摘要
VPN(Virtal Private Network)即虚拟专用网,是一条穿过公共网络的安全的稳定的通道。通过对网络数据的封包和加密传输,在因特网或其他网络上建立一条临时的、安全的、稳定的连接,从而实现在公网上安全地传输私有数据。通常VPN是对企业内部网络的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通道的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。本文首先介绍了VPN的定义和研究影响。然后介绍了关键技术实现的VPN包括隧道技术,其主要的安全协议,PPTP/L2TP协议,IPSEC协议,GRE协议,所有这些技术构建VPN网络提供理论依据。
关键词:VPN、网络、隧道、IPSec、GRE
山东科技大学毕业设计(论文)
Abstract
VPN(Virtal Private Network) is a kind of safe and steady channel work through the public network . By encapsulate and encryption of data , a temporary , secure and steady link can be set up on which the private data can be transfferd safely . Usally , VPN is an extension to the enterprise and various providers able to connect to the company inner network and transfer data safely . VPN can be used to provide mobile user to access internet globlely , and can be used as virtual private link from enterprise , and also can be used to economical secure links from enterprise , and also can be used to economical secure links from enterprise to business partners . This paper first introduces the definition of VPN and its study implications. And then introduces the key technologies for implementing a VPN which includes the Tunnel technology and its main secure protocols, PPTP/L2TP protocol, IPSEC protocol, GRE protocol, All these technologies provide the theoretical bases for building a VPN network.
Keyword: VPN , network , tunnel , safely,IPSec,GRE
山东科技大学毕业设计(论文)
目录
1. 绪论 ........................................................................................... 1
1.1 VPN的定义 ........................................................................................ 1 1.2 VPN的课题背景 ................................................................................ 1 1.3 VPN的设计目标 ................................................................................ 2 1.4 论文的组织结构 ................................................................................. 3
2. VPN的技术分析 ....................................................................... 4
2.1 VPN的工作原理 ................................................................................ 4 2.2 VPN的分类 ........................................................................................ 6 2.3 VPN主要协议的介绍 ........................................................................ 7 2.4 VPN的设计目标 ................................................................................ 8 2.5 实现VPN的关键技术 ..................................................................... 10 2.6 VPN两种协议的分析 ...................................................................... 13
3. 基于GRE VPN的架构 ......................................................... 20
3.1 基于GRE实验的需求分析 ............................................................. 20 3.2 GRE实验的设计 .............................................................................. 20 3.3 GRE协议的VPN实现配置 ............................................................ 21
4. 基于IPSEC VPN的架构 ...................................................... 23
4.1 基于IPSEC实验的需求分析 ............................................................ 23 4.2 IPSEC实验的设计 ............................................................................. 23 4.3 IPSEC协议的VPN实现步骤及配置 ............................................... 24
5. IPSEC OVER GRE VPN的分析与架构 ............................. 36
5.1 IPSEC协议与GRE协议优缺点的分析 ........................................... 36 5.2 IPSEC OVER GRE的原理及需求分析 .............................................. 37 5.3 IPSEC OVER GRE实验的设计 .......................................................... 38 5.4 IPSEC OVER GRE的步骤及配置 ...................................................... 39
山东科技大学毕业设计(论文)
致谢 .............................................................................................. 48 参考文献 ...................................................................................... 49 附录1 英文原文 ......................................................................... 50 附录2 中文译文 ......................................................................... 56
山东科技大学毕业设计(论文)
1. 绪论
1.1 VPN的定义
VPN( Virtual Private Network)被定义为通过一个公共网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公共网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展与延伸。虚拟专用网可以帮助远程用户、公司分支机构、商业合作伙伴及供应商同公司的内部网络建立安全可信的连通通道,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
1.2 VPN的课题背景
随着Internet和电子商务的蓬勃发展,经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁,各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网,从而大大简化信息交流的途径,增加信息交换速度。这些合作和联系是动态的,并依靠网络来维持和加强,于是各企业发现,这样的信息交流不但带来了网络的复杂性,还带来了管理和安全性的问题,因为Internet是一个全球性和开放性的、基于TCP/IP 技术的、不可管理的国际互联网络,因此,基于Internet的商务活动就面临非善意的信息威胁和安全隐患。还有一类用户,随着自身的发展壮大与跨国化,企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容也更为普遍。因此,用户的信息技
1
山东科技大学毕业设计(论文)
术部门在连接分支机构方面也感到日益棘手。用户的需求正是虚拟专用网技术诞生的直接原因。
虽然VPN在理解和应用方面都是高度复杂的技术,甚至确定其是否适用于本公司也一件复杂的事件,但在大多数情况下VPN的各种实现方法都可以应用于每个公司。即使不需要使用加密数据,也可节省开支。因此,在未来几年里,客户和厂商很可能会使用VPN,从而使电子商务重又获得生机,毕竟全球化、信息化、电子化是大势所趋。
1.3 VPN的设计目标
一般来说,企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制,所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接,不同分支机构之间的资源共享;又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏。因此,最低限度,一个成功的vpn方案应当能够满足以下所有方面的要求: (1)用户验证 vpn方案必须能够验证用户身份并严格控制只有授权用户才能访问vpn。另外,方案还必须能够提供审计和记费功能,显示何人在何时访问了何种信息。 (2)地址管理 vpn方案必须能够为用户分配专用网络上的地址并确保地址的安全性。 (3)数据加密 对通过公共互联网络传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息。 (4)密钥管理vpn方案必须能够生成并更新客户端和服务器的加密密钥。 (5)多协议支持vpn方案必须支持公共互联网络上 普遍使用的基本协议,包括ip,ipx等。以点对点隧道协议(pptp)或第2层隧道协议(l2tp)为基础的vpn方案既能够满足以上所有的基本要求,又能够充分利用遍及世界各地的internet互联网络的优势。其它方案,包括安全ip协议(ipsec),虽然不能满足上述全部要求,但是仍然适用于在
2
山东科技大学毕业设计(论文)
特定的环境。本文以下部分将主要集中讨论有关vpn的协议和基于两种协议所完成的实验。
1.4 论文的组织结构
本文分为五章,具体安排如下:
第一章 主要介绍VPN是什么,简单介绍VPN这种技术,VPN 由来的背景,VPN的设计的要求。
第二章 主要是对VPN技术的分析,介绍VPN工作的原理,本论文是基于VPN的何种分类,对VPN一系列协议的简单介绍,VPN设计实现什么目标,实现VPN都需要有哪些技术,对本论文中两种协议的具体分析。
第三章 对基于GRE协议的VPN实现了需求、设计,在模拟软件上完成本实验的操作。
第四章 基于有限的实验设备制定一个合理的需求分析,在需求产生后设计一个具体的实验,并在具体设备上完成该实验。
第五章 基于上述两种实验的缺憾,结合两种协议的使用,合理完成一个混杂网络上的实验。
3
山东科技大学毕业设计(论文)
2. VPN的技术分析
2.1 VPN的工作原理
把因特网用作专用广域网,就要克服两个主要障碍。首先,网络经常使用多种协议如IPX和NetBEUI进行通信,但因特网只能处理IP流量。所以,VPN就需要提供一种方法,将非IP的协议从一个网络传送到另一个网络。其次,网上传输的数据包以明文格式传输,因而,只要看得到因特网的流量,就能读取包内所含的数据。如果公司希望利用因特网传输重要的商业机密信息,这显然是一个问题。VPN克服这些障碍的办法就是采用了隧道技术:数据包不是公开在网上传输,而是首先进行加密以确保安全,然后由VPN封装成IP包的形式,通过隧道在网上传输,如图2-1所示:
4
山东科技大学毕业设计(论文)
图1-1 VPN工作原理图
源网络的VPN隧道发起器与目标网络上的VPN隧道发起器进行通信。两者就加密方案达成一致,然后隧道发起器对包进行加密,确保安全(为了加强安全,应采用验证过程,以确保连接用户拥有进入目标网络的相应的权限。大多数现有的VPN产品支持多种验证方式)。
最后,VPN发起器将整个加密包封装成IP包。现在不管原先传输的是何种协议,它都能在纯IP因特网上传输。又因为包进行了加密,所以谁也无法读取原始数据。
在目标网络这头,VPN隧道终结器收到包后去掉IP信息,然后根据达成一致的加密方案对包进行解密,将随后获得的包发给远程接入服务器或本地路由器,他们在把隐藏的IPX包发到网络,最终发往相应目的地。
5
山东科技大学毕业设计(论文)
2.2 VPN的分类
从不同的角度看VPN,就可以得到不同的VPN类型,按照应用领域,我们可以把VPN分成以下三类: (1)远程访问(Access VPN)
远程移动用户通过VPN技术可以在任何时间、任何地点采用拨号、ISDN、DSL、移动IP和电缆技术与公司总部、公司内联网的VPN设备建立起隧道或密道信,实现访问连接,此时的远程用户终端设备上必须加装相应的VPN软件。推而广之,远程用户可与任何一台主机或网络在相同策略下利用公共通信网络设施实现远程VPN访问。这种应用类型也叫Access VPN(或访问型VPN),这是基本的VPN应用类型。不难证明,其他类型的VPN都是Access VPN的组合、延伸和扩展。 (2)组建内联网(Intranet VPN)
一个组织机构的总部或中心网络与跨地域的分支机构网络在公共通信基础设施上采用的隧道技术等VPN技术构成组织机构“内部”的虚拟专用网络,当其将公司所有权的VPN设备配置在各个公司网络与公共网络之间(即连接边界处)时,这样的内联网还具有管理上的自主可控、策略集中配置和分布式安全控制的安全特性。利用VPN组建的内联网也叫Intranet VPN。Intranet VPN是解决内联网结构安全和连接安全、传输安全的主要方法。
(3)组建外联网 (Extranet VPN)
使用虚拟专用网络技术在公共通信基础设施上将合作伙伴和有共同利益的主机或网络与内联网连接起来,根据安全策略、资源共享约定规则实施内联网内的特定主机和网络资源与外部特定的主机和网络资源相互共享,这在业务机构和具有相互协作关系的内联网之间具有广泛
6
山东科技大学毕业设计(论文)
的应用价值。这样组建的外联网也叫Extranet VPN。Extranet VPN是解决外联网结构安全和连接安全、传输安全的主要方法。若外联网VPN的连接和传输中使用了加密技术,必须解决其中的密码分发、管理的一致性问题。
2.3 VPN主要协议的介绍
2.3.1 Intranet VPN的适用协议
组建内联网的主要的适用协议有GRE、IPSec VPN、MPLS VPN三种。
GRE协议能够对各种网络层协议的数据报文进行封装,被封装的数据报文能够在IP网络中传输。GRE采用了Tunnel技术,是VPN的三层隧道协议。但是它的安全性低。下文会详细介绍此协议。
IPSec VPN是标准的网络安全协议,可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,从而有效抵御网络攻击。IPSec VPN在网络的灵活性、安全性、经济性、扩展性等方面极具优势。
MPLS VPN是指采用MPLS技术在宽带IP的骨干网络上构建企业IP专网,以实现跨地域、安全、高速、可靠的数据、音频等业务通信。MPLS VPN结合区分服务、流量工程等相关技术,将公共网络可靠的性能,良好的扩展性,丰富的功能与专用网的安全、灵活、高效地结合在一起,可以为用户提供高质量的服务。
7
山东科技大学毕业设计(论文)
2.3.2 Access VPN的适用协议
远程访问的适用协议主要有IPSec VPN、VPDN、SSL VPN。 IPSec VPN是一种很全面的技术,在远程访问上仍然适用,所以该技术应用很广泛,本文有对IPSec VPN技术的详细叙述。
VPDN是VPN业务的一种,具体包含的技术包括PPTP、L2TP、PPPoE等,是基于拨号用户的虚拟专用拨号网业务。即用户以拨号接入的方式联网,并通过CDMA 1x分组网络传输数据时,VPDN会对数据进行封装和加密,从而保障数据的私密性,并使VPN有到达私有网络安全级别。VPDN是利用IP网络的承载功能结合相应的认证和授权机制建立起来的一种安全的虚拟专用网,是一种很传统的VPN技术。
SSL VPN指的是基于安全套接层协议建立远程安全访问通道的VPN技术。它是一种新兴的技术,随着Web的普及和电子商务、远程办公的兴起而发展起来。
2.4 VPN的设计目标
在实际应用中,一般来说一个高效、成功的VPN应具备以下几个特点:
(1)安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡
8
山东科技大学毕业设计(论文)
改,并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。 (2)服务质量保证(QoS)
VPN网络应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。 (3)可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。 (4)可管理性
从用户角度和运营商的角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交
9
山东科技大学毕业设计(论文)
给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
2.5 实现VPN的关键技术
(1)隧道技术
隧道技术(Tunneling)是VPN的底层支撑技术,所谓隧道,实际上是一种封装,就是将一种协议(协议X)封装在另一种协议(协议Y)中传输,从而实现协议X对公用网络的透明性。这里协议X被称为被封装协议,协议Y被称为封装协议,封装时一般还要加上特定的隧道控制信息,因此隧道协议的一般形式为((协议Y)隧道头(协议X))。在公用网络(一般指因特网)上传输过程中,只有VPN端口或网关的IP地址暴露在外边。
隧道解决了专网与公网的兼容问题,其优点是能够隐藏发送者、接受者的IP地址以及其它协议信息。VPN采用隧道技术向用户提供了无缝的、安全的、端到端的连接服务,以确保信息资源的安全。VPN区别于一般网络互联的关键是隧道的建立,数据包经过加密后,按隧道协议进行封装、传送以保证安全性。
隧道是由隧道协议形成的。隧道协议分为第二、第三层隧道协议,第二层隧道协议如L2TP、PPTP、L2F等,他们工作在OSI体系结构的第二层(即数据链路层);第三层隧道协议如IPSec,GRE等,工作在OSI体系结构的第三层(即网络层)。第二层隧道和第三层隧道的本质区别在于:用户的IP数据包被封装在不同的数据包中在隧道中传输。
10
山东科技大学毕业设计(论文)
第二层隧道协议是建立在点对点协议PPP的基础上,充分利用PPP协议支持多协议的特点,先把各种网络协议(如IP、IPX等)封装到PPP帧中,再把整个数据包装入隧道协议。PPTP和L2TP协议主要用于远程访问虚拟专用网。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠网络层协议进行传输。无论从可扩充性,还是安全性、可靠性方面,第三层隧道协议均优于第二层隧道协议。IPSec即IP安全协议是目前实现VPN功能的最佳选择。 (2)加解密认证技术
加解密技术是VPN的另一核心技术。为了保证数据在传输过程中的安全性,不被非法的用户窃取或篡改,一般都在传输之前进行加密,在接受方再对其进行解密。
密码技术是保证数据安全传输的关键技术,以密钥为标准,可将密码系统分为单钥密码(又称为对称密码或私钥密码)和双钥密码(又称为非对称密码或公钥密码)。单钥密码的特点是加密和解密都使用同一个密钥,因此,单钥密码体制的安全性就是密钥的安全。其优点是加解密速度快。最有影响的单钥密码就是美国国家标准局颁布的DES算法(56比特密钥)。而3DES(112比特密钥)被认为是目前不可破译的。双钥密码体制下,加密密钥与解密密钥不同,加密密钥公开,而解密密钥保密,相比单钥体制,其算法复杂且加密速度慢。所以现在的VPN大都采用单钥的DES和3DES作为加解密的主要技术,而以公钥和单钥的混合加密体制(即加解密采用单钥密码,而密钥传送采用双钥密码)来进行网络上密钥交换和管理,不但可以提高了传输速度,还具有良好的保密功能。认证技术可以防止来自第三方的主动攻击。一般用户和设备双
11
山东科技大学毕业设计(论文)
方在交换数据之前,先核对证书,如果准确无误,双方才开始交换数据。用户身份认证最常用的技术是用户名和密码方式。而设备认证则需要依赖由CA所颁发的电子证书。
目前主要有的认证方式有:简单口令如质询握手验证协议CHAP和密码身份验证协议PAP等;动态口令如动态令牌和X.509数字证书等。简单口令认证方式的优点是实施简单、技术成熟、互操作性好,且支持动态地加载VPN设备,可扩展性强。 (3)密钥管理技术
密钥管理的主要任务就是保证在开放的网络环境中安全地传递密钥,而不被窃取。目前密钥管理的协议包括ISAKMP、SKIP、MKMP等。Internet密钥交换协议IKE是Internet安全关联和密钥管理协议ISAKMP语言来定义密钥的交换,综合了Oakley和SKEME的密钥交换方案,通过协商安全策略,形成各自的验证加密参数。IKE交换的最终目的是提供一个通过验证的密钥以及建立在双方同意基础上的安全服务。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥。
IKE协议是目前首选的密钥管理标准,较SKIP而言,其主要优势在于定义更灵活,能适应不同的加密密钥。IKE协议的缺点是它虽然提供了强大的主机级身份认证,但同时却只能支持有限的用户级身份认证,并且不支持非对称的用户认证。 (4)访问控制技术
虚拟专用网的基本功能就是不同的用户对不同的主机或服务器的访问权限是不一样的。由VPN服务的提供者与最终网络信息资源的提供者共同来协商确定特定用户对特定资源的访问权限,以此实现基于用户的细粒度访问控制,以实现对信息资源的最大限度的保护。
12
山东科技大学毕业设计(论文)
访问控制策略可以细分为选择性访问控制和强制性访问控制。选择性访问控制是基于主体或主体所在组的身份,一般被内置于许多操作系统当中。强制性访问控制是基于被访问信息的敏感性。
2.6 VPN两种协议的分析
2.6.1 IPSec协议
IPSec 是IETF 提出的IP 安全标准[2] 它在IP 层上对数据包进行安全处理提供数据源验证无连接数据完整性数据机密性抗重播和有限业务流机密性等安全服务各种应用程序完全可以享用IP 层提供的安全服务和密钥管理而不必设计和实现自己的安全机制因此减少了密钥协商的开销也降低了产生安全漏洞的可能性IPSec 可连续或递归应用在路由器防火墙主机和通信链路上配置实现端到端安全虚拟专用网络(VPN) Road Warrior 和安全隧道技术[1]。
IPSec 协议由核心协议和支撑模块组成。核心协议包括AH(验证头)与ESP(封装安全载荷) 支撑部分包括加密算法HASH 算法安全策略安全关联IKE 密钥交换机制[4~7]
IP技术是在原始的IP头部和数据之间插入一个IPSec头部,这样可以对原始IP负载实现加密,同时还可以实现对IPSec头部和原始IP负载的验证,以确保数据的完整性。
IPSec的结构是一种框架性的结构,IPSec没有具体的加密和散列函数,它是每一次的IPSec会话所用的具体算法都是通过协商来确定,这样更具有安全性。还包括IPSec框架中的封装协议和模式、密钥有效期等内容都是通过协商决定,在两个IPSec对等体之间协商的协议叫做IKE。协商完成后产生安全关联SA,实现安全通信。
13
山东科技大学毕业设计(论文)
IPSec是IETF(Internet Engineer Task Force) 正在完善的安全标准,它把几种安全技术结合在一起形成一个较为完整的体系,受到了众多厂商的关注和支持。通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec由IP认证头AH(Authentication Header)、IP安全载荷封载ESP(Encapsulated Security Payload)和密钥管理协议组成。IPSec的体系结构如图2-2所示:
IPsec体系 封装安全负载(ESP) 认证包头(AH) 加密算法 认证算法 解释域 密钥管理 策略
图2-2 IPSec的体系结构
IPSec协议是一个范围广泛、开放的虚拟专用网安全协议。IPSec 适
14
山东科技大学毕业设计(论文)
应向IPv6迁移, 它提供所有在网络层上的数据保护,提供透明的安全通信。IPSec用密码技术从三个方面来保证数据的安全。即:
认证:用于对主机和端点进行身份鉴别。
完整性检查:用于保证数据在通过网络传输时没有被修改。 加密:加密IP地址和数据以保证私有性,这样就算被第三方捕获后也无法将其恢复成明文。
IPSec协议可以设置成在两种模式下运行:一种是隧道模式,一种是传输模式。 在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧 中,这样保护从一个防火墙到另一个防火墙时的安全性。在隧道模式下,信息封装是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。隧道模式是最安全的,但会带来较大的系统开销。IPSec现在还不完全成熟,但它得到了一些路由器厂商和硬件厂商的大力支持。预计它今后将成为虚拟专用网的主要标准。IPSec有扩展能力以适应未来商业的需要。在1997年底,IETF安全工作组完成了IPSec 的扩展, 在IPSec协议中加上ISAKMP(Internet Security Association and Kay Management Protocol)协议,其中还包括一个密钥分配协议Oakley。ISAKMP/Oakley支持自动建立加密信道,密钥的自动安全分发和更新。IPSec也可用于连接其它层己存在的通信协议,如支持安全电子交易(SET:Secure Electronic Transaction)协议和SSL(Secure Socket layer)协议。即使不用SET或SSL,IPSec 都能提供认证和加密手段以保证信息的传输。 2.6.2 GRE 协议
GRE(Generic Routing Encapsulation,通用路由封装)协议是对
15
山东科技大学毕业设计(论文)
某些网络层协议(如IP 和IPX)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输。GRE 是VPN(Virtual Private Network)的第三层隧道协议,在协议层之间采用了一种被称之为Tunnel(隧道)的技术。Tunnel是一个虚拟的点对点的连接,在实际中可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路使封装的数据报能够在这个通路上传输,并且在一个Tunnel的两端分别对数据报进行封装及解封装。
一个报文要想在Tunnel中传输,必须要经过加封装与解封装两个过程,下面介绍这两个过程如图2-3所示:
图2-3 IPX网络通过GRE隧道互联
(1) 加封装过程
连接Novell Group1的接口收到IPX数据报后首先交由IPX 协议处理,IPX 协议检查IPX 报头中的目的地址域来确定如何路由此包。若报文的目的地址被发现要路由经过网号为1f 的网络(Tunnel 的虚拟网号),则将此报文发给网号为1f 的Tunnel端口。Tunnel 口收到此包后进行GRE 封装,封装完成后交给IP 模块处理,在封装IP 报文头后,根据此包的目的地址及路由表交由相应的网络接口处理。 (2) 解封装的过程
解封装过程和加封装的过程相反。从Tunnel 接口收到的IP 报文,通过检查目的地址,当发现目的地就是此路由器时,系统剥掉此报文的IP 报头,交给GRE 协议模块处理(进行检验密钥、检查校验和及报文
16
山东科技大学毕业设计(论文)
的序列号等);GRE 协议模块完成相应的处理后,剥掉GRE 报头,再交由IPX 协议模块处理,IPX 协议模块象对待一般数据报一样对此数据报进行处理。 系统收到一个需要封装和路由的数据报,称之为净荷(payload),这个净荷首先被加上GRE 封装,成为GRE 报文;再被封装在IP 报文中,这样就可完全由IP 层负责此报文的向前传输(forwarded)。人们常把这个负责向前传输IP 协议称为传输协议(delivery protocol 或者transport protocol)。 封装好的报文的形式如下图2-4所示:
图2-4 封装的Tunnel报文格式
举例来说,一个封装在IP Tunnel中的IPX传输报文的格式如下图2-5所示:
图2-5 Tunnel中传输报文的格式
17
山东科技大学毕业设计(论文)
2.3.3 PPTP/L2TP
1996年,Microsoft和Ascend等在PPP 协议的基础上开发了PPTP , 它集成于Windows NT Server4.0中,Windows NT Workstation 和Windows 9.X也提供相应的客户端软件。PPP支持多种网络协议,可把IP 、IPX、AppleTalk或NetBEUI的数据包封装在PPP包中,再将整个报文封装在PPTP隧道协议包中,最后,再嵌入IP报文或帧中继或ATM中进行传输。PPTP提供流量控制,减少拥塞的可能性,避免由于包丢弃而引发包重传的数量。PPTP的加密方法采用Microsoft点对点加密(MPPE: Microsoft Point-to- Point) 算法,可以选用较弱的40位密钥或强度较大的128位密钥。1996年, Cisco提出L2F(Layer 2 Forwarding)隧道协议,它也支持多协议,但其主要用于Cisco的路由器和拨号访问服务器。1997年底,Microsoft 和Cisco公司把PPTP 协议和L2F协议的优点结合在一起,形成了L2TP协议。L2TP支持多协议,利用公共网络封装PPP帧,可以实现和企业原有非IP网的兼容。还继承了PPTP的流量控制,支持MP(Multilink Protocol),把多个物理通道捆绑为单一逻辑信道。L2TP使用PPP可靠性发送(RFC 1663)实现数据包的可靠发送。L2TP隧道在两端的VPN服务器之间采用口令握手协议CHAP来验证对方的身份.L2TP受到了许多大公司的支持.
PPTP/L2TP协议的优点: PPTP/L2TP对用微软操作系统的 用户来说很方便,因为微软己把它作为路由软件的一部分。PPTP/ L2TP支持其它网络协议。如NOWELL的IPX,NETBEUI和APPLETALK协议,还支持流量控制。 它通过减少丢弃包来改善网络性能,这样可减少重传。
PPTP/ L2TP协议的缺点:PM和L2TP 将不安全的IP包封装在安全的IP包内,它们用IP帧在两台计算机之间创建和打开数据通道,一旦
18
山东科技大学毕业设计(论文)
通道打开,源和目的用户身份就不再需要,这样可能带来问题,它不对两个节点间的信息传输进行监视或控制。PPTP和L2TP限制同时最多只能连接255个用户,端点用户需要在连接前手工建立加密信道,认证和加密受到限制,没有强加密和认证支持。
PPTP/ L2TP最适合于远程访问VPN.
19
山东科技大学毕业设计(论文)
3. 基于GRE VPN的架构
3.1 基于GRE实验的需求分析
山东科技大学有多个校区,包括青岛校区(总校)、泰安校区、济南校区,总校与分校之间不可避免需要访问彼此私有地址服务器的信息,为了实现彼此数据的安全访问,我们学校使用了VPN技术。所以我对VPN进行了学习,因为两个校区可能用到不同网络协议,所以我采用了GRE技术。通过GRE技术在不同的两个校区之间建立了一个点到点的GRE隧道,前期处于学习阶段,因此在GRE的隧道口上运行了静态路由协议,又来学习彼此的网络路由。两点之间的流量通过GRE隧道封装穿越Internet。
3.2 GRE实验的设计
本实验使用模拟软件所做的PT实验,隧道建立在路由器上,没有专门的VPN网关来管理。在青岛校区和泰安校区之间建立GRE隧道,通过对两边缘路由器的配置,实现两校区之间无障碍通信。
下面是实验拓扑图图3-1:
20
山东科技大学毕业设计(论文)
图3-1 GRE实验拓扑图
3.3 GRE协议的VPN实现配置
3.3.1 分别各个路由器端口、PC机和服务器配置地址
IP规划表:
Internet 30.1.1.1/24青岛总校30.1.1.2/24 Internet 20.1.1.1/24 济南校区20.1.1.2/24 Internet 10.1.1.1/24 泰安校区10.1.1.2/24 青岛总校192.168.3.254/24 服务器 192.168.3.1/24 青岛总校192.168.2.254/24 主机2 192.168.2.1/24 青岛总校192.168.2.254/24 主机1 192.168.2.1/24
本实验配置的关键在青岛总校,所以下面主要介绍总校的配置。配置如下:
21
山东科技大学毕业设计(论文)
interface Tunnel0
ip address 1.1.1.1 255.255.255.0 tunnel source FastEthernet0/0 tunnel destination 10.1.1.2 interface Tunnel1
ip address 2.1.1.1 255.255.255.0 tunnel source FastEthernet0/0 tunnel destination 20.1.1.2 (
ip route 192.168.1.0 255.255.255.0 1.1.1.2 ip route 192.168.2.0 255.255.255.0 2.1.1.2 ip route 0.0.0.0 0.0.0.0.0 f0/1
3.3.2 主要设备之间连通性测试
下面是主机1对连通性的测试图3-2所示:
22
山东科技大学毕业设计(论文)
图3-2 主机1对服务器的连通性测试
4. 基于IPSec VPN的架构
4.1 基于IPSec实验的需求分析
山东科技大学的教务管理系统为了实现安全,只允许在校内网上访问,若老师或同学在校外就无法访问,会带来很大不便。我们可通过建立IPSec VPN的加密隧道,实现出差和假期期间师生和学校之间的信息安全传输。IPSec VPN技术通过隧道技术、加解密技术、密钥管理技术、和认证技术有效的保证了数据在Internet网络传输的安全性,是目前最安全、使用最广泛的VPN技术。
4.2 IPSec实验的设计
PC机模拟出差员工的PC,与VPN设备A(模拟公司出口VPN设备)通过IKE自动协商建立起IPSec 的VPN加密隧道。使得PC机能安全访问到VPN设备A所保护的内部服务器。
试验时,可以在服务器上开设FTP服务或者Web服务,在VPN隧道建立成功后,PC机将能够访问到这些服务。
移动用户(即PC机)在和VPN设备建立VPN隧道前,需要先获得VPN设备的身份验证许可。该实验所采用的用户身份验证为口令方式,并且口令账号的颁发由VPN设备A来完成。
移动用户(即PC机)在通过VPN设备A的身份验证后,VPN设备A会自动将VPN隧道建立(即IKE协商)所需要的配置下发给PC机,然后PC机与VPN设备A之间自动开始IKE协商,协商成功后VPN隧道即
23
山东科技大学毕业设计(论文)
建立成功。整个过程系统自动完成,无需人为干预,是免配置的典型方式。
本实验的拓扑图图4-1:
图4-1 IPSec实验拓扑图
4.3 IPSec协议的VPN实现步骤及配置
IPSec协议的VPN实现的具体步骤的详细介绍如下: 第一步:准备好PC机和服务器。
1) 实验中即可以通过服务器来管理VPN设备。 2) 在PC机上安装RG-SRA软件程序。
注意:RG-SRA是VPN客户端软件程序,如果PC机上已预装其它厂家的VPN客户端程序,请先卸载其它厂家的VPN客户端程序,否则可能RG-SRA无法正常工作。
RG-SRA作为安全产品,安装后会对系统的网卡、端口、协议等方面有改动,因此会和部分防火墙或者防病毒程序不兼容。目前经过测试,已知和市场主流的杀毒软件、防火墙是兼容的有:瑞星、天网、Symentec、微软等产品都兼容。已知的不兼容的软件有:卡巴司基、Sygate。因此建议用于测试的PC机卸载这两个程序。推荐用户使用没有安装任何第三方防火墙、防病毒程序的机器来作试验。
第二步:搭建图示实验拓扑,然后配置PC机、服务器、VPN设备A、route的IP及必要路由。示例如下:
VPN设备A的eht1口地址:192.168.2.1
24
山东科技大学毕业设计(论文)
VPN设备A的eth0口地址:10.1.1.1 PC机的IP地址:10.1.2.1 PC 机的网关地址:10.1.2.2 服务器的IP地址:192.168.2.2 服务器的网关地址:192.168.2.1 Route的F0/0地址:10.1.1.2 Route的F0/1地址:10.1.2.2 VPN设备A接口及缺省路由配置如下:
1) 通过服务器的超级终端,配置好VPN网关的IP地址显示如下图图4-2:
图4-2 VPN网关的IP地址
2)配置连接服务器的接口eth1,如下图图4-3:
25
山东科技大学毕业设计(论文)
图4-3 网关的建立显示
图4-4 网关地址的配置
3)建立服务器与VPN网关的连接,进而操作VPN网关。安全网关登录如图4-5所示:
26
山东科技大学毕业设计(论文)
图4-5 安全网关登录显示
4)登录成功页面如图4-6所示:
图4-6 登录成功显示
5) 通过服务器上的VPN管理软件登录VPN设备A,然后配置eth0口地址,操作如下图4-7所示:
27
山东科技大学毕业设计(论文)
图4-7 网络接口显示
设置eth0口地址如图4-8所示:
图4-8 外出接口配置
28
山东科技大学毕业设计(论文)
第三步:配置IPSec VPN隧道
1、在VPN设备A上进行IPSec VPN隧道配置: 1) 进入远程移动用户VPN隧道配置的界面
登录VPN设备A的管理界面,选择进入“远程用户管理”界面,如下图所示:
2) 首先配置“允许访问子网”
图4-9 添加可访问的子网显示
3) 配置“本地用户数据库”
29
山东科技大学毕业设计(论文)
图4-10 添加远程用户
注意:添加完用户后一定要点击“用户生效”按钮,否则新添加的用户依然不可使用。
4) 配置“虚IP地址池”
30
山东科技大学毕业设计(论文)
图4-11 虚IP地址池中IP地址的配置显示
5) 配置“用户特征码表”
图4-12 用户特征码绑定显示
配置说明:“用户特征码表”是为需要将远程PC的硬件和分配给用户的身份信息绑定的需求而设计的。选择了“允许接入并自动绑定”功能,则VPN设备会将远程用户的PC硬件特征码与该用户的身份认证信息相互绑定,绑定后该用户将无法用自己的身份信息再在其它PC设备上建立VPN隧道。
该实验中我们既可以选择“允许接入”,也可以选择“允许接入并
31
山东科技大学毕业设计(论文)
自动绑定”。系统默认配置是“禁止接入”。图示选择的是“允许接入”,这表示该用户的身份信息不会和其使用的PC硬件绑定。
2、在PC机上运行RG-SRA程序,开始建立VPN隧道: 1) 第一次运行RG-SRA程序后,建立连接:
图4-13 登录远程用户添加VPN连接
3) 运行该隧道连接,建立VPN隧道,并启动隧道连接。
32
山东科技大学毕业设计(论文)
图4-14 VPN隧道的建立
输入身份认证所必须的账号,即在VPN设备A上添加的用户。
图4-15 用户登录
33
山东科技大学毕业设计(论文)
点击“连接”按钮后,系统自动进行身份认证,并且开始IKE的协商,如下图4-16所示:
图4-16 远程用户登录显示
2、在VPN设备A的管理界面也可看到已经建立成功的隧道信息。 隧道启动后可以在“隧道协商状态”栏目下看到隧道的协商状态,“隧道状态”显示“第二阶段协商成功”。
图4-17 登录成功且IKE协商成功
第四步:进行隧道通信
从PC机上去访问服务器提供的服务,服务应该成功。或者先在PC机上Ping一下服务器的IP,应该能够Ping通。(没有VPN隧道前Ping会是失败的)
VPN隧道的通信情况可以在“隧道通信状态”中查看到,如下图4-18所示:
34
山东科技大学毕业设计(论文)
图4-18 隧道协商状态
35
山东科技大学毕业设计(论文)
5. IPSec over GRE VPN的分析与架构
5.1 IPSec协议与GRE协议优缺点的分析
5.1.1 IPSec 协议的优缺点
IPSec协议的优点:①IPsec工作在传输层之下,因此对应用层是透明的,当在路由器或者防火墙上安装IPsec时,无需要更改用户或服务器系统中的软件设置。即使在终端系统中执行IPsec,应用程序等上层软件也不会受影响。另外,IPsec也可以为单个用户提供主机到主机的安全隧道,保护客户的敏感信息。IPsec选择在IP成是一种很好的选择,更好级别的服务只能保护某一种协议,更低级别的服务则只能保护某一种通信媒体,而IPsec则可以保护IP之上的任何协议和IP之下的任何通信媒体。
②IPsec具有模块化的设计,即使选择不同的算法,也不会影响到其他部分的实现,不同用户群可以根据自己的需求选择合适的算法集。
③IPsec使用包过滤的方式进行访问控制。则按可以减少握手的时间,一次握手就可以传送大量的数据,尤其适用于传输数据量大的应用。
④VPN交换机的分离通道特性为IPsec客户端提供同时对internet,extranet和本地网络访问的支持,该技术可以设置权限,允许用户的访问权限,如允许本地打印和文件共享访问,允许直接internet访问和允许安全外网访问,该特性使用用户在安全条件下合理方便的使用网络资源,既有安全性又有灵活性。
IPsec定义了开放的体系结构和框架。
36
山东科技大学毕业设计(论文)
IPSec协议的缺点:IPSec需要已知范围的IP地址或固定范围的IP地址,因此在动态分配地址时不太适合于IPSec;除了TCP/IP协议以外,IPSec不支持其它协议;除了包过滤外,它没有指定其它访问控制方法;对于采用NAT方式访问公共网络的情况难以处理;IPSec目前还仅支持单播的(Unicast)IP数据包,不支持多播(Multicast)和广播(Broadcast)的IP数据包。
5.1.2 GRE 协议的优缺点
GRE协议的优点:①支持加密的多播传输。GRE隧道可以像真实的网络接口那样传递多播数据包,而单独使用IPSec,则无法对多播传输进行加密。多播传输的例子包括OSPF, EIGRP, 以及RIPV2。另外,大量的视频、VoIP以及音乐流程序使用多播。
②支持多种协议无法进行路由,比如NetBIOS或在IP网络上进行非IP传输。比如,可以在IP网络中使用GRE支持IPX或AppleTalk协议。
GRE协议的缺点: 由于GRE是将一个数据包封装到另一个数据包中,因此可能会遇到GRE的数据报大于网络接口所设定的数据包最大尺寸的情况。另外,不能防止网络侦听和攻击。无法保证数据的完整性和保密性。
5.2 IPSec over GRE的原理及需求分析
GRE(Generic Routing Encapsulation,通用路由封装)协议是一个隧道协议,使用 IP协议号 47。GRE 通常用来构建站点到站点的 VPN 隧道,它最大的优点是可以对多种协议、多种类型的报文进行封装,并在隧道中传输。但是 GRE 不提供对数据的保护(例如加密) ,它只
37
山东科技大学毕业设计(论文)
提供简单的隧道验证功能。 IPSec(IP security,IP 安全性)的主要作用是为 IP 数据通信提供安全服务。IPSec 不是一个单独协议,它是一套完整的体系框架,包括 AH、ESP 和 IKE 三个协议。IPSec 使用了多种加密算法、散列算法、密钥交换方法等为 IP 数据流提供安全性,它可以提供数据的机密性、数据的完整性、数据源认证和反重放等安全服务。 但是由于 IPSec 不能够对组播报文进行封装,所以通常的路由协议报文无法在 IPSec隧道中传输。这时我们可以结合使用 GRE 与 IPSec,利用 GRE 对用户数据和路由协议报文进行隧道封装,然后使用 IPSec 来保护 GRE 隧道的安全,即 GRE over IPSec VPN。
依据上述对两种协议的分析,单独配置基于预共享密钥的IPSec VPN,可以实现不同站点之间的网络互联,但是IPSec工作于网络层,是不能和NAT一起使用的,否则就会造成数据源和目的地址的混乱;而且不能形成内网之间的路由协议。这就需要将IPSec运行在GRE(tunnel)隧道之上,真实物理接口运行NAT进行网络地址转换,这就避免了IPSec VPN和NAT之间的冲突。使用GRE隧道的另外一个好处是可以在各个站点的隧道之间学习路由协议。GRE是通用路由封装协议,可以实现任意一种网络层协议在另一种网络层协议上的封装。
5.3 IPSec over GRE实验的设计
公司的总部与分部的一端未TCP/I P协议,所以不可以单纯使用IPSec协议,所以我们决定使用IPSec over GRE。
本实验设计的拓扑图如下图5-1所示:
38
山东科技大学毕业设计(论文)
图5-1 IPSec over GRE实验拓扑图
5.4 IPSec over GRE的步骤及配置
5.4.1. 配置网络互联的基本参数
1) 配置R2和R3网络之间的基本参数,并启用OSPF路由协议
注意:在R2和R3上各配置了一条默认路由指向两边的末梢网
络,这样公网就可以访问内网的数据了。
39
山东科技大学毕业设计(论文)
图5-2 对R2的配置
图5-3 对R3的配置
2) 使用show ip route查看R2和R3是否学习到了OSPF路
由条目(OSPF路由条目以O IA显示)
40
山东科技大学毕业设计(论文)
图5-4 R2的路由显示
3) 配置私网出口路由R1和R4的基本参数,并配置一条默
认路由指向公网
图5-5 对R1的配置
41
山东科技大学毕业设计(论文)
图5-6 对R4的配置
5.4.2. 配置GRE隧道,并启用EIGRP路由协议
1) 在R1和R4上配置tunnel 1,并启用EIGRP路由协议。注意:只宣告内网网段和tunnel隧道的网段。
图5-7 R1上隧道1的建立
42
山东科技大学毕业设计(论文)
图5-8 R4上隧道1的建立
2) 使用show ip route查看内网之间学习的EIGRP路由条目
(EIGRP的路由条目以D显示)
图5-9 R4上路由显示
5.4.3. 配置IPSec,并将其应用到GRE隧道上
1) 在R1和R4上分别配置IPSec VPN,并应用Crypto MAP到GRE隧道上(Tunnel 1)。
43
山东科技大学毕业设计(论文)
图5-10 R1上对隧道1各协议的配置
44
山东科技大学毕业设计(论文)
图5-11 R4上对隧道1各协议的配置
5.4.4. 测试站点之间的连通性
下面是ping之前和ping之后加密的数据
45
山东科技大学毕业设计(论文)
图5-12 连通性测试
5.5.5. 配置NAT实现网络地址转换
1) 在R1和R4上配置NAT(PAT),将私网地址全部转换成路由出口公网的IP地址
图5-13 R1上的NAT转换
46
山东科技大学毕业设计(论文)
图5-14 R4上的NAT转换
2) 然后在PC1上分别ping私网的IP地址和公网的IP地址,可以发现ping公网的IP地址都进行了NAT地址转换,而ping私网的IP地址都经过了隧道加密。
图5-15 连通成功显示
47
山东科技大学毕业设计(论文)
致谢
随着论文的完成,近四年的大学生活也即将宣告结束了。我将铭记曾经直接或间接为本论文做出贡献和给予我指导和支持的老师们。
在此,我首先向我的指导老师——***老师,表示最衷心的感谢。我在做毕业设计的学习和设计过程中遇到了不少困难,老师总能给予我指导和建议。感谢老师的帮助,让我能够顺利的完成我的毕业设计。
其次,感谢我同组俩位同学***和***同学,在我学习VPN的基础知识和做实验过程中,给予我的帮助。我们相互学习,共同进步。 最后,非常感谢网络工程专业的所有老师四年来对我的辛勤培育和热心关怀。感谢在一起学习一起生活的同学。
48
山东科技大学毕业设计(论文)
参考文献
[1]高海英,薛元星,辛阳 .VPN技术 .第一版.北京.机械工业出版社.2004.1-2
[2]Steven Brown著. 董小宇,魏鸿,马洁译.构建虚拟专用网.第一版.北京.人民邮电出版社.2000.4-5
[3]戴宗坤,唐三平.VPN与网络安全.第一版.北京.电子工业出版社.2002. [4]邱亮,金悦.ISA配置与管理.第一版.北京.清华大学出版社.2002. [5]李思齐.服务器配置全攻略.第一版.北京.清华大学出版社.2006. [6]王达等.虚拟专用网(VPN)精解.北京.清华大学出版社.2004. [7]Carlton R. Davis 著.周永彬,冯登国等译.IPSEC:VPN的安全实施.北京.清华大学出版社.2001
[8]科教工作室.局域网组建与维护.第一版.北京.清华大学出版社.2008. [9]李文俊等.网络硬件搭建与配置实践.第一版.北京.电子工业出版社.2007.
[10]李莉,童小林译.网络互联技术手册.第四版.北京.人民邮电出版社.2004.
[11] 高海英,VPN技术,[M],机械工业出版社,2004
[12]Yusuf Bhaiji,Network Security Technologies and Solutions,[M],Cisco Press ,2008
49
山东科技大学毕业设计(论文)
附录1 英文原文
A New Virtual Prevate Network for Today's Mobile World
Karen Heyman
Virtual private networks were a critical technology for turning the Internet into an important business tool. Today’s VPNs establish secure connections between a remote user and a corporate or other network via the encryption of packets sent through the Internet, rather than an expensive private network. However, they traditionally have linked only a relatively few nodes that a company’s IT department controls and congures. This is not adequate for the many organizations that now must let managers, employees, partners, suppliers, consultants, ecommerce customers, and others access networks from their own PCs, laptops, publicly available computers like those at airport kiosks, and even mobile devices, many not controlled by the organization. VPNs based on Internet Protocol security (IPsec) technology were not designed for and are not well-suited for such uses. Instead of restricting remote users who should not have access to many parts of a company¡ network, explained Graham Titterington, principal analyst with market-research firm Ovum, IPsec [generally] connects users into a network and gives the same sort of access they would have if they were physically on the LAN.¡± Organizations are thus increasingly adopting VPNs based on Secure Sockets Layer technology from vendors such as Aventail, Cisco Systems, F5 Networks, Juniper Networks, and Nortel Networks. SSL VPNs enable relatively easy deployment, added Chris Silva, an analyst at Forrester Research, a market-researchrm. A company can install the VPN at its head quarters and push any necessary software to users, who then access the network via their
50
山东科技大学毕业设计(论文)
browsers, he explained. Organizations thus do not have to manage, update, or buy licenses for multiple clients, yielding lower costs, less maintenance and support, and greater simplicity than IPsec VPNs,Silva said. From a remote-access perspective, IPsec is turning into a legacy technology,¡± said Rich Campagna, Juniper¡ SSL VPN product manager Nonetheless, IPsec VPNs are still preferable for some uses, such as linking a remote, company-controlled node, perhaps in a branch ofce, with the corporate network. Both VPN flavors are likely to continue to ourish, with the choice Published by the IEEE Computer Society
An early attempt to create a VPN over the Internet used multiprotocol label switching, which adds labels to packets to designate their network path. In essence, all packets in a data set travel through designated tunnels to their destinations. However, MPLS VPNs don't encrypt data. IPsec and SSL VPNs, on the other hand, use encrypted packets with cryptographic keys exchanged between sender and receiver over the public Internet. Once encrypted, the data can take any route over the Internet to reach it's nal destination. There is no dedicated pathway. US Defense Department contractors began using this technique as far back as the late 1980s, according to Paul Hoffman, director of the VPN Consortium. Introducing IPsec
Vendors initially used proprietary and other forms of encryption with their VPNs. However, to establish a standard way to create interoperable VPNs, many vendors moved to IPsec, which the Internet Engineering Task Force (IETF) adopted in 1998. With IPsec, a computer sends a request for data from a server through a gateway, acting essentially as a router, at the edge of its network. The gateway encrypts the data and sends it over the Internet. The receiving gateway queries the incoming packets, authenticates
51
山东科技大学毕业设计(论文)
the sender's identity and designated network-access level, and if everything checks out, admits and decrypts the information. Both the transmitter and receiver must support IPsec and share a public encryption key for authentication.
December 2007 17 Firewall Terminal services Decrypted traffic File and media server Internet SSL encrypted Remote user: traffic Business partner Kiosk user Temporary staff Traveling staff TelecommuterDesktop SSL VPN: Authentication Authorization Decryption Integrity checkWeb proxy Web server E-mail server
Figure 1. In an SSL VPN, a remote user logs in to a dedicated Web site to access a company’s network. The user’s browser initiates the session with a corporate server or desktop computer, which downloads the necessary software to the client. The software uses SSL for encrypting the transmitted data. At the corporate site, the VPN system authenticates users, determines what level of network access they should have, and if everything checks out, decrypts the data and sends it to the desired destination.Unlike SSL, IPsec is implemented as a full application installed on the client. And it doesn’t take advantage of existing browser code.
IPsec limitations
According to Forrester’s Silva, corporate IT departments increasingly need to let remote users connect to enterprise networks, which is challenging with IPsec. The normal practice of conguring IPsec VPNs to allow full access to a network can create vulnerabilities. To avoid this, administrators would have to configure them to permit access only to parts of a network, according to Peter Silva, technical marketing manager for F5 Networks SSL VPNs. IPsec VPNs also have trouble letting certain traffic transverse firewalls, he explained. This isn’t usually a problem, as most
52
山东科技大学毕业设计(论文)
companies have the same basic ports open both inbound and outbound. However, it is possible that one company would let trafc out over a port that another doesn't leave open for inbound data. By contrast, the vast majority of companies have port 80 (dedicated)
Computer
Open inbound and outbound, so crossing ?rewalls is rarely a problem for SSL VPNs, which are Web-based. IPsec VPNs are full programs and thus are large, generally 6 to 8 megabytes. This means they download more slowly and don't always work well on smaller devices. ENTER THE SSL VPN
The first SSL VPN vendor was Neoteris, purchased in 2003 by NetScreen, which Juniper bought the next year, according to Juniper’s Campagna. SSL
Netscape Communications developed SSL and released therst public version in 1994. The IETF adopted the technology as a standard in 1999, naming it Transport Layer Security. However, most users still call it SSL. The technology, which offers the same encryption strengths as IPsec, has been used largely to secure financial transactions on the Web. In an SSL VPN, a user logs into a dedicated Web site. The browser initiates the session with the Web server, which downloads the necessary software to the client, generally using either ActiveX or Java controls. Administrators can congure an SSL VPN gateway to conduct additional checks, such as whether the connecting device has the latest security upgrades. During this process, the client and server identify common security parameters, such as ciphers and hash functions, and use the strongest ones they both support. The VPN gateway identies itself via a digital certi?cate that includes
53
山东科技大学毕业设计(论文)
information such as the name of the trusted authority that issued the certicate, which the client can contact for verification, and the server's public encryption key. The gateway then sends an encrypted session cookie to the browser to start the communications. To generate the encryption key used for the session, the client encrypts a random number with the server’s public key and sends the result to the server, which decrypts it with a private key. Once the user's identity is authenticated, an SSL VPN, like an IPsec VPN, allows the level of access granted by company policies for different types of users. Thus, for example, the vice president of human resources would have access to an employee salary database while most other visitors wouldn’t. All major browsers are SSLenabled, so SSL VPNs can work with almost any browser and are thus platform and operating-systemindependent, said the VPN Consortium's Hoffman. This makes them more convenient to use, particularly for mobile users, than IPsec VPNs. SSL advantages
The mobile or stationary user connects to a company’s SSL VPN by entering a URL in a browser and then presenting login credentials, usually a username and password.
This begins the process of establishing a secure connection. Basic fu?nctionality and implementation. Once the initial connection is made, the Web server downloads controllers that work with the browser's own code. Thus, the downloads are small, generally between 100 kilobits and 1 megabit. Because they’re so small, they download fast (making them easier for ad hoc use), take up less space on the hard drive, and work better on smaller devices such as cellular phones. Most SSL VPNs use a reverse proxy, which rewrites the content from the Web application and presents it
54
山东科技大学毕业设计(论文)
to the browser. Proxy servers present a single interface to users, accelerate the encryption process, perform data compression, and provide an additional layerof security. Gateway boxes are the network element that SSL vendors sell.They streamline both ingoing and outgoing traffic and provide proxying, authentication, and authorization. Authentication and authorization. SSL VPNs check usernames, passwords, and digital certi?cates to authenticate visitors. The gateways then consult a database to determine the level of network access the user should have. This gateway functionality consolidates the combination of ?rewalls, extranets, and other technologies previously used to provide authentication. This not only simpli?es the process but also reduces the amount of equipment that companies must manage.should not. If an enterprise doesn’t have such rules in place already, designing and implementing them can require considerable work. In addition, companies must choose among multiple approaches to limiting access, including mapping certain users to parts of a network or building tunnels to specic applications, servers, ports, or lters. SSL VPNs used to be considerably slower than their IPsec-based counterparts. SSL works with TCP, in which data recipients must acknowledge every incoming packet. IPsec, on the other hand, works with the User Datagram Protocol, which is quicker because it doesn’t require acknowledgments.
ver time, SSL VPNs will gain additional capabilities. For example, Forrester's Silva said they are now able to manage users' connections and preserve their sessions as, for example, they roam from a Wi-Fi network to a public cellular network and back. IPsec VPNs will still be suf cient for communications between an ITmanaged machine and a network, or for hub-and-spoke communications within a network. Over time, though, in an increasingly mobile world, said Forrester’s Silva, SSL will become the obvious choice for VPNs.
55
山东科技大学毕业设计(论文)
附录2 中文译文
当代移动世界的新型VPN
虚拟专用网络是一个从互联网变成一个重要的商业工具的关键技术。今天的VPN的远程用户通过互联网发送的数据包的加密,而不是昂贵的专用网络,通过企业或其他网络之间建立安全连接。然而,他们的传统联系在一起,只有相对较少的节点,一个公司的IT部门控制和配置的。这是不足够的,现在必须让经理,员工,合作伙伴,供应商,顾问,电子商务的客户,和其他接入网络,从自己的个人电脑,笔记本电脑,像那些在机场亭公开可用计算机,甚至是移动设备为许多组织,许多不可控的组织。 Internet协议安全(IPsec)技术为基础的VPN没有被设计并没有为这些用途非常适合。限制远程用户不应该访问“网络公司的许多部件,而不是解释,与市场研究公司Ovum首席分析师格雷厄姆Titterington,IPSEC [一般]连接成一个网络的用户,并给出访问相同的排序,他们会如果他们身体上的局域网。¡±组织,因此,越来越多地采用基于VPN的安全套接字层技术,如Aventail公司,思科系统,F5网络,Juniper网络,北电网络等厂商。 SSL VPN的部署能够比较容易,克里斯·席尔瓦,Forrester研究公司的分析师。他解释说,公司可以在其总部安装VPN和任何必要的软件推给用户,然后通过他们的浏览器访问网络。席尔瓦说,组织因此不会有多个客户端的许可证管理,更新,或购买,从而降低成本,更少的维护和支持,大于的IPsec VPN简单。从远程访问的角度来看,IPsec是一个传统技术转向,¡±表示,尽管如此,富平原,瞻博“的SSL VPN产品经理的IPsec VPN仍然是可取的某些用途,如联公司远程控制节点,也许在一个分支OFCE,与企业网络。两个VPN可能继续冲突,IEEE计算机学会出版的选择
早期试图建立一个VPN使用多协议标签交换网络,它增加了标签
56
山东科技大学毕业设计(论文)
的数据包到指定的网络路径。从本质上讲,在数据集旅游的所有数据包通过指定的隧道前往目的地。然而,MPLS VPN的不加密的数据。 IPSec和SSL VPN,另一方面,使用公共互联网发送者和接收者之间交换的加密密钥加密的数据包。一旦被加密的数据可以在互联网上任何路线,以达到它的信号目的地。有没有专门的途径。美国国防部承包商开始使用这种技术可以追溯到20世纪80年代末,根据保罗·霍夫曼,在VPN联盟(www.vpnc.org)的主任。
引进的IPsec厂商开始用他们的VPN专有的加密和其他形式。然而,建立一个标准的方式来创建可互操作的VPN,IPSEC,Internet工程任务组(IETF)在1998年通过的许多厂商。与IPsec,一台计算机发送数据通过网关服务器的请求,本质在其网络的边缘路由器。网关对数据进行加密,并通过互联网发送。查询传入的数据包接收网关,验证发件人的身份和指定的网络访问级别,如果一切检查,承认和解密信息。发射器和接收器都必须支持IPsec和共享一个公共密钥进行验证。 二零零七年十二月防火墙终端服务交通解密文件和媒体服务器 互联网SSL加密远程用户:交通商业伙伴Kiosk用户临时工作人员行员工的远程办公桌面SSL VPN的认证授权解密的完整性检查 Web代理Web服务器的E-mail服务器,在SSL VPN,远程用户登录到一个专门的网站来访问公司的网络。用户浏览器的启动与公司的服务器或台式电脑,其中必要的软件下载到客户端的会话。该软件使用的SSL加密传输的数据。在公司的网站,VPN系统对用户进行身份验证,确定他们应该有什么级别的网络访问,如果一切检查,解密数据,并把它发送到所需destination.Unlike SSL,IPsec是实施上安装了一个完整的应用程序客户端。它不采取利用现有浏览器的代码。
IPsec的限制
根据Forrester的席尔瓦,企业IT部门越来越多地需要让远程用户连接到企业网络,这是挑战与IPsec。正常配置的IPsec VPN允许完全访问网络,可以创建漏洞的做法。为了避免这种情况,管理员必须将它
57
山东科技大学毕业设计(论文)
们配置为只允许访问部分网络,根据彼得·席尔瓦,F5 Networks的SSL VPN的技术营销经理。 IPsec的VPN也有麻烦让某些交通横向防火墙,他解释说。这通常不是一个问题,大多数企业都基本相同的端口打开入站和出站。然而,它是可能的,公司将让超过trafc出另一个不留入站数据的开放端口。相比之下,绝大多数企业有80端口(专用)计算机 打开入站和出站,所以横过马路?rewalls很少的SSL VPN,这是基于Web的问题。的IPsec VPN是完整的方案,从而为大,一般6至8兆字节。这意味着他们下载速度比较慢,并不总是较小的设备上工作。
进入的SSL VPN
Neoteris,由NetScreen在2003年购买的,其中瞻博买了明年第一的SSL VPN供应商,根据Juniper的平原。
SSL Netscape Communications开发的SSL和therst公开版本发布于1994年。作为一个标准的IETF通过技术,于1999年,命名为传输层安全性。然而,大多数用户仍然可以调用它的SSL。已使用的技术,它提供了相同的加密强度,如IPsec主要是为了确保在网络上的金融交易。在SSL VPN,用户登录到一个专门的网站。浏览器与Web服务器,下载必要的软件客户端,一般使用ActiveX或Java控件启动会议。管理员,可以配置SSL VPN网关进行额外的检查,如连接设备是否有最新的安全升级。在此过程中,客户端和服务器,确定共同的安全参数,如加密和散列函数,并使用最强的,他们都支持。 VPN网关的恒等式本身通过数字证书?美食,其中包括信任的颁发机构颁发的证书,客户可以联系核实,和服务器的公共密钥的名称,如信息。然后网关加密的会话cookie发送到浏览器开始通信。要生成用于会话的加密密钥,客户端与服务器的公共密钥加密的随机数,并将结果发送到服务器,私钥解密。一旦用户的身份认证,一个SSL VPN的IPsec VPN,使公司的政策给予不同类型的用户的访问级别。因此,例如,人力资源的副总裁将雇员薪金数据库的访问,而其他大多数游客不会。是SSLenabled所有主要浏览器,所以可以使用几乎任何浏览器的SSL VPN平台和操作系
58
山东科技大学毕业设计(论文)
统,VPN联盟的霍夫曼说。这使得他们更方便使用,特别是对于移动用户,比的IPsec VPN。SSL的优势固定或移动的用户连接到公司的SSL VPN进入了一个在浏览器中的URL,然后提交登录凭据,通常是一个用户名和密码。
这首先建立一个安全的连接过程。一旦最初的连接,Web服务器下载控制器的工作与自己浏览器的代码。因此,下载都很小,一般在100千位和1兆位。因为他们是如此之小,下载快(使它们更容易为专案使用),占用较少的硬盘空间,在较小的设备,如手机和工作更好。大多数SSL VPN使用一个反向代理服务器,从Web应用程序重写的内容和呈现给浏览器。代理服务器提出一个单一的界面给用户,加速加密过程,进行数据压缩,并提供额外layerof安全。网关盒的网络元素,SSL厂商sell.They简化迁入和传出的流量,并提供代理,认证和授权。认证和授权。SSL VPN的检查用户名,密码,数字证书凯茨进行身份验证的访问者。网关,然后请教一个数据库,以确定网络接入用户应具有的水平。该网关功能整合的,外联网,与以前使用的其他技术来提供身份验证的组合。这不仅简单ES的过程,但也降低了设备的公司必须管理没有的数额。如果一个企业没有这样的规则在地方已经设计和实施可能需要相当多的工作。此外,企业必须选择多种方法限制访问中,包括部分网络或隧道建设specic应用程序,服务器,端口,或某些用户的映射。 SSL VPN的使用将大大超过其基于IPsec的同行慢。 SSL与TCP的作品,其中的数据受助人必须承认每一个传入的数据包。 IPSEC,另一方面,与用户数据报协议,这是更快,因为它不需要确认。
VER时间,SSL VPN的将获得额外的能力。例如,Forrester的席尔瓦说,他们现在能够管理用户的连接和维护他们的会议,例如,他们从Wi-Fi网络漫游到公众蜂窝网络和背部。的IPsec VPN仍然是苏夫一个ITmanaged机和网络之间的通信,或cient枢纽和辐条在一个网络内的通信。但是,随着时间的推移,越来越多的移动世界,说Forrester的席尔瓦,SSL的VPN将成为显而易见的选择。
59
因篇幅问题不能全部显示,请点此查看更多更全内容