VPN畢業(yè)設(shè)計(jì)論文

摘要VPN(VirtalPrivateNetwork)即虛擬專用網(wǎng)，是一條穿過(guò)公共網(wǎng)絡(luò)的安全的穩(wěn)定的通道。通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸，在因特網(wǎng)或其它網(wǎng)絡(luò)上建立一條臨時(shí)的、安全的、穩(wěn)定的連接，從而實(shí)現(xiàn)在公網(wǎng)上安全地傳輸私有數(shù)據(jù)。普通VPN是對(duì)公司內(nèi)部網(wǎng)絡(luò)的擴(kuò)展，通過(guò)它能夠協(xié)助遠(yuǎn)程顧客、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司內(nèi)部網(wǎng)建立可信的安全連接，并確保數(shù)據(jù)的安全傳輸。VPN可用于不停增加的移動(dòng)顧客的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)公司網(wǎng)站之間安全通道的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和顧客的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。本文首先介紹了VPN的定義和研究影響。然后介紹了核心技術(shù)實(shí)現(xiàn)的VPN涉及隧道技術(shù)，其重要的安全合同，PPTP/L2TP合同，IPSEC合同，GRE合同，全部這些技術(shù)構(gòu)建VPN網(wǎng)絡(luò)提供理論根據(jù)。核心詞：VPN、網(wǎng)絡(luò)、隧道、IPSec、GREAbstractVPN(VirtalPrivateNetwork)isakindofsafeandsteadychannelworkthroughthepublicnetwork.Byencapsulateandencryptionofdata,atemporary,secureandsteadylinkcanbesetuponwhichtheprivatedatacanbetransfferdsafely.Usally,VPNisanextensiontotheenterpriseandvariousprovidersabletoconnecttothecompanyinnernetworkandtransferdatasafely.VPNcanbeusedtoprovidemobileusertoaccessinternetgloblely,andcanbeusedasvirtualprivatelinkfromenterprise,andalsocanbeusedtoeconomicalsecurelinksfromenterprise,andalsocanbeusedtoeconomicalsecurelinksfromenterprisetobusinesspartners.ThispaperfirstintroducesthedefinitionofVPNanditsstudyimplications.AndthenintroducesthekeytechnologiesforimplementingaVPNwhichincludestheTunneltechnologyanditsmainsecureprotocols,PPTP/L2TPprotocol,IPSECprotocol,GREprotocol,AllthesetechnologiesprovidethetheoreticalbasesforbuildingaVPNnetwork.Keyword:VPN,network,tunnel,safely，IPSec，GRE目錄TOC\o"1-2"\h\z\u1.緒論 11.1VPN的定義 11.2VPN的課題背景 11.3VPN的設(shè)計(jì)目的 21.4論文的組織構(gòu)造 32.VPN的技術(shù)分析 42.1VPN的工作原理 42.2VPN的分類 62.3VPN重要合同的介紹 72.4VPN的設(shè)計(jì)目的 82.5實(shí)現(xiàn)VPN的核心技術(shù) 102.6VPN兩種合同的分析 133.基于GREVPN的架構(gòu) 203.1基于GRE實(shí)驗(yàn)的需求分析 203.2GRE實(shí)驗(yàn)的設(shè)計(jì) 203.3GRE合同的VPN實(shí)現(xiàn)配備 214.基于IPSecVPN的架構(gòu) 234.1基于IPSec實(shí)驗(yàn)的需求分析 234.2IPSec實(shí)驗(yàn)的設(shè)計(jì) 234.3IPSec合同的VPN實(shí)現(xiàn)環(huán)節(jié)及配備 245.IPSecoverGREVPN的分析與架構(gòu) 365.1IPSec合同與GRE合同優(yōu)缺點(diǎn)的分析 365.2IPSecoverGRE的原理及需求分析 375.3IPSecoverGRE實(shí)驗(yàn)的設(shè)計(jì) 385.4IPSecoverGRE的環(huán)節(jié)及配備 39致謝 48參考文獻(xiàn) 49附錄1英文原文 50附錄2中文譯文 561.緒論1.1VPN的定義VPN（VirtualPrivateNetwork）被定義為通過(guò)一種公共網(wǎng)絡(luò)（普通是因特網(wǎng)）建立一種臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公共網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)公司內(nèi)部網(wǎng)的擴(kuò)展與延伸。虛擬專用網(wǎng)能夠協(xié)助遠(yuǎn)程顧客、公司分支機(jī)構(gòu)、商業(yè)合作伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)絡(luò)建立安全可信的連通通道，并確保數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不停增加的移動(dòng)顧客的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)公司網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和顧客的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。1.2VPN的課題背景隨著Internet和電子商務(wù)的蓬勃發(fā)展，經(jīng)濟(jì)全球化的最佳途徑是發(fā)展基于Internet的商務(wù)應(yīng)用。隨著商務(wù)活動(dòng)的日益頻繁，各公司開始允許其生意伙伴、供應(yīng)商也能夠訪問(wèn)本公司的局域網(wǎng)，從而大大簡(jiǎn)化信息交流的途徑，增加信息交換速度。這些合作和聯(lián)系是動(dòng)態(tài)的，并依靠網(wǎng)絡(luò)來(lái)維持和加強(qiáng)，于是各公司發(fā)現(xiàn)，這樣的信息交流不僅帶來(lái)了網(wǎng)絡(luò)的復(fù)雜性，還帶來(lái)了管理和安全性的問(wèn)題，由于Internet是一種全球性和開放性的、基于TCP/IP技術(shù)的、不可管理的國(guó)際互聯(lián)網(wǎng)絡(luò)，因此，基于Internet的商務(wù)活動(dòng)就面臨非善意的信息威脅和安全隱患。尚有一類顧客，隨著本身的發(fā)展壯大與跨國(guó)化，公司的分支機(jī)構(gòu)不僅越來(lái)越多，并且互相間的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為普遍。因此，顧客的信息技術(shù)部門在連接分支機(jī)構(gòu)方面也感到日益棘手。顧客的需求正是虛擬專用網(wǎng)技術(shù)誕生的直接因素。 即使VPN在理解和應(yīng)用方面都是高度復(fù)雜的技術(shù)，甚至擬定其與否合用于我司也一件復(fù)雜的事件，但在大多數(shù)狀況下VPN的多個(gè)實(shí)現(xiàn)辦法都能夠應(yīng)用于每個(gè)公司。即使不需要使用加密數(shù)據(jù)，也可節(jié)省開支。因此，在將來(lái)幾年里，客戶和廠商很可能會(huì)使用VPN，從而使電子商務(wù)重又獲得生機(jī)，畢竟全球化、信息化、電子化是大勢(shì)所趨。1.3VPN的設(shè)計(jì)目的普通來(lái)說(shuō)，公司在選用一種遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)方案時(shí)都但愿能夠?qū)υL問(wèn)公司資源和信息的規(guī)定加以控制，所選用的方案應(yīng)當(dāng)既能夠?qū)崿F(xiàn)授權(quán)顧客與公司局域網(wǎng)資源的自由連接，不同分支機(jī)構(gòu)之間的資源共享；又能夠確保公司數(shù)據(jù)在公共互聯(lián)網(wǎng)絡(luò)或公司內(nèi)部網(wǎng)絡(luò)上傳輸時(shí)安全性不受破壞。因此，最低程度，一種成功的vpn方案應(yīng)當(dāng)能夠滿足下列全部方面的規(guī)定：(1)顧客驗(yàn)證vpn方案必須能夠驗(yàn)證顧客身份并嚴(yán)格控制只有授權(quán)顧客才干訪問(wèn)vpn。另外，方案還必須能夠提供審計(jì)和記費(fèi)功效，顯示何人在何時(shí)訪問(wèn)了何種信息。(2)地址管理vpn方案必須能夠?yàn)轭櫩头峙蓪Ｓ镁W(wǎng)絡(luò)上的地址并確保地址的安全性。(3)數(shù)據(jù)加密對(duì)通過(guò)公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須通過(guò)加密，確保網(wǎng)絡(luò)其它未授權(quán)的顧客無(wú)法讀取該信息。(4)密鑰管理vpn方案必須能夠生成并更新客戶端和服務(wù)器的加密密鑰。(5)多合同支持vpn方案必須支持公共互聯(lián)網(wǎng)絡(luò)上普遍使用的基本合同，涉及ip，ipx等。以點(diǎn)對(duì)點(diǎn)隧道合同(pptp)或第2層隧道合同(l2tp)為基礎(chǔ)的vpn方案既能夠滿足以上全部的基本規(guī)定，又能夠充足運(yùn)用遍及世界各地的internet互聯(lián)網(wǎng)絡(luò)的優(yōu)勢(shì)。其它方案，涉及安全ip合同(ipsec)，即使不能滿足上述全部規(guī)定，但是仍然合用于在特定的環(huán)境。本文下列部分將重要集中討論有關(guān)vpn的合同和基于兩種合同所完畢的實(shí)驗(yàn)。

1.4論文的組織構(gòu)造本文分為五章，具體安排以下：第一章重要介紹VPN是什么，簡(jiǎn)樸介紹VPN這種技術(shù)，VPN由來(lái)的背景，VPN的設(shè)計(jì)的規(guī)定。第二章重要是對(duì)VPN技術(shù)的分析，介紹VPN工作的原理，本論文是基于VPN的何種分類，對(duì)VPN一系列合同的簡(jiǎn)樸介紹，VPN設(shè)計(jì)實(shí)現(xiàn)什么目的，實(shí)現(xiàn)VPN都需要有哪些技術(shù)，對(duì)本論文中兩種合同的具體分析。第三章對(duì)基于GRE合同的VPN實(shí)現(xiàn)了需求、設(shè)計(jì)，在模擬軟件上完畢本實(shí)驗(yàn)的操作。第四章基于有限的實(shí)驗(yàn)設(shè)備制訂一種合理的需求分析，在需求產(chǎn)生后設(shè)計(jì)一種具體的實(shí)驗(yàn)，并在具體設(shè)備上完畢該實(shí)驗(yàn)。第五章基于上述兩種實(shí)驗(yàn)的缺憾，結(jié)合兩種合同的使用，合理完畢一種混雜網(wǎng)絡(luò)上的實(shí)驗(yàn)。2.VPN的技術(shù)分析2.1VPN的工作原理把因特網(wǎng)用作專用廣域網(wǎng)，就要克服兩個(gè)重要障礙。首先，網(wǎng)絡(luò)經(jīng)常使用多個(gè)合同如IPX和NetBEUI進(jìn)行通信，但因特網(wǎng)只能解決IP流量。因此，VPN就需要提供一種辦法，將非IP的合同從一種網(wǎng)絡(luò)傳送到另一種網(wǎng)絡(luò)。另首先，網(wǎng)上傳輸?shù)臄?shù)據(jù)包以明文格式傳輸，因而，只要看得到因特網(wǎng)的流量，就能讀取包內(nèi)所含的數(shù)據(jù)。如果公司但愿運(yùn)用因特網(wǎng)傳輸重要的商業(yè)機(jī)密信息，這顯然是一種問(wèn)題。VPN克服這些障礙的措施就是采用了隧道技術(shù)：數(shù)據(jù)包不是公開在網(wǎng)上傳輸，而是首先進(jìn)行加密以確保安全，然后由VPN封裝成IP包的形式，通過(guò)隧道在網(wǎng)上傳輸，如圖2-1所示：圖1-1VPN工作原理圖源網(wǎng)絡(luò)的VPN隧道發(fā)起器與目的網(wǎng)絡(luò)上的VPN隧道發(fā)起器進(jìn)行通信。兩者就加密方案達(dá)成一致，然后隧道發(fā)起器對(duì)包進(jìn)行加密，確保安全（為了加強(qiáng)安全，應(yīng)采用驗(yàn)證過(guò)程，以確保連接顧客擁有進(jìn)入目的網(wǎng)絡(luò)的對(duì)應(yīng)的權(quán)限。大多數(shù)現(xiàn)有的VPN產(chǎn)品支持多個(gè)驗(yàn)證方式）。最后，VPN發(fā)起器將整個(gè)加密包封裝成IP包。現(xiàn)在不管原先傳輸?shù)氖呛畏N合同，它都能在純IP因特網(wǎng)上傳輸。又由于包進(jìn)行了加密，因此誰(shuí)也無(wú)法讀取原始數(shù)據(jù)。在目的網(wǎng)絡(luò)這頭，VPN隧道終止器收到包后去掉IP信息，然后根據(jù)達(dá)成一致的加密方案對(duì)包進(jìn)行解密，將隨即獲得的包發(fā)給遠(yuǎn)程接入服務(wù)器或本地路由器，他們?cè)诎央[藏的IPX包發(fā)到網(wǎng)絡(luò)，最后發(fā)往對(duì)應(yīng)目的地。2.2VPN的分類從不同的角度看VPN，就能夠得到不同的VPN類型,按照應(yīng)用領(lǐng)域，我們能夠把VPN分成下列三類：（1）遠(yuǎn)程訪問(wèn)（AccessVPN）遠(yuǎn)程移動(dòng)顧客通過(guò)VPN技術(shù)能夠在任何時(shí)間、任何地點(diǎn)采用撥號(hào)、ISDN、DSL、移動(dòng)IP和電纜技術(shù)與公司總部、公司內(nèi)聯(lián)網(wǎng)的VPN設(shè)備建立起隧道或密道信，實(shí)現(xiàn)訪問(wèn)連接，此時(shí)的遠(yuǎn)程顧客終端設(shè)備上必須加裝對(duì)應(yīng)的VPN軟件。推而廣之，遠(yuǎn)程顧客可與任何一臺(tái)主機(jī)或網(wǎng)絡(luò)在相似方略下運(yùn)用公共通信網(wǎng)絡(luò)設(shè)施實(shí)現(xiàn)遠(yuǎn)程VPN訪問(wèn)。這種應(yīng)用類型也叫AccessVPN(或訪問(wèn)型VPN)，這是基本的VPN應(yīng)用類型。不難證明，其它類型的VPN都是AccessVPN的組合、延伸和擴(kuò)展。（2）組建內(nèi)聯(lián)網(wǎng)（IntranetVPN）一種組織機(jī)構(gòu)的總部或中心網(wǎng)絡(luò)與跨地區(qū)的分支機(jī)構(gòu)網(wǎng)絡(luò)在公共通信基礎(chǔ)設(shè)施上采用的隧道技術(shù)等VPN技術(shù)構(gòu)成組織機(jī)構(gòu)“內(nèi)部”的虛擬專用網(wǎng)絡(luò)，當(dāng)其將公司全部權(quán)的VPN設(shè)備配備在各個(gè)公司網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間（即連接邊界處）時(shí)，這樣的內(nèi)聯(lián)網(wǎng)還含有管理上的自主可控、方略集中配備和分布式安全控制的安全特性。運(yùn)用VPN組建的內(nèi)聯(lián)網(wǎng)也叫IntranetVPN。IntranetVPN是解決內(nèi)聯(lián)網(wǎng)構(gòu)造安全和連接安全、傳輸安全的重要辦法。（3）組建外聯(lián)網(wǎng)（ExtranetVPN）使用虛擬專用網(wǎng)絡(luò)技術(shù)在公共通信基礎(chǔ)設(shè)施上將合作伙伴和有共同利益的主機(jī)或網(wǎng)絡(luò)與內(nèi)聯(lián)網(wǎng)連接起來(lái)，根據(jù)安全方略、資源共享商定規(guī)則實(shí)施內(nèi)聯(lián)網(wǎng)內(nèi)的特定主機(jī)和網(wǎng)絡(luò)資源與外部特定的主機(jī)和網(wǎng)絡(luò)資源互相共享，這在業(yè)務(wù)機(jī)構(gòu)和含有互相協(xié)作關(guān)系的內(nèi)聯(lián)網(wǎng)之間含有廣泛的應(yīng)用價(jià)值。這樣組建的外聯(lián)網(wǎng)也叫ExtranetVPN。ExtranetVPN是解決外聯(lián)網(wǎng)構(gòu)造安全和連接安全、傳輸安全的重要辦法。若外聯(lián)網(wǎng)VPN的連接和傳輸中使用了加密技術(shù)，必須解決其中的密碼分發(fā)、管理的一致性問(wèn)題。2.3VPN重要合同的介紹2.3.1IntranetVPN的合用合同組建內(nèi)聯(lián)網(wǎng)的重要的合用合同有GRE、IPSecVPN、MPLSVPN三種。GRE合同能夠?qū)Χ鄠€(gè)網(wǎng)絡(luò)層合同的數(shù)據(jù)報(bào)文進(jìn)行封裝，被封裝的數(shù)據(jù)報(bào)文能夠在IP網(wǎng)絡(luò)中傳輸。GRE采用了Tunnel技術(shù)，是VPN的三層隧道合同。但是它的安全性低。下文會(huì)具體介紹此合同。IPSecVPN是原則的網(wǎng)絡(luò)安全合同，可覺(jué)得IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽和篡改，從而有效抵抗網(wǎng)絡(luò)攻擊。IPSecVPN在網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面極具優(yōu)勢(shì)。MPLSVPN是指采用MPLS技術(shù)在寬帶IP的骨干網(wǎng)絡(luò)上構(gòu)建公司IP專網(wǎng)，以實(shí)現(xiàn)跨地區(qū)、安全、高速、可靠的數(shù)據(jù)、音頻等業(yè)務(wù)通信。MPLSVPN結(jié)合辨別服務(wù)、流量工程等有關(guān)技術(shù)，將公共網(wǎng)絡(luò)可靠的性能，良好的擴(kuò)展性，豐富的功效與專用網(wǎng)的安全、靈活、高效地結(jié)合在一起，可覺(jué)得顧客提供高質(zhì)量的服務(wù)。2.3.2AccessVPN的合用合同遠(yuǎn)程訪問(wèn)的合用合同重要有IPSecVPN、VPDN、SSLVPN。IPSecVPN是一種很全方面的技術(shù)，在遠(yuǎn)程訪問(wèn)上仍然合用，因此該技術(shù)應(yīng)用很廣泛，本文有對(duì)IPSecVPN技術(shù)的具體敘述。VPDN是VPN業(yè)務(wù)的一種，具體包含的技術(shù)涉及PPTP、L2TP、PPPoE等，是基于撥號(hào)顧客的虛擬專用撥號(hào)網(wǎng)業(yè)務(wù)。即顧客以撥號(hào)接入的方式聯(lián)網(wǎng)，并通過(guò)CDMA1x分組網(wǎng)絡(luò)傳輸數(shù)據(jù)時(shí)，VPDN會(huì)對(duì)數(shù)據(jù)進(jìn)行封裝和加密，從而保障數(shù)據(jù)的私密性，并使VPN有達(dá)成私有網(wǎng)絡(luò)安全級(jí)別。VPDN是運(yùn)用IP網(wǎng)絡(luò)的承載功效結(jié)合對(duì)應(yīng)的認(rèn)證和授權(quán)機(jī)制建立起來(lái)的一種安全的虛擬專用網(wǎng)，是一種很傳統(tǒng)的VPN技術(shù)。SSLVPN指的是基于安全套接層合同建立遠(yuǎn)程安全訪問(wèn)通道的VPN技術(shù)。它是一種新興的技術(shù)，隨著Web的普及和電子商務(wù)、遠(yuǎn)程辦公的興起而發(fā)展起來(lái)。2.4VPN的設(shè)計(jì)目的在實(shí)際應(yīng)用中，普通來(lái)說(shuō)一種高效、成功的VPN應(yīng)含有下列幾個(gè)特點(diǎn)：（1）安全保障即使實(shí)現(xiàn)VPN的技術(shù)和方式諸多，但全部的VPN均應(yīng)確保通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在非面對(duì)連接的公用IP網(wǎng)絡(luò)上建立一種邏輯的、點(diǎn)對(duì)點(diǎn)的連接，稱之為建立一種隧道，能夠運(yùn)用加密技術(shù)對(duì)通過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以確保數(shù)據(jù)僅被指定的發(fā)送者和接受者理解，從而確保了數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)樸、方便、靈活，但同時(shí)其安全問(wèn)題也更為突出。公司必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要避免非法顧客對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。ExtranetVPN將公司網(wǎng)擴(kuò)展到合作伙伴和客戶，對(duì)安全性提出了更高的規(guī)定。（2）服務(wù)質(zhì)量確保（QoS）VPN網(wǎng)絡(luò)應(yīng)當(dāng)為公司數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量確保。不同的顧客和業(yè)務(wù)對(duì)服務(wù)質(zhì)量確保的規(guī)定差別較大。如移動(dòng)辦公顧客，提供廣泛的連接和覆蓋性是確保VPN服務(wù)的一種重要因素；而對(duì)于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò)，交互式的內(nèi)部公司網(wǎng)應(yīng)用則規(guī)定網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對(duì)于其它應(yīng)用（如視頻等）則對(duì)網(wǎng)絡(luò)提出了更明確的規(guī)定，如網(wǎng)絡(luò)時(shí)延及誤碼率等。全部以上網(wǎng)絡(luò)應(yīng)用均規(guī)定網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充足有效地運(yùn)用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不擬定性使其帶寬的運(yùn)用率很低，在流量高峰時(shí)引發(fā)網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實(shí)時(shí)性規(guī)定高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過(guò)流量預(yù)測(cè)與流量控制方略，能夠按照優(yōu)先級(jí)分派帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并防止阻塞的發(fā)生。（3）可擴(kuò)充性和靈活性VPN必須能夠支持通過(guò)Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多個(gè)類型的傳輸媒介，能夠滿足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。（4）可管理性從顧客角度和運(yùn)行商的角度應(yīng)可方便地進(jìn)行管理、維護(hù)。在VPN管理方面，VPN規(guī)定公司將其網(wǎng)絡(luò)管理功效從局域網(wǎng)無(wú)縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。即使能夠?qū)⒛承┐我木W(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完畢，公司自己仍需要完畢許多網(wǎng)絡(luò)管理任務(wù)。因此，一種完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目的為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、含有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理重要涉及安全管理、設(shè)備管理、配備管理、訪問(wèn)控制列表管理、QoS管理等內(nèi)容。2.5實(shí)現(xiàn)VPN的核心技術(shù)（1）隧道技術(shù)隧道技術(shù)(Tunneling)是VPN的底層支撐技術(shù)，所謂隧道，事實(shí)上是一種封裝，就是將一種合同（合同X）封裝在另一種合同（合同Y）中傳輸，從而實(shí)現(xiàn)合同X對(duì)公用網(wǎng)絡(luò)的透明性。這里合同X被稱為被封裝合同，合同Y被稱為封裝合同，封裝時(shí)普通還要加上特定的隧道控制信息，因此隧道合同的普通形式為（（合同Y）隧道頭（合同X））。在公用網(wǎng)絡(luò)（普通指因特網(wǎng)）上傳輸過(guò)程中，只有VPN端口或網(wǎng)關(guān)的IP地址暴露在外邊。隧道解決了專網(wǎng)與公網(wǎng)的兼容問(wèn)題，其優(yōu)點(diǎn)是能夠隱藏發(fā)送者、接受者的IP地址以及其它合同信息。VPN采用隧道技術(shù)向顧客提供了無(wú)縫的、安全的、端到端的連接服務(wù)，以確保信息資源的安全。VPN區(qū)別于普通網(wǎng)絡(luò)互聯(lián)的核心是隧道的建立，數(shù)據(jù)包通過(guò)加密后，按隧道合同進(jìn)行封裝、傳送以確保安全性。隧道是由隧道合同形成的。隧道合同分為第二、第三層隧道合同，第二層隧道合同如L2TP、PPTP、L2F等，他們工作在OSI體系構(gòu)造的第二層（即數(shù)據(jù)鏈路層）；第三層隧道合同如IPSec，GRE等，工作在OSI體系構(gòu)造的第三層（即網(wǎng)絡(luò)層）。第二層隧道和第三層隧道的本質(zhì)區(qū)別在于：顧客的IP數(shù)據(jù)包被封裝在不同的數(shù)據(jù)包中在隧道中傳輸。第二層隧道合同是建立在點(diǎn)對(duì)點(diǎn)合同PPP的基礎(chǔ)上，充足運(yùn)用PPP合同支持多合同的特點(diǎn)，先把多個(gè)網(wǎng)絡(luò)合同（如IP、IPX等）封裝到PPP幀中，再把整個(gè)數(shù)據(jù)包裝入隧道合同。PPTP和L2TP合同重要用于遠(yuǎn)程訪問(wèn)虛擬專用網(wǎng)。第三層隧道合同是把多個(gè)網(wǎng)絡(luò)合同直接裝入隧道合同中，形成的數(shù)據(jù)包依靠網(wǎng)絡(luò)層合同進(jìn)行傳輸。無(wú)論從可擴(kuò)充性，還是安全性、可靠性方面，第三層隧道合同均優(yōu)于第二層隧道合同。IPSec即IP安全合同是現(xiàn)在實(shí)現(xiàn)VPN功效的最佳選擇。（2）加解密認(rèn)證技術(shù)加解密技術(shù)是VPN的另一核心技術(shù)。為了確保數(shù)據(jù)在傳輸過(guò)程中的安全性，不被非法的顧客竊取或篡改，普通都在傳輸之邁進(jìn)行加密，在接受方再對(duì)其進(jìn)行解密。密碼技術(shù)是確保數(shù)據(jù)安全傳輸?shù)暮诵募夹g(shù)，以密鑰為原則，可將密碼系統(tǒng)分為單鑰密碼（又稱為對(duì)稱密碼或私鑰密碼）和雙鑰密碼（又稱為非對(duì)稱密碼或公鑰密碼）。單鑰密碼的特點(diǎn)是加密和解密都使用同一種密鑰，因此，單鑰密碼體制的安全性就是密鑰的安全。其優(yōu)點(diǎn)是加解密速度快。最有影響的單鑰密碼就是美國(guó)國(guó)標(biāo)局頒布的DES算法（56比特密鑰）。而3DES（112比特密鑰）被認(rèn)為是現(xiàn)在不可破譯的。雙鑰密碼體制下，加密密鑰與解密密鑰不同，加密密鑰公開，而解密密鑰保密，相比單鑰體制，其算法復(fù)雜且加密速度慢。因此現(xiàn)在的VPN大都采用單鑰的DES和3DES作為加解密的重要技術(shù)，而以公鑰和單鑰的混合加密體制(即加解密采用單鑰密碼，而密鑰傳送采用雙鑰密碼)來(lái)進(jìn)行網(wǎng)絡(luò)上密鑰交換和管理，不僅能夠提高了傳輸速度，還含有良好的保密功效。認(rèn)證技術(shù)能夠避免來(lái)自第三方的主動(dòng)攻擊。普通顧客和設(shè)備雙方在交換數(shù)據(jù)之前，先核對(duì)證書，如果精確無(wú)誤，雙方才開始交換數(shù)據(jù)。顧客身份認(rèn)證最慣用的技術(shù)是顧客名和密碼方式。而設(shè)備認(rèn)證則需要依賴由CA所頒發(fā)的電子證書?，F(xiàn)在重要有的認(rèn)證方式有：簡(jiǎn)樸口令如質(zhì)詢握手驗(yàn)證合同CHAP和密碼身份驗(yàn)證合同PAP等；動(dòng)態(tài)口令如動(dòng)態(tài)令牌和X.509數(shù)字證書等。簡(jiǎn)樸口令認(rèn)證方式的優(yōu)點(diǎn)是實(shí)施簡(jiǎn)樸、技術(shù)成熟、互操作性好，且支持動(dòng)態(tài)地加載VPN設(shè)備，可擴(kuò)展性強(qiáng)。（3）密鑰管理技術(shù)密鑰管理的重要任務(wù)就是確保在開放的網(wǎng)絡(luò)環(huán)境中安全地傳遞密鑰，而不被竊取?，F(xiàn)在密鑰管理的合同涉及ISAKMP、SKIP、MKMP等。Internet密鑰交換合同IKE是Internet安全關(guān)聯(lián)和密鑰管理合同ISAKMP語(yǔ)言來(lái)定義密鑰的交換，綜合了Oakley和SKEME的密鑰交換方案，通過(guò)協(xié)商安全方略，形成各自的驗(yàn)證加密參數(shù)。IKE交換的最后目的是提供一種通過(guò)驗(yàn)證的密鑰以及建立在雙方同意基礎(chǔ)上的安全服務(wù)。SKIP重要是運(yùn)用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰。IKE合同是現(xiàn)在首選的密鑰管理原則，較SKIP而言，其重要優(yōu)勢(shì)在于定義更靈活，能適應(yīng)不同的加密密鑰。IKE合同的缺點(diǎn)是它即使提供了強(qiáng)大的主機(jī)級(jí)身份認(rèn)證，但同時(shí)卻只能支持有限的顧客級(jí)身份認(rèn)證，并且不支持非對(duì)稱的顧客認(rèn)證。（4）訪問(wèn)控制技術(shù)虛擬專用網(wǎng)的基本功效就是不同的顧客對(duì)不同的主機(jī)或服務(wù)器的訪問(wèn)權(quán)限是不同的。由VPN服務(wù)的提供者與最后網(wǎng)絡(luò)信息資源的提供者共同來(lái)協(xié)商擬定特定顧客對(duì)特定資源的訪問(wèn)權(quán)限，以此實(shí)現(xiàn)基于顧客的細(xì)粒度訪問(wèn)控制，以實(shí)現(xiàn)對(duì)信息資源的最大程度的保護(hù)。訪問(wèn)控制方略能夠細(xì)分為選擇性訪問(wèn)控制和強(qiáng)制性訪問(wèn)控制。選擇性訪問(wèn)控制是基于主體或主體所在組的身份，普通被內(nèi)置于許多操作系統(tǒng)當(dāng)中。強(qiáng)制性訪問(wèn)控制是基于被訪問(wèn)信息的敏感性。2.6VPN兩種合同的分析2.6.1IPSec合同IPSec是IETF提出的IP安全原則[2]它在IP層上對(duì)數(shù)據(jù)包進(jìn)行安全解決提供數(shù)據(jù)源驗(yàn)證無(wú)連接數(shù)據(jù)完整性數(shù)據(jù)機(jī)密性抗重播和有限業(yè)務(wù)流機(jī)密性等安全服務(wù)多個(gè)應(yīng)用程序完全能夠享用IP層提供的安全服務(wù)和密鑰管理而不必設(shè)計(jì)和實(shí)現(xiàn)自己的安全機(jī)制因此減少了密鑰協(xié)商的開銷也減少了產(chǎn)生安全漏洞的可能性IPSec可持續(xù)或遞歸應(yīng)用在路由器防火墻主機(jī)和通信鏈路上配備實(shí)現(xiàn)端到端安全虛擬專用網(wǎng)絡(luò)(VPN)RoadWarrior和安全隧道技術(shù)[1]。IPSec合同由核心合同和支撐模塊構(gòu)成。核心合同涉及AH(驗(yàn)證頭)與ESP(封裝安全載荷)支撐部分涉及加密算法HASH算法安全方略安全關(guān)聯(lián)IKE密鑰交換機(jī)制[4~7]IP技術(shù)是在原始的IP頭部和數(shù)據(jù)之間插入一種IPSec頭部，這樣能夠?qū)υ糏P負(fù)載實(shí)現(xiàn)加密，同時(shí)還能夠?qū)崿F(xiàn)對(duì)IPSec頭部和原始IP負(fù)載的驗(yàn)證，以確保數(shù)據(jù)的完整性。IPSec的構(gòu)造是一種框架性的構(gòu)造，IPSec沒(méi)有具體的加密和散列函數(shù)，它是每一次的IPSec會(huì)話所用的具體算法都是通過(guò)協(xié)商來(lái)擬定，這樣更含有安全性。還涉及IPSec框架中的封裝合同和模式、密鑰使用期等內(nèi)容都是通過(guò)協(xié)商決定，在兩個(gè)IPSec對(duì)等體之間協(xié)商的合同叫做IKE。協(xié)商完畢后產(chǎn)生安全關(guān)聯(lián)SA，實(shí)現(xiàn)安全通信。IPSec是IETF(InternetEngineerTaskForce)正在完善的安全原則，它把幾個(gè)安全技術(shù)結(jié)合在一起形成一種較為完整的體系，受到了眾多廠商的關(guān)注和支持。通過(guò)對(duì)數(shù)據(jù)加密、認(rèn)證、完整性檢查來(lái)確保數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性。IPSec由IP認(rèn)證頭AH(AuthenticationHeader)、IP安全載荷封載ESP(EncapsulatedSecurityPayload)和密鑰管理合同構(gòu)成。IPSec的體系構(gòu)造如圖2-2所示：IPsec體系IPsec體系封裝安全負(fù)載（ESP）認(rèn)證包頭（AH）加密算法認(rèn)證算法解釋域密鑰管理方略圖2-2IPSec的體系構(gòu)造IPSec合同是一種范疇廣泛、開放的虛擬專用網(wǎng)安全合同。IPSec適應(yīng)向IPv6遷移，它提供全部在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，提供透明的安全通信。IPSec用密碼技術(shù)從三個(gè)方面來(lái)確保數(shù)據(jù)的安全。即:認(rèn)證：用于對(duì)主機(jī)和端點(diǎn)進(jìn)行身份鑒別。完整性檢查：用于確保數(shù)據(jù)在通過(guò)網(wǎng)絡(luò)傳輸時(shí)沒(méi)有被修改。加密：加密IP地址和數(shù)據(jù)以確保私有性，這樣就算被第三方捕獲后也無(wú)法將其恢復(fù)成明文。IPSec合同能夠設(shè)立成在兩種模式下運(yùn)行:一種是隧道模式，一種是傳輸模式。在隧道模式下，IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀中,這樣保護(hù)從一種防火墻到另一種防火墻時(shí)的安全性。在隧道模式下，信息封裝是為了保護(hù)端到端的安全性，即在這種模式下不會(huì)隱藏路由信息。隧道模式是最安全的，但會(huì)帶來(lái)較大的系統(tǒng)開銷。IPSec現(xiàn)在還不完全成熟，但它得到了某些路由器廠商和硬件廠商的大力支持。預(yù)計(jì)它此后將成為虛擬專用網(wǎng)的重要原則。IPSec有擴(kuò)展能力以適應(yīng)將來(lái)商業(yè)的需要。在1997年終，IETF安全工作組完畢了IPSec的擴(kuò)展，在IPSec合同中加上ISAKMP(InternetSecurityAssociationandKayManagementProtocol)合同，其中還涉及一種密鑰分派合同Oakley。ISAKMP/Oakley支持自動(dòng)建立加密信道，密鑰的自動(dòng)安全分發(fā)和更新。IPSec也可用于連接其它層己存在的通信合同，如支持安全電子交易(SET:SecureElectronicTransaction)合同和SSL（SecureSocketlayer）合同。即使不用SET或SSL,IPSec都能提供認(rèn)證和加密手段以確保信息的傳輸。2.6.2GRE合同GRE（GenericRoutingEncapsulation，通用路由封裝）合同是對(duì)某些網(wǎng)絡(luò)層合同（如_blank\\""IP和IPX）的數(shù)據(jù)報(bào)進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)能夠在另一種網(wǎng)絡(luò)層合同（如IP）中傳輸。GRE是VPN（VirtualPrivateNetwork）的第三層隧道合同，在合同層之間采用了一種被稱之為Tunnel（隧道）的技術(shù)。Tunnel是一種虛擬的點(diǎn)對(duì)點(diǎn)的連接，在實(shí)際中能夠當(dāng)作僅支持點(diǎn)對(duì)點(diǎn)連接的虛擬接口，這個(gè)接口提供了一條通路使封裝的數(shù)據(jù)報(bào)能夠在這個(gè)通路上傳輸，并且在一種Tunnel的兩端分別對(duì)數(shù)據(jù)報(bào)進(jìn)行封裝及解封裝。

一種報(bào)文要想在Tunnel中傳輸，必須要通過(guò)加封裝與解封裝兩個(gè)過(guò)程，下面介紹這兩個(gè)過(guò)程如圖2-3所示：圖2-3IPX網(wǎng)絡(luò)通過(guò)GRE隧道互聯(lián)(1)加封裝過(guò)程

連接NovellGroup1的接口收到IPX數(shù)據(jù)報(bào)后首先交由IPX合同解決，IPX合同檢查IPX報(bào)頭中的目的地址域來(lái)擬定如何路由此包。若報(bào)文的目的地址被發(fā)現(xiàn)要路由通過(guò)網(wǎng)號(hào)為1f的網(wǎng)絡(luò)（Tunnel的虛擬網(wǎng)號(hào)），則將此報(bào)文發(fā)給網(wǎng)號(hào)為1f的Tunnel端口。Tunnel口收到此包后進(jìn)行GRE封裝，封裝完畢后交給IP_blank\\""模塊解決，在封裝IP報(bào)文頭后，根據(jù)此包的目的地址及路由表交由對(duì)應(yīng)的網(wǎng)絡(luò)接口解決。

(2)解封裝的過(guò)程

解封裝過(guò)程和加封裝的過(guò)程相反。從Tunnel接口收到的IP報(bào)文，通過(guò)檢查目的地址，當(dāng)發(fā)現(xiàn)目的地就是此路由器時(shí)，系統(tǒng)剝掉此報(bào)文的IP報(bào)頭，交給GRE合同模塊解決（進(jìn)行檢查密鑰、檢查校驗(yàn)和及報(bào)文的序列號(hào)等）；GRE合同模塊完畢對(duì)應(yīng)的解決后，剝掉GRE報(bào)頭，再交由IPX合同模塊解決，IPX合同模塊象看待普通數(shù)據(jù)報(bào)同樣對(duì)此數(shù)據(jù)報(bào)進(jìn)行解決。系統(tǒng)收到一種需要封裝和路由的數(shù)據(jù)報(bào)，稱之為凈荷（payload），這個(gè)凈荷首先被加上GRE封裝，成為GRE報(bào)文；再被封裝在IP報(bào)文中，這樣就可完全由IP層負(fù)責(zé)此報(bào)文的向前傳輸（forwarded）。人們常把這個(gè)負(fù)責(zé)向前傳輸IP合同稱為傳輸合同（deliveryprotocol或者transportprotocol）。

封裝好的報(bào)文的形式以下圖2-4所示：圖2-4封裝的Tunnel報(bào)文格式舉例來(lái)說(shuō)，一種封裝在IPTunnel中的IPX傳輸報(bào)文的格式以下圖2-5所示：圖2-5Tunnel中傳輸報(bào)文的格式2.3.3PPTP/L2TP1996年，Microsoft和Ascend等在PPP合同的基礎(chǔ)上開發(fā)了PPTP，它集成于WindowsNTServer4.0中，WindowsNTWorkstation和Windows9.X也提供對(duì)應(yīng)的客戶端軟件。PPP支持多個(gè)網(wǎng)絡(luò)合同，可把IP、IPX、AppleTalk或NetBEUI的數(shù)據(jù)包封裝在PPP包中，再將整個(gè)報(bào)文封裝在PPTP隧道合同包中，最后，再嵌入IP報(bào)文或幀中繼或ATM中進(jìn)行傳輸。PPTP提供流量控制，減少擁塞的可能性，避免由于包丟棄而引發(fā)包重傳的數(shù)量。PPTP的加密辦法采用Microsoft點(diǎn)對(duì)點(diǎn)加密(MPPE:MicrosoftPoint-to-Point)算法，能夠選用較弱的40位密鑰或強(qiáng)度較大的128位密鑰。1996年，Cisco提出L2F(Layer2Forwarding)隧道合同，它也支持多合同，但其重要用于Cisco的路由器和撥號(hào)訪問(wèn)服務(wù)器。1997年終，Microsoft和Cisco公司把PPTP合同和L2F合同的優(yōu)點(diǎn)結(jié)合在一起，形成了L2TP合同。L2TP支持多合同，運(yùn)用公共網(wǎng)絡(luò)封裝PPP幀，能夠?qū)崿F(xiàn)和公司原有非IP網(wǎng)的兼容。還繼承了PPTP的流量控制，支持MP(MultilinkProtocol)，把多個(gè)物理通道捆綁為單一邏輯信道。L2TP使用PPP可靠性發(fā)送(RFC1663)實(shí)現(xiàn)數(shù)據(jù)包的可靠發(fā)送。L2TP隧道在兩端的VPN服務(wù)器之間采用口令握手合同CHAP來(lái)驗(yàn)證對(duì)方的身份.L2TP受到了許多大公司的支持.PPTP/L2TP合同的優(yōu)點(diǎn):PPTP/L2TP對(duì)用微軟操作系統(tǒng)的顧客來(lái)說(shuō)很方便，由于微軟己把它作為路由軟件的一部分。PPTP/L2TP支持其它網(wǎng)絡(luò)合同。如NOWELL的IPX,NETBEUI和APPLETALK合同,還支持流量控制。它通過(guò)減少丟棄包來(lái)改善網(wǎng)絡(luò)性能，這樣可減少重傳。PPTP/L2TP合同的缺點(diǎn):PM和L2TP將不安全的IP包封裝在安全的IP包內(nèi)，它們用IP幀在兩臺(tái)計(jì)算機(jī)之間創(chuàng)立和打開數(shù)據(jù)通道，一旦通道打開，源和目的顧客身份就不再需要，這樣可能帶來(lái)問(wèn)題，它不對(duì)兩個(gè)節(jié)點(diǎn)間的信息傳輸進(jìn)行監(jiān)視或控制。PPTP和L2TP限制同時(shí)最多只能連接255個(gè)顧客，端點(diǎn)顧客需要在連接前手工建立加密信道，認(rèn)證和加密受到限制，沒(méi)有強(qiáng)加密和認(rèn)證支持。PPTP/L2TP最適合于遠(yuǎn)程訪問(wèn)VPN.3.基于GREVPN的架構(gòu)3.1基于GRE實(shí)驗(yàn)的需求分析山東科技大學(xué)有多個(gè)校區(qū)，涉及青島校區(qū)（總校）、泰安校區(qū)、濟(jì)南校區(qū)，總校與分校之間不可避免需要訪問(wèn)彼此私有地址服務(wù)器的信息，為了實(shí)現(xiàn)彼此數(shù)據(jù)的安全訪問(wèn)，我們學(xué)校使用了VPN技術(shù)。因此我對(duì)VPN進(jìn)行了學(xué)習(xí)，由于兩個(gè)校區(qū)可能用到不同網(wǎng)絡(luò)合同，因此我采用了GRE技術(shù)。通過(guò)GRE技術(shù)在不同的兩個(gè)校區(qū)之間建立了一種點(diǎn)到點(diǎn)的GRE隧道，前期處在學(xué)習(xí)階段，因此在GRE的隧道口上運(yùn)行了靜態(tài)路由合同，又來(lái)學(xué)習(xí)彼此的網(wǎng)絡(luò)路由。兩點(diǎn)之間的流量通過(guò)GRE隧道封裝穿越Internet。3.2GRE實(shí)驗(yàn)的設(shè)計(jì)本實(shí)驗(yàn)使用模擬軟件所做的PT實(shí)驗(yàn)，隧道建立在路由器上，沒(méi)有專門的VPN網(wǎng)關(guān)來(lái)管理。在青島校區(qū)和泰安校區(qū)之間建立GRE隧道，通過(guò)對(duì)兩邊沿路由器的配備，實(shí)現(xiàn)兩校區(qū)之間無(wú)障礙通信。下面是實(shí)驗(yàn)拓?fù)鋱D圖3-1：圖3-1GRE實(shí)驗(yàn)拓?fù)鋱D3.3GRE合同的VPN實(shí)現(xiàn)配備3.3.1分別各個(gè)路由器端口、PC機(jī)和服務(wù)器配備地址IP規(guī)劃表：Internet/24青島總校/24Internet/24濟(jì)南校區(qū)/24Internet/24泰安校區(qū)/24青島總校54/24服務(wù)器/24青島總校54/24主機(jī)2/24青島總校54/24主機(jī)1/24本實(shí)驗(yàn)配備的核心在青島總校，因此下面重要介紹總校的配備。配備以下：interfaceTunnel0ipaddresstunnelsourceFastEthernet0/0tunneldestinationinterfaceTunnel1ipaddresstunnelsourceFastEthernet0/0tunneldestination（iprouteiprouteiproute.0f0/13.3.2重要設(shè)備之間連通性測(cè)試下面是主機(jī)1對(duì)連通性的測(cè)試圖3-2所示：圖3-2主機(jī)1對(duì)服務(wù)器的連通性測(cè)試4.基于IPSecVPN的架構(gòu)4.1基于IPSec實(shí)驗(yàn)的需求分析山東科技大學(xué)的教務(wù)管理系統(tǒng)為了實(shí)現(xiàn)安全，只允許在校內(nèi)網(wǎng)上訪問(wèn)，若老師或同窗在校外就無(wú)法訪問(wèn)，會(huì)帶來(lái)很大不便。我們可通過(guò)建立IPSecVPN的加密隧道，實(shí)現(xiàn)出差和假期期間師生和學(xué)校之間的信息安全傳輸。IPSecVPN技術(shù)通過(guò)隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、和認(rèn)證技術(shù)有效的確保了數(shù)據(jù)在Internet網(wǎng)絡(luò)傳輸?shù)陌踩裕乾F(xiàn)在最安全、使用最廣泛的VPN技術(shù)。4.2IPSec實(shí)驗(yàn)的設(shè)計(jì)PC機(jī)模擬出差員工的PC，與VPN設(shè)備A（模擬公司出口VPN設(shè)備）通過(guò)IKE自動(dòng)協(xié)商建立起IPSec的VPN加密隧道。使得PC機(jī)能安全訪問(wèn)到VPN設(shè)備A所保護(hù)的內(nèi)部服務(wù)器。實(shí)驗(yàn)時(shí)，能夠在服務(wù)器上開設(shè)FTP服務(wù)或者Web服務(wù)，在VPN隧道建立成功后，PC機(jī)將能夠訪問(wèn)到這些服務(wù)。移動(dòng)顧客（即PC機(jī)）在和VPN設(shè)備建立VPN隧道前，需要先獲得VPN設(shè)備的身份驗(yàn)證許可。該實(shí)驗(yàn)所采用的顧客身份驗(yàn)證為口令方式，并且口令賬號(hào)的頒發(fā)由VPN設(shè)備A來(lái)完畢。移動(dòng)顧客（即PC機(jī)）在通過(guò)VPN設(shè)備A的身份驗(yàn)證后，VPN設(shè)備A會(huì)自動(dòng)將VPN隧道建立（即IKE協(xié)商）所需要的配備下發(fā)給PC機(jī)，然后PC機(jī)與VPN設(shè)備A之間自動(dòng)開始IKE協(xié)商，協(xié)商成功后VPN隧道即建立成功。整個(gè)過(guò)程系統(tǒng)自動(dòng)完畢，無(wú)需人為干預(yù)，是免配備的典型方式。本實(shí)驗(yàn)的拓?fù)鋱D圖4-1：圖4-1IPSec實(shí)驗(yàn)拓?fù)鋱D4.3IPSec合同的VPN實(shí)現(xiàn)環(huán)節(jié)及配備IPSec合同的VPN實(shí)現(xiàn)的具體環(huán)節(jié)的具體介紹以下：第一步：準(zhǔn)備好PC機(jī)和服務(wù)器。1)實(shí)驗(yàn)中即能夠通過(guò)服務(wù)器來(lái)管理VPN設(shè)備。2)在PC機(jī)上安裝RG-SRA軟件程序。注意：RG-SRA是VPN客戶端軟件程序，如果PC機(jī)上已預(yù)裝其它廠家的VPN客戶端程序，請(qǐng)先卸載其它廠家的VPN客戶端程序，否則可能RG-SRA無(wú)法正常工作。RG-SRA作為安全產(chǎn)品，安裝后會(huì)對(duì)系統(tǒng)的網(wǎng)卡、端口、合同等方面有改動(dòng)，因此會(huì)和部分防火墻或者防病毒程序不兼容?，F(xiàn)在通過(guò)測(cè)試，已知和市場(chǎng)主流的殺毒軟件、防火墻是兼容的有：瑞星、天網(wǎng)、Symentec、微軟等產(chǎn)品都兼容。已知的不兼容的軟件有：卡巴司基、Sygate。因此建議用于測(cè)試的PC機(jī)卸載這兩個(gè)程序。推薦顧客使用沒(méi)有安裝任何第三方防火墻、防病毒程序的機(jī)器來(lái)作實(shí)驗(yàn)。第二步：搭建圖示實(shí)驗(yàn)拓?fù)洌缓笈鋫銹C機(jī)、服務(wù)器、VPN設(shè)備A、route的IP及必要路由。示例以下：VPN設(shè)備A的eht1口地址：VPN設(shè)備A的eth0口地址：PC機(jī)的IP地址：PC機(jī)的網(wǎng)關(guān)地址：服務(wù)器的IP地址：服務(wù)器的網(wǎng)關(guān)地址：Route的F0/0地址:Route的F0/1地址:VPN設(shè)備A接口及缺省路由配備以下：1)通過(guò)服務(wù)器的超級(jí)終端，配備好VPN網(wǎng)關(guān)的IP地址顯示以下圖圖4-2：圖4-2VPN網(wǎng)關(guān)的IP地址2）配備連接服務(wù)器的接口eth1，以下圖圖4-3：圖4-3網(wǎng)關(guān)的建立顯示圖4-4網(wǎng)關(guān)地址的配備3）建立服務(wù)器與VPN網(wǎng)關(guān)的連接，進(jìn)而操作VPN網(wǎng)關(guān)。安全網(wǎng)關(guān)登錄如圖4-5所示：圖4-5安全網(wǎng)關(guān)登錄顯示4）登錄成功頁(yè)面如圖4-6所示：圖4-6登錄成功顯示5)通過(guò)服務(wù)器上的VPN管理軟件登錄VPN設(shè)備A，然后配備eth0口地址，操作以下圖4-7所示：圖4-7網(wǎng)絡(luò)接口顯示設(shè)立eth0口地址如圖4-8所示：圖4-8外出接口配備第三步：配備IPSecVPN隧道1、在VPN設(shè)備A上進(jìn)行IPSecVPN隧道配備：1)進(jìn)入遠(yuǎn)程移動(dòng)顧客VPN隧道配備的界面登錄VPN設(shè)備A的管理界面，選擇進(jìn)入“遠(yuǎn)程顧客管理”界面，以下圖所示：2)首先配備“允許訪問(wèn)子網(wǎng)”圖4-9添加可訪問(wèn)的子網(wǎng)顯示3)配備“本地顧客數(shù)據(jù)庫(kù)”圖4-10添加遠(yuǎn)程顧客注意：添加完顧客后一定要點(diǎn)擊“顧客生效”按鈕，否則新添加的顧客仍然不可使用。4)配備“虛IP地址池”圖4-11虛IP地址池中IP地址的配備顯示5)配備“顧客特性碼表”圖4-12顧客特性碼綁定顯示配備闡明：“顧客特性碼表”是為需要將遠(yuǎn)程PC的硬件和分派給顧客的身份信息綁定的需求而設(shè)計(jì)的。選擇了“允許接入并自動(dòng)綁定”功效，則VPN設(shè)備會(huì)將遠(yuǎn)程顧客的PC硬件特性碼與該顧客的身份認(rèn)證信息互相綁定，綁定后該顧客將無(wú)法用自己的身份信息再在其它PC設(shè)備上建立VPN隧道。該實(shí)驗(yàn)中我們既能夠選擇“允許接入”，也能夠選擇“允許接入并自動(dòng)綁定”。系統(tǒng)默認(rèn)配備是“嚴(yán)禁接入”。圖示選擇的是“允許接入”，這表達(dá)該顧客的身份信息不會(huì)和其使用的PC硬件綁定。2、在PC機(jī)上運(yùn)行RG-SRA程序，開始建立VPN隧道：1）第一次運(yùn)行RG-SRA程序后，建立連接：圖4-13登錄遠(yuǎn)程顧客添加VPN連接3)運(yùn)行該隧道連接，建立VPN隧道，并啟動(dòng)隧道連接。圖4-14VPN隧道的建立輸入身份認(rèn)證所必須的賬號(hào)，即在VPN設(shè)備A上添加的顧客。圖4-15顧客登錄點(diǎn)擊“連接”按鈕后，系統(tǒng)自動(dòng)進(jìn)行身份認(rèn)證，并且開始IKE的協(xié)商，以下圖4-16所示：圖4-16遠(yuǎn)程顧客登錄顯示2、在VPN設(shè)備A的管理界面也可看到已經(jīng)建立成功的隧道信息。隧道啟動(dòng)后能夠在“隧道協(xié)商狀態(tài)”欄目下看到隧道的協(xié)商狀態(tài)，“隧道狀態(tài)”顯示“第二階段協(xié)商成功”。圖4-17登錄成功且IKE協(xié)商成功第四步：進(jìn)行隧道通信從PC機(jī)上去訪問(wèn)服務(wù)器提供的服務(wù)，服務(wù)應(yīng)當(dāng)成功?；蛘呦仍赑C機(jī)上Ping一下服務(wù)器的IP，應(yīng)當(dāng)能夠Ping通。（沒(méi)有VPN隧道前Ping會(huì)是失敗的）VPN隧道的通信狀況能夠在“隧道通信狀態(tài)”中查看到，以下圖4-18所示：圖4-18隧道協(xié)商狀態(tài)5.IPSecoverGREVPN的分析與架構(gòu)5.1IPSec合同與GRE合同優(yōu)缺點(diǎn)的分析5.1.1IPSec合同的優(yōu)缺點(diǎn)IPSec合同的優(yōu)點(diǎn)：①IPsec工作在傳輸層之下，因此對(duì)應(yīng)用層是透明的，當(dāng)在路由器或者防火墻上安裝IPsec時(shí)，無(wú)需要更改顧客或服務(wù)器系統(tǒng)中的軟件設(shè)立。即使在終端系統(tǒng)中執(zhí)行IPsec，應(yīng)用程序等上層軟件也不會(huì)受影響。另外，IPsec也可覺(jué)得單個(gè)顧客提供主機(jī)到主機(jī)的安全隧道，保護(hù)客戶的敏感信息。IPsec選擇在IP成是一種較好的選擇，更加好級(jí)別的服務(wù)只能保護(hù)某一種合同，更低檔別的服務(wù)則只能保護(hù)某一種通信媒體，而IPsec則能夠保護(hù)IP之上的任何合同和IP之下的任何通信媒體。②IPsec含有模塊化的設(shè)計(jì)，即使選擇不同的算法，也不會(huì)影響到其它部分的實(shí)現(xiàn)，不同顧客群能夠根據(jù)自己的需求選擇適宜的算法集。③IPsec使用包過(guò)濾的方式進(jìn)行訪問(wèn)控制。則按能夠減少握手的時(shí)間，一次握手就能夠傳送大量的數(shù)據(jù)，特別合用于傳輸數(shù)據(jù)量大的應(yīng)用。④VPN交換機(jī)的分離通道特性為IPsec客戶端提供同時(shí)對(duì)internet，extranet和本地網(wǎng)絡(luò)訪問(wèn)的支持，該技術(shù)能夠設(shè)立權(quán)限，允許顧客的訪問(wèn)權(quán)限，如允許本地打印和文獻(xiàn)共享訪問(wèn)，允許直接internet訪問(wèn)和允許安全外網(wǎng)訪問(wèn)，該特性使用顧客在安全條件下合理方便的使用網(wǎng)絡(luò)資源，現(xiàn)有安全性又有靈活性。IPsec定義了開放的體系構(gòu)造和框架。IPSec合同的缺點(diǎn)：IPSec需要已知范疇的IP地址或固定范疇的IP地址，因此在動(dòng)態(tài)分派地址時(shí)不太適合于IPSec；除了TCP/IP合同以外，IPSec不支持其它合同；除了包過(guò)濾外，它沒(méi)有指定其它訪問(wèn)控制辦法；對(duì)于采用NAT方式訪問(wèn)公共網(wǎng)絡(luò)的狀況難以解決；IPSec現(xiàn)在還僅支持單播的（Unicast）IP數(shù)據(jù)包，不支持多播（Multicast）和廣播（Broadcast）的IP數(shù)據(jù)包。5.1.2GRE合同的優(yōu)缺點(diǎn)GRE合同的優(yōu)點(diǎn)：①支持加密的多播傳輸。GRE隧道能夠像真實(shí)的網(wǎng)絡(luò)接口那樣傳遞多播數(shù)據(jù)包，而單獨(dú)使用IPSec，則無(wú)法對(duì)多播傳輸進(jìn)行加密。多播傳輸?shù)睦由婕癘SPF,EIGRP,以及RIPV2。另外，大量的視頻、VoIP以及音樂(lè)流程序使用多播。

②支持多個(gè)合同無(wú)法進(jìn)行路由，例如NetBIOS或在IP網(wǎng)絡(luò)上進(jìn)行非IP傳輸。例如，能夠在IP網(wǎng)絡(luò)中使用GRE支持IPX或AppleTalk合同。GRE合同的缺點(diǎn)：

由于GRE是將一種數(shù)據(jù)包封裝到另一種數(shù)據(jù)包中，因此可能會(huì)碰到GRE的數(shù)據(jù)報(bào)不小于網(wǎng)絡(luò)接口所設(shè)定的數(shù)據(jù)包最大尺寸的狀況。另外，不能避免網(wǎng)絡(luò)偵聽和攻擊。無(wú)法確保數(shù)據(jù)的完整性和保密性。5.2IPSecoverGRE的原理及需求分析GRE（GenericRoutingEncapsulation，通用路由封裝）合同是一種隧道合同，使用IP合同號(hào)47。GRE普通用來(lái)構(gòu)建站點(diǎn)到站點(diǎn)的VPN隧道，它最大的優(yōu)點(diǎn)是能夠?qū)Χ鄠€(gè)合同、多個(gè)類型的報(bào)文進(jìn)行封裝，并在隧道中傳輸。但是GRE不提供對(duì)數(shù)據(jù)的保護(hù)（例如加密），它只提供簡(jiǎn)樸的隧道驗(yàn)證功效。IPSec（IPsecurity，IP安全性）的重要作用是為IP數(shù)據(jù)通信提供安全服務(wù)。IPSec不是一種單獨(dú)合同，它是一套完整的體系框架，涉及AH、ESP和IKE三個(gè)合同。IPSec使用了多個(gè)加密算法、散列算法、密鑰交換辦法等為IP數(shù)據(jù)流提供安全性，它能夠提供數(shù)據(jù)的機(jī)密性、數(shù)據(jù)的完整性、數(shù)據(jù)源認(rèn)證和反重放等安全服務(wù)。但是由于IPSec不能夠?qū)M播報(bào)文進(jìn)行封裝，因此普通的路由合同報(bào)文無(wú)法在IPSec隧道中傳輸。這時(shí)我們能夠結(jié)合使用GRE與IPSec，運(yùn)用GRE對(duì)顧客數(shù)據(jù)和路由合同報(bào)文進(jìn)行隧道封裝，然后使用IPSec來(lái)保護(hù)GRE隧道的安全，即GREoverIPSecVPN。根據(jù)上述對(duì)兩種合同的分析，單獨(dú)配備基于預(yù)共享密鑰的IPSecVPN，能夠?qū)崿F(xiàn)不同站點(diǎn)之間的網(wǎng)絡(luò)互聯(lián)，但是IPSec工作于網(wǎng)絡(luò)層，是不能和NAT一起使用的，否則就會(huì)造成數(shù)據(jù)源和目的地址的混亂；并且不能形成內(nèi)網(wǎng)之間的路由合同。這就需要將IPSec運(yùn)行在GRE（tunnel）隧道之上，真實(shí)物理接口運(yùn)行NAT進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換，這就避免了IPSecVPN和NAT之間的沖突。使用GRE隧道的另外一種好處是能夠在各個(gè)站點(diǎn)的隧道之間學(xué)習(xí)路由合同。GRE是通用路由封裝合同，能夠?qū)崿F(xiàn)任意一種網(wǎng)絡(luò)層合同在另一種網(wǎng)絡(luò)層合同上的封裝。5.3IPSecoverGRE實(shí)驗(yàn)的設(shè)計(jì)公司的總部與分部的一端未TCP/IP合同，因此不能夠單純使用IPSec合同，因此我們決定使用IPSecoverGRE。本實(shí)驗(yàn)設(shè)計(jì)的拓?fù)鋱D以下圖5-1所示：圖5-1IPSecoverGRE實(shí)驗(yàn)拓?fù)鋱D5.4IPSecoverGRE的環(huán)節(jié)及配備5.4.1.配備網(wǎng)絡(luò)互聯(lián)的基本參數(shù)1）配備R2和R3網(wǎng)絡(luò)之間的基本參數(shù)，并啟用OSPF路由合同注意：在R2和R3上各配備了一條默認(rèn)路由指向兩邊的末梢網(wǎng)絡(luò)，這樣公網(wǎng)就能夠訪問(wèn)內(nèi)網(wǎng)的數(shù)據(jù)了。圖5-2對(duì)R2的配備圖5-3對(duì)R3的配備2）使用showiproute查看R2和R3與否學(xué)習(xí)到了OSPF路由條目（OSPF路由條目以O(shè)IA顯示）圖5-4R2的路由顯示3）配備私網(wǎng)出口路由R1和R4的基本參數(shù)，并配備一條默認(rèn)路由指向公網(wǎng)圖5-5對(duì)R1的配備圖5-6對(duì)R4的配備5.4.2.配備GRE隧道，并啟用EIGRP路由合同1)在R1和R4上配備tunnel1，并啟用EIGRP路由合同。注意：只宣布內(nèi)網(wǎng)網(wǎng)段和tunnel隧道的網(wǎng)段。圖5-7R1上隧道1的建立圖5-8R4上隧道1的建立2)使用showiproute查看內(nèi)網(wǎng)之間學(xué)習(xí)的EIGRP路由條目（EIGRP的路由條目以D顯示）圖5-9R4上路由顯示5.4.3.配備IPSec，并將其應(yīng)用到GRE隧道上1)在R1和R4上分別配備IPSecVPN，并應(yīng)用CryptoMAP到GRE隧道上（Tunnel1）。圖5-10R1上對(duì)隧道1各合同的配備圖5-11R4上對(duì)隧道1各合同的配備5.4.4.測(cè)試站點(diǎn)之間的連通性下面是ping之前和ping之后加密的數(shù)據(jù)圖5-12連通性測(cè)試5.5.5.配備NAT實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換1)在R1和R4上配備NAT（PAT），將私網(wǎng)地址全部轉(zhuǎn)換成路由出口公網(wǎng)的IP地址圖5-13R1上的NAT轉(zhuǎn)換圖5-14R4上的NAT轉(zhuǎn)換2)然后在PC1上分別ping私網(wǎng)的IP地址和公網(wǎng)的IP地址，能夠發(fā)現(xiàn)ping公網(wǎng)的IP地址都進(jìn)行了NAT地址轉(zhuǎn)換，而ping私網(wǎng)的IP地址都通過(guò)了隧道加密。圖5-15連通成功顯示致謝隨著論文的完畢，近四年的大學(xué)生活也即將宣布結(jié)束了。我將銘記曾經(jīng)直接或間接為本論文做出奉獻(xiàn)和予以我指導(dǎo)和支持的老師們。在此，我首先向我的指導(dǎo)老師——***老師，表達(dá)最衷心的感謝。我在做畢業(yè)設(shè)計(jì)的學(xué)習(xí)和設(shè)計(jì)過(guò)程中碰到了不少困難，老師總能予以我指導(dǎo)和建議。感謝老師的協(xié)助，讓我能夠順利的完畢我的畢業(yè)設(shè)計(jì)。另首先，感謝我同組倆位同窗***和***同窗，在我學(xué)習(xí)VPN的基礎(chǔ)知識(shí)和做實(shí)驗(yàn)過(guò)程中，予以我的協(xié)助。我們互相學(xué)習(xí)，共同進(jìn)步。最后，非常感謝網(wǎng)絡(luò)工程專業(yè)的全部老師四年來(lái)對(duì)我的辛勤哺育和熱心關(guān)心。感謝在一起學(xué)習(xí)一起生活的同窗。參考文獻(xiàn)[1]高海英，薛元星，辛陽(yáng).VPN技術(shù).第一版.北京.機(jī)械工業(yè)出版社..1-2[2]StevenBrown著.董小宇，魏鴻，馬潔譯.構(gòu)建虛擬專用網(wǎng).第一版.北京.人民郵電出版社..4-5[3]戴宗坤，唐三平.VPN與網(wǎng)絡(luò)安全.第一版.北京.電子工業(yè)出版社..[4]邱亮，金悅.ISA配備與管理.第一版.北京.清華大學(xué)出版社..[5]李思齊.服務(wù)器配備全攻略.第一版.北京.清華大學(xué)出版社..[6]王達(dá)等.虛擬專用網(wǎng)（VPN）精解.北京.清華大學(xué)出版社..[7]CarltonR.Davis著.周永彬，馮登國(guó)等譯.IPSEC:VPN的安全實(shí)施.北京.清華大學(xué)出版社.[8]科教工作室.局域網(wǎng)組建與維護(hù).第一版.北京.清華大學(xué)出版社..[9]李文俊等.網(wǎng)絡(luò)硬件搭建與配備實(shí)踐.第一版.北京.電子工業(yè)出版社..[10]李莉，童小林譯.網(wǎng)絡(luò)互聯(lián)技術(shù)手冊(cè).第四版.北京.人民郵電出版社..[11]高海英，VPN技術(shù)，[M]，機(jī)械工業(yè)出版社，[12]YusufBhaiji，NetworkSecurityTechnologiesandSolutions，[M]，CiscoPress

，附錄1英文原文ANewVirtualPrevateNetworkforToday'sMobileWorldKarenHeymanVirtualprivatenetworkswereacriticaltechnologyforturningtheInternetintoanimportantbusinesstool.Today’sVPNsestablishsecureconnectionsbetweenaremoteuserandacorporateorothernetworkviatheencryptionofpacketssentthroughtheInternet,ratherthananexpensiveprivatenetwork.However,theytraditionallyhavelinkedonlyarelativelyfewnodesthatacompany’sITdepartmentcontrolsandcongures.Thisisnotadequateforthemanyorganizationsthatnowmustletmanagers,employees,partners,suppliers,consultants,ecommercecustomers,andothersaccessnetworksfromtheirownPCs,laptops,publiclyavailablecomputerslikethoseatairportkiosks,andevenmobiledevices,manynotcontrolledbytheorganization.VPNsbasedonInternetProtocolsecurity(IPsec)technologywerenotdesignedforandarenotwell-suitedforsuchuses.Insteadofrestrictingremoteuserswhoshouldnothaveaccesstomanypartsofacompany?network,explainedGrahamTitterington,principalanalystwithmarket-researchfirmOvum,IPsec[generally]connectsusersintoanetworkandgivesthesamesortofaccesstheywouldhaveiftheywerephysicallyontheLAN.?±OrganizationsarethusincreasinglyadoptingVPNsbasedonSecureSocketsLayertechnologyfromvendorssuchasAventail,CiscoSystems,F5Networks,JuniperNetworks,andNortelNetworks.SSLVPNsenablerelativelyeasydeployment,addedChrisSilva,ananalystatForresterResearch,amarket-researchrm.AcompanycaninstalltheVPNatitsheadquartersandpushanynecessarysoftwaretousers,whothenaccessthenetworkviatheirbrowsers,heexplained.Organizationsthusdonothavetomanage,update,orbuylicensesformultipleclients,yieldinglowercosts,lessmaintenanceandsupport,andgreatersimplicitythanIPsecVPNs,Silvasaid.Fromaremote-accessperspective,IPsecisturningintoalegacytechnology,?±saidRichCampagna,Juniper?SSLVPNproductmanagerNonetheless,IPsecVPNsarestillpreferableforsomeuses,suchaslinkingaremote,company-controllednode,perhapsinabranchofce,withthecorporatenetwork.BothVPNflavorsarelikelytocontinuetoourish,withthechoicePublishedbytheIEEEComputerSocietyAnearlyattempttocreateaVPNovertheInternetusedmultiprotocollabelswitching,whichaddslabelstopacketstodesignatetheirnetworkpath.Inessence,allpacketsinadatasettravelthroughdesignatedtunnelstotheirdestinations.However,MPLSVPNsdon'tencryptdata.IPsecandSSLVPNs,ontheotherhand,useencryptedpacketswithcryptographickeysexchangedbetweensenderandreceiveroverthepublicInternet.Onceencrypted,thedatacantakeanyrouteovertheInternettoreachit'snaldestination.Thereisnodedicatedpathway.USDefenseDepartmentcontractorsbeganusingthistechniqueasfarbackasthelate1980s,accordingtoPaulHoffman,directoroftheVPNConsortium.IntroducingIPsecVendorsinitiallyusedproprietaryandotherformsofencryptionwiththeirVPNs.However,toestablishastandardwaytocreateinteroperableVPNs,manyvendorsmovedtoIPsec,whichtheInternetEngineeringTaskForce(IETF)adoptedin1998.WithIPsec,acomputersendsarequestfordatafromaserverthroughagateway,actingessentiallyasarouter,attheedgeofitsnetwork.ThegatewayencryptsthedataandsendsitovertheInternet.Thereceivinggatewayqueriestheincomingpackets,authenticatesthesender'sidentityanddesignatednetwork-accesslevel,andifeverythingchecksout,admitsanddecryptstheinformation.BoththetransmitterandreceivermustsupportIPsecandshareapublicencryptionkeyforauthentication.December17FirewallTerminalservicesDecryptedtrafficFileandmediaserverInternetSSLencryptedRemoteuser:trafficBusinesspartnerKioskuserTemporarystaffTravelingstaffTelecommuterDesktopSSLVPN:AuthenticationAuthorizationDecryptionIntegritycheckWebproxyWebserverE-mailserverFigure1.InanSSLVPN,aremoteuserlogsintoadedicatedWebsitetoaccessacompany’snetwork.Theuser’sbrowserinitiatesthesessionwithacorporateserverordesktopcomputer,whichdownloadsthenecessarysoftwaretotheclient.ThesoftwareusesSSLforencryptingthetransmitteddata.Atthecorporatesite,theVPNsystemauthenticatesusers,determineswhatlevelofnetworkaccesstheyshouldhave,andifeverythingchecksout,decryptsthedataandsendsittothedesireddestination.UnlikeSSL,IPsecisimplementedasafullapplicationinstalledontheclient.Anditdoesn’ttakeadvantageofexistingbrowsercode.IPseclimitationsAccordingtoForrester’sSilva,corporateITdepartmentsincreasinglyneedtoletremoteusersconnecttoenterprisenetworks,whichischallengingwithIPsec.ThenormalpracticeofconguringIPsecVPNstoallowfullaccesstoanetworkcancreatevulnerabilities.Toavoidthis,administratorswouldhavetoconfigurethemtopermitaccessonlytopartsofanetwork,accordingtoPeterSilva,technicalmarketingmanagerforF5NetworksSSLVPNs.IPsecVPNsalsohavetroublelettingcertaintraffictransversefirewalls,heexplained.Thisisn’tusuallyaproblem,asmostcompanieshavethesamebasicportsopenbothinboundandoutbound.However,itispossiblethatonecompanywouldlettrafcoutoveraportthatanotherdoesn'tleaveopenforinbounddata.Bycontrast,thevastmajorityofcompanieshaveport80(dedicated)ComputerOpeninboundandoutbound,socrossing?rewallsisrarelyaproblemforSSLVPNs,whichareWeb-based.IPsecVPNsarefullprogramsandthusarelarge,generally6to8megabytes.Thismeanstheydownloadmoreslowlyanddon'talwaysworkwellonsmallerdevices.ENTERTHESSLVPNThefirstSSLVPNvendorwasNeoteris,purchasedinbyNetScreen,whichJuniperboughtthenextyear,accordingtoJuniper’sCampagna.SSLNetscapeCommunicationsdevelopedSSLandreleasedtherstpublicversionin1994.TheIETFadoptedthetechnologyasastandardin1999,namingitTransportLayerSecurity.However,mostusersstillcallitSSL.Thetechnology,whichoffersthesameencryptionstrengthsasIPsec,hasbeenusedlargelytosecurefinancialtransactionsontheWeb.InanSSLVPN,auserlogsintoadedicatedWebsite.ThebrowserinitiatesthesessionwiththeWebserver,whichdownloadsthenecessarysoftwaretotheclient,generallyusingeitherActiveXorJavacontrols.AdministratorscancongureanSSLVPNgatewaytoconductadditionalchecks,suchaswhethertheconnectingdevicehasthelatestsecurityupgrades.Duringthisprocess,theclientandserveridentifycommonsecurityparameters,suchasciphersandhashfunctions,andusethestrongestonestheybothsupport.TheVPNgatewayidentiesitselfviaadigitalcerti?catethatincludesinformationsuchasthenameofthetrustedauthoritythatissuedthecerticate,whichtheclientcancontactforverification,andtheserver'spublicencryptionkey.Thegatewaythensendsanencryptedsessioncookietothebrowsertostartthecommunications.Togeneratetheencryptionkeyusedforthesession,theclientencryptsarandomnumberwiththeserver’spublickeyandsendstheresulttotheserver,whichdecryptsitwithaprivatekey.Oncetheuser'sidentityisauthenticated,anSSLVPN,likeanIPsecVPN,allowsthelevelof