畢業(yè)設(shè)計（論文）-局域網(wǎng)與專線網(wǎng)絡(luò)的互聯(lián)

1、<p><b>　　目 錄</b></p><p>　　第一章 VPN簡介4</p><p>　　第二章 IP SEC VPN的工作原理5</p><p>　　2.1 ESP （ Encapsulating Security Payload ）6</p><p>　　2.2 AH （ Authenti

2、cation Header ）7</p><p>　　2.3 IKE （ Internet Key Exchange ）7</p><p>　　第三章 VPN的特點分析7</p><p>　　3.1 安全保障7</p><p>　　3.2 服務(wù)質(zhì)量保證（QoS）7</p><p>　　3.3可擴充性和靈活性

3、8</p><p>　　3.4 可管理性8</p><p>　　第四章 VPN的的實現(xiàn)技術(shù)8</p><p>　　4.1 隧道技術(shù)8</p><p>　　4.2 加密技術(shù)10</p><p>　　4.3 QoS技術(shù)11</p><p>　　第五章 本例中可能原因分析13</p&

4、gt;<p>　　第六章 對網(wǎng)管的建議13</p><p>　　第七章 VPN典型應(yīng)用分析14</p><p>　　第八章　結(jié) 論17</p><p><b>　　致謝19</b></p><p><b>　　參考文獻20</b></p><p>

5、<b>　　VPN虛擬專用網(wǎng)絡(luò)</b></p><p>　　摘要 VPN，現(xiàn)在有很多連接都被稱作VPN，它的意思是，虛擬專用網(wǎng),它不是真正的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。安全問題是VPN的核心問題。目前，VPN的安全保證主

6、要是通過防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來實現(xiàn)的，可以很大程度上保證企業(yè)員工安全地訪問公司網(wǎng)絡(luò)。本文將介紹了VPN工作原理、特點以及實現(xiàn)技術(shù)的分析。由于VPN直接構(gòu)建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，所以其安全問題比較突出。企業(yè)必須要確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。而要防止信息被窺視，我們可以在自己的路由器上設(shè)置隧道技術(shù)（Tunneling）、加解密技術(shù)（En

7、cryption & Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認證技術(shù)（Authentication）。最后將介紹了VPN的一些典型應(yīng)用。</p><p>　　關(guān)鍵詞： VPN、IP SEC、隧道技術(shù)、加密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認證技術(shù) 、L2TP</p><p>　　Title The business safely m

8、anagement solving schema of IPSEC VPN is analyzed and is explained</p><p>　　Abstract: VPN attends to name to think justice, the fictitious net for special purpose does not be the real network for special pur

9、pose , but can realize the function of the network for special purpose. It is fictitious to claim , denote user need to not possess actual long-distance data line again, and it is to use the long-distance data line of th

10、e Internet data network of the public. It can think that self established one most accords with the network of self demand if the network for special</p><p>　　Keywords: VPN、IP SEC、Tunneling technology、 Encry

11、ption technology、 Key Management technology、user and equipment status authentication technology、L2TP</p><p><b>　　引 言</b></p><p>　　VPN的構(gòu)成的技術(shù)，目前比較成熟，在構(gòu)成VPN的方式上，也有多種方法進行搭配，而VPN的技術(shù)核心是

12、不變的，即通過隧道技術(shù)來完成數(shù)據(jù)的加密，傳輸。為此，我們需要了解什么是VPN？VPN又包括幾種實現(xiàn)方式，組合的變化有什么區(qū)別。</p><p>　　第一章 VPN簡介</p><p>　　其實，虛擬專用網(wǎng)絡(luò)，也就是VPN可以實現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的相互連接。虛擬專用網(wǎng)絡(luò)能夠利用Internet或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提</p><p>

13、　　供與專用網(wǎng)絡(luò)一樣的安全和功能保障。（圖1）</p><p>　　虛擬專用網(wǎng)絡(luò)允許外部人員遠程使用Internet等公共互聯(lián)網(wǎng)絡(luò)的設(shè)施以安全的方式與位于企業(yè)局域網(wǎng)端的企業(yè)服務(wù)器建立連接。虛擬專用網(wǎng)絡(luò)對用戶端是透明的，用戶就等同于使用一條專用線路在客戶計算機和企業(yè)服務(wù)器之間建立點對點連接，進行數(shù)據(jù)的傳輸。</p><p>　　虛擬專用網(wǎng)絡(luò)技術(shù)同樣支持企業(yè)通過Internet等公共互聯(lián)網(wǎng)絡(luò)與

14、分支機構(gòu)或其它公司建立連接，進行安全的通訊。這種跨越Internet建立的VPN連接邏輯上等同于兩地之間使用廣域網(wǎng)建立的連接。</p><p>　　雖然VPN通訊是建立在公共互聯(lián)網(wǎng)絡(luò)的上的，但是我們在使用時感覺如同在使用專用網(wǎng)絡(luò)進行數(shù)據(jù)傳輸通信，所以得名虛擬專用網(wǎng)絡(luò)。</p><p>　　第二章 IP SEC VPN的工作原理</p><p>　　IPSec 的工

15、作原理（如下圖所示）類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴展。當(dāng)接收到一個 IP 數(shù)據(jù)包時，包過濾防火墻使用其頭部在一個規(guī)則表中進行匹配。當(dāng)找到一個相匹配的規(guī)則時，包過濾防火墻就按照該規(guī)則制定的方法對接收到的 IP 數(shù)據(jù)包進行處理。 這里的處理工作只有兩種：一是丟棄，二為轉(zhuǎn)發(fā)。</p><p>　　IPSec 是通過查詢安全策略數(shù)據(jù)庫決定對接收到的 IP 數(shù)據(jù)包的處理的。但是 IPSec也有一點不同

16、于包過濾防火墻，對 IP 數(shù)據(jù)包的處理方法除了丟棄，直接轉(zhuǎn)發(fā)（繞過 IPSec ）外，還有一種，即進行 IPSec 處理。正是這新增添的處理方法提供了比包過濾防火墻更進一步的網(wǎng)絡(luò)安全性。 進行 IPSec 處理意味著對 IP 數(shù)據(jù)包進行加密和認證。包過濾防火墻的作用就是控制來自或去往某個站點的 IP 數(shù)據(jù)包的通過，可以拒絕來自某個外部站點的 IP 數(shù)據(jù)包訪問內(nèi)部某些站點，．也可以拒絕某個內(nèi)部站點方對某些外部網(wǎng)站的訪問。但是包過濾

17、防火墻不能保證自內(nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取，也不能保證進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過篡改。只有在對 IP 數(shù)據(jù)包實施了加密和認證后，才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機密性，真實性，完整性，通過 Internet 進新安全的通信才成為可能。 IPSec 可以加密和認證，同時使用，也是可以分開的。但無論是進行加密還是進行認證， IPSec 都有兩種工作模式，一種是隧道模式，另一種是傳輸模式。 傳輸模式，只對 IP 數(shù)據(jù)包的有效

18、負載進行加密或認證</p><p>　　隧道模式，對整個 IP 數(shù)據(jù)色進行加密或認證。</p><p>　　IPSec 中的三個主要協(xié)議 </p><p>　　IPSec 的主要功能就是加密和認證，為了進行加密和認證 IPSec 還需要有密鑰的管理和交換的功能，以便為加密和認證提供所需要的密鑰并對密鑰的使用進行管理。以上三方面的工作分別由 AH ， ESP 和 IK

19、E 三個協(xié)議規(guī)定。</p><p>　　2.1 ESP （ Encapsulating Security Payload ）</p><p>　　ESP 協(xié)議主要用來處理對 IP 數(shù)據(jù)包的加密，此外對認證也提供某種程度的支持。 ESP 是與具體的加密算法相獨立的，幾乎可以支持各種對稱密鑰加密算法。 ESP 協(xié)議數(shù)據(jù)單元格式三個部分組成，除了頭部、加密數(shù)據(jù)部分外，在實施認證時還包含一

20、個可選尾部。頭部有兩個域：安全策略索引（ SPl ）和序列號（ Sequence number ）。使用 ESP 進行安全通信之前，通信雙方需要先協(xié)商好一組將要采用的加密策略，包括使用的算法、密鑰以及密鑰的有效期等?！鞍踩呗运饕笔褂脕順?biāo)識發(fā)送方是使用哪組加密策略來處理 IP 數(shù)據(jù)包的，當(dāng)接收方看到了這個序號就知道了對收到的 IP 數(shù)據(jù)包應(yīng)該如何處理?！靶蛄刑枴庇脕韰^(qū)分使用同一組加密策略的不同數(shù)據(jù)包。加密數(shù)據(jù)部分除了包含原 IP 數(shù)據(jù)

21、包的有效負載，填充域（用來保證加密數(shù)據(jù)部分滿足塊加密的長度要求）包含其余部分在傳輸時都是加密過的。其中“下一個頭部（ Next Header ）”用來指出有效負載部分使用的協(xié)議，可能是傳輸層協(xié)議（ TCP 或 UDP ），也可能還是 IPSec 協(xié)議（ ESP 或 AH ）。 通常， ESP 可以作為 </p><p>　　2.2 AH （ Authentication Header ）</p&g

22、t;<p>　　AH 只涉及到認證，不涉及到加密。 AH 雖然在功能上和 ESP 有些重復(fù)，但 AH 除了對可以對 IP 的有效負載進行認證外，還可以對 IP 頭部實施認證。主要是處理數(shù)據(jù)對，可以對 IP 頭部進行認證，而 ESP 的認證功能主要是面對 IP 的有效負載。為了提供最基本的功能并保證互操作性， AH 必須包含對 HMAC-SHA 和 HMAC- MD5 （ HMAC 是一種 SHA 和 MD5 都支持的對稱式

23、認證系統(tǒng)）的支持。 AH 既可以單獨使用，也可在隧道模式下，或和 ESP 聯(lián)用。</p><p>　　2.3 IKE （ Internet Key Exchange ）</p><p>　　IKE 協(xié)議主要是對密鑰交換進行管理，它功能有： 對使用的協(xié)議、加密算法和密鑰進行協(xié)商。 方便的密鑰交換機制（這可能需要周期性的進行）。 跟蹤對以上這些約定的實施。 </p><p

24、>　　第三章 VPN的特點分析</p><p><b>　　3.1 安全保障 </b></p><p>　　雖然實現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN都應(yīng)該保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。在公用IP網(wǎng)絡(luò)上建立一個點對點的連接，稱之為建立一個隧道，可以利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)

25、的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。</p><p>　　3.2 服務(wù)質(zhì)量保證（QoS） </p><p>　　VPN網(wǎng)為企業(yè)數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證。也就是說，需要不同，提供的服務(wù)也不同。如移動辦公用戶，提供

26、廣泛的連接和覆蓋性是保證VPN服務(wù)的一個主要因素；而對于擁有眾多分支機構(gòu)的專線VPN網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對于其它應(yīng)用（如視頻等）則對網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網(wǎng)絡(luò)阻塞

27、，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實時性要求高的數(shù)據(jù)得不到及時發(fā)送；而在流量低谷時又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。 </p><p>　　3.3可擴充性和靈活性 </p><p>　　VPN必須能夠支持通過Intranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，

28、可以滿足同時傳輸語音、圖像和數(shù)據(jù)等對服務(wù)質(zhì)量要求很高的服務(wù)。</p><p><b>　　3.4 可管理性 </b></p><p>　　可方便地進行管理、維護。在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個完善的VP

29、N管理系統(tǒng)是必不可少的。事實上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。</p><p>　　第四章 VPN的的實現(xiàn)技術(shù)</p><p>　　VPN實現(xiàn)的兩個關(guān)鍵技術(shù)是隧道技術(shù)和加密技術(shù)，同時QoS技術(shù)對VPN的實現(xiàn)也至關(guān)重要。</p><p><b>　　4.1 隧道技術(shù)</b></p>

30、;<p>　　隧道技術(shù)簡單的說就是：原始報文在A地進行封裝，到達B地后把封裝去掉還原成原始報文，這樣就形成了一條由A到B的通信隧道。目前實現(xiàn)隧道技術(shù)的有一般路由封裝 GREL，L2TP和PPTP。</p><p><b>　　GRE </b></p><p>　　GRE主要用于源路由和終路由之間所形成的隧道。例如，將通過隧道的報文用一個新的

31、報文頭（GRE報文頭）進行封裝然后帶著隧道終點地址放入隧道中。當(dāng)報文到達隧道終點時，GRE報文頭被剝掉，繼續(xù)原始報文的目標(biāo)地址進行尋址。 GRE隧道通常是點到點的，即隧道只有一個源地址和一個終地址。</p><p>　　GRE隧道用來建立VPN有很大的吸引力。從體系結(jié)構(gòu)的觀點來看，VPN就象是通過普通主機網(wǎng)絡(luò)的隧道集合。普通主機網(wǎng)絡(luò)的每個點都可利用其地址以及路由所形成的物理連接，配置成一個或多個隧道。在GRE隧道

32、技術(shù)中入口地址用的是普通主機網(wǎng)絡(luò)的地址空間，而在隧道中流動的原始報文用的是VPN的地址空間，這樣反過來就要求隧道的終點應(yīng)該配置成VPN與普通主機網(wǎng)絡(luò)之間的交界點。這種方法的好處是使VPN的路由信息從普通主機網(wǎng)絡(luò)的路由信息中隔離出來，多個VPN可以重復(fù)利用同一個地址空間而沒有沖突，這使得VPN從主機網(wǎng)絡(luò)中獨立出來。從而滿足了VPN的關(guān)鍵要求：可以不使用全局唯一的地址空間。隧道也能封裝數(shù)量眾多的協(xié)議族，減少實現(xiàn)VPN功能函數(shù)的數(shù)量。還有，對

33、許多VPN所支持的體系結(jié)構(gòu)來說，用同一種格式來支持多種協(xié)議同時又保留協(xié)議的功能，這是非常重要的。IP路由過濾的主機網(wǎng)絡(luò)不能提供這種服務(wù)，而只有隧道技術(shù)才能把VPN私有協(xié)議從主機網(wǎng)絡(luò)中隔離開來?；谒淼兰夹g(shù)的VPN實現(xiàn)的另一特點是對主機網(wǎng)絡(luò)環(huán)境和VPN路由環(huán)境進行隔離。對VPN而言主機網(wǎng)絡(luò)可看成點到點的電路集合，VPN能夠用其路由協(xié)議穿過符合VPN管理要求的虛擬網(wǎng)</p><p>　　雖然GRE隧道技術(shù)有很多優(yōu)點，

34、但用其技術(shù)作為VPN機制也有缺點，例如管理費用高、隧道的規(guī)模數(shù)量大等。因為GRE是由手工配置的，所以配置和維護隧道所需的費用和隧道的數(shù)量是直接相關(guān)的——每次隧道的終點改變，隧道要重新配置。隧道也可自動配置，但有缺點，如不能考慮相關(guān)路由信息、性能問題以及容易形成回路問題。一旦形成回路，會極大惡化路由的效率。除此之外，通信分類機制是通過一個好的粒度級別來識別通信類型。如果通信分類過程是通過識別報文（進入隧道前的）進行的話，就會影響路由發(fā)送速

35、率的能力及服務(wù)性能。</p><p>　　GRE隧道技術(shù)是用在路由器中的，可以滿足Extranet VPN以及Intranet VPN的需求。但是在遠程訪問VPN中，多數(shù)用戶是采用撥號上網(wǎng)。這時可以通過L2TP和PPTP來加以解決。</p><p><b>　　L2TP和PPTP</b></p><p>　　L2TP是L2F（Layer 2 F

36、orwarding）和PPTP的結(jié)合。但是由于PC機的桌面操作系統(tǒng)包含著PPTP，因此PPTP仍比較流行。隧道的建立有兩種方式即：“用戶初始化”隧道和“NAS初始化”（Network Access Server）隧道。前者一般指“主動”隧道，后者指“強制”隧道?！爸鲃印彼淼朗怯脩魹槟撤N特定目的的請求建立的，而“強制”隧道則是在沒有任何來自用戶的動作以及選擇的情況下建立的。</p><p>　　L2TP作為“強制”

37、隧道模型是讓撥號用戶與網(wǎng)絡(luò)中的另一點建立連接的重要機制。建立過程如下：①用戶通過Modem與NAS建立連接；②用戶通過NAS的L2TP接入服務(wù)器身份認證；③在政策配置文件或NAS與政策服務(wù)器進行協(xié)商的基礎(chǔ)上，NAS和L2TP接入服務(wù)器動態(tài)地建立一條L2TP隧道；④用戶與L2TP接入服務(wù)器之間建立一條點到點協(xié)議（Point to Point Protocol，PPP）訪問服務(wù)隧道；⑤用戶通過該隧道獲得VPN服務(wù)。</p>&

38、lt;p>　　與之相反的是，PPTP作為“主動”隧道模型允許終端系統(tǒng)進行配置，與任意位置的PPTP服務(wù)器建立一條不連續(xù)的、點到點的隧道。并且，PPTP協(xié)商和隧道建立過程都沒有中間媒介NAS的參與。NAS的作用只是提供網(wǎng)絡(luò)服務(wù)。PPTP建立過程如下：①用戶通過串口以撥號IP訪問的方式與NAS建立連接取得網(wǎng)絡(luò)服務(wù)；②用戶通過路由信息定位PPTP接入服務(wù)器；③用戶形成一個PPTP虛擬接口；④用戶通過該接口與PPTP接入服務(wù)器協(xié)商、認證建

39、立一條PPP訪問服務(wù)隧道；⑤用戶通過該隧道獲得VPN服務(wù)。</p><p>　　在L2TP中，用戶感覺不到NAS的存在，仿佛與PPTP接入服務(wù)器直接建立連接。而在PPTP中，PPTP隧道對NAS是透明的；NAS不需要知道PPTP接入服務(wù)器的存在，只是簡單地把PPTP流量作為普通IP流量處理。</p><p>　　采用L2TP還是PPTP實現(xiàn)VPN取決于要把控制權(quán)放在NAS還是用戶手中。L2

40、TP比PPTP更安全，因為L2TP接入服務(wù)器能夠確定用戶從哪里來的。L2TP主要用于比較集中的、固定的VPN用戶，而PPTP比較適合移動的用戶。</p><p><b>　　4.2 加密技術(shù) </b></p><p>　　數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非受權(quán)者不能了解被保護信息的內(nèi)容。加密算法有用于Windows95的RC4、用

41、于IPSec的DES和三次DES。RC4雖然強度比較弱，但是保護免于非專業(yè)人士的攻擊已經(jīng)足夠了；DES和三次DES強度比較高，可用于敏感的商業(yè)信息。</p><p>　　加密技術(shù)可以在協(xié)議棧的任意層進行；可以對數(shù)據(jù)或報文頭進行加密。在網(wǎng)絡(luò)層中的加密標(biāo)準(zhǔn)是IPSec。網(wǎng)絡(luò)層加密實現(xiàn)的最安全方法是在主機的端到端進行。另一個選擇是“隧道模式”：加密只在路由器中進行，而終端與第一跳路由之間不加密。這種方法不太安全，因為數(shù)

42、據(jù)從終端系統(tǒng)到第一條路由時可能被截取而危及數(shù)據(jù)安全。終端到終端的加密方案中，VPN安全粒度達到個人終端系統(tǒng)的標(biāo)準(zhǔn)；而“隧道模式”方案，VPN安全粒度只達到子網(wǎng)標(biāo)準(zhǔn)。在鏈路層中，目前還沒有統(tǒng)一的加密標(biāo)準(zhǔn)，因此所有鏈路層加密方案基本上是生產(chǎn)廠家自己設(shè)計的，需要特別的加密硬件。</p><p><b>　　4.3 QoS技術(shù)</b></p><p>　　通過隧道技術(shù)和加密技

43、術(shù)，已經(jīng)能夠建立起一個具有安全性、互操作性的VPN。但是這樣的VPN性能上并不穩(wěn)定，管理上也不能完全滿足利用業(yè)的要求，所以加入了QoS技術(shù)。實行QoS應(yīng)該在主機網(wǎng)絡(luò)中，即VPN所建立的隧道這一段，這樣才能建立一條性能符合用戶要求的隧道。</p><p>　　不同的應(yīng)用對網(wǎng)絡(luò)通信有不同的要求，這些要求可用如下參數(shù)總結(jié)：</p><p>　　·帶寬：網(wǎng)絡(luò)提供給用戶的傳輸率</p

44、><p>　　·反應(yīng)時間：用戶所能容忍的數(shù)據(jù)報傳遞延時；</p><p>　　·抖動：延時的變化；</p><p>　　·丟失率：數(shù)據(jù)包丟失的比率。</p><p>　　網(wǎng)絡(luò)資源是有限的，有時用戶要求的網(wǎng)絡(luò)資源得不到滿足、通過QoS機制對用戶的網(wǎng)絡(luò)資源分配進行控制以滿足應(yīng)用的需求。QoS機制具有通信處理機制以及供應(yīng)和

45、配置機制。通信處理機制包括802.1p、區(qū)分服務(wù)、綜合服務(wù)等等?，F(xiàn)在大多數(shù)局域網(wǎng)是基于IEEE802技術(shù)的，如以太網(wǎng)、令牌環(huán)、FDDI等，802.1p為這些局域網(wǎng)提供了一種支持QoS的機制。802.1p對鏈路層的802報文定義了一個可表達8種優(yōu)先級的字段。802.1p優(yōu)先級只在局域網(wǎng)中有效，一旦出了局域網(wǎng)，通過第三層設(shè)備時就被移走。DiffServ則是第三層的QoS機制，它在IP報文中定義了一個字段用作服務(wù)類型和優(yōu)先級，路由器通過它對報

46、文進行排隊和調(diào)度。與802.1p、DiffServ不同的是，IntServ是一種服務(wù)框架，目前有兩種：保證服務(wù)和控制負載服務(wù)。保證服務(wù)許諾在保證的延時下傳輸一定的通信量；控制負載服務(wù)則同意在網(wǎng)絡(luò)輕負載的情況下傳輸一定的通信量。典型地，IntServ與資源預(yù)留協(xié)議（Resource reservation Protocol，RSVP）相關(guān)。IntServ服務(wù)定義了允許進入的控制算法，決定多少通信量被允許進入網(wǎng)絡(luò)</p>&l

47、t;p>　　供應(yīng)和配置機制包括RSVP、子網(wǎng)帶寬管理（subnet bandwidth manager，SBM）、政策機制和協(xié)議以及管理工具和協(xié)議。這里供應(yīng)機制指的是比較靜態(tài)的、比較長期的管理任務(wù)，如：網(wǎng)絡(luò)設(shè)備的選擇、網(wǎng)絡(luò)設(shè)備的更新、接口添加刪除、拓撲結(jié)構(gòu)的改變等等。而配置機制指的是比較動態(tài)、比較短期的管理任務(wù)，如：流量處理的參數(shù)。</p><p>　　RSVP是第三層協(xié)議，它獨立于各種的網(wǎng)絡(luò)媒介。因此，R

48、SVP往往被認為介于應(yīng)用層（或操作系統(tǒng)）與特定網(wǎng)絡(luò)媒介QoS機制之間的一個抽象層。RSVP有兩個重要的消息：PATH消息，從發(fā)送者到接收者；RESV消息，從接收者到始發(fā)者。 RSVP消息包含如下信息：①網(wǎng)絡(luò)如何識別一個會話流（分類信息）；②描述會話流的定量參數(shù)（如數(shù)據(jù)率）；③要求網(wǎng)絡(luò)為會話流提供的服務(wù)類型；④政策信息（如用戶標(biāo)識）。RSVP的工作流程如下：</p><p>　　會話發(fā)送者首先發(fā)送PATH消息，沿途

49、的設(shè)備若支持RSVP則進行處理，否則繼續(xù)發(fā)送；</p><p>　　設(shè)備若能滿足資源要求，并且符合本地管理政策的話，則進行資源分配，PATH消息繼續(xù)發(fā)送，否則向發(fā)送者發(fā)送拒絕消息；</p><p>　　會話接收者若對發(fā)送者要求的會話流認同，則發(fā)送RESV消息，否則發(fā)送拒絕消息。</p><p>　　當(dāng)發(fā)送者收到RESV消息時，表示可以進行會話，否則表示失敗。<

50、/p><p>　　SBM是對RSVP功能的加強，擴大了對共享網(wǎng)絡(luò)的利用。在共享子網(wǎng)或LAN中包含大量交換機和網(wǎng)絡(luò)集線器，因此標(biāo)準(zhǔn)的RSVP對資源不能充分利用。支持RSVP的主機和路由器同意或拒絕會話流，是基于它們個人有效的資源而不是基于全局有效的共享資源。結(jié)果，共享子網(wǎng)的RSVP請求導(dǎo)致局部資源的負載過重。SBM可以解決這個問題：協(xié)調(diào)智能設(shè)備。包括：具有SBM能力的主機、路由器以及交換機。這些設(shè)備自動運行一選舉協(xié)議，

51、選出最合適的設(shè)備作為DSBM（designated SBM）。當(dāng)交換機參與選舉時，它們會根據(jù)第二層的拓撲結(jié)構(gòu)對子網(wǎng)進行分割。主機和路由器發(fā)現(xiàn)最近的DSBM并把RSVP消息發(fā)送給它。然后，DSBM查看所有消息來影響資源的分配并提供允許進入控制機制。</p><p>　　網(wǎng)絡(luò)管理員基于一定的政策進行QoS機制配置。政策組成部分包括：政策數(shù)據(jù)，如用戶名；有權(quán)使用的網(wǎng)絡(luò)資源；政策決定點（policy decsion po

52、int，PDP）；政策加強點（policy enforcement point，PEP）以及它們之間的協(xié)議。傳統(tǒng)的由上而下（TopDown）的政策協(xié)議包括簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol，SNMP）、命令行接口（Command Line Interface，CLI）、命令開放協(xié)議服務(wù)（Command Open Protocol Services，COPS）等。這些QoS機制相互作用使

53、網(wǎng)絡(luò)資源得到最大化利用，同時又向用戶提供了一個性能良好的網(wǎng)絡(luò)服務(wù)。</p><p>　　第五章 本例中可能原因分析</p><p>　　在VPN中，PPP數(shù)據(jù)包流是由一個LAN上的路由器發(fā)出，通過共享IP網(wǎng)絡(luò)上的隧道進行傳輸，再到達另一個LAN上的路由器。由于廣域網(wǎng)采用公網(wǎng)傳輸數(shù)據(jù)，因而在廣域網(wǎng)上進行傳輸時信息也可能會被不法分子截取。如分支機構(gòu)從異地上發(fā)一個信息到總部時，這</p&g

54、t;<p>　　個信息包就有可能被人截取和利用。如果沒有專門的軟件對數(shù)據(jù)進行控制，所有的廣域網(wǎng)通信都將不受限制地進行傳輸， 因此任何一個對通信進行監(jiān)測的人都可以對通信數(shù)據(jù)進行截取。如果從一個聯(lián)網(wǎng)的UNIX工作站上使用"跟蹤路由"命令的話，就可以看見數(shù)據(jù)從客戶機傳送到服務(wù)器要經(jīng)過多少種不同的節(jié)點和系統(tǒng)，所有這些都被認為是最容易受到黑客攻擊的目標(biāo)。一般地，一個監(jiān)聽攻擊只需通過在傳輸數(shù)據(jù)的末尾獲取IP包的信息

55、即可以完成。 這種辦法并不需要特別的物理訪問。如果對網(wǎng)絡(luò)用線具有直接的物理訪問的話，還可以使用網(wǎng)絡(luò)診斷軟件來進行竊聽。黑客為了侵入員工的家用計算機，需要探測IP地址。有統(tǒng)計表明，使用撥號連接的IP地址幾乎每天都受到黑客的掃描。因此，如果在家辦公人員具有一條諸如DSL的不間斷連接鏈路（通常這種連接具有一個固定的IP地址），會使黑客的入侵更為容易。因為，撥號連接在每次接入時都被分配不同的IP地址，雖然它也能被侵入，但相對要困難一些。一旦黑客

56、侵入了家庭計算機，他便能夠遠程運行員工的VPN客戶端軟件。</p><p>　　第六章 對網(wǎng)管的建議</p><p>　　一直以來，安全問題是VPN的核心問題。目前，VPN的安全保證主要是通過防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來實現(xiàn)的，可以保證企業(yè)員工安全地訪問公司網(wǎng)絡(luò)。 對于從外部撥號訪問總部內(nèi)部局域網(wǎng)的用戶，由于使用公用電話網(wǎng)進行數(shù)據(jù)傳輸所帶來的風(fēng)險，必須嚴格控制其安全

57、性。首先，應(yīng)嚴格限制撥號上網(wǎng)用戶所能訪問的系統(tǒng)信息和資源，這一功能可通過在撥號訪問服務(wù)器后設(shè)置的Gauntlet防火墻來實現(xiàn)。其次，應(yīng)加強對撥號用戶的身份驗證功能，使用TACACS、RADIUS等專用身份驗證協(xié)議和服務(wù)器。一方面,可以實現(xiàn)對撥號用戶帳號的統(tǒng)一管理；另一方面，在身份驗證過程中采用PGP加密手段，避免用戶口令泄密的可能性.第三，在數(shù)據(jù)傳輸過程中采用加密技術(shù)，防止數(shù)據(jù)被非法竊取。一種方法是使用PGP for Business

58、Security， 對數(shù)據(jù)直接加密。另一種方法是采用Gauntlet防火墻所提供的VPN（虛擬專網(wǎng)）技術(shù)。VPN在提供網(wǎng)間數(shù)據(jù)加密的同時， 也提供了針對單機用戶的加密客戶端軟件，即采用軟件加密的技術(shù)來保證數(shù)據(jù)傳輸?shù)陌踩?最后，必須有相應(yīng)的解決方案堵住遠程訪問VPN的安全漏洞，使員工與網(wǎng)絡(luò)</p><p>　　第七章 VPN典型應(yīng)用分析</p><p>　　VPN利用中，高度集成的、全面的

59、信息傳輸安全解決方案</p><p>　　天融信VPN解決方案</p><p>　　天融信VPN解決方案向客戶提供了一套縱向從總部到分支機構(gòu)到移動辦公用戶、橫向從用戶本身到合作伙伴之間；對外廣域網(wǎng)之間，對內(nèi)局域網(wǎng)之間完整的信息傳輸安全解決方案。不僅僅可解決固定邊界之間的信息傳輸安全，還能夠解決固定邊界和終端用戶之間、終端用戶與終端用戶之間的信息安全傳輸。是真正能夠同時實現(xiàn)外網(wǎng)和內(nèi)網(wǎng)安全的端

60、到端安全解決方案。</p><p>　　天融信VPN解決方案應(yīng)用模式</p><p>　　1. 固定邊界和固定邊界之間，如網(wǎng)關(guān)－網(wǎng)關(guān)；</p><p>　　2. 固定邊界和移動終端用戶之間，如網(wǎng)關(guān)－移動客戶端；</p><p>　　3. 終端用戶和終端用戶之間，內(nèi)部客戶端－內(nèi)部客戶端；</p><p>　　4. 內(nèi)部客

61、戶端－外部移動客戶端。</p><p>　　天融信VPN解決方案充分發(fā)揮了用戶網(wǎng)絡(luò)的資源優(yōu)勢，滿足用戶多方面的應(yīng)用模式，全面實現(xiàn)了用戶網(wǎng)絡(luò)應(yīng)用從內(nèi)到外的安全。是目前業(yè)界唯一高度集成的，真正端到端的信息傳輸安全解決方案。</p><p>　　天融信VPN解決方案典型應(yīng)用 </p><p>　　上圖是一個典型的使用VPN的網(wǎng)絡(luò)架構(gòu)圖，在中心網(wǎng)絡(luò)中，部署SJW11網(wǎng)關(guān)VP

62、N設(shè)備，保護中心網(wǎng)絡(luò)與廣域網(wǎng)伙伴之間安全信息傳輸。在中心內(nèi)部局域網(wǎng)，部署VRC到桌面用戶，實現(xiàn)中心局域網(wǎng)內(nèi)網(wǎng)用戶之間和內(nèi)網(wǎng)桌面用戶和廣域網(wǎng)之間信息交換的安全；在中心局域網(wǎng)，同時部署SCM以建立一個管理中心,對全網(wǎng)的VPN節(jié)點進行管理和監(jiān)控。 </p><p>　　在分支機構(gòu)和合作伙伴，同樣使用SJW11網(wǎng)關(guān)VPN設(shè)備，實現(xiàn)與總部安全通信的同時，保證大數(shù)據(jù)量的通訊效率。而在移動客戶端(客戶端4)和網(wǎng)絡(luò)內(nèi)部的客戶端（

63、客戶端1－3），使用VRC直接安裝在客戶端。 </p><p>　　這樣就構(gòu)建了一套完整的信息傳輸安全保障體系，既實現(xiàn)了固定邊界和固定邊界（總部和分機機構(gòu)、合作伙伴網(wǎng)絡(luò)之間）之間，又實現(xiàn)了客戶端與網(wǎng)關(guān)（如客戶端1－4和總部網(wǎng)關(guān)），客戶端和客戶端（如，客戶端1－2，2－3）之間的安全連接。同時還可以實現(xiàn)局域網(wǎng)內(nèi)部的信息安全保護（如客戶端1-客戶端5）。天融信VPN解決方案特點 :</p><

64、p>　　一.高度集成模塊化、易于擴展1. 可向網(wǎng)關(guān)、服務(wù)器和客戶端實施安全保護;2. 可靈活的向多個點和分支機構(gòu)網(wǎng)絡(luò)和客戶端擴展;3. 可靈活集成在TOPSEC解決方案中實現(xiàn)與防火墻、IDS等聯(lián)動工作，使對網(wǎng) </p><p>　　二.高度安全可靠1. 提供從內(nèi)部局域網(wǎng)到外部廣域網(wǎng)全面的防護，滿足多類型應(yīng)用的安全需求;2. 和其他安全產(chǎn)品的有效集成，使網(wǎng)絡(luò)更加安全可靠。 </p>&

65、lt;p>　　三.易于管理、管理安全</p><p>　　1. 可同時管理很多網(wǎng)絡(luò)，簡化管理的復(fù)雜性;2. 管理界面清晰、簡潔;3. 多種級別管理方式、管理信息的傳輸全部加密。 </p><p>　　高度有效集成，不影響網(wǎng)絡(luò)使用 </p><p>　　降低成本，提高效益 </p><p><b>　　第八章　結(jié) 論&l

66、t;/b></p><p>　　通過Internet實現(xiàn)遠程用戶訪問，虛擬專用網(wǎng)絡(luò)支持以安全的方式通過公共互聯(lián)網(wǎng)絡(luò)遠程訪問企業(yè)資源。 </p><p>　　與使用專線撥打長途或（1-800）電話連接企業(yè)的網(wǎng)絡(luò)接入服務(wù)器（NAS）不同，虛擬專用網(wǎng)絡(luò)用戶首先撥通本地ISP的NAS，然后VPN軟件利用與本地ISP建立的連接在撥號用戶和企業(yè)VPN服務(wù)器之間創(chuàng)建一個跨越Internet或其它公

67、共互聯(lián)網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)。</p><p>　　通過Internet實現(xiàn)網(wǎng)絡(luò)互連</p><p>　　可以采用以下兩種方式使用VPN連接遠程局域網(wǎng)絡(luò)。1.使用專線連接分支機構(gòu)和企業(yè)局域網(wǎng)?！　〔恍枰褂脙r格昂貴的長距離專用電路，分支機構(gòu)和企業(yè)端路由器可以使用各自本地的專用線路通過本地的ISP連通Internet。VPN軟件使用與當(dāng)本地ISP建立的連接和Internet網(wǎng)絡(luò)在分支機構(gòu)和企

68、業(yè)端路由器之間創(chuàng)建一個虛擬專用網(wǎng)絡(luò)。2.使用撥號線路連接分支機構(gòu)和企業(yè)局域網(wǎng)?！　〔煌趥鹘y(tǒng)的使用連接分支機構(gòu)路由器的專線撥打長途或（1-800）電話連接企業(yè)NAS的方式，分支機構(gòu)端的路由器可以通過撥號方式連接本地ISP。VPN軟件使用與本地ISP建立起的連接在分支機構(gòu)和企業(yè)端路由器之間創(chuàng)建一個跨越Internet的虛擬專用網(wǎng)絡(luò)?！　?yīng)當(dāng)注意在以上兩種方式中，是通過使用本地設(shè)備在分支機構(gòu)和企業(yè)部門與Internet之間建立連接

69、。無論是在客戶端還是服務(wù)器端都是通過撥打本地接入電話建立連接，因此VPN可以大大節(jié)省連接的費用。建議作為VPN服務(wù)器的企業(yè)端路由器使用專線連接本地ISP。VPN服務(wù)器必須一天24小時對VPN數(shù)據(jù)流進行監(jiān)聽。</p><p>　　連接企業(yè)內(nèi)部網(wǎng)絡(luò)計算機　　在企業(yè)的內(nèi)部網(wǎng)絡(luò)中，考慮到一些部門可能存儲有重要數(shù)據(jù)，為確保數(shù)據(jù)的安全性，傳統(tǒng)的方式只能是把這些部門同整個企業(yè)網(wǎng)絡(luò)斷開形成孤立的小網(wǎng)絡(luò)。這樣做雖然保護了部門的

70、重要信息，但是由于物理上的中斷，使其他部門的用戶無法，造成通訊上的困難?！　〔捎肰PN方案，通過使用一臺VPN服務(wù)器既能夠?qū)崿F(xiàn)與整個企業(yè)網(wǎng)絡(luò)的連接，又可以保證保密數(shù)據(jù)的安全性。路由器雖然也能夠?qū)崿F(xiàn)網(wǎng)絡(luò)之間的互聯(lián)，但是并不能對流向敏感網(wǎng)絡(luò)的數(shù)據(jù)進行限制。使用VPN服務(wù)器，但是企業(yè)網(wǎng)絡(luò)管理人員通過使用VPN服務(wù)器，指定只有符合特定身份要求的用戶才能連接VPN服務(wù)器獲得訪問敏感信息的權(quán)利。此外，可以對所有VPN數(shù)據(jù)進行加密，從而確保數(shù)據(jù)的

71、安全性。沒有訪問權(quán)利的用戶無法看到部門的局域網(wǎng)絡(luò)。</p><p><b>　　致謝</b></p><p>　　感謝錢李老師利用休息時間指導(dǎo)，修改論文，并提供相關(guān)書籍參考。</p><p>　　感謝康博南京培訓(xùn)部提供HCSE關(guān)于VPN概述書籍參考。</p><p>　　感謝雅哈IT社區(qū) www.wowomi.com 提

72、供論證實驗基礎(chǔ)。</p><p><b>　　參考文獻</b></p><p>　　[1] 謝希仁編著，《 計算機網(wǎng)絡(luò)》電子工業(yè)出版社，2002[2]《CISCO安全虛擬專用網(wǎng)絡(luò)》 人民郵電出版社，2002[3] 戴宗坤等編著,《VPN與網(wǎng)絡(luò)安全》電子工業(yè)出版社,2002[4]《實現(xiàn)CISCO VPN實踐指南》 云舟工作室,機械工業(yè)出版社,2001[5] 朱艷

73、琴等編著,《計算機組網(wǎng)技術(shù)教程》北京希望電子出版社,2002[6] 陳文云等編著,《網(wǎng)絡(luò)通信軟件設(shè)計原理及應(yīng)用》西安交通大學(xué)出版社,2000[7] 李春江等譯,《組網(wǎng)用網(wǎng):網(wǎng)絡(luò)運營保障技術(shù)》電子工業(yè)出版社,2001[8] 謝希仁編著，《計算機組網(wǎng)技術(shù)教程》電子工業(yè)出版社，2002[9] 張云飛等編著,《網(wǎng)絡(luò)與信息安全管理》人民郵電出版社,2002[10]云舟工作室, 《虛擬專用網(wǎng)VPN基礎(chǔ)教程》機械工業(yè)出版社,2001[11