VPN技術在企業(yè)網絡安全中的應用

PAGE中國最大的論文知識平臺VPN技術在企業(yè)網絡安全中的應用內容摘要隨著Internet網絡技術的普及，網絡安全越顯重要。為了能更好地解決公司安全問題，讓公司總部服務器最小限度地免受外界網絡攻擊，也為了使企業(yè)用戶方便地從遠程訪問虛擬網、企業(yè)內部虛擬網、企業(yè)擴展虛擬網，企業(yè)可以考慮采用VPN技術。VPN技術具體包括隧道技術、加密技術、用戶身份認證等。本文首先介紹了VPN的基本概念、優(yōu)勢、分類和安全技術等基本內容。然后介紹了VPN技術在杭州芝麻開門信息技術有限公司的應用。先介紹了該公司的現(xiàn)狀，以及該公司所面臨的網絡安全問題，接著分析了解決該問題的具體措施。最后,論文做出了展望并給出了自己的結論。關鍵詞：VPN技術、網絡安全、網絡設計THEAPPLICATIONOFVPNTECHNOLOGYINTHENETWORKSECURITYOFCOMPANYABSTRACTWiththepopularityofInternettechnology,Networksecuritybecomesmoreandmoreimportant.WecanuseVPNtechnologytosolvethesecurityproblemofthecompanyandminimizeattacksfromexternalnetwork.TheclientscanalsoentertheIntranetVPNorextranetVPNbyuseit.VPNtechnologyincludesTunnelingtechnology,Encryptiontechnology,andUserauthentication,etc.Atfirst,thispaperintroducesthebasicconcept,advantages,classificationandsecuritytechnologyoftheVPNtechnology.Then,theauthoranalyzestheutilizationofVPNtechnologybygivetheexampleofZimakaimencompanyofhangzhou.Theauthoranalyzesthesituationandthenetworksecurityproblemofthecompanyfirstly.Then,theauthorthinksthatthecompanycantakeactionstosolvethisproblem.Finally,theauthorgiveshisconclusion.KEYWORDS:VPNTechnology,Networksecurity,Networkdesign正文目錄引言…………1VPN概述……………………2VPN的概念……………2VPN的組成……………2VPN技術………………3VPN用途………………4VPN在企業(yè)中的應運………6公司簡介………………6公司網絡現(xiàn)有狀況……………………6需求分析………………7需求總結………………8方案設計………………9實施過程………………11方案的實施效果………19結論與啟示…………………20VPN的優(yōu)勢……………20VPN的展望……………21總結……………………21參考文獻……………23致謝…………………24引言現(xiàn)代意義上的計算機網絡是從1969年美國國防部高級研究計劃局建成的ARPAnet實驗網開始的雷震甲.網絡工程師教程.清華大學出版社.2004年7月.50頁.雷震甲.網絡工程師教程.清華大學出版社.2004年7月.50頁.所以Internet的安全話題一直以來都是發(fā)散而復雜的。從最初把Internet作為科學研究用途，到當今的電子商務炙手可熱之時，安全已然成為網絡發(fā)展的絆腳石。所以有更多的安全技術順勢而出，目前的安全措施有數(shù)據(jù)加密、數(shù)字簽名、身份認證、防火墻和內容檢查等。這些雖然不能阻止風險的出現(xiàn)，但可以把風險降到最低。專用網絡指的是企業(yè)內部的局域和廣域網絡，是Internet等公共網絡上的延伸。在過去，大型企業(yè)為了網絡通訊的需求，往往必須投資人力、物力及財力，來建立企業(yè)專用的廣域網絡通訊管道，或采用長途電話甚至國際電話的昂貴撥接方式。在Internet蓬勃發(fā)展的現(xiàn)在，企業(yè)為了維持競爭力，又為了使公司總部和分支、合作伙伴之間信息的安全性受到保障，通常需要將專用網絡與Internet間適當?shù)卣显谝黄?，但是又必須花費一筆Internet連接的固定費用?；旧螴nternet是建立在公眾網絡的基礎之上，如果企業(yè)可以將專用網絡中的廣域網絡連結與遠程撥號連接這兩部份，架構在Internet這一類的公眾網絡之上，同時又可以維持原有的功能與安全需求的話，則將可以節(jié)省下一筆不算小的通訊費用支出。這個問題的解決方法，就需要虛擬專用網。VPN概述VPN的概念利用公共網絡來構建的私人專用網絡稱為虛擬專用網絡(VPN，VirtualPrivateNetwork)，用于構建VPN的公共網絡包括Internet、幀中繼、ATM等。在公共網絡上組建的VPN像企業(yè)現(xiàn)有的私有網絡一樣能提供安全性、可靠性和可管理性等。“虛擬”的概念是相對于傳統(tǒng)專用網絡的構建方式而言的。對于廣域網連接，傳統(tǒng)的組網方式是通過遠程撥號連接來實現(xiàn)的，而VPN是利用服務提供商所提供的公共網絡來實現(xiàn)遠程的廣域網連接。通過VPN，企業(yè)可以以明顯的、更低的成本連接它們的遠地辦事機構、出差工作人員以及業(yè)務合作伙伴。企業(yè)內部資源享用者只需連入本地ISP的POP(PointOfPresence，接入服務提供點)，即可相互通信；而利用傳統(tǒng)的WAN組建技術，彼此之間要有專線相連才可以達到同樣的目的。虛擬網組成后，出差員工和外地客戶只需擁有本地ISP的上網權限就可以訪問企業(yè)內部資源；如果接入服務器的用戶身份認證服務器支持漫游的話，甚至不必擁有本地ISP的上網權限。這對于流動性很大的出差員工和分布廣泛的客戶與合作伙伴來說是很有意義的。并且企業(yè)開設VPN服務所需的設備很少，只需在資源共享處放置一臺VPN服務器就可以了。VPN具有虛擬的特點：VPN并不是某個公司專有的封閉線路或者是租用某個網絡服務商提供的封閉線路，但是，VPN同時又具有專線的數(shù)據(jù)傳輸功能，因為VPN能夠像專線一樣在公共網絡上處理自己公司的信息。它通過安全的數(shù)據(jù)通道將遠程用戶，公司分支機構，公司業(yè)務伙伴等與公司企業(yè)網連接起來，構成一個擴展的公司企業(yè)網。在該網絡的主機似乎感覺所有主機都在同一個網絡內，而沒有察覺公共網絡的存在，同時感到公共網絡為本網絡獨自占用。然而，事實并非如此，所以稱之為虛擬專用網雷震甲.網絡工程師教程.清華大學出版社.2004年7月.319頁.。雷震甲.網絡工程師教程.清華大學出版社.2004年7月.319頁.VPN的組成無論是從VPN技術發(fā)展歷程還是應用模式看，VPN技術包含了多種當前新興的網絡技術，涉及到隧道技術、密碼技術、和身份認證技術，是多種技術的結合體。這決定了用戶在選擇VPN時必須以應用為導向，以解決方案為實施依據(jù)，方可事半功倍。VPN是一個建立在現(xiàn)有共用網絡基礎上的專網，它由各種網絡節(jié)點、統(tǒng)一的運行機制和與物理接口構成，一般包括以下幾個關鍵組成部分：一、VPN服務器VPN服務器作為端點的計算機系統(tǒng)，可能是防火墻、路由器、專用網關，也可能是一臺運行VPN軟件的聯(lián)網計算機，或是一臺聯(lián)網手持設備。二、算法體系算法體系是VPN專用網絡的形成的關鍵，常見的有：摘要算法MD5或SHA1，對稱加密RC4、RC5、DES、3DES、AES、IDEA、BLOWFISH，公用密鑰加密RSA、DSA等。不同類型的VPN根據(jù)應用特點在實現(xiàn)上使用對應的算法，有的還可以由用戶根據(jù)使用現(xiàn)場臨時更換。三、認證系統(tǒng)VPN是一個網絡，要為網絡節(jié)點提供可靠的連接。如同現(xiàn)實社會交往中強調的“誠信”原則一樣，當你通過一個網絡去訪問一個網絡資源時，你自然希望對方是像你要求的那樣是真實的，可以想象，對方也是這樣要求你的，如何認證對方和認證自己，同時還要防止認證信息泄露，這就是認證系統(tǒng)所要解決的問題，是開始VPN連接的基礎。一般使用的有口令、一次性密碼、RSA、SecurID、雙因素令牌、LDAP、WindowsAD、Radius、證書，一個系統(tǒng)中往往包括一種以上幾種方式來增加靈活性。四、VPN協(xié)議它規(guī)定了VPN產品的特征，主要包括安全程度和與上下層網絡系統(tǒng)的接口形式。安全不僅要靠算法，由于VPN強調的是網絡連接和傳輸，配套的密鑰交換和密鑰保護方法甚至比算法更重要，而接口決定了一個VPN產品的適用度。常見的有PPTP、L2TP、MPLSVPN、IPsec、SOCKS、SSL。VPN技術VPN采用的關鍵技術主要包括隧道技術、加密技術、用戶身份認證技術及訪問控制技術。一、隧道技術VPN的核心就是隧道技術。隧道是一種通過互聯(lián)網絡在網絡之間傳遞數(shù)據(jù)的一種方式。所傳遞的數(shù)據(jù)在傳送之前就被封裝在相應的隧道協(xié)議里，當?shù)竭_另一端后才被解封。被封裝的數(shù)據(jù)在互聯(lián)網上傳遞時所經過的路徑是一條邏輯路徑。在VPN中主要有兩種隧道。一種是端到端的隧道，主要實現(xiàn)個人與主機之間的連接，端設備必須完成隧道的建立，對端到端的數(shù)據(jù)進行加密及解密。另一種是節(jié)點到節(jié)點的隧道，主要是用于連接不同地點的LAN數(shù)據(jù)到達LAN邊緣VPN設備時被加密并傳送到隧道的另一端，在那里被解密并送入相連的LAN。它其實就是邊界路由器在起著關鍵作用，隧道的建立，數(shù)據(jù)的加密、解密都是在邊界路由器里完成的。隧道技術相關的協(xié)議分為第二層隧道協(xié)議和第三層隧道協(xié)議。第二層隧道協(xié)議主要有PPTP、L2TP和LZF等，第三層隧道協(xié)議主要有GRE以及IPSec等。二、加密技術VPN的加密方法主要是發(fā)送者在發(fā)送數(shù)據(jù)之前對要發(fā)送的數(shù)據(jù)進行加密，當數(shù)據(jù)到達接收者時再由接收者對數(shù)據(jù)進行解密的處理過程。加密算法的種類包括:對稱密鑰算法，公共密鑰算法等。三、用戶身份認證技術用戶身份認證技術主要用于遠程訪問的情況。當一個撥號用戶要求建立一個會話時，就會對用戶的身份進行鑒定，以確定該用戶是否是合法用戶以及哪些資源可以被使用。四、訪問控制技術訪問控制技術就是確定合法用戶對特定資源的訪問權限，以實現(xiàn)對信息資源的最大限度的保護。VPN的用途一、遠程訪問VPN最適用于用戶從離散的地點訪問固定的網絡資源，如從住所訪問辦公室內的資源；出差員工從外地旅店存取企業(yè)網數(shù)據(jù)；技術支持人員從客戶網絡內訪問公司的數(shù)據(jù)庫查詢調試參數(shù)；納稅企業(yè)從本企業(yè)內接入互聯(lián)網并通過VPN進入當?shù)囟悇展芾聿块T進行網上稅金繳納。遠程訪問VPN可以完全替代以往昂貴的遠程撥號接入，并加強了數(shù)據(jù)安全。二、內聯(lián)網（分支機構聯(lián)網）VPN最適用將異地的兩個或多個局域網或主機相連形成一個內網，主要用于將用戶的異地LAN通過互聯(lián)網上的VPN作為一條虛擬專線連接起來，或是將分支機構與總部連接起來。內聯(lián)網VPN可以替代目前市場上使用幀中繼和ATM等專線構成的專網，顯著降低網絡建設和運行成本，極大提高了部署和擴展靈活性。三、安全平臺將相同工作性質的，離散地理位置的終端設備、局域網內的主機或局域網連接形成一個專網，滿足協(xié)同工作的要求，如總公司銷售部門的LAN與下屬單位的銷售部門的PC，以及外出銷售人員的筆記本之間構成一個安全銷售網，共享CRM、文檔和IP電話，滿足用戶動態(tài)、業(yè)務導向化的組網要求，這是其他方案難以實現(xiàn)的。四、替代專線內聯(lián)網VPN的簡化版，簡單地將兩個主機相連實現(xiàn)聯(lián)機、遙控，或一個主機與一個LAN相連，或替代現(xiàn)有專網的某一條專線成為專網的一部分。五、用戶認證利用VPN用戶認證機制和VPN的安全性，強化用戶認證的安全，如上網計費系統(tǒng)，認證后的數(shù)據(jù)傳輸安全不是重點。六、網絡資源訪問控制將VPN用戶認證機制和VPN網關對網絡訪問的調度能力結合起來，根據(jù)預定的安全策略給與不同用戶不同的資源訪問權限，強化網絡資源的合理配置和安全性。VPN在企業(yè)中的應運公司簡介杭州芝麻開門信息技術有限公司系專業(yè)行業(yè)性B2B和B2C平臺運營商，公司下設兩家分公司，運營兩個網站：和，現(xiàn)在公司主要是和中國制筆協(xié)會共同開發(fā)中國筆業(yè)貿易網．公司匯聚了眾多IT界的精英，直接出擊日益擴張的全球市場。公司的目的是將傳統(tǒng)的國內、國際性采購及貿易活動轉變成一個高效率、高效益、低成本的新型電子商務模式，并根據(jù)企業(yè)的商務活動的實際狀況，推出一系列適合于供應商及采購商進行商業(yè)信息交流與溝通的平臺，促進并達到讓制筆行業(yè)的企業(yè)利用得到更多的商業(yè)服務和最大限度的商業(yè)資訊。中國筆業(yè)貿易網的信息具有傳遞快、大容量、及時更換等特點，可以迅速發(fā)布行業(yè)內的供求、人才、新產品、新技術專利等信息。并建立了制筆行業(yè)進出口統(tǒng)計、行業(yè)標準、政策法規(guī)、技術知識、人才中心等信息數(shù)據(jù)庫，為廣大的制筆企業(yè)及全球采購商提供了真正實用的電子商務大平臺。公司現(xiàn)有的網絡狀況首先來了解一下關于杭州芝麻開門信息技術有限公司的網絡拓撲結構。如圖3-1所示。圖3-1杭州芝麻開門信息技術有限公司的網絡圖從圖看出總公司和分公司、銀行、合作伙伴，分公司和銀行、合作伙伴，出差員工或者在家辦公人員和總公司、分公司之間，這三種關系的連接都是經過Internet的。總公司是通過Cisco2600系列路由器作為邊界網關與外界Internet等公共網相連，并配置放火墻。內部則由兩臺CiscoCrystal2950系列交換機做為中心交換機把辦公大樓、營銷中心、FTP服務器、WWW服務器、E-mail服務器、數(shù)據(jù)庫服務器等聯(lián)系起來。網管站直接和交換機相連，并管理路由器、中心交換機、服務器等。如圖3-2所示。圖3-2總部內網麗水分支和杭州分支是通過撥號上網，與總公司聯(lián)系。它們具體是先經ADSLModem連到24接口阿爾法AFR-K24路由器（內配置防火墻），再接24接口阿爾法AFS-3026交換機和個人電腦相連。公司通過防火墻接入Internet。目前公司所有應用僅限于公司局域網內，出差員工不能訪問。總部網絡內建設WWW、文件共享服務、Exchange、公司ERP系統(tǒng)，總部各部門局域網絡實現(xiàn)接入Internet,但沒有實現(xiàn)內部網絡互聯(lián)。杭州分支公司：電腦接入Internet，實現(xiàn)了辦公網絡半自動化。麗水分支公司：電腦接入Internet，實現(xiàn)了辦公網絡半自動化。需求分析杭州芝麻開門信息技術有限公司自1996年創(chuàng)建以來，所擁有的客戶群已越來越龐大。而作為以網站服務和維護為主的公司，其客戶需要頻繁地訪問公司內部網，訪問服務器。從安全性上講，通過Internet等公共網的連接，勢必會帶來一些危險：從客戶端帶來的威脅會有病毒、陷門和木馬、非授權訪問、假冒、重放、誹謗等。從服務器端的威脅就有數(shù)據(jù)完整性破壞、信息篡改等。根據(jù)公司工程技術人員的深入了解和分析，杭州芝麻開門信息技術有限公司需要一種安全的接入機制來保障通信的安全，并達到以下要求：=1\*CHINESENUM3一、企業(yè)必需要確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網絡資源或私有信息的訪問。ExtranetVPN將企業(yè)網擴展到合作伙伴和客戶；=2\*CHINESENUM3二、要求企業(yè)將其網絡管理功能從局域網無縫地延伸到公用網，甚至是客戶和合作伙伴。雖然可以將一些次要的網絡管理任務交給服務提供商去完成，企業(yè)自己仍需要完成許多網絡管理任務；=3\*CHINESENUM3三、構建VPN的另一重要需求是充分有效地利用有限的廣域網資源，為重要數(shù)據(jù)提供可靠的帶寬；=4\*CHINESENUM3四、總部通過多條線路連接廣域網，保證分點財務核算數(shù)據(jù)的連接安全，也節(jié)約了寬帶接入成本；=5\*CHINESENUM3五、支持從各種網絡條件下的安全接入；=6\*CHINESENUM3六、通過隧道技術在網絡協(xié)議的越下層實現(xiàn)更高的數(shù)據(jù)安全性；=7\*CHINESENUM3七、通過路由器對用戶實行統(tǒng)一的管理，對訪問權限實行分級管理等要求，實現(xiàn)流量控制、端口鏡象等要求，通過路由器的相關防火墻功能實現(xiàn)網絡的安全管理；=8\*CHINESENUM3八、出差員工利用公司筆記公共電腦（如機場侯機廳的計算機）也能夠較安全地訪問公司內部網絡資源；=9\*CHINESENUM3九、總部保證內網至少100臺電腦接入Internet，還要考慮到公司以后的發(fā)展接入點的增加，同時實現(xiàn)一級分部通過相關設備在連到總部網絡的同時還提供訪問公司FTP服務器，連接公司ERP系統(tǒng)提交與查詢相關信息等要求；=10\*CHINESENUM3十、杭州、麗水分支機構2個辦事處電腦接入Internet，同時考慮到公司以后的發(fā)展接入點的增加，同時實現(xiàn)與總部實現(xiàn)互聯(lián)同時還提供訪問公司FTP服務器，連接公司ERP系統(tǒng)提交與查詢相關信息等要求；=11\*CHINESENUM3十一、在各分支機構和總公司之間創(chuàng)造一個集成化的辦公環(huán)境，為工作人員提供多功能的桌面辦公環(huán)境，解決辦公人員處理不同事務需要使用不同工作環(huán)境的問題。需求總結針對以上的需求，通過VPN的配置可以解決互聯(lián)問題，另外對VPN加以相應配置可以實現(xiàn)資料傳輸?shù)陌踩詥栴}。以現(xiàn)有技術來說，所謂最優(yōu)選擇其實必須根據(jù)遠程訪問的需求與目標而定。目前主流VPN方案有兩種：IPSec/IKE和SSLVPN。當前企業(yè)需要安全的點對點連接，或用單一裝置進行遠程訪問，并且讓企業(yè)擁有管理所有遠程訪問使用能力，IPSec/IKE是最適合的解決方案。比較那種傳輸方法比較好更重要的問題是：那種安全技術最符合遠程接入方案的需求，IPSec可以保護任何IP流量，而SSL專注于應用層流量。IPSec適合長期的連接，即寬帶、持續(xù)和網絡層連接要求。SSL僅適合于個別的，對應用層和資源的連接，而且支持的應用沒有IPSec多。實現(xiàn)外出出差員工通過PPTP撥號連接公司網絡完成相關工作。方案設計=1\*CHINESENUM3一、設備選擇由于VPN的應用受到網管者的歡迎，因此技術也不斷演進。一般常見的VPN協(xié)定有PPTP、IPSec、SSL等。其中PPTP為微軟支持的協(xié)定，設定較方便，但保全性不夠；IPSec公認是最安全的協(xié)定，但是設定和配置復雜，一般的用戶不容易操作；SSL則需在服務器端進行介面轉換，并不是所有的應用程序都可支持。在實際操作上，VPN的架設還面臨其他的問題：例如當互聯(lián)網聯(lián)機掉線時，再安全的VPN也沒有作用；中國由于IP資源有限，因此VPN聯(lián)機必須基于雙方為動態(tài)IP的基礎上建立；由于幅員廣大，網管人員要跑遍各個分公司的成本太高，VPN的設定最好簡單清楚，略有網絡知識者即可完成；每個ISP的IP分派方式都不同，IPSec并不一定都能穿透?，F(xiàn)在市場上的VPN產品繁多，而且功能各不相同，本著遵循著方便實用、高效低成本、安全可靠、網絡架構彈性大等相關原則，同時對杭州芝麻開門信息技術有限公司的需求分析，在選擇VPN連接設備上推薦市場上思科公司的Cisco2600系列VPN防火墻路由器產品。Cisco2600系列VPN防火墻路由器產品支持IPSecVPN連接，提供適用于各辦公室，事業(yè)伙伴及遠程使用者使用的安全便利的網絡加密方式，包括3DES，DES，以及AH/ESP加密方式。VPN功能提供了各分支點間或大多數(shù)遠程使用者采VPN方式，將資料自動加密解密的通訊方式，支持GatewayToGateway，ClientToGateway與GroupVPNs等模式。具備PPTP服務器功能，具備聯(lián)機狀態(tài)顯示，可以滿足在外出差或想要連回總部或分公司的用戶也可使用PPTP或IPSec方式連回企業(yè)網絡，相對來說PPTP要比IPSec易配制，對移動辦公用戶比較適合。Cisco2600系列VPN防火墻路由器產品內建進階型防火墻功能，能夠阻絕大多數(shù)的網絡攻擊行為，使用了SPI封包主動偵測檢驗技術(StatefulPacketInspection)，封包檢驗型防火墻主要運作在網絡層，執(zhí)行對每個連接的動態(tài)檢驗，也擁有應用程序的警示功能，讓封包檢驗型防火墻可以拒絕非標準的通訊協(xié)議所使用的連結，預設自動偵測并阻擋。Cisco2600亦同時支持使用網絡地址轉換NetworkAddressTranslation(NAT)功能以及Routing路由模式，使網絡環(huán)境架構更為彈性，易于規(guī)劃管理?？偛烤W絡通過光纖連接外網，連接路由器交換機選擇三層千兆交換機，三層千兆交換機之間用光纖連接，以滿足內部網絡VLAN的劃分，同時考慮到今后公司的發(fā)展，信息點擴充的需要。=2\*CHINESENUM3二、設計原則VPN的設計包含以下原則:=1\*GB4㈠安全性VPN直接構建在公用網上，實現(xiàn)簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必需要確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網絡資源或私有信息的訪問。ExtranetVPN將企業(yè)網擴展到合作伙伴和客戶，對安全性提出了更高的要求。具體的有隧道與加密、數(shù)據(jù)驗證、用戶身份驗證、防火墻與攻擊檢測。㈡網絡優(yōu)化構建VPN的另一重要需求是充分有效地利用有限的廣域網資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網絡阻塞，產生網絡瓶頸，使實時性要求高的數(shù)據(jù)得不到及時發(fā)送；而在流量低谷時又造成大量的網絡帶寬空閑。QOS通過流量預測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預防阻塞的發(fā)生。一般地，二層和三層的QOS具有以下功能:=1\*GB1⒈流分類:根據(jù)不同的用戶、應用、服務器或URL地址等對數(shù)據(jù)流進行分類，然后才可以在不同的數(shù)據(jù)流上實施不同的QOS策略。流分類是實現(xiàn)帶寬管理以及其他QOS功能的基礎。ACL就是流分類的手段之一。=2\*GB1⒉流量整形與監(jiān)管:流量整形是指根據(jù)數(shù)據(jù)流的優(yōu)先級，在流量高峰時先盡量保證優(yōu)先級高的數(shù)據(jù)流的接收/發(fā)送，而將超過流量限制的優(yōu)先級低的數(shù)據(jù)流丟棄或滯后到流量低谷時接收/發(fā)送，使網絡上的流量趨于穩(wěn)定；流量監(jiān)管則是指帶寬大的路由器限制出口的發(fā)送速率，從而避免下游帶寬小的路由器丟棄超過其帶寬限制的數(shù)據(jù)包，消除網絡瓶頸。=3\*GB1⒊擁塞管理與帶寬分配:根據(jù)一定的比例給不同的優(yōu)先級的數(shù)據(jù)流分配不同的帶寬資源，并對網絡上的流量進行預測，在流量達到上限之前丟棄若干數(shù)據(jù)包，避免過多的數(shù)據(jù)包因發(fā)送失敗的同時進行重傳而引起更嚴重的資源緊張，進而提高網絡的總體流量。=3\*GB4㈢VPN管理VPN要求企業(yè)將其網絡管理功能從局域網無縫地延伸到公用網，甚至是客戶和合作伙伴。可以將一些次要的網絡管理任務交給服務提供商去完成，企業(yè)自己就可完成許多網絡管理任務。所以，一個完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標為:=1\*GB1⒈減小網絡風險:從傳統(tǒng)的專線網絡擴展到公用網絡基礎設施上，VPN面臨著新的安全與監(jiān)控的挑戰(zhàn)。網絡管理需要做到在允許公司分部、客戶和合作伙伴對VPN訪問的同時，還要確保公司數(shù)據(jù)資源的完整性。=2\*GB1⒉擴展性:VPN管理需要對日益增多的客戶和合作伙伴作出迅捷的反應，包括網絡硬、軟件的升級、網絡質量保證、安全策略維護等。=3\*GB1⒊經濟性:保證VPN管理的擴展性的同時不應過多地增加操作和維護成本。=4\*GB1⒋可靠性:VPN構建于公用網之上，不同于傳統(tǒng)的專線廣域網，其受控性大大降低，故VPN可靠而穩(wěn)定地運行是VPN管理必需考慮的問題。=5\*GB1⒌VPN管理主要包括安全管理、設備管理、配置管理、ACL管理、QOS管理等內容。實施過程=1\*CHINESENUM3一、網絡結構企業(yè)通過Internet數(shù)據(jù)傳輸平臺，實施加密的VPN實現(xiàn)接入的方法有多種，針對杭州芝麻開門信息技術有限公司的網絡現(xiàn)狀，我們采用IPSecVPN和PPTPVPN相結合的方法?？偣疽砸粭l光纖聯(lián)機（ISP分配的固定IP地址），而分公司以用光纖或ADSL聯(lián)機均可（公網動態(tài)IP），作為聯(lián)機的基礎。總公司選擇Cisco2600機型，連接四條光纖（ADSL可選，ADSL可連接同一網絡營運商來做備援服務，以避免單一營運商掉線的風險及不同運營商網絡之間的互連）；分公司也可采用Cisco2600，各地分支機構可以選擇不同網絡營運商的線路。VPN聯(lián)機采用IPSec協(xié)定，以保障聯(lián)機的安全。網管人員只要將設備寄到分支機構，并提供總公司VPN通道IP、用戶名及密碼，即可由具一般計算機操作能力用戶完成設定。在外出差或想要連回總部或分公司的用戶也可使用PPTP或IPSec方式連回企業(yè)網絡，相對來說PPTP要比IPSec易配制，對移動辦公用戶比較適合?？偛?00信息點接入，選用Cisco2600，內置300條ipsec,100條pptp。杭州分支：40-50信息點接入，選用Cisco2600，內置50條ipsec。麗水分支：20信息點接入，選用Cisco2600，內置50條ipsec。=2\*CHINESENUM3二、VPN相關組件的安裝首先要正確觀念，VPN服務器并不是獨立成體的，此組件只是在遠程用戶訪問過程中起到了中轉角色，如果對方的用戶名和密碼正確及為其開出一個直線通道。其實建立一臺VPN服務器很簡單，只要短短幾步即可完成。=1\*GB4㈠服務器端VPN的建立

步驟一、依次打開開始-程序-管理工具，在路由和遠程訪問窗口中單擊操作按鈕，并在彈出的菜單中選擇配置并啟用路由和遠程訪問，載入創(chuàng)建一個新服務器的向導，選擇“自定義配置”（使用者可以根據(jù)自己的需求進行選擇性配置，建議主機內安有雙網卡的用戶可以選擇虛擬專用網絡VPN訪問NAT）。

步驟二、右擊右邊樹形目錄里的本地服務器名，選擇[屬性]并切換到IP選項卡，在這里按提示諑步填入相關IP地址及內容，這樣一個簡單的VPN服務端建立完成了。=2\*GB4㈡客戶VPN的建立網絡客戶連接服務器也非常簡單，打開[我的電腦]選中控制面板中的[網絡連接]，在其內選擇[網絡和internet連接][新建網絡連接]，創(chuàng)建一個新的連接到一個商業(yè)網絡（VPN）這樣就可以連接到服務端了，在彈出的下一步對話框中輸入網絡用戶名（這里隨意命名）接下來輸入用戶名和密碼（為了使用方便點擊保存密碼并發(fā)送到桌面快捷方式），客戶端由此產生了。=3\*CHINESENUM3三、IPSecVPN的配置=1\*GB4㈠IPSec的實現(xiàn)IPSec實現(xiàn)的VPN有四個配置部分：=1\*GB1⒈為IPSec做準備為IPSec做準備涉及到詳細的加密策略，包括確定我們要保護的主機和網絡，選擇一種認證，確定有關IPSec對等體的詳細信息，確定我們所需要的IPSec的特性，并且確認現(xiàn)有的訪問控制列表允許IPSec數(shù)據(jù)流的通過。步驟一：根據(jù)對等體的數(shù)量與位置在IPSec對等體之間確定一個IKE策略。步驟二：確定IPSec策略，包括IPSec對等體的詳細信息，就如IP地址以及IPSec變換集和模式。步驟三：用show命令來檢查當前的配置。步驟四：確認在誒有加密前網絡能夠正常使用，用“ping”命令并在加密前運行測試數(shù)據(jù)流來排除基本的路由故障。步驟五：確認在邊界路由器和防火墻中已經有的訪問控制列表允許IPSec數(shù)據(jù)流通過，或者想要的數(shù)據(jù)流將可以被過濾出來。=2\*GB1⒉配置IKE配置IKE涉及到啟用IKE（IKE和isakmp是同義詞），創(chuàng)建IKE策略，驗證我們的配置。=1\*GB2⑴用”isakmpenable”命令來啟用或者關閉IKE；=2\*GB2⑵用“isakmppolicy”命令創(chuàng)建IKE策略；=3\*GB2⑶用“isakmpkey”命令和相關命令來配置預共享密鑰；=4\*GB2⑷用“showisakmp[policy]”命令來驗證IKE的配置。=3\*GB1⒊配置IPSecIPSec配置包括創(chuàng)建加密用訪問控制列表、定義變換集、創(chuàng)建加密圖條目、并將加密集應用到接口上去。=1\*GB2⑴用access－list命令來配置加密用訪問控制列表；=2\*GB2⑵用cryptoipsectransform。Set命令配置變換集；=3\*GB2⑶（任選）用cryptoipsecsecurity－associationlifetime命令來配置全局性的IPSec安全關聯(lián)的生存期；=4\*GB2⑷用cryptomap命令來配置加密圖；=5\*GB2⑸用interface命令和cryptomapmap.Nameinterface應用到接口上；=6\*GB2⑹用各種可用的show命令來驗證IPSec的配置。=4\*GB1⒋測試和驗證IPSec使用“show”、“debug”和相關的命令來測試和驗證IPSec加密工作是否正常，并且用來排除故障。=2\*GB4㈡路由器端的配置本部分的配置主要是針對路由器IPSec的配置，對于路由器中開頭部分已簡略。路由器之間的地址分配如表3-1所示。表3-1地址分配圖總部分支機構（杭州）分支機構（麗水）內部網段網號互聯(lián)網段網號路由器內部端口IP地址000000路由器Internet端口IP地址路由器串口IP地址隧道端口地址總部端路由器和兩分支端路由器配置分別如下：=1\*GB1⒈總部與杭州分支間的配置，其簡圖如圖3-3所示。圖3-3總部與杭州分支的網絡簡圖=1\*GB2⑴總部路由器配置當前路由器提示，視圖依次輸入的配置命令，//后為簡單說明。cryptoisakmppolicy1//配置IKE策略1authenticationpre-share//IKE1的驗證方法設為pre-sharegroup2;1024-bitDiffie-Hellman//加密算法未設置則取默認值：DEScryptoisakmpkeytest123address//設置pre-share的密鑰為test123，此值兩端需一致cryptoipsectransform-setVPNtagah-md5-hmacasp-des//設置AH散列算法為md5，！ESP加密算法為DEScryptomapVPNdemo10ipsec-isakmp//定義cryptomapsetpeer//設置隧道對端IP地址settransform-setVPNtag//設置隧道AH及ESPmatchaddress101!interfaceTunnel0//定義隧道接口ipaddress//隧道端口IP地址noipdirected-broadcasttunnelsource//隧道源端IP地址tunneldestination//隧道目的端IP地址cryptomapVPNdemo//應用VPNdemo于此端口interfaceSerial0/0ipaddress52//串口InternetIP地址noipdirected-broadcastcryptomapVPNdemo//應用VPNdemo于此串口!InterfaceEthernet0/1Ipaddress//外部端口IP地址noipdirected-broadcastInterfaceEthernet0/0Ipaddress00//內部端口IP地址noipdirected-broadcast!IpclasslessIproute//默認路由Iproute00//到內網靜態(tài)路由（經過隧道）Access.list101permitgrehosthost//定義存取列表=2\*GB2⑵杭州分支的路由器配置cryptoisakmppolicy1//配置IKE策略1authenticationpre-share//IKE1的驗證方法設為pre-sharegroup2;1024-bitDiffie-Hellman//加密算法未設置則取默認值：DEScryptoisakmpkeytest123address//設置pre-share的密鑰為test123，此值兩端需一致cryptoipsectransform-setVPNtagah-md5-hmacasp-des//設置AH散列算法為md5，！ESP加密算法為DEScryptomapVPNdemo10ipsec-isakmp//定義cryptomapsetpeer//設置隧道對端IP地址settransform-setVPNtag//設置隧道AH及ESPmatchaddress101!interfaceTunnel0//定義隧道接口ipaddress//隧道端口IP地址noipdirected-broadcasttunnelsource//隧道源端IP地址tunneldestination//隧道目的端IP地址cryptomapVPNdemo//應用VPNdemo于此端口interfaceSerial0/0ipaddress52//串口InternetIP地址noipdirected-broadcastcryptomapVPNdemo//應用VPNdemo于此串口!InterfaceEthernet0/1Ipaddress//外部端口IP地址noipdirected-broadcastInterfaceEthernet0/0Ipaddress00//內部端口IP地址noipdirected-broadcast!IpclasslessIproute//默認路由Iproute00//到內網靜態(tài)路由（經過隧道）Access.list101permitgrehosthost//定義存取列表=2\*GB1⒉總部與麗水分支之間的配置，其簡圖如圖3-4所示。圖3-4總部與麗水分支的網絡簡圖=1\*GB2⑴總部路由器配置cryptoisakmppolicy1//配置IKE策略1authenticationpre-share//IKE1的驗證方法設為pre-sharegroup2;1024-bitDiffie-Hellman//加密算法未設置則取默認值：DEScryptoisakmpkeytest123address//設置pre-share的密鑰為test123，此值兩端需一致cryptoipsectransform-setVPNtagah-md5-hmacasp-des//設置AH散列算法為md5，！ESP加密算法為DEScryptomapVPNdemo10ipsec-isakmp//定義cryptomapsetpeer//設置隧道對端IP地址settransform-setVPNtag//設置隧道AH及ESPmatchaddress101!interfaceTunnel0//定義隧道接口ipaddress//隧道端口IP地址noipdirected-broadcasttunnelsource//隧道源端IP地址tunneldestination//隧道目的端IP地址cryptomapVPNdemo//應用VPNdemo于此端口interfaceSerial0/0ipaddress52//串口InternetIP地址noipdirected-broadcastcryptomapVPNdemo//應用VPNdemo于此串口!InterfaceEthernet0/1Ipaddress//外部端口IP地址noipdirected-broadcastInterfaceEthernet0/0Ipaddress00//內部端口IP地址noipdirected-broadcast!IpclasslessIproute//默認路由Iproute00//到內網靜態(tài)路由（經過隧道）Access.list101permitgrehosthost//定義存取列表=2\*GB2⑵麗水分支的路由器配置cryptoisakmppolicy1//配置IKE策略1authenticationpre-share//IKE1的驗證方法設為pre-sharegroup2;1024-bitDiffie-Hellman//加密算法未設置則取默認值：DEScryptoisakmpkeytest123address//設置pre-share的密鑰為test123，此值兩端需一致cryptoipsectransform-setVPNtagah-md5-hmacasp-des//設置AH散列算法為md5，！ESP加密算法為DEScryptomapVPNdemo10ipsec-isakmp//定義cryptomapsetpeer//設置隧道對端IP地址settransform-setVPNtag//設置隧道AH及ESPmatchaddress101!interfaceTunnel0//定義隧道接口ipaddress//隧道端口IP地址noipdirected-broadcasttunnelsource//隧道源端IP地址tunneldestination//隧道目的端IP地址cryptomapVPNdemo//應用VPNdemo于此端口interfaceSerial0/0ipaddress52//串口InternetIP地址noipdirected-broadcastcryptomapVPNdemo//應用VPNdemo于此串口!InterfaceEthernet0/1Ipaddress//外部端口IP地址noipdirected-broadcastInterfaceEthernet0/0Ipaddress00//內部端口IP地址noipdirected-broadcast!IpclasslessIproute//默認路由Iproute00//到內網靜態(tài)路由（經過隧道）Access.list101permitgrehosthost//定義存取列表=3\*GB4㈢工作過程簡介遠程撥號用戶首先與本地ISP(NSP)的遠程訪問服務(NAS)建立PPP連接，再與中心LAN網關之間建立隧道從而建立數(shù)據(jù)鏈路連接，在此過程中，由ISP的遠程訪問服務器對遠程用戶的用戶名和密碼進行認證，身份確認后分配給遠程用戶一個IP地址，這個IP地址就是Internet全局IP地址，用它可以訪問Internet；中心網關也對遠程撥號用戶的用戶名和口令進行認證(一般而言，用戶在ISP注冊的身份和在中心網關注冊的身份是一致的)，并分配給撥號用戶一個IP地址，這個IP地址即是訪問中心LAN的IP地址，也是訪問其內部的IP地址，遠程用戶在獲取該地址后，就可以訪問中心LAN服務器在建立隧道的過程中，PPP幀被封裝成PPTP幀，再將PPTP幀封裝成IP報文，在IP報文中，源IP地址是本地的ISP分配的Internet全局IP地址，目地IP地址是由中心LAN網關分配的IP地址報文經Internet到達中心LAN網關后，中心LAN網關根據(jù)IP報文的目地地址將報文轉發(fā)給中心LAN內的服務器，同時分離出PPTP幀，再從PPTP幀中分離出PPP幀，然后對遠程用戶的PPP幀進行處理。中心服務器對接收到的用戶信息進行處理，同時給出答復信息，該信息被封裝成IP報文在這個IP報文中，源IP地址是服務器在中心LAN內的IP地址，目的IP地址是中心LAN網關分配給遠程用戶的IP地址中心LAN網關根據(jù)報文的目地地址獲知該報文傳輸必須通過隧道傳輸，并將該報文封裝成PPP幀格式，然后將PPP幀格式封裝成PPTP幀格式，再嵌入IP報頭形成IP報文，轉發(fā)給Internet，在這個報文中，源IP地址是由中心LAN網關分配的全局IP地址，目的IP地址是ISP分配給遠程撥號用戶的Internet全局IP地址。方案的實施效果使用VPN結構，可以實現(xiàn)兩個辦公室之間的聯(lián)機，可通過VPN建立的隧道，經由先進的加密技術安全地互相傳送，不會被惡意第三者截取分析；非標準TCP/IP的應用，也可通過VPN專有隧道連通，就像在同一個局域網一樣；在外移動的行動用戶，只要可以連上網路，即可通過VPN設定連回公司，使用各種辦公室應用；辦公室間的傳輸，例如視頻會議、語音通訊，通過VPN即不受到網路運行商的管制，帶寬不會受到限制。VPN上的設施和服務完全掌握在企業(yè)手中。企業(yè)可以把撥號訪問權交給NSP去做，而自己負責用戶的查驗、訪問權、網絡地址、安全性和網絡變化管理等重要工作。通過采用“隧道”技術，在公眾網中形成企業(yè)的安全、機密、順暢的專用鏈路。企業(yè)不必租用長途專線建設專網，不必大量的網絡維護人員和設備投資，節(jié)省成本。結論與啟示VPN的優(yōu)勢通過組網，我們體會到了VPN的優(yōu)勢主要在以下四個方面：一、降低成本：同傳統(tǒng)的專用網絡相比，虛擬專用網的一個顯著優(yōu)勢就是成本低企業(yè)不必租用長途專線建設專網，不必大量的網絡維護人員和設備投資。利用現(xiàn)有的公用網組建的Internet，要比租用專線或鋪設專線要節(jié)省開支，而且當距離越遠時節(jié)省的越多。二、容易擴展：網絡路由設備配置簡單，無需增加太多的設備，省時省錢。對于發(fā)展很快的企業(yè)來說，VPN就更加是