網(wǎng)絡(luò)安全論文設(shè)計(jì)

.PAGE.呼倫貝爾學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院本科生畢業(yè)論文(設(shè)計(jì))題目：學(xué)生：學(xué)號(hào)：專業(yè)班級(jí)：指導(dǎo)教師：完成時(shí)間：..目錄摘要3Abstract4第1章網(wǎng)絡(luò)平安概述51.1網(wǎng)絡(luò)平安的現(xiàn)狀51.2VPN技術(shù)介紹61.3課題背景71.4研究目標(biāo)7第2章VPN技術(shù)及其應(yīng)用82.1VPN概念82.2VPN技術(shù)的工作原理82.3VPN技術(shù)的應(yīng)用領(lǐng)域92.3.1遠(yuǎn)程訪問102.3.2組建聯(lián)網(wǎng)102.3.3組建外聯(lián)網(wǎng)10第3章VPN技術(shù)與相關(guān)協(xié)議113.1PPTP協(xié)議與L2TP協(xié)議113.1.1PPTP協(xié)議113.1.2L2TP協(xié)議113.2Ipsec協(xié)議113.2.1設(shè)計(jì)Ipsec的目的123.2.2Ipsec的組成局部123.3ESP機(jī)制133.3.1ESP封裝技術(shù)的隧道模式133.3.2ESP封裝技術(shù)的傳輸模式143.4AH機(jī)制153.4.1AH封裝技術(shù)的隧道模式153.4.2AH封裝技術(shù)的傳輸模式16第4章方案設(shè)計(jì)164.1需求分析174.2設(shè)計(jì)方案要到達(dá)的目的184.3VPN組建方案網(wǎng)絡(luò)拓?fù)鋱D18第5章各局部VPN設(shè)備的配置195.1公司總部到分支機(jī)構(gòu)的ISAVPN配置195.1.1總部ISAVPN配置205.1.2支部ISAVPN配置225.1.3VPN連接245.1.4連接測(cè)試255.2公司總部站點(diǎn)到移動(dòng)用戶端的VPN配置275.2.1總部ISAVPN配置285.2.2動(dòng)用戶端VPN配置295.2.3連接測(cè)試30總結(jié)31參考文獻(xiàn)32致33摘要隨著通信技術(shù)、微電子技術(shù)和計(jì)算機(jī)軟件技術(shù)的迅猛開展，以計(jì)算機(jī)為根底的網(wǎng)絡(luò)技術(shù)在開放系統(tǒng)互連模型和TCP/IP協(xié)議簇的規(guī)約下，異型計(jì)算機(jī)之間、異構(gòu)網(wǎng)絡(luò)之間互連的技術(shù)屏障已被完全打破，尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的開展，企業(yè)日益擴(kuò)，客戶分布日益廣泛，合作伙伴日益增多，這種情況促使了企業(yè)的效益日益增長(zhǎng)，另一方面也越來越凸現(xiàn)出傳統(tǒng)企業(yè)網(wǎng)的功能缺陷，于是企業(yè)便對(duì)于自身的網(wǎng)絡(luò)建立提出了更高的需求，由此推進(jìn)了信息技術(shù)的開展。如今從個(gè)人、家庭到企事業(yè)單位、政府以及軍事部門都已離不開網(wǎng)絡(luò)，迅速開展的網(wǎng)絡(luò)不僅提高了工作效率還給人們帶來了越來越多的利益，但網(wǎng)絡(luò)給人們帶來了方便的同時(shí)對(duì)每個(gè)用戶的信息卻受到了嚴(yán)重的威脅。針對(duì)這一問題計(jì)算機(jī)人員研發(fā)出VPN的一種虛擬局域網(wǎng)，它的出現(xiàn)解決了平安傳輸信息的這一問題。本文首先介紹了VPN的概念、應(yīng)用前景、以及相關(guān)的技術(shù)與主要的平安協(xié)議，并通過一個(gè)小企業(yè)運(yùn)用VPN的技術(shù)來構(gòu)建自己的企業(yè)網(wǎng)和外聯(lián)網(wǎng)的實(shí)例，來實(shí)現(xiàn)各個(gè)之間的信息通信，本文中包括各模塊的工作原理、實(shí)現(xiàn)的思想、實(shí)現(xiàn)的細(xì)節(jié)以及最終的測(cè)試結(jié)果等，并對(duì)在實(shí)驗(yàn)中遇到的問題以及困難得到了解決。關(guān)鍵詞VPN；加密；PPTP；L2TP；IpsecAbstractWiththedevelopmentofmunicationtechnology,microelectronicstechnologyandputersoftwaretechnologydevelopment,puterbasednetworktechnologyinOpenSystemInterconnectReferenceModelandTCP/IPprotocolsunderthestipulationsbetweenputers,special-shaped,heterogeneousnetworkinterconnectionbetweentechnologicalbarrierhasbeenbrokenpletely,especiallythedevelopmentofnetworkeconomy,businessexpansion,customerincreasingthedistributionofawiderangeofpartners,increasing,thispromptedthebenefitoftheenterpriseisgrowing,butalsoincreasinglyprotrudingshowsthetraditionalenterprisenetworkfunctionaldefects,thentheenterprisetoitsownnetworkconstructionraisedtallerrequirement,therebypromotingthedevelopmentoftheinformationtechnology.Nowfromindividuals,familiestoenterprises,governmentsandmilitarydepartmentshavebeeninseparablefromthenetwork,therapiddevelopmentofthenetworknotonlyimproveworkefficiencytobringpeoplemoreandmoreinterests,buttheInternetbringspeopleconveniencetoeachuser'sinformationhasbeenaseriousthreatto.InviewoftheproblemsappearedinrecentyearsaVpnvirtuallocalareanetwork,itappearstosolvethesecuretransmissionofinformationtothisproblem.Thispaperfirstintroducestheconcept,application,prospectofVPN,andtherelatedtechnologyandthemainsecurityprotocol,andthroughasmallenterprisestouseVPNtechnologytobuildtheirownintranetandextranetexamples,torealizetheinformationmunicationbetween,experimentsincludingtheworkingprinciplesofeachmodule,realizeideasthedetailsoftheimplementation,aswellasthefinaltestresult,andtheexperimentencounteredproblemsanddifficultieshavebeensolved.第1章網(wǎng)絡(luò)平安概述1.1網(wǎng)絡(luò)平安的現(xiàn)狀網(wǎng)絡(luò)的誕生極方便了人們的溝通和交流，信息網(wǎng)絡(luò)更已深入到政府、軍事、企業(yè)生產(chǎn)管理等諸多領(lǐng)域,其中存儲(chǔ)、傳輸和處理的信息有很多是政府的重要決策、軍事秘密、企業(yè)生產(chǎn)經(jīng)營(yíng)的商業(yè)信息等，然而自網(wǎng)絡(luò)誕生之日起，網(wǎng)絡(luò)平安就一直如影隨形。1988年11月〔1〕計(jì)算機(jī)系統(tǒng)受病毒感染和破壞的情況相當(dāng)嚴(yán)重?！?〕電腦黑客方法活動(dòng)已形成重要威脅?！?〕信息根底設(shè)施面臨網(wǎng)絡(luò)平安的挑戰(zhàn)。〔4〕信息系統(tǒng)在預(yù)測(cè)、反響、防和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)。〔5〕傳輸信息的完整性、可用性、性得不到保證。計(jì)算機(jī)網(wǎng)絡(luò)的平安與我們自己的利益息息相關(guān)，網(wǎng)絡(luò)是動(dòng)態(tài)變化的，新的Internet黑客站點(diǎn)、病毒、盜取每日劇增，所以一個(gè)平安的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)必須采取強(qiáng)有力的網(wǎng)絡(luò)平安策略，認(rèn)真研究網(wǎng)絡(luò)平安開展方向掌握最先進(jìn)的技術(shù)，這樣才能保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)平安、可靠地正常運(yùn)行，才能把握住計(jì)算機(jī)網(wǎng)絡(luò)平安的大門。目前國(guó)外有以下幾種典型的網(wǎng)絡(luò)平安技術(shù)：1.防火墻系統(tǒng)防火墻系統(tǒng)能增強(qiáng)機(jī)構(gòu)部網(wǎng)絡(luò)的平安性，加強(qiáng)網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用部網(wǎng)的資源，保護(hù)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取。防火墻系統(tǒng)決定了哪些部效勞可以被外界訪問、外界的哪些人員可以訪問部的哪些效勞、以及哪些外部效勞可以被部人員訪問。要使一個(gè)防火墻有效，所有來自和去往因特網(wǎng)的信息都必須經(jīng)過防火墻，承受防火墻的檢查。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。2.入侵檢測(cè)系統(tǒng)入侵檢測(cè)通過監(jiān)控系統(tǒng)的使用情況，來檢測(cè)系統(tǒng)用戶的越權(quán)使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的平安缺陷對(duì)系統(tǒng)進(jìn)展入侵的企圖。它根據(jù)用戶的歷史行為，基于用戶當(dāng)前的操作，完成對(duì)攻擊的決策并一一記錄下攻擊證據(jù)，為數(shù)據(jù)恢復(fù)與事故處理提供依據(jù)。目前主要有兩類入侵檢測(cè)系統(tǒng)：基于網(wǎng)絡(luò)的和基于主機(jī)的。前者在連接過程中監(jiān)視特定網(wǎng)段的數(shù)據(jù)流，查找每一數(shù)據(jù)包隱藏的惡意入侵，并對(duì)發(fā)現(xiàn)的入侵做出及時(shí)的響應(yīng)；后者是檢查某臺(tái)主機(jī)系統(tǒng)日志中記錄的未經(jīng)授權(quán)的可疑行為，并及時(shí)做出響應(yīng)。3.訪問控制技術(shù)訪問控制也是網(wǎng)絡(luò)平安防和保護(hù)的主要技術(shù)，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制，它控制哪些用戶能夠登錄到效勞器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個(gè)步驟：用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。4.虛擬專用網(wǎng)VPN技術(shù)VPN技術(shù)可以在遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)合作伙伴與公司的部網(wǎng)之間建立可靠的平安連接，并保護(hù)數(shù)據(jù)的平安傳輸。與實(shí)際的點(diǎn)到點(diǎn)連接電路一樣，VPN系統(tǒng)可被設(shè)計(jì)成通過Internet，提供平安的點(diǎn)到點(diǎn)(或端到端)的"隧道〞。一個(gè)VPN至少提供如下功能：〔1〕數(shù)據(jù)加密?！?〕信息認(rèn)證和身份認(rèn)證?！?〕訪問權(quán)限控制。根據(jù)用戶的需求，VPN可以用多種不同的方法實(shí)現(xiàn)。通常情況下，有基于防火墻的VPN、基于路由器的VPN、基于效勞器的VPN和專用的VPN設(shè)備等。企業(yè)經(jīng)濟(jì)的開展是推動(dòng)社會(huì)開展的主要?jiǎng)恿?，所以企業(yè)之間的商業(yè)信息的平安就變得尤為重要，上述中VPN虛擬網(wǎng)絡(luò)技術(shù)不僅解決了信息的平安傳輸還解決的企業(yè)與各個(gè)之間的通信，還可以為組織機(jī)構(gòu)提供一個(gè)滿足跨越公共通信網(wǎng)絡(luò)建立平安、可靠和高效的網(wǎng)絡(luò)平臺(tái)的虛擬專網(wǎng)。1.2VPN技術(shù)介紹為適應(yīng)全球經(jīng)濟(jì)一體化的格局與開展，利用IP協(xié)議和現(xiàn)有的Internet來建立企業(yè)的平安的專有網(wǎng)絡(luò)，成為主要VPN開展趨勢(shì)，VPN網(wǎng)絡(luò)給用戶所帶來的好處主要表現(xiàn)在以下幾個(gè)方面：節(jié)約本錢節(jié)約本錢是VPN網(wǎng)絡(luò)技術(shù)的最為重要的一個(gè)優(yōu)勢(shì)，也是它取勝傳統(tǒng)的專線網(wǎng)絡(luò)的關(guān)鍵所在。據(jù)行業(yè)調(diào)查公司的研究報(bào)告顯示擁有VPN的企業(yè)相比起采用傳統(tǒng)租用專線的遠(yuǎn)程接入效勞器或Modem池和撥號(hào)線路的企業(yè)能夠節(jié)省30%到70%的開銷。增強(qiáng)的平安性目前VPN主要采用四項(xiàng)技術(shù)來保證數(shù)據(jù)通信平安，這四項(xiàng)技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密鑰管理技術(shù)(KeyManagement)、身份認(rèn)證技術(shù)(Authentication)。網(wǎng)絡(luò)協(xié)議支持VPN支持最常用的網(wǎng)絡(luò)協(xié)議，這樣基于IP、IPX和NetBEUI協(xié)議網(wǎng)絡(luò)中的客戶機(jī)都可以很容易地使用VPN，這意味著通過VPN連接可以遠(yuǎn)程運(yùn)行依賴于特殊網(wǎng)絡(luò)協(xié)議的應(yīng)用程序?？呻S意的與合作伙伴聯(lián)網(wǎng)在過去企業(yè)如果想與合作伙伴連網(wǎng)，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，這樣相當(dāng)麻煩，不便于企業(yè)自身的開展，有了VPN之后，這種協(xié)商也毫無必要，真正到達(dá)了要連就連要斷就斷，可以實(shí)現(xiàn)靈活自如的擴(kuò)展和延伸。平安的IP地址，由于VPN是加密的，VPN數(shù)據(jù)包在因特網(wǎng)中傳輸時(shí)因特網(wǎng)上的用戶只看到公用的IP地址，看不到數(shù)據(jù)包包含的專有網(wǎng)絡(luò)地址，因此遠(yuǎn)程專用網(wǎng)絡(luò)上指定的地址是受到保護(hù)的。1.3課題背景隨著信息時(shí)代的降臨，企業(yè)的開展也日益呈現(xiàn)出產(chǎn)業(yè)多元化、構(gòu)造分布化、管理信息化的特征。有人曾這樣比喻互聯(lián)網(wǎng)，互聯(lián)網(wǎng)就像一片汪洋大海，接入互聯(lián)網(wǎng)的每個(gè)用戶就像是漂泊在這汪洋大海里的一葉孤舟，隨時(shí)都會(huì)有觸礁和遭遇風(fēng)暴的危險(xiǎn)，但網(wǎng)絡(luò)帶給人類的誘惑是無法抗拒的，VPN虛擬網(wǎng)絡(luò)的出現(xiàn)不僅解決了信息的平安傳輸還解決的企業(yè)與各個(gè)之間的通信。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷提升，信息管理圍不斷擴(kuò)大，不管是企業(yè)部職能部門，還是企業(yè)外部的供給商、分支機(jī)構(gòu)和外出人員，都需要同企業(yè)總部之間建立起一個(gè)快速、平安、穩(wěn)定的網(wǎng)絡(luò)通信環(huán)境，計(jì)算機(jī)技術(shù)人員針對(duì)這一情況通過VPN技術(shù)為企業(yè)組建了以下三種網(wǎng)絡(luò)：〔1〕為解決企事業(yè)單位通過公共通信網(wǎng)絡(luò)將地域分散的分支機(jī)構(gòu)"連接在一起〞提出了聯(lián)網(wǎng)〔intranet〕概念。〔2〕為解決企事業(yè)單位通過公共通信網(wǎng)絡(luò)與合作伙伴和有共同利益的外部聯(lián)網(wǎng)實(shí)現(xiàn)互通互聯(lián)和信息交換而提出的外聯(lián)網(wǎng)〔Extranet〕概念。〔3〕為解決企事業(yè)單位職員出差在外，通過公共通信網(wǎng)絡(luò)共享聯(lián)網(wǎng)資源而提出的遠(yuǎn)程接入〔Remoteaccess〕概念。中小型企業(yè)如果自己購(gòu)置VPN設(shè)備，財(cái)務(wù)本錢會(huì)比擬高，而且一般中小型企業(yè)的資金能力有限，但VPN技術(shù)最顯著的一個(gè)特點(diǎn)就是節(jié)約本錢，這種網(wǎng)絡(luò)沒有自己所有權(quán)的網(wǎng)絡(luò)設(shè)備和通信線纜，是通過租入或臨時(shí)租用的公共通信設(shè)備設(shè)施中的某一局部供自己完成業(yè)務(wù)并保證了信息的平安性，所以開展中小型企業(yè)VPN技術(shù)是最好的選擇。1.4研究目標(biāo)在本文的實(shí)例中呼和浩特的鴻駿電子在海拉爾開辦分公司來開展業(yè)務(wù)，公司希望總部與分公司、總部與合作伙伴可以隨時(shí)的進(jìn)展平安的信息溝通，而外出辦公人員可以訪問到企業(yè)部關(guān)鍵數(shù)據(jù)，隨時(shí)隨地共享商業(yè)信息提高工作效率。我們根據(jù)VPN的虛擬技術(shù)在企業(yè)與客戶、總部與分部以及外出人員之間建立了平安可靠的虛擬通道，并用運(yùn)用密碼算法對(duì)數(shù)據(jù)進(jìn)展加密處理來保證傳輸信息的平安性，對(duì)數(shù)據(jù)進(jìn)展完整性校驗(yàn)，為了保障信息在internet上傳輸?shù)钠桨残?，VPN采用了隧道、認(rèn)證、存取控制、性、數(shù)據(jù)完整性等措施，解決了企業(yè)與客戶、總部與分部以及外出人員之間傳輸?shù)男畔⒉槐煌悼?、篡改、?fù)制。在構(gòu)建VPN虛擬局域網(wǎng)的過程中，著實(shí)遵循著方便實(shí)用、高效低本錢、平安可靠等相關(guān)原那么合理地規(guī)劃出網(wǎng)絡(luò)平安架構(gòu)，對(duì)企業(yè)使用ISAServerVPN平安方案提供一點(diǎn)小的見解。第2章VPN技術(shù)及其應(yīng)用2.1VPN概念VPN是英文virtualprivatenetwork的縮寫，這里專指在公共通信根底設(shè)施上構(gòu)建的虛擬專用或私有網(wǎng)，可以被認(rèn)為是一種公共網(wǎng)絡(luò)中隔離出來的網(wǎng)絡(luò)。VPN的隔離特性提供了某種的通信性和虛擬性。雖然VPN在本質(zhì)上并不是完全獨(dú)立的網(wǎng)絡(luò)，它與真正網(wǎng)絡(luò)的差異在于VPN以隔離方式通過共享公共通信根底設(shè)施，我們從通信角度將VPN定義為："VPN是一種通信環(huán)境，在這一環(huán)境中，存取受到控制目的在于只許被確定為同一個(gè)共同體的部同層連接，而VPN的構(gòu)建那么是通過對(duì)公共通信根底設(shè)施的通信介質(zhì)進(jìn)展某種邏輯分割來進(jìn)展的，〞同時(shí)我們從組網(wǎng)技術(shù)角度將VPN定義為："VPN通過共享通信根底設(shè)施為用戶提供制定的網(wǎng)絡(luò)連接，這種定制的連接要求用戶共享一樣的平安性、優(yōu)先級(jí)效勞、可靠性和管理性策略，在共享的根底通信設(shè)施上采用隧道技術(shù)和特殊配置技術(shù)措施，仿真點(diǎn)到點(diǎn)的連接。〞VPN它不同于傳統(tǒng)的網(wǎng)絡(luò)，VPN網(wǎng)絡(luò)可以將邏輯上不能相通的網(wǎng)絡(luò)之間建立一個(gè)平安的通訊通道，使得這兩個(gè)網(wǎng)絡(luò)之間的能夠互相訪問。VPN通過對(duì)數(shù)據(jù)進(jìn)展完整性校驗(yàn)，運(yùn)用密碼算法對(duì)數(shù)據(jù)進(jìn)展加密處理來保證其平安性。為了保障信息在internet上傳輸?shù)钠桨残裕琕PN技術(shù)采用了隧道、認(rèn)證、存取控制、性、數(shù)據(jù)完整性等措施，保證信息在傳輸中不被偷看、篡改、復(fù)制。VPN可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)平安連接；可用于實(shí)現(xiàn)企業(yè)之間平安通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的平安外聯(lián)網(wǎng)虛擬專用網(wǎng)。2.2VPN技術(shù)的工作原理由于VPN體系的復(fù)雜性和融合性，VPN效勞的成長(zhǎng)速度將超越VPN產(chǎn)品，成為VPN開展的新動(dòng)力。目前大局部的VPN市場(chǎng)份額仍由VPN產(chǎn)品銷售表達(dá)，在未來的假設(shè)干年里，VPN效勞所占的市場(chǎng)份額將超過VPN產(chǎn)品，這也表達(dá)了信息平安效勞成為競(jìng)爭(zhēng)焦點(diǎn)的趨勢(shì)。而VPN技術(shù)的原理是怎么樣的呢，下面簡(jiǎn)單的介紹下。把因特網(wǎng)用作專用廣域網(wǎng)，就要克制兩個(gè)主要障礙。首先，網(wǎng)絡(luò)經(jīng)常使用多種協(xié)議如IPX和NetBEUI進(jìn)展通信，但因特網(wǎng)只能處理IP流量。所以，VPN就需要提供一種方法，將非IP的協(xié)議從一個(gè)網(wǎng)絡(luò)傳送到另一個(gè)網(wǎng)絡(luò)。其次，網(wǎng)上傳輸?shù)臄?shù)據(jù)包以明文格式傳輸，因而，只要看得到因特網(wǎng)的流量，就能讀取包所含的數(shù)據(jù)。如果公司希望利用因特網(wǎng)傳輸重要的商業(yè)信息，這顯然是一個(gè)問題。VPN克制這些障礙的方法就是采用了隧道技術(shù)：數(shù)據(jù)包不是公開在網(wǎng)上傳輸，而是首先進(jìn)展加密以確保平安，然后由VPN封裝成IP包的形式，通過隧道在網(wǎng)上傳輸，如圖1-1所示。圖SEQ圖\*ARABIC1-1工作原理源網(wǎng)絡(luò)的VPN隧道發(fā)起器與目標(biāo)網(wǎng)絡(luò)上的VPN隧道發(fā)起器進(jìn)展通信。兩者就加密方案達(dá)成一致，然后隧道發(fā)起器對(duì)包進(jìn)展加密，確保平安〔為了加強(qiáng)平安，應(yīng)采用驗(yàn)證過程，以確保證方式〕。最后VPN發(fā)起器將整個(gè)加密包封裝成IP包?，F(xiàn)在不管最初的傳輸是何種協(xié)議，它都能在純IP因特網(wǎng)上傳輸。又因?yàn)榘M(jìn)展了加密，所以誰也無法讀取原始數(shù)據(jù)。在目標(biāo)網(wǎng)絡(luò)這頭，VPN隧道終結(jié)器收到包后去掉IP信息，然后根據(jù)達(dá)成一致的加密方案對(duì)包進(jìn)展解密，將隨后獲得的包發(fā)給遠(yuǎn)程接入效勞器或本地路由器，他們?cè)诎央[藏的IPX包發(fā)到網(wǎng)絡(luò)，最終發(fā)往相應(yīng)目的地。2.3VPN技術(shù)的應(yīng)用領(lǐng)域利用VPN技術(shù)幾乎可以解決所有利用公共通信網(wǎng)絡(luò)進(jìn)展通信的虛擬專用網(wǎng)絡(luò)連接的問題。歸納起來有以下幾種應(yīng)用領(lǐng)域。2.3.1遠(yuǎn)程訪問為解決企事業(yè)單位職員出差在外，通過公共通信網(wǎng)絡(luò)共享聯(lián)網(wǎng)資源而提出的遠(yuǎn)程接入〔Remoteaccess〕概念。遠(yuǎn)程移動(dòng)用戶通過VPN技術(shù)可以在任何時(shí)間、任何地點(diǎn)采用撥號(hào)、ISDN、DSL、移動(dòng)IP和電纜技術(shù)與公司總部、公司聯(lián)網(wǎng)的VPN設(shè)備建立起隧道或密道信，實(shí)現(xiàn)訪問連接，此時(shí)的遠(yuǎn)程用戶終端設(shè)備上必須加裝相應(yīng)的VPN軟件。推而廣之，遠(yuǎn)程用戶可與任何一臺(tái)主機(jī)或網(wǎng)絡(luò)在一樣策略下利用公共通信網(wǎng)絡(luò)設(shè)施實(shí)現(xiàn)遠(yuǎn)程VPN訪問。這種應(yīng)用類型也叫AccessVPN(或訪問型VPN)，這是根本的VPN應(yīng)用類型。不難證明，其他類型的VPN都是AccessVPN的組合、延伸和擴(kuò)展。2.3.2組建聯(lián)網(wǎng)為解決企事業(yè)單位通過公共通信網(wǎng)絡(luò)將地域分散的分支機(jī)構(gòu)"連接在一起〞提出了聯(lián)網(wǎng)〔intranet〕概念。一個(gè)組織機(jī)構(gòu)的總部或中心網(wǎng)絡(luò)與跨地域的分支機(jī)構(gòu)網(wǎng)絡(luò)在公共通信根底設(shè)施上采用的隧道技術(shù)等VPN技術(shù)構(gòu)成組織機(jī)構(gòu)"部〞的虛擬專用網(wǎng)絡(luò)，當(dāng)其將公司所有權(quán)的VPN設(shè)備配置在各個(gè)公司網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間〔即連接邊界處〕時(shí)，這樣的聯(lián)網(wǎng)還具有管理上的自主可控、策略集中配置和分布式平安控制的平安特性。利用VPN組建的聯(lián)網(wǎng)也叫IntranetVPNIntranetVPN是解決聯(lián)網(wǎng)構(gòu)造平安和連接平安、傳輸平安的主要方法。2.3.3組建外聯(lián)網(wǎng)為解決企事業(yè)單位通過公共通信網(wǎng)絡(luò)與合作伙伴和有共同利益的外部聯(lián)網(wǎng)實(shí)現(xiàn)互通互聯(lián)和信息交換而提出的外聯(lián)網(wǎng)〔Extranet〕概念。使用虛擬專用網(wǎng)絡(luò)技術(shù)在公共通信根底設(shè)施上將合作伙伴和有共同利益的主機(jī)或網(wǎng)絡(luò)與聯(lián)網(wǎng)連接起來，根據(jù)平安策略、資源共享約定規(guī)那么實(shí)施聯(lián)網(wǎng)的特定主機(jī)和網(wǎng)絡(luò)資源與外部特定的主機(jī)和網(wǎng)絡(luò)資源相互共享，這在業(yè)務(wù)機(jī)構(gòu)和具有相互協(xié)作關(guān)系的聯(lián)網(wǎng)之間具有廣泛的應(yīng)用價(jià)值。這樣組建的外聯(lián)網(wǎng)也叫ExtranetVPN。ExtranetVPN是解決外聯(lián)網(wǎng)構(gòu)造平安和連接平安、傳輸平安的主要方法。假設(shè)外聯(lián)網(wǎng)VPN的連接和傳輸中使用了加密技術(shù)，必須解決其中的密碼分發(fā)、管理的一致性問題。第3章vpn技術(shù)相關(guān)協(xié)議3.1PPTP協(xié)議與L2TP協(xié)議3.1.1PPTP協(xié)議1996年，Microsoft和Ascend等在PPP協(xié)議的根底上開發(fā)了PPTP，它集成于WindowsNTServer4.0中，WindowsNTWorkstation和Windows9.X也提供相應(yīng)的客戶端軟件。PPP支持多種網(wǎng)絡(luò)協(xié)議，可把IP、IPX、AppleTalk或NetBEUI的數(shù)據(jù)包封裝在PPP包中，再將整個(gè)報(bào)文封裝在PPTP隧道協(xié)議包中，最后，再嵌入IP報(bào)文或幀中繼或ATM中進(jìn)展傳輸。PPTP提供流量控制，減少擁塞的可能性，防止由于包丟棄而引發(fā)包重傳的數(shù)量。PPTP的加密方法采用Microsoft點(diǎn)對(duì)點(diǎn)加密(MPPE:MicrosoftPoint-to-Point)算法，可以選用較弱的40位密鑰或強(qiáng)度較大的128位密鑰。1996年Cisco提出L2F(Layer2Forwarding)隧道協(xié)議，它也支持多協(xié)議，但其主要用于Cisco的路由器和撥號(hào)訪問效勞器。3.1.2L2TP協(xié)議1997年底Microsoft和Cisco公司把PPTP協(xié)議和L2F協(xié)議的優(yōu)點(diǎn)結(jié)合在一起，形成了L2TP協(xié)議。L2TP支持多協(xié)議，利用公共網(wǎng)絡(luò)封裝PPP幀可以實(shí)現(xiàn)和企業(yè)原有非IP網(wǎng)的兼容。這類效勞不單支持已注冊(cè)的IP地址，也支持私有的IP地址，以及IPX、X2.5等多協(xié)議傳輸。這類新型的效勞為撥號(hào)用戶和ISP都代來了極大的好處。因?yàn)檫@類效勞支持已消耗了大量資金建成的傳統(tǒng)非IP網(wǎng)，或允許共同因特網(wǎng)巨大的網(wǎng)絡(luò)根底設(shè)施。L2TP正是這類效勞中的典型代表。L2TP將PPP分組進(jìn)展隧道封裝并在不同傳輸媒體上傳輸，使用PPP可靠性發(fā)送(RFC1663)實(shí)現(xiàn)數(shù)據(jù)包的可靠發(fā)送。L2TP隧道在兩端的VPN效勞器之間采用口令握手協(xié)議CHAP來驗(yàn)證對(duì)方的身份，這使得現(xiàn)如今的異地辦公更加方便和平安。3.2Ipsec協(xié)議IPSec(IPSecurty)是IETFIPSec工作組為了在IP層提供通信平安而制定的一套協(xié)議族。它包括平安協(xié)議局部和密鑰協(xié)商局部。平安協(xié)議局部定義了對(duì)通信的各種保護(hù)方；密鑰協(xié)商局部定義了如何為平安協(xié)議商保護(hù)參數(shù)以及如何對(duì)通信實(shí)體的身份進(jìn)展鑒別。IPSec平安協(xié)議給出了兩種通信保護(hù)機(jī)制：封裝平安載荷〔EncapsuationSecurityPayload,以下簡(jiǎn)稱ESP〕和鑒別頭〔AuthenticationHeader，以下簡(jiǎn)稱AH〕。其中ESP機(jī)制為通信提供性、完整性保護(hù)；AH機(jī)制為通信提供完整性保護(hù)。ESP和AH機(jī)制都能為通信提供抗重放(Anti-replay)攻擊。Ipsec協(xié)議使用IKE〔InternetKeyExchange〕協(xié)議實(shí)現(xiàn)平安協(xié)議自動(dòng)平安參數(shù)協(xié)商。IKE協(xié)商的平安參數(shù)包括加密及鑒別密鑰、通信的保護(hù)模式〔隧道或傳輸模式〕、密鑰的生存期等。IKE將這些平安參數(shù)構(gòu)成的平安參數(shù)背景稱為平安關(guān)聯(lián)〔SecurityAssociation,以下簡(jiǎn)稱SA〕。IKE還負(fù)責(zé)這些平安參數(shù)的刷新。3.2.1設(shè)計(jì)Ipsec的目的以TCP/IP協(xié)議簇的設(shè)計(jì)初衷及其使用環(huán)境根本未考慮互連技術(shù)造成的平安隱患和固有的漏洞，這是因?yàn)門CP/IP協(xié)議族的主要協(xié)議以及因特網(wǎng)原始主干均源于美國(guó)國(guó)防部的研究方案和工程應(yīng)用，它運(yùn)行于國(guó)防部部封閉的網(wǎng)絡(luò)。網(wǎng)絡(luò)的用戶和設(shè)備在嚴(yán)密的管理的管理制度約束和高強(qiáng)度的平安觀念培訓(xùn)機(jī)制下，其運(yùn)行環(huán)境是平安的。美國(guó)軍方將這一技術(shù)和主干網(wǎng)移交給社會(huì)使用時(shí)，已將原始主干網(wǎng)絡(luò)分成無物理連接的兩個(gè)局部。由于TCP/IP協(xié)議簇的運(yùn)行環(huán)境發(fā)生了變化，再也沒有人們想象中的那么平安。如今因特網(wǎng)中的攻擊方式層出不窮，人們因?yàn)樯虡I(yè)的、政治的或個(gè)人目的互相偷聽、攻擊和破壞。為了抵御這些攻擊，IETF設(shè)計(jì)了IPSec協(xié)議。IPSec協(xié)議利用預(yù)享密鑰、數(shù)字簽名或公鑰加密實(shí)現(xiàn)強(qiáng)的通信實(shí)體身份相互鑒別，并對(duì)通信提供基于預(yù)享密鑰的分組級(jí)源鑒別；IPSec協(xié)議通過ESP機(jī)制為通信提供性保護(hù)；IPSec協(xié)議通過AH和ESP機(jī)制能夠?yàn)橥ㄐ盘峁┩暾员Ｗo(hù)；IPSec協(xié)議通過AH和ESP機(jī)制能夠?yàn)橥ㄐ盘峁┛怪胤殴簟?.2.2Ipsec的組成局部平安體系構(gòu)造ESPAH加密算法鑒別算法DOI密鑰管理協(xié)議在協(xié)議協(xié)議族里，給出了IPSec協(xié)議體系構(gòu)造。體系構(gòu)造定義了主機(jī)和網(wǎng)關(guān)應(yīng)提供的各種保護(hù)功能。體系規(guī)定了IPSec協(xié)議提供的兩種平安保護(hù)機(jī)制：AH和ESP機(jī)制。ESP機(jī)制為通信提供性保護(hù)和完整性保護(hù)；AH機(jī)制對(duì)通信提供完整性保護(hù)。這兩種機(jī)制為IPSec協(xié)議族提供平安效勞。通信雙方何時(shí)應(yīng)實(shí)現(xiàn)ESP或AH保護(hù)、保護(hù)什么樣的通信、保護(hù)的強(qiáng)度如何以及何時(shí)應(yīng)實(shí)現(xiàn)密鑰協(xié)商等，都受到實(shí)施IPSec的平安策略的控制。平安體系構(gòu)造ESPAH加密算法鑒別算法DOI密鑰管理協(xié)議圖3-1IPSec各組件的關(guān)系3.3ESP機(jī)制ESP機(jī)制主要是為通信提供性保護(hù)。依據(jù)建立平安關(guān)聯(lián)時(shí)的選擇，它也能為通信提供鑒別保護(hù)。因?yàn)镋SP封裝的載荷容不同，可將ESP分為兩種模式：?隧道模式：將整個(gè)IP分組封裝到ESP載荷之中。?傳輸模式：將上層協(xié)議局部封裝到ESP載荷之中。3.3.1ESP封裝技術(shù)的隧道模式ESP機(jī)制通過將整個(gè)IP分組或上層協(xié)議局部〔即傳輸層協(xié)議數(shù)據(jù)，如TCP、UDP或ICMP協(xié)議數(shù)據(jù))封裝到一個(gè)ESP載荷中，然后對(duì)此荷載進(jìn)展相應(yīng)的平安處理，如加密處理、鑒別處理等，實(shí)現(xiàn)對(duì)通信的性或完整性保護(hù)，對(duì)于隧道模式，有如下典型實(shí)現(xiàn)模型如圖3-2所示。平安網(wǎng)關(guān)1平安網(wǎng)關(guān)1平安網(wǎng)關(guān)25459ESPESP054192.168.1/24192.168.2/24主機(jī)11ESP隧道主機(jī)21圖3-2ESP隧道模式即在ESP隧道的實(shí)施模型中，IPSec處理模塊安裝于平安網(wǎng)關(guān)1和平安網(wǎng)關(guān)2，由它們來實(shí)現(xiàn)ESP處理。位于平安網(wǎng)關(guān)1和平安網(wǎng)關(guān)2之后的子網(wǎng)被認(rèn)為是部可信的，因此分別稱其為網(wǎng)關(guān)1和網(wǎng)關(guān)2的保護(hù)子網(wǎng)。保護(hù)子網(wǎng)的通信都是以文明方式進(jìn)展。但當(dāng)兩個(gè)子網(wǎng)之間的分組流經(jīng)網(wǎng)關(guān)1和網(wǎng)關(guān)2之間的公網(wǎng)時(shí)，將受到ESP機(jī)制的平安保護(hù)。這種模式有如下優(yōu)點(diǎn)：?保護(hù)子網(wǎng)中的所有用戶都可以透明地享受由平安網(wǎng)關(guān)提供的平安保護(hù)。?子網(wǎng)部可以使用私有IP地址，無須公有IP地址資源。?子網(wǎng)部的拓?fù)錁?gòu)造被保護(hù)。這種模式的缺點(diǎn)那么為：?增大了網(wǎng)關(guān)部的處理負(fù)荷，容易形成通信瓶頸。?對(duì)部的諸多平安問題將不可控。3.3.2ESP封裝技術(shù)的傳輸模式對(duì)于傳輸模式，有如下典型實(shí)現(xiàn)模型：如圖3-3所示。549ESPESP11.143.1/24163.168.2/24主機(jī)11ESP隧道主機(jī)2054圖3-3傳輸模式的ESP的實(shí)現(xiàn)其中，IPSec模塊被安裝于兩端主機(jī)。主機(jī)11發(fā)送到主機(jī)21的IP分組將受到ESP提供的平安保護(hù)。這種模式有如下優(yōu)點(diǎn)：?即使網(wǎng)中的其他用戶，也不能理解傳輸于主機(jī)11和主機(jī)21之間的數(shù)據(jù)容。?分擔(dān)了IPSec處理負(fù)荷，防止了IPSec處理的瓶頸問題。這種模式的缺點(diǎn)那么為：?由于每一個(gè)希望實(shí)現(xiàn)傳輸模式的主機(jī)都必須安裝并實(shí)現(xiàn)ESP協(xié)議，因此不能實(shí)現(xiàn)端用戶的透明效勞。?不能使用私有IP地址，必須使用公有地址資源。?暴露了子網(wǎng)部拓?fù)?。事?shí)上，IPSec的傳輸模式和隧道模式分別類似于其它隧道協(xié)議的自愿模式和強(qiáng)制模式，即一個(gè)基于用戶的實(shí)施，一個(gè)是基于網(wǎng)絡(luò)的實(shí)施。3.4AH機(jī)制AH機(jī)制主要用于為通信提供完整性效勞。AH還能為通信提供抗重放攻擊等效勞。按照AH協(xié)議的規(guī)定，可以按AH封裝的協(xié)議數(shù)據(jù)不同，將AH封裝劃分為兩種模式：隧道模式和傳輸模式。3.4.1AH封裝技術(shù)的隧道模式如果將AH頭插入原IP分組的IP頭之前，并在AH頭之前插入新的IP頭，那么稱此模型的封裝為隧道封裝；對(duì)于隧道模式，有如下典型實(shí)現(xiàn)模型：如圖3-4所示。549AHAH05192.168.1/24192.168.2/24主機(jī)11AH隧道主機(jī)21平安網(wǎng)關(guān)2平安網(wǎng)關(guān)1圖3-4隧道模式的AH實(shí)現(xiàn)即在AH隧道的實(shí)施模型中，IPSec處理模塊安裝于平安路由器1和平安路由器2，由它們來實(shí)現(xiàn)AH處理。位于平安網(wǎng)關(guān)1和平安網(wǎng)關(guān)2之后的子網(wǎng)被認(rèn)為是部可信的，不會(huì)發(fā)生數(shù)據(jù)篡改等攻擊行為，因此分別稱其為路由器1和2的保護(hù)子網(wǎng)。這種模式有如下優(yōu)點(diǎn)：?子網(wǎng)部的各主機(jī)可以借助平安網(wǎng)關(guān)的IPSec處理，可以透明地享受平安效勞。?子網(wǎng)部可以使用私有IP地址，無需申請(qǐng)公有地址資源。這種模式的缺點(diǎn)那么為：?IPSec主要集中在平安網(wǎng)關(guān)，增大了路由器的處理負(fù)荷，容易形成通信瓶頸。?對(duì)部的諸多平安問題將不可控。3.4.2AH封裝技術(shù)的傳輸模式如將AH頭插入IP頭和路由擴(kuò)展頭之后，上層協(xié)議數(shù)據(jù)的端到端擴(kuò)展頭之前，那么稱該模式的封裝為傳輸模式。對(duì)于傳輸模式的AH，有如下典型實(shí)現(xiàn)模型：如圖3-5所示。549AHAH05192.168.1/24192.168.2/24主機(jī)11AH隧道主機(jī)21平安網(wǎng)關(guān)2平安網(wǎng)關(guān)1圖3-5傳輸模式的AH實(shí)現(xiàn)其中，IPSec模塊被安裝于兩端主機(jī)。主機(jī)11發(fā)送到主機(jī)21的IP分組將受到AH提供的平安保護(hù)。這種模式有如下優(yōu)點(diǎn)：?即使網(wǎng)中的其他用戶，也不能篡改傳輸于主機(jī)11和主機(jī)21之間的數(shù)據(jù)容。?分擔(dān)了IPSec處理負(fù)荷，防止了IPSec處理的瓶頸問題。這種模式的缺點(diǎn)那么為：?由于每一個(gè)希望實(shí)現(xiàn)傳輸模式的主機(jī)都必須安裝并實(shí)現(xiàn)IPSec模塊，因此不能實(shí)現(xiàn)端用戶的透明效勞。?不能使用私有IP地址，必須使用公有地址資源。第4章方案設(shè)計(jì)VPN的具體實(shí)現(xiàn)方案有很多，實(shí)際應(yīng)用中應(yīng)根據(jù)用戶的需求、用戶資源現(xiàn)狀下來具體實(shí)施。本文中就以一個(gè)中小型企業(yè)為例，在實(shí)際環(huán)境中建立一個(gè)基于ISA的企業(yè)VPN網(wǎng)絡(luò)以滿足企業(yè)與客戶、總部與分部以及公司與外出人員之間的訪問要求。4.1需求分析隨著公司的開展壯大，呼和浩特鴻駿電子在海拉爾開辦了分公司來進(jìn)一步開展業(yè)務(wù)，公司希望總部和分公司、總部與合作伙伴可以隨時(shí)的進(jìn)展平安的信息溝通，而外出辦公人員可以訪問到企業(yè)部關(guān)鍵數(shù)據(jù)，隨時(shí)隨地共享商業(yè)信息，提高工作效率。一些大型跨國(guó)公司解決這個(gè)問題的方法，就是在各個(gè)公司之間租用運(yùn)營(yíng)商的專用線路。這個(gè)方法雖然能解決問題，但是費(fèi)用昂貴，對(duì)于中小企業(yè)來說是無法負(fù)擔(dān)的，而VPN技術(shù)最大的優(yōu)點(diǎn)就是節(jié)約本錢，所以用VPN技術(shù)就解決了這個(gè)問題。根據(jù)該公司用戶的需求，遵循著方便實(shí)用、高效低本錢、平安可靠、網(wǎng)絡(luò)架構(gòu)彈性大等相關(guān)原那么決定采用ISAServerVPN平安方案，以ISA作為網(wǎng)絡(luò)訪問的平安控制。ISAServer集成了WindowsserverVPN效勞，提供一個(gè)完善的防火墻和VPN解決方案。以ISAVPN作為連接Internet的平安網(wǎng)關(guān)，并使用雙網(wǎng)卡，隔開外網(wǎng)，增加網(wǎng)絡(luò)平安性。ISA具備了基于策略的平安性，并且能夠加速和管理對(duì)Internet的訪問。防火墻能對(duì)數(shù)據(jù)包層、鏈路層和應(yīng)用層進(jìn)展數(shù)據(jù)過濾、對(duì)穿過防火墻的數(shù)據(jù)進(jìn)展?fàn)顟B(tài)檢查、對(duì)訪問策略進(jìn)展控制并對(duì)網(wǎng)絡(luò)通信進(jìn)展路由。對(duì)于各種規(guī)模的企業(yè)來說，ISAServer都可以增強(qiáng)網(wǎng)絡(luò)平安性、貫徹一致的Internet使用策略、加速Internet訪問并實(shí)現(xiàn)員工工作效率最大化。方案的設(shè)計(jì)在ISA中可以使用以下三種協(xié)議來建立VPN連接：?IPSEC隧道模式。?L2TPoverIPSec模式。?PPTP。下表比擬了這三種協(xié)議：如表4-1所示。表4-1ISA中三種協(xié)議比照表協(xié)議何時(shí)使用平安等級(jí)備注IPSec隧道模式連接到第三方的VPN效勞器高這是唯一一種可以連接到非微軟VPN效勞器的方式L2TPoverIPSec連接到ISAServer2000、ISAServer2004或者WindowsVPN效勞器高使用RRAS比IPSec隧道模式更容易理解，但是要求遠(yuǎn)程VPN效勞器是ISAServer或者WindowsVPN效勞器。PPTP連接到ISAServer2000、ISAServer2004或者WindowsVPN高使用RRAS和L2TP具有同樣的限制但是更容易配置，因?yàn)槭褂肐PSec加密L2TP更認(rèn)為更平安。三個(gè)站點(diǎn)都采用ISAVPN作為平安網(wǎng)關(guān)，且L2TPoverIPSec結(jié)合了L2TP和IPSec的優(yōu)點(diǎn)，所以在這里采用L2TPoverIPSec作為VPN實(shí)施方案。4.2方案設(shè)計(jì)的目的〔1〕我們通過VPN技術(shù)可以使呼市總部和分公司之間以及呼市總部和合作伙伴之間透過VPN聯(lián)機(jī)采用IPSec協(xié)定，確保傳輸數(shù)據(jù)的平安?！?〕在外出差或想要連回總部或分公司的用戶也可使用IPSec方式與企業(yè)聯(lián)網(wǎng)?！?〕對(duì)總部網(wǎng)實(shí)施上網(wǎng)的訪問控制，通過VPN設(shè)備的訪問控制策略，對(duì)訪問的PC進(jìn)展嚴(yán)格的訪問控制?！?〕對(duì)外網(wǎng)可以抵御黑客的入侵，起到Firewall作用，具有控制和限制的平安機(jī)制和措施，具備防火墻和抗攻擊等功能?！?〕部署靈活、維護(hù)方便、提供強(qiáng)大的管理功能，以減少系統(tǒng)的維護(hù)量以適應(yīng)大規(guī)模組網(wǎng)需要。4.3方案網(wǎng)絡(luò)拓?fù)鋱D呼和浩特鴻駿電子在海拉爾開辦了分公司來開展業(yè)務(wù)，在通信的過程中，為了保證數(shù)據(jù)的平安性總部與分支機(jī)構(gòu)、總部與合作伙伴分別通過ISAVPN平安網(wǎng)關(guān)建立VPN隧道、外出辦公人員與總部建立VPN隧道可以訪問到企業(yè)部關(guān)鍵數(shù)據(jù)，隨時(shí)隨地共享商業(yè)信息，提高工作效率。如圖4-2所示。圖4-2網(wǎng)絡(luò)拓?fù)鋱D第5章各局部VPN設(shè)備的配置公司總部與分支機(jī)構(gòu)之間和公司總部與合作伙伴之間的VPN通信，都是站點(diǎn)對(duì)站點(diǎn)的方式，只是權(quán)限設(shè)置不一樣，公司總部與分支機(jī)構(gòu)要實(shí)現(xiàn)的是公司的分支機(jī)構(gòu)可以共享總部的資源，公司總部與合作伙伴要實(shí)現(xiàn)的是資源共享和互訪。兩者之間的差異是合作伙伴的VPN在接入上設(shè)置了總部可以訪問的操作。因?yàn)槿齻€(gè)站點(diǎn)都采用ISAVPN作為平安網(wǎng)關(guān)，所以以下站點(diǎn)對(duì)站點(diǎn)的VPN配置就以公司總部到分支機(jī)構(gòu)為例，說明在ISA上實(shí)現(xiàn)VPN的具體操作。如圖5-1所示。圖圖5-1實(shí)驗(yàn)?zāi)M網(wǎng)絡(luò)拓?fù)鋱D5.1公司總部到分支機(jī)構(gòu)的ISAVPN配置各主機(jī)的TCP/IP為：一、呼市總部外部網(wǎng)絡(luò)：IP：DG：部網(wǎng)絡(luò)：IP：67DG：None二、分部外部網(wǎng)絡(luò)：IP：DG：部網(wǎng)絡(luò)：IP:DG：None在總部和支部之間建立一個(gè)基于IPSec的站點(diǎn)到站點(diǎn)的VPN連接，由支部向總部進(jìn)展請(qǐng)求撥號(hào)，具體步驟如下：〔1〕在總部ISA效勞器上建立遠(yuǎn)程站點(diǎn)?！?〕建立此遠(yuǎn)程站點(diǎn)的網(wǎng)絡(luò)規(guī)那么。〔3〕建立此遠(yuǎn)程站點(diǎn)的訪問規(guī)那么。〔4〕在總部為遠(yuǎn)程站點(diǎn)的撥入建立用戶?！?〕在支部ISA效勞器上建立遠(yuǎn)程站點(diǎn)。〔6〕建立此遠(yuǎn)程站點(diǎn)的網(wǎng)絡(luò)規(guī)那么?！?〕建立此遠(yuǎn)程站點(diǎn)的訪問規(guī)那么?！?〕測(cè)試VPN連接。如圖5-2所示。圖5-2總部建立的遠(yuǎn)程站點(diǎn)圖5.1.1總部ISAVPN配置1．在總部ISA效勞器上建立遠(yuǎn)程分支機(jī)構(gòu)站點(diǎn)〔1〕翻開ISAServer2004控制臺(tái)，點(diǎn)擊虛擬專用網(wǎng)絡(luò)，點(diǎn)擊右邊任務(wù)面板中的添加遠(yuǎn)程站點(diǎn)網(wǎng)絡(luò)；〔2〕在歡送使用網(wǎng)絡(luò)創(chuàng)立向?qū)ы?，輸入遠(yuǎn)程站點(diǎn)的名字Branch，點(diǎn)擊下一步；〔3〕在VPN協(xié)議頁，選擇IPSec上的第二層隧道協(xié)議〔L2TP〕，點(diǎn)擊下一步；〔4〕在遠(yuǎn)程站點(diǎn)網(wǎng)關(guān)頁，輸入遠(yuǎn)程VPN效勞器的名稱或IP地址，如果輸入名稱，需確?？梢哉_解析，在這里輸入點(diǎn)擊下一步；〔5〕在網(wǎng)絡(luò)地址頁點(diǎn)擊添加輸入與此網(wǎng)卡關(guān)聯(lián)IP地址圍，在此輸入和55，點(diǎn)擊確定后，點(diǎn)擊下一步繼續(xù)；〔6〕在正在完成新建網(wǎng)絡(luò)向?qū)ы摚c(diǎn)擊完成?！?〕翻開VPN客戶端，點(diǎn)擊配置VPN客戶端訪問，在常規(guī)頁中，選擇啟用VPN客戶端訪問，填入允許的最大VPN客戶端數(shù)量20，在協(xié)議頁，選擇啟用PPTP〔N〕和啟用L2TP/IPSEC〔E〕點(diǎn)擊確定?！?〕點(diǎn)擊選擇身份驗(yàn)證方法，選擇Microsoft加密的身份驗(yàn)證版本2〔MS-CHAPv2〕〔M〕和允許L2TP連接自定義IPSec策略〔L〕,輸入預(yù)共享的密鑰main04jsja?！?〕點(diǎn)擊定義地址分配，在地址分配頁，選擇靜態(tài)地址池，點(diǎn)擊添加，添加VPN連接后總部主機(jī)分配的給客戶端的IP地址段，在這里輸入-55，點(diǎn)擊確定完成設(shè)置。2．在總部上建立此遠(yuǎn)程站點(diǎn)的網(wǎng)絡(luò)規(guī)那么接下來，我們需要建立一條網(wǎng)絡(luò)規(guī)那么，為遠(yuǎn)程站點(diǎn)和部網(wǎng)絡(luò)間的訪問定義路由關(guān)系。1〕右鍵點(diǎn)擊配置下的網(wǎng)絡(luò)，然后點(diǎn)擊新建，選擇網(wǎng)絡(luò)規(guī)那么；2〕在新建網(wǎng)絡(luò)規(guī)那么向?qū)ы?，輸入?guī)那么名字，在此命名為InternaltoBranch，點(diǎn)擊下一步;3〕在網(wǎng)絡(luò)通訊源頁，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的部，點(diǎn)擊下一步；4〕在網(wǎng)絡(luò)通訊目標(biāo)頁，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的Branch，點(diǎn)擊下一步；5〕在網(wǎng)絡(luò)關(guān)系頁，選擇路由，然后點(diǎn)擊下一步；6〕在正在完成新建網(wǎng)絡(luò)規(guī)那么向?qū)ы摚c(diǎn)擊完成；如圖5-3所示。圖5-3總部網(wǎng)絡(luò)規(guī)那么圖3、在總部上建立此遠(yuǎn)程站點(diǎn)的訪問規(guī)那么現(xiàn)在，我們需要為遠(yuǎn)程站點(diǎn)和部網(wǎng)絡(luò)間的互訪建立訪問規(guī)那么，1〕右鍵點(diǎn)擊防火墻策略，選擇新建，點(diǎn)擊訪問規(guī)那么；2〕在歡送使用新建訪問規(guī)那么向?qū)ы摚斎胍?guī)那么名稱，在此命名為maintobranch，點(diǎn)擊下一步；3〕在規(guī)那么操作頁，選擇允許，點(diǎn)擊下一步；4〕在協(xié)議頁，選擇所選的協(xié)議，然后添加HTTP和Ping，(這里可以再根據(jù)實(shí)際需要添加協(xié)議)點(diǎn)擊下一步；5〕在訪問規(guī)那么源頁，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的Branch和部，點(diǎn)擊下一步；6〕在訪問規(guī)那么目標(biāo)頁，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的Branch和部，點(diǎn)擊下一步；7〕在用戶集頁，承受默認(rèn)的所有用戶，點(diǎn)擊下一步；在正在完成新建訪問規(guī)那么向?qū)ы?，點(diǎn)擊完成；8〕最后，點(diǎn)擊應(yīng)用以保存修改和更新防火墻設(shè)置。

此時(shí)在警報(bào)里面有提示，需要重啟ISA效勞器，所以我們需要重啟ISA計(jì)算機(jī)。如圖5-4所示。圖5-4總部訪問控制圖4、在總部上為遠(yuǎn)程站點(diǎn)的撥入建立用戶1〕在重啟總部ISA效勞器后，以管理員身份登錄，2〕在我的電腦上點(diǎn)擊右鍵，選擇管理，選擇在本地用戶和組里面，右擊用戶，選擇新用戶，這個(gè)VPN撥入用戶的名字一定要和遠(yuǎn)程站點(diǎn)的名字一致，在此是main，輸入密碼main，選中用戶不能修改密碼和密碼永不過期，取消勾選用戶必須在下次登錄時(shí)修改密碼，點(diǎn)擊創(chuàng)立；3〕擊此用戶，選擇屬性；在用戶屬性的撥入標(biāo)簽，選擇允許訪問，點(diǎn)擊確定。如圖5-5圖5-5總部用戶創(chuàng)立圖此時(shí)，遠(yuǎn)程客戶端撥入總部的用戶賬號(hào)就建好了。5.1.2支部ISAVPN配置1、在支部ISA效勞器上添加遠(yuǎn)程站點(diǎn)1〕翻開ISAServer2004控制臺(tái)，點(diǎn)擊虛擬專用網(wǎng)絡(luò)，點(diǎn)擊右邊任務(wù)面板中的添加遠(yuǎn)程站點(diǎn)網(wǎng)絡(luò)；2〕在歡送使用網(wǎng)絡(luò)創(chuàng)立向?qū)ы?，輸入遠(yuǎn)程站點(diǎn)的名字Main，點(diǎn)擊下一步；3〕在VPN協(xié)議頁，選擇IPSec上的第二層隧道協(xié)議〔L2TP〕，點(diǎn)擊下一步；4〕在遠(yuǎn)程站點(diǎn)網(wǎng)關(guān)頁，輸入遠(yuǎn)程VPN效勞器的名稱或IP地址，如果輸入名稱，需確?？梢哉_解析，在這里輸入，點(diǎn)擊下一步；5〕在遠(yuǎn)程身份驗(yàn)證頁，輸入用戶名main，輸入密碼main，點(diǎn)擊下一步繼續(xù)；6〕在網(wǎng)絡(luò)地址頁，點(diǎn)擊添加輸入與此網(wǎng)卡關(guān)聯(lián)的IP地址圍，在此輸入和55，點(diǎn)擊確定后，點(diǎn)擊下一步繼續(xù)；7〕在正在完成新建網(wǎng)絡(luò)向?qū)ы摚c(diǎn)擊完成。如圖5-6圖5-6支部建立的遠(yuǎn)程站點(diǎn)圖2、建立此遠(yuǎn)程站點(diǎn)的網(wǎng)絡(luò)規(guī)那么接下來，我們需要建立一條網(wǎng)絡(luò)規(guī)那么，為遠(yuǎn)程站點(diǎn)和部網(wǎng)絡(luò)間的訪問定義路由關(guān)系。1〕右擊配置下的網(wǎng)絡(luò)，然后點(diǎn)擊新建，選擇網(wǎng)絡(luò)規(guī)那么；2〕在新建網(wǎng)絡(luò)規(guī)那么向?qū)ы?，輸入?guī)那么名字，在此我命名為部->Main，點(diǎn)擊下一步；3〕在網(wǎng)絡(luò)通訊源頁，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的部，點(diǎn)擊下一步；4〕在網(wǎng)絡(luò)通訊目標(biāo)頁，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的Main，點(diǎn)擊下一步；5〕在網(wǎng)絡(luò)關(guān)系頁，選擇路由，然后點(diǎn)擊下一步；6〕在正在完成新建網(wǎng)絡(luò)規(guī)那么向?qū)ы?，點(diǎn)擊完成；如圖5-7圖5-7支部的網(wǎng)絡(luò)規(guī)那么圖3、建立此遠(yuǎn)程站點(diǎn)的訪問規(guī)那么在創(chuàng)立完遠(yuǎn)程站點(diǎn)和遠(yuǎn)程站點(diǎn)的網(wǎng)絡(luò)規(guī)那么之后，我們需要為遠(yuǎn)程站點(diǎn)和部網(wǎng)絡(luò)間的互訪建立訪問規(guī)那么，1〕右擊防火墻策略，選擇新建，點(diǎn)擊訪問規(guī)那么；2〕在歡送使用新建訪問規(guī)那么向?qū)ы?，輸入?guī)那么名稱，在此我命名為branchtomain，點(diǎn)擊下一步；3〕在規(guī)那么操作頁，選擇允許，點(diǎn)擊下一步；4〕在協(xié)議頁，選擇所選的協(xié)議，然后添加HTTP和Ping，點(diǎn)擊下一步；5〕在訪問規(guī)那么源頁，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的Main和部，點(diǎn)擊下一步；6〕在訪問規(guī)那么目標(biāo)頁，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的Main和部，點(diǎn)擊下一步；7〕在用戶集頁，承受默認(rèn)的所有用戶，點(diǎn)擊下一步；在正在完成新建訪問規(guī)那么向?qū)ы?，點(diǎn)擊完成；8〕最后，點(diǎn)擊應(yīng)用以保存修改和更新防火墻設(shè)置。如圖5-8圖5-8支部的訪問控制圖此時(shí)在警報(bào)里面有提示，需要重啟ISA效勞器，所以，我們需要重啟支部ISA計(jì)算機(jī)。5.1.3VPN連接在支部的路由和遠(yuǎn)程訪問控制臺(tái)中，展開效勞器，1〕點(diǎn)擊網(wǎng)絡(luò)接口，這時(shí)就會(huì)出現(xiàn)我們創(chuàng)立的main網(wǎng)絡(luò)撥號(hào)接口，右鍵點(diǎn)擊屬性，在平安頁選擇高級(jí)設(shè)置下的IPSec設(shè)置，在使用預(yù)共享的密鑰作身份驗(yàn)證〔U〕的選框里打勾，并輸入密鑰main04jsja,點(diǎn)擊兩次確定，完成密鑰設(shè)置。2〕右鍵點(diǎn)擊設(shè)置憑據(jù)，在接口憑據(jù)頁，輸入此接口連接到遠(yuǎn)程路由器使用的憑據(jù)，因?yàn)樵谶h(yuǎn)程ISA端我們?cè)O(shè)置為main所以這里輸入的用戶密碼為main，點(diǎn)擊確定。如圖5-9圖5-9連接驗(yàn)證圖3〕右鍵main點(diǎn)擊連接如圖5-10圖5-10正在進(jìn)展連接示意圖如圖5-11圖5-11已連接上示意圖到此為止站點(diǎn)到站點(diǎn)的VPN已經(jīng)構(gòu)建好了，在上面的設(shè)置中，遠(yuǎn)程的支部不允許總部進(jìn)展訪問，如果要設(shè)成可以互相訪問，支部的配置只要參照總部的配置就可以實(shí)現(xiàn)了。5.1.4連接測(cè)試我們之前在靜態(tài)地址池里設(shè)置了VPN連接后分配的IP地址，因此測(cè)試是否連接時(shí)只要查支部主機(jī)的IP地址就可以了，在測(cè)試的結(jié)果中，出現(xiàn)了這個(gè)VPN分配的IP地址，說明VPN已成功連接上總部的ISAVPN效勞器。如圖5-12圖5-12支部主機(jī)VPN連接后的ipconfig圖在支部的主機(jī)上ping總部部的某一主機(jī)，如下所示，雖