《小型企业网组网方案—VPN搭建与配置.pdf》由会员分享,可在线阅读,更多相关《小型企业网组网方案—VPN搭建与配置.pdf(22页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 小型企业网组网方案-VPN 的搭建与配置 学生姓名:XXX 指导老师:吴佳英 摘 要 本文要实现小型企业网组网的VPN 的搭建与配置。VPN 技术定义为虚拟专用网技术,意思就是虚拟的专用隧道,为了达到这个结果,在配置过程中,我应用了隧道技术。不过为了实现两个不同局域网终端的通信,需要两个路由器,还需要对两个路由器设置物理端口配置封装方式为 des,散列方式为 md5,在对端也做相应的配置,实现总公司和分公司的互连。对于网络中可能存在的安全威胁,在做 VPN 配置时,设置了密钥管理策略,以求构建一个安全、高效、可靠的企业网络,并在 GNS3 中模拟实现。最后测试时,总公司跟驻外办事处 ping
2、 通,说明 VPN 连接正常,本次课程设计是成功的。关键词 虚拟专用网,隧道技术,密钥管理策略,VPN 技术,GNS3 1 引 言 VPN(Virtual Private Network)是指利用密码技术和访问控制技术在公共网络(如Internet)中建立的专用通信网络。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成,虚拟专用网络对用户端透明,用户好像使用一条专用线路进行通信。虚拟专用网是网络互联技术和通信需求迅猛发展的产物。互联网技术的快速发展及其应用领域的不断推广,使得许多部门(如政府、外交、军队、跨国公司)越来越多地考虑利用
3、廉价的公用基础通信设施构建自己的专用广域网络,进行本部门数据的安全传输,它们客观上促进了 VPN 在理论研究和实现技术上的发展。VPN 作为一种新型的网络技术,为企业建设计算机网络提供了一种新的思路,可以通过在公共网络上建立虚拟的连接来传输私有数据,再用认证、加密等技术来保证数据的安全,这样不仅极大的降低了企业用于网络建设的费用,也提高了网络的安全性。随着新一代光网络将朝着智能化的方向发展,OVPN 是新一代光网络发展模式之一,它提供了一个安全、高效、灵活、可管理的途径,可使运营商通过现有传输网络与其银行、公司企业、ISP 等用户实现(双赢),轻松获益。加解密技术是数据通信中较成熟的技术,VP
4、N 可以直接利用现有的技术。用于 VPN 上的加密技术由 IP Sec 的 ESP(Encapsulating Security Paylcad)实现。主要是发送者在发送数据以前对数据加密,当数据到达接收者时由接收者对数据进行解密处理,算法主要种类包括:对称加密算法、不对称加密算法等,如 DES、IDEA、RSA。本文主要内容 本文第二节介绍了小型企业网中 VPN 技术,VPN 技术的搭建与配置基本原理,第三小节详细描述了 VPN 的搭建与配置过程,第四小节主要是总结全文所写主要内容、设计过程中遇到的问题及其解决办法、对所设计的成果进行评价。首先是对 VPN 技术有根本性的了解,知道 VPN
5、技术的搭建主要问题是安全性问题,为了解决这个问题,在搭建 VPN 网络时,主要运用了加密技术,隧道技术等来保证 VPN 的安全性。本次课程设计的平台是 GNS3,在此平台上完成小型企业网的 VPN 搭建与配置,完成了对 VPN 的搭建,然后就是进行配置,配置主要考虑的问题是,如何在两个路由器之间建立连接,对于不同局域网,VPN接入网关子系统部署:在总部局域网Internet边界防火墙后面配置一台专用的高性能的 VPN网关,在分支机构 Internet 边界防火墙后面配置一台专用 VPN 网关,由此两端的 VPN 网关建立 IPSec VPN 隧道,进行数据封装、加密和传输。设计平台 GNS3
6、是一款优秀的具有图形化界面可以运行在多平台(包括 Windows,Linux,and MacOS 等)的网络虚拟软件。Cisco 网络设备管理员或是想要通过 CCNA,CCNP,CCIE 等 Cisco认证考试的相关人士可以通过它来完成相关的实验模拟操作。同时它也可以用于虚拟体验Cisco 网际操作系统 IOS 或者是检验将要在真实的路由器上部署实施的相关配置。操作界面如图 1-1 所示:#图 1-1 GNS3 实验平台界面 2 设计原理 VPN 优势 VPN(Virtual Private Network)被定义为通过一个公共网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公
7、共网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网络建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的网络上,一个企业的虚拟专用网解决方案也将大幅度的减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用
8、线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。(1)和传统的数据专网相比,从客户角度看,VPN 具有如下优势:安全:在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接,保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。廉价:利用公共网络进行信息通讯,企业可以以更低的成本连接远程办事机构、出差人员和业务伙伴。支持移动业务:支持驻外 VPN 用户在任何时间、任何地点的移动接入,能够满足不断增长的移动业务需求。服务质量保证:构建具有服务质量保证的 VPN(如 MPLS VPN),可为 VPN 用户提供不同等级的服务质量保证。(2)从运营商角
9、度看,VPN 具有如下优势:可运营:提高网络资源利用率,有助于增加ISP 的收益。灵活:通过软件配置就可以增加、删除 VPN 用户,无需改动硬件设施。在应用上具有很大灵活性。多业务:SP 在提供 VPN 互连的基础上,可以承揽网络外包、业务外包、客户化专业服务的多业务经营。!VPN 以其独具特色的优势赢得了越来越多的企业的青睐,使企业可以较少地关注网络的运行与维护,从而更多地致力于企业的商业目标的实现。另外,运营商可以只管理、运行一个网络,并在一个网络上同时提供多种服务,如Best-effort IP 服务、VPN、流量工程、差分服务(Diffserv),从而减少运营商的建设、维护和运行费用。
10、VPN 在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性。在全球任何一个角落,只要能够接入到 Internet,即可开展 VPN。VPN 安全 加解密技术16是数据通信中较成熟的技术,VPN 可以直接利用现有的技术。用于 VPN上的加密技术由 IP Sec 的 ESP(Encapsulating Security Paylcad)实现。主要是发送者在发送数据以前对数据加密,当数据到达接收者时由接收者对数据进行解密处理,算法主要种类包括:对称加密算法、不对称加密算法等,如 DES、IDEA、RSA。对称加密算法,通信双方共享一个密钥。发送方使用该密钥将明文加密成密文。接收方使用
11、相同的密钥将密文还原成明文,对称加密算法运算速度快。不对称加密算法是通信双方各使两个不同的密钥,一个是只有发送方知道的密钥,另一个则是与之对应的公开密钥,公开密钥不需保密。在通信过程中,发送方用接收方的公开密钥加密信息,并且可以用发送方的秘密密钥对消息的某一部分或全部加密,进行数字签名。接收方收到消息后,用自己的秘密密钥解密消息,并使用发送方的公开密钥解密数字签名,验证发送方身份。密钥管理技术的主要任务是如何在公网上传递密钥而不被窃取。对称加密是基于共同保守秘密来实现的。这样,对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和
12、更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。VPN 的配置方法 现在通常有两种方法实现局域网的VPN 连接:一种是在局域网中的客户机上可以进行单个 VPN 连接,通过计算机的 VPN 功能或客户端软件建立 PPTP 或 IPSEC 的 VPN 连接;另一种是在 ADSL 路由器上建立 B2B(Branch to Branch,网对网的连接)的 VPN 连接。这两种方法各有利弊,如果实现单个计算机的 VPN 连接,好处是局域网中的计算机建立 VPN连接的时候不会影响其它计算机连接公网,缺点是同时只能有一台计算机建立连接,适合于企业用户,尤其是当企业计算机比较多的时候。而建立
13、 B2B 的 VPN 连接以后,局域网中的计算机都连接 VPN 了,所有的连接都是建立在 VPN 之上的,影响了连接 INTERNET 的速度,因为 VPN 连接以后建立隧道,数据是加密的,所有的连接都要通过 VPN 服务器来转接,适合于经常需要连接外网以及局域网中的计算机比较少的情况。隧道技术简单的说就是:原始报文在 A 地进行封装,到达 B 地后把封装去掉还原成原始报文,这样就形成了一条由 A 到 B 的通信隧道。目前实现隧道技术的有一般路由封装(Generic Routing Encapsulation,GRE)L2TP 和 PPTP。因为在 VPN 隧道中通信能确保通信通道的专用性,并
14、且传输的数据是经过压缩、加密的,所以 VPN 通信同样具有专用网络的通信安全性。整个VPN 通信过程可以简化为以下4个通用步骤:%(1)客户机向 VPN 服务器发出请求;(2)VPN 服务器响应请求并向客户机发出身份质询,客户机将加密的用户身份验证响应信息发送到 VPN 服务器;(3)VPN 服务器根据用户数据库检查该响应,如果账户有效,VPN 服务器将检查该用户是否具有远程访问权限;如果该用户拥有远程访问的权限,VPN 服务器接受此连接;(4)最后 VPN 服务器将在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密,然后通过 VPN 隧道技术进行封装、加密、传输到目的内部网络。
15、3 设计步骤 VPN 的规划 小型企业网的组网顺序,首先是画出一个网络拓扑图,然后是IP 的规划和路由的配置,我们是四个人为一个小组,总的网络拓扑图是由同组同学完成的,然后是另一同学对整个拓扑图的 IP 规划和配置.还有路由的配置,我主要是完成 R_Uni 路由器和 R_Part 路由器之间的搭建与配置。依据同组同学的小型企业网组网方案-拓扑规划及设备选型的拓扑图,如图 3-1 所示:图 31 网络总体拓扑 .按照设计要求所设计出的 VPN 网络拓扑如图 3-2 所示:图 3-2 VPN 网络拓扑图 VPN 的配置步骤 第一步:VPN 技术是一种虚拟专用网技术,但是也是需要在两个路由器的终端,
16、建立物理端口,路由器 R_Uni 的 IP 地址是 子网掩码是,路由器 R_Part 的 IP 地址是 子网掩码是.配置路由器 R_Uni 物理端口 S1/0 和路由器 R_Part 物理端口 S1/0 的 IP 地址,如图 3-3、3-4所示:图 3-3 配置路由器 R_Uni 物理端口 S1/0 图 3-4 配置路由器 R_Part 物理端口 S1/0)第二步:为了网络中 VPN 连接的安全,两个路由器都设置了序号为 10 的密钥管理策略,密钥管理密码都是 1002,认证方式为域共享,R_Uni 路由器可由自己本身的 IP 到 R_Part路由器的 IP,这样就保证了 VPN 连接的安全性
17、,总公司和驻外办事处的联通性。具体配置命令如下:路由器 R_Uni 的配置:crypto isakmp policy 10 VPN 的连通性结果如图 3-5 所示:图 35VPN 连通性测试 驻外办事处 PC(VPCS9)能够 ping 通总公司 PC(VPCS1),说明 VPN 连接正常。;Ping 通后使用命令 show crypto isakmp peers 查看建立的对等体连接。结果如图 36 所示:图 3-6 对等体连接的建立 从图 3-6 可以看出,路由器 R_Uni(IP:)和 R_Part(IP:)已经建立起对等体连接,VPN 的连接是正常的。4 结束语 IPSECVPN 在企
18、业局域网中的成功应用,充分发挥了 VPN 技术的优势,在很大程度上提高了网络的可扩展性和可用性,为我们企业的业务平台,做了有力的保障。但是,拥有良好的硬件和软件环境还远远不够,高质量的日常运维保障仍然是必不可少的。只有将两者有机的结合到一起,才能保证公司信息系统长期、可靠的运行。在 VPN 的配置上,让我们明白不能光从书本中生搬硬套,生搬硬套而来的东西往往有可能不符实际,并且好多参考书为了好叙述问题,往往简化了一些实际当中因该考虑的问题,所以我们还应该结合实际情况,做出具体的改变,通过学习,我们知道引入 Tunnel 口来解决 OSPF 邻居的问题。在这次组网实验中使我认识到很多的不足,以前总
19、觉得网络很单调,那潜台词也就是简单没新意,认为只需要记得那些命令就没问题,可实际在这次组网实验中发现原来根本不是我所想象的那样。虽然命令还是那些命令,但是技术的组合搭配是有要求的,不是随便混乱的组合上去就能配通,有些技术根本就不能同时使用,所以在失败好几次后我才静下心来认真分析和请教网络学的好的同学。不可否认,对于网络知识我确实是学的不好,因为经常在配置的时候会磕磕绊绊遇到很多问题,没有达到那种精通于一门专业做事行云流水的程度。虽然这次实验做的不是非常满意,但还是从中学到好多东西,例如从全局和整体出发来考虑问题,要联系实际情况,将技术、资金和环境统一考虑,不能一味的追求最新的技术最好的设备。最
20、重要的是感受到团队的力量,很幸运我们有一个好组长,一个好的组织者,在整体网络规划和任务分配上起到至关重要的作用!这次组网实验,我们组的人都熬了通宵,很累,但是收获也很大,不过我们一致认为设备数量和人数不协调,时间很短,我们每个人能占用到设备的时间很少,所以我们希望以后能将组网实验的时间拉长,这样我们就有充足的时间来调试和验证。参考文献 1 Martin ,et al.著,孔雷、刘云新译.虚拟私用网络技术M.北京:清华大学出版社,2000.2 Steven Brown 著,董晓宇、魏鸿、马洁等译.构建虚拟专用网M.北京:人民邮电出版社,2000.3 Casey Wilson、Peter Doak
21、 著,钟鸣、魏允韬等译.虚拟专用网的创建与实现M.北京:机械工业出版社,2000.8.4 Alcatel Shanghai Bell Co1,Ltd1 Alcatel 1355 VPNOPTINEXTM Virtual Private Network Manager Z.2002 5 Alcatel Shanghai Bell Co1,Ltd1 The Business Case Behind Deploying Layer 1 Virtual Private Networks Z.2002 附录:VPN 路由器详细配置 R_Unicom:upgrade fpd auto version se
22、rvice timestamps debug datetime msec service timestamps log datetime msec no service password-encryption!hostname R_Unicom!boot-start-marker boot-end-marker!logging message-counter syslog!no aaa new-model ip source-route ip cef!no ip domain lookup ip domain name no ipv6 cef!multilink bundle-name aut
23、henticated!memory-size iomem 0 archive log config hidekeys!crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key 1002 address !crypto ipsec transform-set Tran esp-des !crypto map Map 100 ipsec-isakmp set peer set transform-set Tran match address 111!class-map match-all 1 match
24、access-group 11 class-map match-all 2 match access-group 22 class-map match-all 3 match access-group 33!policy-map FlowControl class 1 bandwidth 2000 class 2 bandwidth 4000 class 3 bandwidth 8000!interface Tunnel0 ip address tunnel source Serial1/0 tunnel destination !interface FastEthernet0/0 ip ad
25、dress ip nat inside ip virtual-reassembly duplex auto speed auto!interface FastEthernet0/1 ip address duplex auto speed auto!interface Serial1/0 ip address ip nat outside ip virtual-reassembly serial restart-delay 0 crypto map Map!interface Serial1/1 no ip address shutdown serial restart-delay 0!int
26、erface Serial1/2 no ip address shutdown serial restart-delay 0 interface Serial1/3 no ip address shutdown serial restart-delay 0!interface Serial1/4 no ip address shutdown serial restart-delay 0 interface Serial1/5 no ip address shutdown serial restart-delay 0!interface Serial1/6 no ip address shutd
27、own serial restart-delay 0 interface Serial1/7 no ip address shutdown serial restart-delay 0 router ospf 1 router-id log-adjacency-changes network area 0 network area 0 ip forward-protocol nd ip route ip route no ip http server no ip http secure-server!ip nat pool Out_pool netmask ip nat inside sour
28、ce list 100 pool Out_pool overload!access-list 11 permit access-list 22 permit access-list 33 permit access-list 100 permit ip any access-list 111 permit gre host host control-plane!mgcp fax t38 ecm!gatekeeper shutdown line con 0 exec-timeout 0 0 privilege level 15 logging synchronous stopbits 1 lin
29、e aux 0 exec-timeout 0 0 privilege level 15 logging synchronous stopbits 1 line vty 0 4 login end R_Part:version service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption!hostname R_Part!boot-start-marker boot-end-marker!no aaa new-model!ip cef no ip
30、domain lookup ip domain name !crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key 1002 address !crypto ipsec transform-set Tran esp-des !crypto map Map 100 ipsec-isakmp set peer set transform-set Tran match address 100!interface Tunnel0 ip address tunnel source Serial1/0 tunn
31、el destination !interface FastEthernet0/0 ip address duplex half!interface Serial1/0 ip address serial restart-delay 0 crypto map Map!interface Serial1/1 no ip address shutdown serial restart-delay 0!interface Serial1/2 no ip address shutdown serial restart-delay 0!interface Serial1/3 no ip address
32、shutdown serial restart-delay 0!interface Serial1/4 no ip address shutdown serial restart-delay 0!interface Serial1/5 no ip address shutdown serial restart-delay 0!interface Serial1/6 no ip address shutdown serial restart-delay 0!interface Serial1/7 no ip address shutdown serial restart-delay 0!rout
33、er ospf 1 router-id log-adjacency-changes network area 0 network area 0!ip forward-protocol nd ip route !no ip http server no ip http secure-server access-list 100 permit gre host host control-plane gatekeeper shutdown!line con 0 exec-timeout 0 0 privilege level 15 logging synchronous stopbits 1 line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous stopbits 1 line vty 0 4 login!end ,