论文部分内容阅读
摘要:VPN技术能够在公共网络的基础之上,构建企业专用的私有网络。VPN技术涵盖了跨公共网络的数据报文封装、加密和身份验证等技术。本文针对基于IPSec的VPN网络技术进行研究,并以一个实例对VPN网络的组建方案和配置流程进行描述。
关键词:VPN;IPSec;ISA服务器
中图分类号:TP393.08
虚拟专用网络(Virtual Private Network,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个的构建的VPN网络是没有以往老式的线路连接的,它是在公用网络的层次之上的一个特殊的网络使用平台,比如我们所讲的帧中继、ATM等都是属于这种VPN网络的范围之中,企业的文件或者数据传输是在一个虚拟的网络连接路段中来实现的。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。
1IPSec VPN概述
1.1IPSec协议简介
IPSec(IP Security)是在IPv6标准的制定过程之中提出的,用于为互联网提供IP层的安全性保障。所有基于TCP/IP协议系统的计算机设备进行数据交互时,IP层的数据处理是必需的环节,因此在IP层的提供了安全性保障就等同于为整个TCP/IP协议体系提供了安全性保障。考虑到IPv4标准的应用仍然很普遍,因此在后续IPSec的研究中也加入了对IPv4标准的支持。
1.2IPSec协议的基本原理
IPSec协议的本质是一种包过滤防火墙技术,通过对包过滤防火墙技术进行一系列的改进和扩展而得到。基于包过滤防火墙技术,每当接收到一个IP数据包时,防火墙就在一个规则表内对该数据包的头部进行匹配。若能够在规则表中找到一个与其相匹配的规则时,防火墙就使用该规则约定的方法对所接收到的数据包进行丢弃活着转发的处理。
IPSec协议在上述的包过滤防火墙技术中对数据包的处理方式的基础上进行了一定的改进,在IPSec协议中设置了安全策略数据库(Security Po1icy Database,SPD),在对每个数据包进行处理时通过查询SPD数据库决定如何对IP数据包进行后续的处理。同时,在对IP数据包的处理方式上增加了一种IPSec处理方式,对传输的IP数据包进行了加密和认证处理,从而将原始的IP数据转换成加密的IP报文在网络中进行传输。通过引入该处理策略,使得IPSec协议不仅能够对所接收到IP数据包进行筛选,从而控制由本网络设备发出或者其他网络设备发往本网络设备的IP数据包的通过,从而能够拒绝某些非授权的外部网络设备访问本地网络的内部网络设备,同时也可以防止本地网络内部的网络设备访问外部的非授权站点。此外,IPSec协议通过对传输的数据包进行加密和认证之后,在外部网络中所传输的就是加密的IP报文。因此该技术能够有效的防止所传输的数据包被外部设备截取和篡改,从而显著提高了所传输数据的保密性,可靠性和可信度。
IPSec协议既能够对所传输的IP数据包只进行认证操作,也可以只对其进行加密,也可以同时进行加密和认证。但不管是启动了加密处理还是启动了认证处理,在IPSec协议中都支持两种工作模式,即隧道模式和传输模式。其中,在隧道模式下IPSec处理过程中对IP数据包整体进行加密或者认证处理。在传输模式中只对原始IP数据包的有效负载部分进行加密或者认证处理。
2VPN的应用
VPN网络的典型应用场景包括:(1)构建企业的总部和分部之间的VPN网络;(2)构建企业与合作伙伴之间的VPN网络;(3)为企业的远程终端构建访问企业内部网络的通道。
其中前两种场景较为相似,只是网络访问规则不同。因此本文以一个具有一个分支机构的小型企业VPN的应用需求为背景,详细介绍基于IPSec技术为其建立分部与总部和远程终端之间的VPN网络的方法和过程。
2.1网络组建方案
VPN网络的拓扑结构如下图所示,总部和分部以及远程终端之间通过互联网进行连接。
图1网络拓扑结构图
总部、分布、以及远程终端各主机的IP地址分配如下表所示:
地点 网络类型 IP DG
总部 外部网络 192.168.1.1 192.168.1.1
内部网络 172.16.192.167 None
分部 外部网络 172.14.1.2 192.168.1.1
内部网络 172.14.3.1 None
移动用户 外部网络 192.168.1.3 192.168.1.1
2.2配置流程
本文仅以总部到分部之间的VPN连接为例,对VPN网络的配置进行描述。其具体操作步骤包括:
第一步:在总部ISA服务器上为分支机构建立远程站点,包括设置远程站点的VPN协议类型为L2TP并设置启用PPTP和L2TP/IPSec协议,在网关属性中设置远程产的名称和IP分别为Branch和192.168.1.2。
第二步:在总部ISA服务器上为分支机构的远程站点建立的网络规则,包括设置网络规则名称为main to branch,同时选择源网络和目标网络为内部和branch,并设置网络关系为路由。
第三步:在总部ISA服务器上为分支机构的远程站点建立访问规则,包括设置规则名称为main to branch,设置规则操作为允许,并添加HTTP和Ping协议,然后在访问规则源和目标中都添加上branch和内部。
第四步:在总部ISA服务器上为远程网络站点建立拨入用户集,包括设置该用户的用户名和密码,同时设置允许该用户拨入。
第五步:在分部ISA服务器上为建立总部的远程站点,包括设置远程站点的VPN协议类型为L2TP并设置启用PPTP和L2TP/IPSec协议,在网关属性中设置远程产的名称和IP分别为main和192.168.1.1,最后设置拨入总部ISA服务器的用户名和密码。
第六步:在分部ISA服务器上为总部远程站点的建立网络规则;包括设置网络规则名称为branch to main,同时选择源网络和目标网络为内部和miain,并设置网络关系为路由。
第七步:在分部ISA服务器上为总部远程站点的建立访问规则;包括设置规则名称为branch to main,设置规则操作为允许,并添加HTTP和Ping协议,然后在访问规则源和目标中都添加上main和内部。
第八步:通过互相ping对端内网内的主机来对VPN连接进行测试。
3结束语
设计出一套可行的VPN在企业中的应用将会使企业的运作联系变得更加紧密和便利,同时,VPN也是网络发展、不可或缺的一部分,将是改变人们生活节奏的重要保障。因此本文针对基于IPSec的VPN技术进行研究,分析了IPSec协议的基本原理,并以一个具有分部和远程终端的企业应用需求为例,对基于IPSec的VPN网络组建方案和流程进行介绍。
参考文献:
[1]殷平.VPN技术及其应用的研究[J].电脑知识与技术,2010(21):5723-5728.
[2]朱祥华.VPN技术在企业远程办公中的研究与应用[J].信息安全与技术,2011(1):35-38.
[3]李化玉.VPN网络在企业生产办公中的应用[J].信息系统工程,2012(1):99-100.
[4]戴刚.VPN在企业中应用的研究[J].网络安全技术与应用,2010(4):65-67.
[5]禹水琴.大型企业网络拓扑结构及IP地址规划设计[J].硅谷,2010(12):78-78.
关键词:VPN;IPSec;ISA服务器
中图分类号:TP393.08
虚拟专用网络(Virtual Private Network,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个的构建的VPN网络是没有以往老式的线路连接的,它是在公用网络的层次之上的一个特殊的网络使用平台,比如我们所讲的帧中继、ATM等都是属于这种VPN网络的范围之中,企业的文件或者数据传输是在一个虚拟的网络连接路段中来实现的。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。
1IPSec VPN概述
1.1IPSec协议简介
IPSec(IP Security)是在IPv6标准的制定过程之中提出的,用于为互联网提供IP层的安全性保障。所有基于TCP/IP协议系统的计算机设备进行数据交互时,IP层的数据处理是必需的环节,因此在IP层的提供了安全性保障就等同于为整个TCP/IP协议体系提供了安全性保障。考虑到IPv4标准的应用仍然很普遍,因此在后续IPSec的研究中也加入了对IPv4标准的支持。
1.2IPSec协议的基本原理
IPSec协议的本质是一种包过滤防火墙技术,通过对包过滤防火墙技术进行一系列的改进和扩展而得到。基于包过滤防火墙技术,每当接收到一个IP数据包时,防火墙就在一个规则表内对该数据包的头部进行匹配。若能够在规则表中找到一个与其相匹配的规则时,防火墙就使用该规则约定的方法对所接收到的数据包进行丢弃活着转发的处理。
IPSec协议在上述的包过滤防火墙技术中对数据包的处理方式的基础上进行了一定的改进,在IPSec协议中设置了安全策略数据库(Security Po1icy Database,SPD),在对每个数据包进行处理时通过查询SPD数据库决定如何对IP数据包进行后续的处理。同时,在对IP数据包的处理方式上增加了一种IPSec处理方式,对传输的IP数据包进行了加密和认证处理,从而将原始的IP数据转换成加密的IP报文在网络中进行传输。通过引入该处理策略,使得IPSec协议不仅能够对所接收到IP数据包进行筛选,从而控制由本网络设备发出或者其他网络设备发往本网络设备的IP数据包的通过,从而能够拒绝某些非授权的外部网络设备访问本地网络的内部网络设备,同时也可以防止本地网络内部的网络设备访问外部的非授权站点。此外,IPSec协议通过对传输的数据包进行加密和认证之后,在外部网络中所传输的就是加密的IP报文。因此该技术能够有效的防止所传输的数据包被外部设备截取和篡改,从而显著提高了所传输数据的保密性,可靠性和可信度。
IPSec协议既能够对所传输的IP数据包只进行认证操作,也可以只对其进行加密,也可以同时进行加密和认证。但不管是启动了加密处理还是启动了认证处理,在IPSec协议中都支持两种工作模式,即隧道模式和传输模式。其中,在隧道模式下IPSec处理过程中对IP数据包整体进行加密或者认证处理。在传输模式中只对原始IP数据包的有效负载部分进行加密或者认证处理。
2VPN的应用
VPN网络的典型应用场景包括:(1)构建企业的总部和分部之间的VPN网络;(2)构建企业与合作伙伴之间的VPN网络;(3)为企业的远程终端构建访问企业内部网络的通道。
其中前两种场景较为相似,只是网络访问规则不同。因此本文以一个具有一个分支机构的小型企业VPN的应用需求为背景,详细介绍基于IPSec技术为其建立分部与总部和远程终端之间的VPN网络的方法和过程。
2.1网络组建方案
VPN网络的拓扑结构如下图所示,总部和分部以及远程终端之间通过互联网进行连接。
图1网络拓扑结构图
总部、分布、以及远程终端各主机的IP地址分配如下表所示:
地点 网络类型 IP DG
总部 外部网络 192.168.1.1 192.168.1.1
内部网络 172.16.192.167 None
分部 外部网络 172.14.1.2 192.168.1.1
内部网络 172.14.3.1 None
移动用户 外部网络 192.168.1.3 192.168.1.1
2.2配置流程
本文仅以总部到分部之间的VPN连接为例,对VPN网络的配置进行描述。其具体操作步骤包括:
第一步:在总部ISA服务器上为分支机构建立远程站点,包括设置远程站点的VPN协议类型为L2TP并设置启用PPTP和L2TP/IPSec协议,在网关属性中设置远程产的名称和IP分别为Branch和192.168.1.2。
第二步:在总部ISA服务器上为分支机构的远程站点建立的网络规则,包括设置网络规则名称为main to branch,同时选择源网络和目标网络为内部和branch,并设置网络关系为路由。
第三步:在总部ISA服务器上为分支机构的远程站点建立访问规则,包括设置规则名称为main to branch,设置规则操作为允许,并添加HTTP和Ping协议,然后在访问规则源和目标中都添加上branch和内部。
第四步:在总部ISA服务器上为远程网络站点建立拨入用户集,包括设置该用户的用户名和密码,同时设置允许该用户拨入。
第五步:在分部ISA服务器上为建立总部的远程站点,包括设置远程站点的VPN协议类型为L2TP并设置启用PPTP和L2TP/IPSec协议,在网关属性中设置远程产的名称和IP分别为main和192.168.1.1,最后设置拨入总部ISA服务器的用户名和密码。
第六步:在分部ISA服务器上为总部远程站点的建立网络规则;包括设置网络规则名称为branch to main,同时选择源网络和目标网络为内部和miain,并设置网络关系为路由。
第七步:在分部ISA服务器上为总部远程站点的建立访问规则;包括设置规则名称为branch to main,设置规则操作为允许,并添加HTTP和Ping协议,然后在访问规则源和目标中都添加上main和内部。
第八步:通过互相ping对端内网内的主机来对VPN连接进行测试。
3结束语
设计出一套可行的VPN在企业中的应用将会使企业的运作联系变得更加紧密和便利,同时,VPN也是网络发展、不可或缺的一部分,将是改变人们生活节奏的重要保障。因此本文针对基于IPSec的VPN技术进行研究,分析了IPSec协议的基本原理,并以一个具有分部和远程终端的企业应用需求为例,对基于IPSec的VPN网络组建方案和流程进行介绍。
参考文献:
[1]殷平.VPN技术及其应用的研究[J].电脑知识与技术,2010(21):5723-5728.
[2]朱祥华.VPN技术在企业远程办公中的研究与应用[J].信息安全与技术,2011(1):35-38.
[3]李化玉.VPN网络在企业生产办公中的应用[J].信息系统工程,2012(1):99-100.
[4]戴刚.VPN在企业中应用的研究[J].网络安全技术与应用,2010(4):65-67.
[5]禹水琴.大型企业网络拓扑结构及IP地址规划设计[J].硅谷,2010(12):78-78.