)上傳

16、輸?shù)臄?shù)據(jù)包以明文格式傳輸，因而，只要看到因特網(wǎng)的流量，就能讀取包內(nèi)所含的數(shù)據(jù)。如果公司希望利用因特網(wǎng)傳輸重要的商業(yè)機密信息，這顯然是一個極為重要的問題。然而，VPN技術可以很好的解決這兩個問題。</p><p>　　VPN的基本思想很容易理解，假設公司有兩個網(wǎng)絡，相距很遠，要用VPN連接，由兩個VPN設備建立專用通道，數(shù)據(jù)傳輸過程如下圖所示。</p><p>　　圖1.1 VPN的工作原理

17、</p><p>　　源網(wǎng)絡建立分組，將其IP地址作為源地址，將目的網(wǎng)絡的IP地址作為目標地址，將分組發(fā)送到源VPN設備，通常是網(wǎng)關。</p><p>　　分組到達源VPN設備，源VPN設備在分組中增加一新數(shù)據(jù)頭。在此分組中，將分組的源IP地址寫為自已的IP地址V1，目標地址寫為對等目的VPN設備的IP地址V2，然后發(fā)送。</p><p>　　分組通過Interne

18、t到達目的VPN設備，目的VPN設備能夠識別新增的頭部，對其進行拆除，從而午到第一步由源網(wǎng)絡生成的原分組，然后根據(jù)分組的IP地址信息，進行正常的轉發(fā)。</p><p>　　2 VPN的應用領域和設計目標</p><p>　　隨著VPN的發(fā)展，VPN的應用領域越來越廣泛，在很多行業(yè)都到了相當重要的作用。</p><p>　　2.1 VPN的主要應用領域</p&

19、gt;<p>　　VPN技術廣泛的應用于國家國防軍隊通信和遠程指揮網(wǎng)絡平臺的搭建；應用于企業(yè)網(wǎng)Itranet、遠程訪問、企業(yè)外部網(wǎng)Extranet、企業(yè)內(nèi)VPN網(wǎng)絡的建設；應用于網(wǎng)絡游戲領域中基于VPN網(wǎng)絡游戲大型網(wǎng)絡平臺的實施；應用于電子商務領域中公司、分公司于顧客間應用平臺的建設；同時隨著教育領域資源共享的開放性程度逐漸擴大，VPN技術也更為廣泛的應用于教育事業(yè)、校園網(wǎng)建設等網(wǎng)絡的建設；甚至在未來的發(fā)展中也將更為廣泛的

20、應用于可提供更加安全的、速度更快的、易用性更好的連接平臺的無線網(wǎng)絡。</p><p>　　2.2 VPN的設計目標</p><p>　　在實際應用中，一個高效、成功的VPN應具備以下特點：</p><p>　　安全保障：VPN保證通過公用網(wǎng)絡平臺傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡上建立一個邏輯的、點對點的連接，稱之為建立一個隧道，可以利用加密技術對

21、經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者所知道，從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡資源或私有信息的訪問。</p><p>　　服務質量保證（QOS）：VPN網(wǎng)絡應當為企業(yè)數(shù)據(jù)提供不同等級的服務質量保證。不同的用戶和業(yè)務對服務

22、質量保證的要求差別較大。在網(wǎng)絡優(yōu)化方面，構建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網(wǎng)絡阻塞，產(chǎn)生網(wǎng)絡瓶頸，使實時性要求高的數(shù)據(jù)得不到及時發(fā)送；而在流量低谷時又造成大量的網(wǎng)絡帶寬空閑。QoS通過流量預測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預防阻塞的發(fā)生。</p><

23、;p>　　可擴充性和靈活性：VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應用對高質量傳輸以及帶寬增加的需求。</p><p>　　可管理性：從用戶角度和運營商的角度應可方便地進行管理、維護。VPN管理的目標為：減小網(wǎng)絡風險、具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。事實上，VPN管理主要包括安全管理、設

24、備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。</p><p><b>　　3 隧道技術</b></p><p>　　3.1 隧道技術的概述</p><p>　　隧道技術的基本過程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)（可以是ISO七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡層數(shù)據(jù)）作為負載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公網(wǎng)的接口處

25、將數(shù)據(jù)解封裝，取出負載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所經(jīng)過的邏輯路徑被稱之為“隧道”。</p><p>　　隧道技術是一種能過使用互聯(lián)網(wǎng)絡的基礎設施在網(wǎng)絡之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負載數(shù)據(jù)能夠能過互聯(lián)網(wǎng)絡傳遞。</p><p>　　圖3.1 數(shù)據(jù)在隧道中

26、的傳輸</p><p>　　通過隧道的建立，可實現(xiàn)：</p><p>　?、賹?shù)據(jù)流強制送到特定的地址；</p><p>　?、陔[藏私有的網(wǎng)絡地址；</p><p>　?、墼贗P網(wǎng)上傳遞非IP數(shù)據(jù)包；</p><p>　　④提供數(shù)據(jù)安全支持。</p><p>　　要使數(shù)據(jù)順利地被封裝、傳送及解封

27、裝，通信協(xié)議是保證的核心。為創(chuàng)建隧道，隧道的客戶機和服務器雙方必須使用相同的隧道協(xié)議。</p><p>　　隧道的功能就是在兩個網(wǎng)絡節(jié)點之間提供一條通路，使數(shù)據(jù)報能夠在這個通路上透明傳輸。VPN隧道一般是指在PSN（Packet Switched Network）骨干網(wǎng)的VPN節(jié)點（一般指邊緣設備PE）之間或VPN節(jié)點與用戶節(jié)點之間建立的用來傳輸VPN數(shù)據(jù)虛擬連接。</p><p><

28、;b>　　3.2 隧道協(xié)議</b></p><p>　　VPN的具體實現(xiàn)是采用隧道技術，將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中進行傳輸。隧道協(xié)議可分為第二層隧道協(xié)議PPTP、L2F、L2TP、第三層隧道協(xié)議GRE、IPSet和第五層隧道協(xié)議SOCKS v5。它們的本質區(qū)別在于用戶的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸?shù)摹?lt;/p><p>　　3.2.1 隧道協(xié)議的分類</p

29、><p><b>　　第二層隧道協(xié)議：</b></p><p>　　(1)PPTP點對點隧道協(xié)議：PPTP提供PPTP客戶機和PPTP服務器之間的加密通信。是由PPTP論壇開發(fā)的點到點的安全隧道協(xié)議，為使用電話上網(wǎng)的用戶提供安全VPN業(yè)務，1996年成為IETF草案。PPTP是PPP協(xié)議的一種擴展，提供了在IP網(wǎng)上建立多協(xié)議的安全VPN的通信方式，遠端用戶能夠通過任何支持

30、PPTP的ISP訪問企業(yè)的專用網(wǎng)絡。PPTP提供PPTP客戶機和PPTP服務器之間的保密通信。PPTP客戶機是指運行該協(xié)議的PC機，PPTP服務器是指運行該協(xié)議的服務器。</p><p>　　(2)L2F第二層轉發(fā)協(xié)議：L2F（Layer 2 Forwarding）是由Cisco公司提出的，可以在多種介質（如 ATM、幀中繼、IP）上建立多協(xié)議的安全VPN的通信方式。</p><p>　　

31、L2F遠端用戶能夠通過任何撥號方式接入公共IP網(wǎng)絡。首先，按常規(guī)方式撥號到ISP的接入服務器（NAS），建立PPP連接；NAS根據(jù)用戶名等信息發(fā)起第二次連接，呼叫用戶網(wǎng)絡的服務器。這種方式下，隧道的配置和建立對用戶是完全透明的。</p><p>　　L2F允許撥號服務器發(fā)送PPP幀，并通過WAN連接到L2F服務器。L2F服務器將包去封裝后，把它們接入到企業(yè)自己的網(wǎng)絡中。與PPTP和PPP所不同的是，L2F沒有定義

32、客戶。</p><p>　　(3)L2TP第二層隧道協(xié)議：L2TP結合了L2F和PPTP的優(yōu)點，可以讓用戶從客戶端或接入服務器端發(fā)起VPN連接。L2TP定義了利用公共網(wǎng)絡設施封裝傳輸鏈路層PPP幀的方法。目前用戶撥號訪問因特網(wǎng)時，必須使用IP協(xié)議，并且其動態(tài)得到的IP地址也是合法的。L2TP的好處就在于支持多種協(xié)議，用戶可以保留原來的IPX、AppleTalk等協(xié)議或企業(yè)原有的IP地址，企業(yè)在原來非IP網(wǎng)上的投資

33、不致于浪費。另外，L2TP還解決了多個PPP鏈路的捆綁問題。</p><p>　　L2TP是用來整合多協(xié)議撥號服務至現(xiàn)有的因特網(wǎng)服務提供商點。PPP 定義了多協(xié)議跨越第二層點對點鏈接的一個封裝機制。用戶通過使用眾多技術之一（如：撥號 POTS、ISDN、ADSL 等）獲得第二層連接到網(wǎng)絡訪問服務器（NAS），然后在此連接上運行 PPP。在這樣的配置中，第二層終端點和 PPP 會話終點處于相同的物理設備中</

34、p><p><b>　　第三層隧道協(xié)議：</b></p><p>　　(1)IPSet協(xié)議：IPSec是IETF(Internet Engineer Task Force) 正在完善的安全標準，它把幾種安全技術結合在一起形成一個較為完整的體系，受到了眾多廠商的關注和支持。通過對數(shù)據(jù)加密、認證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性。IPSec由IP認證頭AH(A

35、uthentication Header)、IP安全載荷封載ESP(Encapsulated Security Payload)和密鑰管理協(xié)議組成。</p><p>　　IPSec兼容設備在OSI模型的第三層提供加密、驗證、授權、管理，對于用戶來說是透明的，用戶使用時與平常無任何區(qū)別。密鑰交換、核對數(shù)字簽名、加密等都在后臺自動進行。</p><p>　　IPSec可用兩種方式對數(shù)據(jù)流進行加

36、密：隧道方式和傳輸方式。兩種對IP包的封裝形式分別如下：</p><p><b>　　傳輸方式</b></p><p><b>　　隧道方式</b></p><p>　　隧道方式對整個IP包進行加密，使用一個新的IPSec包打包。這種隧道協(xié)議是在IP上進行的，因此不支持多協(xié)議。傳輸方式時IP包的地址部分不處理，僅對數(shù)據(jù)凈荷

37、進行加密。IPSec用密碼技術從三個方面來保證數(shù)據(jù)的安全。即：</p><p>　　認證：用于對主機和端點進行身份鑒別；</p><p>　　完整性檢查：用于保證數(shù)據(jù)在通過網(wǎng)絡傳輸時沒有被修改；</p><p>　　加密：加密IP地址和數(shù)據(jù)以保證私有性。</p><p>　　IPSec支持的組網(wǎng)方式包括：主機之間、主機與網(wǎng)關、網(wǎng)關之間的組網(wǎng)。

38、IPSec還支持對遠程訪問用戶的支持。IPSec可以和L2TP、GRE等隧道協(xié)議一起使用，給用戶提供更大的靈活性和可靠性。</p><p>　　(2)GRE協(xié)議：GRE主要用于源路由和終路由之間所形成的隧道。GRE隧道使用GRE協(xié)議封裝原始數(shù)據(jù)報文，基于公共IP網(wǎng)絡實現(xiàn)數(shù)據(jù)的透明傳輸。例如，將通過隧道的報文用一個新的報文頭（GRE報文頭）進行封裝然后帶著隧道終點地址放入隧道中。當報文到達隧道終點時，GRE報文頭被

39、剝掉，繼續(xù)原始報文的目標地址進行尋址。 GRE隧道通常是點到點的，即隧道只有一個源地址和一個終地址。GRE建立起來的隧道只是在隧道源點和隧道終點可見，中間經(jīng)過的設備仍按照外層IP在網(wǎng)絡上進行普通的路由轉發(fā)。</p><p>　　GRE的隧道由兩端的源IP地址和目的IP地址來定義，允許用戶使用IP包封裝IP、IPX、AppleTalk包，并支持全部的路由協(xié)議（如RIP2、OSPF等）。通過GRE，用戶可以利用公共I

40、P網(wǎng)絡連接IPX網(wǎng)絡、AppleTalk網(wǎng)絡，還可以使用保留地址進行網(wǎng)絡互連，或者對公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。GER只提供了數(shù)據(jù)包的封裝，并沒有加密功能來防止網(wǎng)絡偵聽和攻擊，所以在實際環(huán)境中經(jīng)常與IPSec在一起使用，由IPSec提供用戶數(shù)據(jù)的加密，從而給用戶提供更好的安全性。</p><p>　　圖3.2 數(shù)據(jù)在GRE隧道中傳輸</p><p>　　GRE協(xié)議的主要用途有兩個：企業(yè)內(nèi)部協(xié)

41、議封裝和私有地址封裝。在國內(nèi)，由于企業(yè)網(wǎng)幾乎全部采用的是TCP/IP協(xié)議，因此在中國建立隧道時沒有對企業(yè)內(nèi)部協(xié)議封裝的市場需求。企業(yè)使用GRE的唯一理由應該是對內(nèi)部地址的封裝。當運營商向多個用戶提供這種方式的VPN業(yè)務時會存在地址沖突的可能性。</p><p><b>　　第五層</b></p><p>　　SOCKS v5：SOCKS v5工作在OSI模型中的第五層

42、——會話層，可作為建立高度安全的VPN的基礎。SOCKS v5協(xié)議的優(yōu)勢在訪問控制，因此適用于安全性較高的VPN。SOCKS v5現(xiàn)在被IETF建議作為VPN的標準。</p><p>　　3.2.2 不同隧道協(xié)議優(yōu)缺點</p><p>　　因為時間原因，在此只選取其中的幾種實現(xiàn)VPN的隧道技術進行對比。</p><p><b>　?、貺2TP協(xié)議</

43、b></p><p>　　優(yōu)點：它結合了PPTP協(xié)議以及第二層轉發(fā)L2F協(xié)議的優(yōu)點，能以隧道方式使PPP包通過各種網(wǎng)絡協(xié)議，包括ATM、SONET和幀中繼。L2TP可以提供包頭壓縮。當壓縮包頭時，系統(tǒng)開銷占用4個字節(jié)。</p><p>　　缺點：L2TP沒有任何加密措施。</p><p><b>　　②IPSet協(xié)議</b></p&

44、gt;<p>　　優(yōu)點：它定義了一套用于保護私有性和完整性的標準協(xié)議，可確保運行在TCP/IP協(xié)議上的VPN之間的互操作性。IPSec在傳輸層之下，對于應用程序來說是透明的。當在路由器或防火墻上安裝IPSec時，無需更改用戶或服務器系統(tǒng)中的軟件設置。即使在終端系統(tǒng)中執(zhí)行IPSec，應用程序一類的上層軟件也不會被影響。</p><p>　　缺點：除了包過濾外，它沒有指定其他訪問控制方法，對于采用NAT

45、方式訪問公共網(wǎng)絡的情況難以處理。</p><p><b>　?、跥RE協(xié)議</b></p><p>　　優(yōu)點：它支持多種協(xié)議和多播，能夠用來創(chuàng)建彈性的VPN，支持多點隧道，能夠實施QoS。</p><p>　　缺點：缺乏加密機制，沒有標準的控制協(xié)議來保持GRE隧道，隧道很消耗CPU，出現(xiàn)問題要進行EDBUG很困難，MTU和IP分片是一個問題。&

46、lt;/p><p>　?、躍OCKS v5協(xié)議</p><p>　　優(yōu)點：非常詳細的訪問控制。在網(wǎng)絡層只能根據(jù)源目的的IP地址允許或拒絕被通過，在會話層控制手段更多一些，由于工作在會話層，能同低層協(xié)議如IPv4、IPSet、PPTP、L2TP一起使用；用SOCKS v5的代理服務器可隱藏網(wǎng)絡地址結構；能為驗證、加密和密鑰管理提供“插件”模塊，讓用戶自由地采用所需要的技術。SOCKS v5可根據(jù)

47、規(guī)定則過濾數(shù)據(jù)流，包括Java Applet、Actives控制。</p><p>　　缺點：其性能比低層次協(xié)議差，必須制定更復雜的安全管理策略。</p><p>　　4 加密技術以及其它技術</p><p>　　4.1 實現(xiàn)VPN的加密技術</p><p>　　VPN是在不安全的Internet中通信，通信的內(nèi)容可能涉及企業(yè)的機密數(shù)據(jù)，因

48、此其安全性非常重要。VPN中的安全技術通常由加密、驗證及密鑰交換與管理組成。</p><p>　　4.1.1 認證技術</p><p>　　認證技術可以區(qū)分被偽造、篡改過的數(shù)據(jù)，這對于網(wǎng)絡數(shù)據(jù)傳輸，特別是電子商務是極其重要的。認證技術防止數(shù)據(jù)的偽造和被篡改采用一種稱為“摘要”的技術?！罢奔夹g主要采用HASH函數(shù)將一段長的報文通過函數(shù)變換，映射為一段短的報文即摘要。由于HASH函數(shù)的特征

49、，兩個不同的報文具有相同的摘要幾乎不可能。該特性使得摘要技術在VPN中有兩個用途：驗證數(shù)據(jù)的完整性、用戶驗證。</p><p>　　4.1.2 加密技術</p><p>　　在VPN中為了保證重要的數(shù)據(jù)在公共網(wǎng)上傳輸時不被他人竊取,采用了加密機制。IPSec通過ISAKMP/IKE/Oakley協(xié)商確定幾種可選的數(shù)據(jù)加密方法如DES、3DES。在現(xiàn)代密碼學中，加密算法被分為對稱加密算法和非

50、對稱加密算法。</p><p>　　對稱加密算法采用同一把密鑰進行加密和解密，優(yōu)點是速度快，但密鑰的分發(fā)與交換不便于管理。</p><p>　　目前，常用的數(shù)據(jù)加密算法有：</p><p><b>　?、賹ΨQ加密算法：</b></p><p>　　國際數(shù)據(jù)加密算法（IDEA）：128位長密鑰，把64位的明文塊加密成64位

51、的密文塊。</p><p>　　DES和3DES加密算法：EDS有64位長密鑰，實際上只使用56位密鑰。</p><p>　　②非對稱加密算法：RSA加密算法。</p><p>　　4.1.3 密鑰交換和管理</p><p>　　VPN中無論是認證還是加密都需要秘密信息，VPN中密鑰的分發(fā)與管理非常重要。密鑰的分發(fā)有兩種方法：一種是通過手工配

52、置的方式，另一種采用密鑰交換協(xié)議動態(tài)發(fā)布。</p><p><b>　　4.2 QoS技術</b></p><p>　　QoS(Quality of Service)，中文名為“服務質量”。它是指網(wǎng)絡提供更高優(yōu)先服務的一種能力，包括專用帶寬、抖動控制和延遲（用于實時和交互流量情形）、丟包率的改進以及不同WAN、LAN和MAN技術下的指定網(wǎng)絡流量等，同時確保為每種流量提

53、供的優(yōu)先權不會阻礙其他流量的進程。</p><p>　　QoS通過隧道技術和加密技術，已經(jīng)能夠建立起一個具有安全性、互操作性的VPN。但是該VPN性能上不穩(wěn)定，管理上不能滿足企業(yè)的要求，這就要加入QoS技術。實行QoS應該在主機網(wǎng)絡中，即VPN所建立的隧道這一段，這樣才能建立一條性能符合用戶要求的隧道。</p><p>　　對于VPN數(shù)據(jù)的傳輸是加密的，在傳輸過程以GRE/ESP的封包位于

54、網(wǎng)絡傳輸協(xié)議的網(wǎng)絡層，如果我們需要對VPN的流量做QoS設定，比如保證VPN傳輸?shù)馁|量，我們可以在QoS帶寬管理將GRE/ESP的封包傳輸服務的優(yōu)先級別調(diào)到最高級別來保證VPN聯(lián)機的穩(wěn)定暢通。</p><p><b>　　5 VPN的實現(xiàn)</b></p><p>　　VPN的具體實現(xiàn)方法有多種，在此我們只舉出一種進行簡單的實現(xiàn)。</p><p&g

55、t;　　以GRE+IPSet為例：</p><p><b>　　5.1 拓撲結構</b></p><p>　　5.2 主要實驗步驟</p><p>　?、倥渲酶髋_路由器的 IP 地址。</p><p>　　R1(config)#interface s0/0</p><p>　　R1(config-

56、if)#ip address 12.1.1.1 255.255.255.0</p><p>　　R1(config-if)#no shutdown</p><p>　　R1的另一端口的IP地址為1.1.1.1 子網(wǎng)掩碼：255.255.255.0</p><p><b>　　R3配置如上：</b></p><p>　　S

57、0/0口的IP地址：23.1.1.2 子網(wǎng)掩碼：255.255.255.0</p><p>　　另一端口的IP地址是：3.1.1.1 子網(wǎng)掩碼：</p><p>　?、谠?R1 和 R3 上配置靜態(tài)路由。確保 Internet 網(wǎng)絡骨干可以相互通信。</p><p>　　R1(config)#ip route 0.0.0.0 0.0.0.0 s 0/0</p

58、><p>　　R3(config)#ip route 0.0.0.0 0.0.0.0 s 0/0</p><p>　　③在 R1 和 R3 路由器上配置 GRE 隧道。</p><p>　　R1路由器配置如下。</p><p>　　R1(config)#interface tunnel 1</p><p>　　R1(con

59、fig-if)#ip address 10.1.1.1 255.255.255.0</p><p>　　R1(config-if)#tunnel destination 23.1.1.2</p><p>　　R1(config-if)#tunnel source serial 0/0</p><p>　　R1(config-if)#no shutdown</p

60、><p>　　R1(config-if)#exit</p><p>　　R3路由器配置如下。</p><p>　　R3(config)#interface tunnel 1</p><p>　　R3(config-if)#ip address 10.1.1.2 255.255.255.0</p><p>　　R3(conf

61、ig-if)#tunnel destination 12.1.1.1</p><p>　　R3(config-if)#tunnel source serial 0/0</p><p>　　R3(config-if)#no shutdown</p><p>　　R3(config-if)#exit</p><p>　?、茉?R1 和 R3 上配

62、置路由，確保 R1 和 R3 可以通過隧道 PING 通對方的回環(huán)接口。</p><p>　　R1(config)#ip route 3.3.3.0 255.255.255.0 tunnel 1</p><p>　　R3(config)#ip route 1.1.1.0 255.255.255.0 tunnel 1</p><p>　?、菰?R1 或是 R3 上使用

63、 PING 命令，檢測是否可以 PING 對方的回環(huán)接口。</p><p>　　R1#ping 3.3.3.1</p><p>　　Type escape sequence to abort.</p><p>　　Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:</p>

64、;<p><b>　　!!!!!</b></p><p>　　Success rate is 100 percent (5/5), round-trip min/avg/max = 28/40/60 ms</p><p><b>　　R1#</b></p><p>　?、拊?R1 上配置 IPsec 的傳輸模

65、式。</p><p>　　R1(config)#crypto isakmp enable</p><p>　　R1(config)#crypto isakmp key 0 ciscokey address 23.1.1.2</p><p>　　R1(config)#crypto isakmp policy 1</p><p>　　R1(con

66、fig-isakmp)#encryption des</p><p>　　R1(config-isakmp)#hash md5</p><p>　　R1(config-isakmp)#authentication pre-share</p><p>　　R1(config-isakmp)#group 1</p><p>　　R1(config

67、-isakmp)#exit</p><p>　　R1(config)#crypto ipsec transform-set my_trans esp-des</p><p>　　R1(cfg-crypto-trans)#mode transport</p><p>　　R1(cfg-crypto-trans)#exit</p><p>　　R

68、1(config)#</p><p>　　R1(config)#access-list 100 permit gre host 12.1.1.1 host 23.1.1.2</p><p>　　R1(config)#</p><p>　　R1(config)#crypto map gre_to_R3 10 ipsec-isakmp</p><p&

69、gt;　　% NOTE: This new crypto map will remain disabled until a peer</p><p>　　and a valid access list have been configured.</p><p>　　R1(config-crypto-map)#set peer 23.1.1.2</p><p>　　R

70、1(config-crypto-map)#set transform-set my_trans</p><p>　　R1(config-crypto-map)#match address 100</p><p>　　R1(config-crypto-map)#exit</p><p>　　R1(config)#</p><p>　　R1(co

71、nfig)#interface s0/0</p><p>　　R1(config-if)#crypto map gre_to_R3</p><p>　　R1(config-if)#exit</p><p>　?、逺3上配置IPSec的傳輸模式。</p><p>　　R3(config)#crypto isakmp enable</p&g

72、t;<p>　　R3(config)#crypto isakmp key 0 ciscokey address 12.1.1.1</p><p>　　R3(config)#crypto isakmp policy 1</p><p>　　R3(config-isakmp)#encryption des</p><p>　　R3(config-isakm

73、p)#hash md5</p><p>　　R3(config-isakmp)#authentication pre-share</p><p>　　R3(config-isakmp)#group 1</p><p>　　R3(config-isakmp)#exit</p><p>　　R3(config)#crypto ipsec tran

74、sform-set my_trans esp-des</p><p>　　R3(cfg-crypto-trans)#mode transport</p><p>　　R3(cfg-crypto-trans)#exit</p><p>　　R3(config)#</p><p>　　R3(config)#access-list 100 perm

75、it gre host 12.1.1.1 host 23.1.1.2</p><p>　　R3(config)#</p><p>　　R3(config)#crypto map gre_to_R1 10 ipsec-isakmp</p><p>　　% NOTE: This new crypto map will remain disabled until a pe

76、er</p><p>　　and a valid access list have been configured.</p><p>　　R3(config-crypto-map)#set peer 12.1.1.1</p><p>　　R3(config-crypto-map)#set transform-set my_trans</p><p

77、>　　R3(config-crypto-map)#match address 100</p><p>　　R3(config-crypto-map)#exit</p><p>　　R3(config)#</p><p>　　R3(config)#interface s0/0</p><p>　　R3(config-if)#crypto

78、map gre_to_R1</p><p>　　R3(config-if)#exit</p><p><b>　　5.3測試結果</b></p><p><b>　　結論</b></p><p>　　經(jīng)過四個月的努力，通過一種隧道技術基本上完成了對VPN的實現(xiàn)。</p><p&g

79、t;　　本論文涉及到了有關VPN的有種方面的知識，比如VPN產(chǎn)生的背景、VPN的優(yōu)勢及特點、VPN的隧道技術、VPN的加密以及其它技術等等。其中主要完成了對VPN的多種隧道實現(xiàn)技術的對比分析，并通過一種隧道技術實現(xiàn)VPN的配置。</p><p>　　經(jīng)過此次的論文完成過程，很好的了解到VPN的網(wǎng)絡實踐中的廣泛應用，充分認識到網(wǎng)絡通信在當今社會中的重要作用。</p><p><b>

80、;　　致謝</b></p><p>　　本次論文歷經(jīng)時間四個月，本論文之所以能夠順利完成，首先要感謝我的導師***老師，她傾注了大量的心血和時間，從選題到開題報告，從寫作綱要到每一階段的結束，她都一遍又一遍地耐心指出每稿中出現(xiàn)的的具體問題和不足之處，在此我表示衷心感謝。同時我還要感謝在我學習期間給予我極大關心和支持的各位老師以及我的同學和朋友們。</p><p>　　撰寫畢業(yè)論

81、文是再次系統(tǒng)學習和整理的過程，隨著畢業(yè)論文的完成，意味著大學生活的結束，新一階段的學習生活的開始。三年的時間就這樣稍縱即逝，我們甚至都來不及認真地話別，就要面臨著各奔東西，然而青春的腳步仍留在校園的每條路上，笑語歡歌飄散在學校的每一個角落 。這里的每個地方，都珍藏著我們的友情，彌漫著我們的夢想。</p><p>　　再次衷心的感謝*老師以及各位關心和幫助過我的老師和朋友們，雖然三年的大學生活即將結束，但是我堅信我

82、們的明天會更美好。</p><p><b>　　參考文獻</b></p><p>　　[1]E Rescorla,A Schiffman. The secure hypertext trausfer protocol. Draft-wes-shttp-06[R].text,1998,6.</p><p>　　[2]徐國愛.網(wǎng)絡安全[M].北京郵

83、電大學出版社,2004,5.</p><p>　　[3]王祁.淺談網(wǎng)絡應用之VPN技術[C].2011,1.</p><p>　　[4]佩皮賈克.MPLS和VPN體系結構[M].人民郵電出版社,2004,3.</p><p>　　[5]王春海,宋濤.VPN網(wǎng)絡組建案例實錄(第2版)[M].科學出版社,2011,7.</p><p>　　[6]

84、博蘭普格德,肯哈得德,韋恩納.IPset VPN設計[M].人民郵電出版社,2006,5.</p><p>　　[7]王達.虛擬專用(VPN)精解[M].清華大學出版社,2004,1.</p><p>　　[8]邊倩.虛擬專用網(wǎng)(VPN)的實現(xiàn)方法[J].現(xiàn)代電子技術,2006,12.</p><p>　　[9]張愛科,曾春.IPsec VPN與SSL VPN的對比