VPN毕业设计（论文）word格式.doc

资源描述

《VPN毕业设计（论文）word格式.doc》由会员分享，可在线阅读，更多相关《VPN毕业设计（论文）word格式.doc（35页珍藏版）》请在三一文库上搜索。

1、I 毕业设计（论文）诚信声明书毕业设计（论文）诚信声明书本人郑重声明：在毕业设计（论文）工作中严格遵守学校有关规定，恪守学术规范；我所提交的毕业设计（论文）是本人在指导教师的指导下独立研究、撰写的成果，设计（论文）中所引用他人的文字、研究成果，均已在设计（论文）中加以说明；在本人的毕业设计（论文）中未剽窃、抄袭他人的学术观点、思想和成果，未篡改实验数据。本设计（论文）和资料若有不实之处，本人愿承担一切相关责任。学生签名：年月日 II 摘要本文首先介绍了 VPN 的定义和研究意义，接着介绍了实现 VPN 的关键技术（包括隧道技术,加解密认证技术，密钥管理技术，访问控制

2、技术）以及实现 VPN 的主要安全协议，PPTP/ L2TP 协议、IPSec 协议，为 VPN 组网提供了理论指导。最后通过构建中小企业的虚拟专用网，全面介绍了在 Windows server 2003 ISA 2004 环境下站点到站点和站点到客户端的 VPN 的配置，为企业的 VPN 构建提供参考和借鉴。关键词：隧道，L2TP ，PPTP ，IPSec III Abstract This paper first introduces the definition of VPN and its study implications. And then introduces the

3、key technologies for implementing a VPN which includes the Tunnel technology and its main secure protocols, PPTP/L2TP protocol, IPSEC protocol, SOCKSv5 protocol, All these technologies provide the theoretical bases for building a VPN network. Finally, by constructing an enterprise virtual private ne

4、twork, I introduced the configuration of site to site and site to client VPN under the Windows server 2003 ISA 2004 environment, it provides the referential guideline to the VPN construction in enterprises. Key words: Tunnel, L2TP, PPTP, IPSec IV 目录目录 1绪论1 1.1 VPN 的定义1 1.2 VPN 的工作原理1 1.3 VPN 的研究背景和意

5、义2 2VPN 的应用领域和设计目标.4 2.1 VPN 的主要应用领域4 2.2 VPN 的设计目标5 3实现 VPN 的关键技术和主要协议7 3.1 实现 VPN 的关键技术.7 3.2 VPN 的主要安全协议9 3.2.1 PPTP/L2TP9 3.2.2 IPSec 协议.10 4实例分析12 4.1 需求分析.12 4.2 方案达到的目的.13 4.3 VPN 组建方案网络拓扑图14 5各部分 VPN 设备的配置15 5.1 公司总部到分支机构的 ISA VPN 配置15 5.1.1 总部 ISA VPN 配置.17 5.1.2 支部 ISA VPN 配置20 5.1.3 VPN 连

6、接.22 5.1.4 连接测试23 5.2 公司总部站点到移动用户端的 VPN 配置.24 5.2.1 总部 ISA VPN 配置.25 5.2.2 移动用户端 VPN 配置27 V 5.2.3 连接测试27 致谢.29 参考文献.30 1 1绪论 1.1 VPN 的定义 VPN（ Virtual Private Network）被定义为通过一个公共网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公共网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网络建立可信的安全连接，并保证数据的安全传输。通

7、过将数据流转移到低成本的网络上，一个企业的虚拟专用网解决方案也将大幅度的减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 1.2 VPN 的工作原理把因特网用作专用广域网，就要克服两个主要障碍。首先，网络经常使用多种

8、协议如 IPX 和 NetBEUI 进行通信，但因特网只能处理 IP 流量。所以，VPN 就需要提供一种方法，将非 IP 的协议从一个网络传送到另一个网络。其次，网上传输的数据包以明文格式传输，因而，只要看得到因特网的流量，就能读取包内所含的数据。如果公司希望利用因特网传输重要的商业机密信息，这显然是一个问题。VPN 克服这些障碍的办法就是采用了隧道技术：数据包不是公开在网上传输，而是首先进行加密以确保安全，然后由 VPN 封装成 IP 包的形式，通过隧道在网上传输，如图 1-1 所示： 2 图 1-1 VPN 工作原理图源网络的 VPN 隧道发起器与目标网络上的 VPN 隧道发

9、起器进行通信。两者就加密方案达成一致，然后隧道发起器对包进行加密，确保安全（为了加强安全，应采用验证过程，以确保连接用户拥有进入目标网络的相应的权限。大多数现有的 VPN 产品支持多种验证方式）。最后，VPN 发起器将整个加密包封装成 IP 包。现在不管原先传输的是何种协议，它都能在纯 IP 因特网上传输。又因为包进行了加密，所以谁也无法读取原始数据。在目标网络这头，VPN 隧道终结器收到包后去掉 IP 信息，然后根据达成一致的加密方案对包进行解密，将随后获得的包发给远程接入服务器或本地路由器，他们在把隐藏的 IPX 包发到网络，最终发往相应目的地。 1.3 VPN 的研究背景

10、和意义随着网络，尤其是网络经济的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸现传统企业网的功能缺陷：传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下，VPN 以其独具特色的优势赢得了越 3 来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，而更多地致力于企业的商业目标的实现。虽然 VPN 在理解和应用方面都是高度复杂的技术，甚至确定其是否适用于本公司也一件复杂的事件，但在大多数情

11、况下 VPN 的各种实现方法都可以应用于每个公司。即使不需要使用加密数据，也可节省开支。因此，在未来几年里，客户和厂商很可能会使用 VPN，从而使电子商务重又获得生机，毕竟全球化、信息化、电子化是大势所趋。 4 2VPN 的应用领域和设计目标 2.1 VPN 的主要应用领域利用 VPN 技术几乎可以解决所有利用公共通信网络进行通信的虚拟专用网络连接的问题。归纳起来，有以下几种主要应用领域。（1）远程访问远程移动用户通过 VPN 技术可以在任何时间、任何地点采用拨号、ISDN、DSL、移动 IP 和电缆技术与公司总部、公司内联网的 VPN 设备建立起隧道或密道信，实现访问连接，此

12、时的远程用户终端设备上必须加装相应的 VPN 软件。推而广之，远程用户可与任何一台主机或网络在相同策略下利用公共通信网络设施实现远程 VPN 访问。这种应用类型也叫 Access VPN(或访问型 VPN)，这是基本的 VPN 应用类型。不难证明，其他类型的 VPN 都是 Access VPN 的组合、延伸和扩展。（2）组建内联网一个组织机构的总部或中心网络与跨地域的分支机构网络在公共通信基础设施上采用的隧道技术等 VPN 技术构成组织机构“内部”的虚拟专用网络，当其将公司所有权的 VPN 设备配置在各个公司网络与公共网络之间（即连接边界处）时，这样的内联网还具有管理上的自主可

13、控、策略集中配置和分布式安全控制的安全特性。利用 VPN 组建的内联网也叫 Intranet VPN。Intranet VPN 是解决内联网结构安全和连接安全、传输安全的主要方法。（3）组建外联网使用虚拟专用网络技术在公共通信基础设施上将合作伙伴和有共同利益的主机或网络与内联网连接起来，根据安全策略、资源共享约定规则实施内联网内的特定主机和网络资源与外部特定的主机和网络资源相互共享，这在业务机构和具有相互协作关系的内联网之间具有广泛的应用价值。这样组建的外联网也叫 Extranet VPN。Extranet VPN 是解决外联网结构安全和连接安全、传输安全的主要方法。若外联网 VP

14、N 的连接和传输中使用了加密技术，必须解决其中的密码分发、管理的一致性问题。 5 2.2 VPN 的设计目标在实际应用中，一般来说一个高效、成功的 VPN 应具备以下几个特点：（1）安全保障虽然实现 VPN 的技术和方式很多，但所有的 VPN 均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用 IP 网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于 VPN 直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也

15、更为突出。企业必须确保其 VPN 上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN 将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。（2）服务质量保证（QoS） VPN 网络应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证 VPN 服务的一个主要因素；而对于拥有众多分支机构的专线 VPN 网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均

16、要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建 VPN 的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS 通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。（3）可扩充性和灵活性 VPN 必须能够支持通过 Intranet 和 Extranet 的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，

17、可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。（4）可管理性从用户角度和运营商的角度应可方便地进行管理、维护。在 VPN 管理方面，VPN 6 要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的 VPN 管理系统是必不可少的。VPN 管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN 管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS 管理等内容。 7 3实现 VPN 的关键技术和

18、主要协议 3.1 实现 VPN 的关键技术（1）隧道技术隧道技术(Tunneling)是 VPN 的底层支撑技术，所谓隧道，实际上是一种封装，就是将一种协议（协议 X）封装在另一种协议（协议 Y）中传输，从而实现协议 X 对公用网络的透明性。这里协议 X 被称为被封装协议，协议 Y 被称为封装协议，封装时一般还要加上特定的隧道控制信息，因此隧道协议的一般形式为（协议 Y）隧道头（协议 X））。在公用网络（一般指因特网）上传输过程中，只有 VPN 端口或网关的 IP 地址暴露在外边。隧道解决了专网与公网的兼容问题，其优点是能够隐藏发送者、接受者的 IP 地址以及其它协议信息。

19、VPN 采用隧道技术向用户提供了无缝的、安全的、端到端的连接服务，以确保信息资源的安全。隧道是由隧道协议形成的。隧道协议分为第二、第三层隧道协议，第二层隧道协议如 L2TP、PPTP、L2F 等，他们工作在 OSI 体系结构的第二层（即数据链路层）；第三层隧道协议如 IPSec，GRE 等，工作在 OSI 体系结构的第三层（即网络层）。第二层隧道和第三层隧道的本质区别在于：用户的 IP 数据包被封装在不同的数据包中在隧道中传输。第二层隧道协议是建立在点对点协议 PPP 的基础上，充分利用 PPP 协议支持多协议的特点，先把各种网络协议（如 IP、IPX 等）封装到 PPP

20、帧中，再把整个数据包装入隧道协议。PPTP 和 L2TP 协议主要用于远程访问虚拟专用网。第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠网络层协议进行传输。无论从可扩充性，还是安全性、可靠性方面，第三层隧道协议均优于第二层隧道协议。IPSec 即 IP 安全协议是目前实现 VPN 功能的最佳选择。（2）加解密认证技术加解密技术是 VPN 的另一核心技术。为了保证数据在传输过程中的安全性，不被非法的用户窃取或篡改，一般都在传输之前进行加密，在接受方再对其进行解密。 8 密码技术是保证数据安全传输的关键技术，以密钥为标准，可将密码系统分为单钥密码（又称为对称密码

21、或私钥密码）和双钥密码（又称为非对称密码或公钥密码）。单钥密码的特点是加密和解密都使用同一个密钥，因此，单钥密码体制的安全性就是密钥的安全。其优点是加解密速度快。最有影响的单钥密码就是美国国家标准局颁布的 DES 算法（56 比特密钥）。而 3DES（112 比特密钥）被认为是目前不可破译的。双钥密码体制下，加密密钥与解密密钥不同，加密密钥公开，而解密密钥保密，相比单钥体制，其算法复杂且加密速度慢。所以现在的 VPN 大都采用单钥的 DES 和 3DES 作为加解密的主要技术，而以公钥和单钥的混合加密体制(即加解密采用单钥密码，而密钥传送采用双钥密码)来进行网络上密钥交换和管

22、理，不但可以提高了传输速度，还具有良好的保密功能。认证技术可以防止来自第三方的主动攻击。一般用户和设备双方在交换数据之前，先核对证书，如果准确无误，双方才开始交换数据。用户身份认证最常用的技术是用户名和密码方式。而设备认证则需要依赖由 CA 所颁发的电子证书。目前主要有的认证方式有：简单口令如质询握手验证协议 CHAP 和密码身份验证协议 PAP 等；动态口令如动态令牌和 X.509 数字证书等。简单口令认证方式的优点是实施简单、技术成熟、互操作性好，且支持动态地加载 VPN 设备，可扩展性强。（3）密钥管理技术密钥管理的主要任务就是保证在开放的网络环境中安全地传递密钥，而不被

23、窃取。目前密钥管理的协议包括 ISAKMP、SKIP、MKMP 等。Internet 密钥交换协议 IKE 是 Internet 安全关联和密钥管理协议 ISAKMP 语言来定义密钥的交换，综合了 Oakley 和 SKEME 的密钥交换方案，通过协商安全策略，形成各自的验证加密参数。IKE 交换的最终目的是提供一个通过验证的密钥以及建立在双方同意基础上的安全服务。SKIP 主要是利用 Diffie-Hellman 的演算法则，在网络上传输密钥。 IKE 协议是目前首选的密钥管理标准，较 SKIP 而言，其主要优势在于定义更灵活，能适应不同的加密密钥。IKE 协议的缺点是它虽然提供了强

24、大的主机级身份认证，但同时却只能支持有限的用户级身份认证，并且不支持非对称的用户认证。（4）访问控制技术虚拟专用网的基本功能就是不同的用户对不同的主机或服务器的访问权限是不一样的。由 VPN 服务的提供者与最终网络信息资源的提供者共同来协商确定特定用户对特定资源的访问权限，以此实现基于用户的细粒度访问控制，以实现对信息资源的最 9 大限度的保护。访问控制策略可以细分为选择性访问控制和强制性访问控制。选择性访问控制是基于主体或主体所在组的身份，一般被内置于许多操作系统当中。强制性访问控制是基于被访问信息的敏感性。 3.2 VPN 的主要安全协议在实施信息安全的过程中，为了给通过

25、非信任网络的私有数据提供安全保护，通讯的双方首先进行身份认证，这中间要经过大量的协商，在此基础上，发送方将数据加密后发出，接受端先对数据进行完整性检查，然后解密，使用。这要求双方事先确定要使用的加密和完整性检查算法。由此可见，整个过程必须在双方共同遵守的规范( 协议) 下进行。 VPN 区别于一般网络互联的关键是隧道的建立，数据包经过加密后，按隧道协议进行封装、传送以保证安全性。一般，在数据链路层实现数据封装的协议叫第二层隧道协议，常用的有 PPTP , L2TP 等;在网络层实现数据封装的协议叫第三层隧道协议，如 IPSec。另外，SOCKSv5 协议则在 TCP 层实现数据安全。

26、 3.2.1 PPTP/L2TP 1996 年，Microsoft 和 Ascend 等在 PPP 协议的基础上开发了 PPTP ，它集成于 Windows NT Server4.0 中，Windows NT Workstation 和 Windows 9.X 也提供相应的客户端软件。PPP 支持多种网络协议，可把 IP 、IPX、AppleTalk 或 NetBEUI 的数据包封装在 PPP 包中，再将整个报文封装在 PPTP 隧道协议包中，最后，再嵌入 IP 报文或帧中继或 ATM 中进行传输。PPTP 提供流量控制，减少拥塞的可能性，避免由于包丢弃而引发包重传的数量。PPTP

27、的加密方法采用 Microsoft 点对点加密(MPPE: Microsoft Point-to- Point) 算法，可以选用较弱的 40 位密钥或强度较大的 128 位密钥。1996 年， Cisco 提出 L2F(Layer 2 Forwarding)隧道协议，它也支持多协议，但其主要用于 Cisco 的路由器和拨号访问服务器。1997 年底，Microsoft 和 Cisco 公司把 PPTP 协议和 L2F 协议的优点结合在一起，形成了 L2TP 协议。L2TP 支持多协议，利用公共网络封装 PPP 帧，可以实现和企业原有非 IP 网的兼容。还继承了 PPTP 的流量控制，支 1

28、0 持 MP(Multilink Protocol)，把多个物理通道捆绑为单一逻辑信道。L2TP 使用 PPP 可靠性发送(RFC 1663)实现数据包的可靠发送。L2TP 隧道在两端的 VPN 服务器之间采用口令握手协议 CHAP 来验证对方的身份.L2TP 受到了许多大公司的支持. PPTP/L2TP 协议的优点: PPTP/L2TP 对用微软操作系统的用户来说很方便，因为微软己把它作为路由软件的一部分。PPTP/ L2TP 支持其它网络协议。如 NOWELL 的 IPX,NETBEUI 和 APPLETALK 协议,还支持流量控制。它通过减少丢弃包来改善网络性能，这样可减少重

29、传。 PPTP/ L2TP 协议的缺点:PM 和 L2TP 将不安全的 IP 包封装在安全的 IP 包内，它们用 IP 帧在两台计算机之间创建和打开数据通道，一旦通道打开，源和目的用户身份就不再需要，这样可能带来问题，它不对两个节点间的信息传输进行监视或控制。PPTP 和 L2TP 限制同时最多只能连接 255 个用户，端点用户需要在连接前手工建立加密信道，认证和加密受到限制，没有强加密和认证支持。 PPTP/ L2TP 最适合于远程访问 VPN. 3.2.2 IPSec 协议 IPSec 是 IETF(Internet Engineer Task Force) 正在完善的安全标准，它把

30、几种安全技术结合在一起形成一个较为完整的体系，受到了众多厂商的关注和支持。通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec 由 IP 认证头 AH(Authentication Header)、IP 安全载荷封载 ESP(Encapsulated Security Payload)和密钥管理协议组成。 IPSec 协议是一个范围广泛、开放的虚拟专用网安全协议。IPSec 适应向 IPv6 迁移，它提供所有在网络层上的数据保护，提供透明的安全通信。IPSec 用密码技术从三个方面来保证数据的安全。即: 认证：用于对主机和端点进行身份鉴别。完整性检查：

31、用于保证数据在通过网络传输时没有被修改。加密：加密 IP 地址和数据以保证私有性。 IPSec 协议可以设置成在两种模式下运行:一种是隧道模式，一种是传输模式。在隧道模式下，IPSec 把 IPv4 数据包封装在安全的 IP 帧中,这样保护从一个防火墙到另一个防火墙时的安全性。在隧道模式下，信息封装是为了保护端到端的安全性，即在 11 这种模式下不会隐藏路由信息。隧道模式是最安全的，但会带来较大的系统开销。 IPSec 现在还不完全成熟，但它得到了一些路由器厂商和硬件厂商的大力支持。预计它今后将成为虚拟专用网的主要标准。IPSec 有扩展能力以适应未来商业的需要。在 1997 年底

32、，IETF 安全工作组完成了 IPSec 的扩展，在 IPSec 协议中加上 ISAKMP(Internet Security Association and Kay Management Protocol)协议，其中还包括一个密钥分配协议 Oakley。ISAKMP/Oakley 支持自动建立加密信道，密钥的自动安全分发和更新。IPSec 也可用于连接其它层己存在的通信协议，如支持安全电子交易(SET:Secure Electronic Transaction)协议和 SSL（Secure Socket layer）协议。即使不用 SET 或 SSL,IPSec 都能提供认证和加密

33、手段以保证信息的传输。 12 4实例分析 VPN 的具体实现方案有很多，实际应用中应根据用户的需求、用户资源现状、承载网络资源现状、投资效益以及相关技术比较等多种因素综合考虑，选择一种主流的方案。在本文中就以一个中小型企业为例模拟实际环境建立一个基于 ISA 的企业 VPN 网络以满足远程办公、分公司和合作伙伴远程访问的要求。这个实验在理论的指导下实现了一种 VPN 的实际应用，为中小企业设计 VPN 网络提供参考和借鉴。 4.1 需求分析随着公司的发展壮大，厦门某公司在上海开办了分公司来进一步发展业务，公司希望总部和分公司、总部与合作伙伴可以随时的进行安全的信息沟通，而外出办公人

34、员可以访问到企业内部关键数据，随时随地共享商业信息，提高工作效率。一些大型跨国公司解决这个问题的方法，就是在各个公司之间租用运营商的专用线路。这个办法虽然能解决问题，但是费用昂贵，对于中小企业来说是无法负担的，而 VPN 技术能解决这个问题。根据该公司用户的需求，遵循着方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则决定采用 ISA Server VPN 安全方案，以 ISA 作为网络访问的安全控制。ISA Server 集成了 Windows server VPN 服务，提供一个完善的防火墙和 VPN 解决方案。以 ISA VPN 作为连接 Internet 的安全网关，

35、并使用双网卡，隔开内外网，增加网络安全性。ISA 具备了基于策略的安全性，并且能够加速和管理对 Internet 的访问。防火墙能对数据包层、链路层和应用层进行数据过滤、对穿过防火墙的数据进行状态检查、对访问策略进行控制并对网络通信进行路由。对于各种规模的企业来说，ISA Server 都可以增强网络安全性、贯彻一致的 Internet 使用策略、加速 Internet 访问并实现员工工作效率最大化。在 ISA 中可以使用以下三种协议来建立 VPN 连接： IPSEC 隧道模式； L2TP over IPSec 模式； PPTP； 13 下表比较了这三种协议：表 4-1 ISA 中

36、三种协议对比表协议何时使用安全等级备注 IPSec 隧道模式连接到第三方的 VPN 服务器高这是唯一一种可以连接到非微软 VPN 服务器的方式 L2TP over IPSec 连接到 ISA Server 2000、ISA Server 2004 或者 Windows VPN 服务器高使用 RRAS。比 IPSec 隧道模式更容易理解，但是要求远程 VPN 服务器是 ISA Server 或者 Windows VPN 服务器。 PPTP连接到 ISA Server 2000、ISA Server 2004 或者 Windows VPN 服务器中等使用 RRAS，和 L2T

37、P 具有同样的限制，但是更容易配置。因为使用 IPSec 加密，L2TP 更认为更安全。三个站点都采用 ISA VPN 作为安全网关，且 L2TP over IPSec 结合了 L2TP 和 IPSec 的优点，所以在这里采用 L2TP over IPSec 作为 VPN 实施方案。 4.2 方案达到的目的 1) 厦门总部和分公司之间以及厦门总部和合作伙伴之间透过 VPN 联机采用 IPSec 协定，确保传输数据的安全； 2) 在外出差或想要连回总部或分公司的用户也可使用 IPSec 方式连回企业网路； 3) 对总部内网实施上网的访问控制，通过 VPN 设备的访问控制策略，对访问的

38、PC 进行严格的访问控制。 4) 对外网可以抵御黑客的入侵，起到 Firewall 作用。具有控制和限制的安全机制和措施，具备防火墙和抗攻击等功能； 5)部署灵活，维护方便，提供强大的管理功能，以减少系统的维护量以适应大规模组网需要。 14 4.3 VPN 组建方案网络拓扑图图 4-1 VPN 组建网络拓扑图 15 5各部分 VPN 设备的配置公司总部和分支机构之间与公司总部和合作伙伴之间的 VPN 通信，都是站点对站点的方式，只是权限设置不一样，公司总部和分支机构要实现的公司分支机构共享总部的资源，公司总部和合作伙伴要实现是资源共享和互访。两者之间的差别是合作伙伴的 VPN 接

39、入上设置了可以总部可以访问的操作。因为三个站点都采用 ISA VPN 作为安全网关，所以以下站点对站点的 VPN 配置就以公司总部到分支机构为例，说明在 ISA 上实现 VPN 的具体操作。模拟基本拓扑图：图 5-1 实验模拟网络拓扑图 5.1 公司总部到分支机构的 ISA VPN 配置各主机的 TCP/IP 为：厦门总部 16 外部网络： IP：192.168.1.1 DG：192.168.1.1 内部网络： IP：172.16.192.167 DG：None 分部外部网络： IP：192.168.1.2 DG：192.168.1.1 内部网络： IP:192.168.3.1 D

40、G：None 在总部和支部之间建立一个基于 IPSec 的站点到站点的 VPN 连接，由支部向总部进行请求拨号，具体步骤如下：在总部 ISA 服务器上建立远程站点；建立此远程站点的网络规则；建立此远程站点的访问规则；在总部为远程站点的拨入建立用户；在支部 ISA 服务器上建立远程站点；建立此远程站点的网络规则；建立此远程站点的访问规则；测试 VPN 连接； 17 5.1.1 总部 ISA VPN 配置 1、在总部 ISA 服务器上建立远程分支机构站点 1) 打开 ISA Server 2004 控制台，点击虚拟专用网络虚拟专用网络，点击右边任务面板中的添加远添加远程站点网络

41、程站点网络； 2) 在欢迎使用网络创建向导欢迎使用网络创建向导页，输入远程站点的名字 BranchBranch，点击下一步下一步； 3) 在 VPNVPN 协议协议页，选择 IPSecIPSec 上的第二层隧道协议（上的第二层隧道协议（L2TPL2TP），点击下一步下一步； 4) 在远程站点网关远程站点网关页，输入远程 VPN 服务器的名称或 IP 地址，如果输入名称，需确保可以正确解析，在这里输入 192.168.1.2 点击下一步下一步； 5) 在网络地址网络地址页，点击添加添加输入与此网卡关联的 IP 地址范围，在此输入 192.168.3.0192.168.3.0 和 192.168

42、.3.255192.168.3.255，点击确定确定后，点击下一步下一步继续； 6) 在正在完成新建网络向导正在完成新建网络向导页，点击完成。图 5-2 总部建立的远程站点图 7)7) 打开 VPN 客户端，点击配置配置 VPNVPN 客户端访问客户端访问，在常规常规页中，选择启用启用 VPNVPN 客户端访客户端访问问，填入允许的最大 VPN 客户端数量 20，在协议协议页，选择启用，选择启用 PPTPPPTP（N N）和启用）和启用 L2TP/IPSECL2TP/IPSEC（E E）点击确定。确定。 8) 点击选择身份验证方法选择身份验证方法，选择 MicrosoftMicrosoft

43、加密的身份验证版本加密的身份验证版本 2 2（MS-CHAPv2MS-CHAPv2）（M M）和允许允许 L2TPL2TP 连接自定义连接自定义 IPSecIPSec 策略（策略（L L）,输入预共享的密钥 main04jsja.main04jsja. 9) 点击定义地址分配，在地址分配页，选择静态地址池，定义地址分配，在地址分配页，选择静态地址池，点击添加，添加 VPN 连接后总部主机分配的给客户端的 IP 地址段，在这里输入 210.34.212.0210.34.212.0- 210.34.212.255210.34.212.255，点击确定确定完成设置。（方便测试连接，可不添加）

44、18 2、在总部上建立此远程站点的网络规则接下来，我们需要建立一条网络规则，为远程站点和内部网络间的访问定义路由关系。 1) 右键点击配置配置下的网络网络，然后点击新建新建，选择网络规则网络规则； 2) 在新建网络规则向导新建网络规则向导页，输入规则名字，在此命名为 InternalInternal toto BranchBranch，点击下一步下一步; 3) 在网络通讯源网络通讯源页，点击添加添加，选择网络目录网络目录下的内部内部，点击下一步下一步； 4) 在网络通讯目标网络通讯目标页，点击添加添加，选择网络目录网络目录下的 BranchBranch，点击下一步下一步； 5) 在网络关

45、系网络关系页，选择路由路由，然后点击下一步下一步； 6) 在正在完成新建网络规则向导正在完成新建网络规则向导页，点击完成完成；图 5-3 总部网络规则图 3、在总部上建立此远程站点的访问规则现在，我们需要为远程站点和内部网络间的互访建立访问规则， 1) 右键点击防火墙策略防火墙策略，选择新建新建，点击访问规则访问规则； 2) 在欢迎使用新建访问规则向导欢迎使用新建访问规则向导页，输入规则名称，在此命名为 mainmain toto branchbranch，点击下一步下一步； 3) 在规则操作规则操作页，选择允许允许，点击下一步下一步； 4) 在协议协议页，选择所选的协议所选的协议，然后

46、添加 HTTPHTTP 和 PingPing，(这里可以再根据实际需要添加协议)点击下一步下一步； 5) 在访问规则源访问规则源页，点击添加添加，选择网络网络目录下的 BranchBranch 和内部内部，点击下一步下一步； 19 6) 在访问规则目标访问规则目标页，点击添加添加，选择网络网络目录下的 BranchBranch 和内部内部，点击下一步下一步； 7) 在用户集用户集页，接受默认的所有用户所有用户，点击下一步下一步；在正在完成新建访问规则向导正在完成新建访问规则向导页，点击完成完成； 8) 最后，点击应用应用以保存修改和更新防火墙设置。此时在警报里面有提示，需要重启 ISA

47、服务器，所以，我们需要重启 ISA 计算机。图 5-4 总部访问控制图 4、在总部上为远程站点的拨入建立用户 1) 在重启总部 ISA 服务器后，以管理员身份登录， 2) 在我的电脑我的电脑上点击右键，选择管理管理，选择在本地用户和组本地用户和组里面，右击用户用户，选择新用户新用户，这个 VPN 拨入用户的名字一定要和远程站点的名字一致，在此是 mainmain，输入密码 mainmain，选中用户不能修改密码用户不能修改密码和密码永不过期密码永不过期，取消勾选用用户必须在下次登录时修改密码户必须在下次登录时修改密码，点击创建创建； 3) 右击此用户，选择属性属性；在用户属性的拨入拨入标

48、签，选择允许访问，点击确定确定。图 5-5 总部用户创建图此时，远程客户端拨入总部的用户账号就建好了。 20 5.1.2 支部 ISA VPN 配置 1、在支部 ISA 服务器上添加远程站点 1) 打开 ISA Server 2004 控制台，点击虚拟专用网络虚拟专用网络，点击右边任务面板中的添加远添加远程站点网络程站点网络； 2) 在欢迎使用网络创建向导欢迎使用网络创建向导页，输入远程站点的名字 MainMain，点击下一步下一步； 3) 在 VPNVPN 协议协议页，选择 IPSecIPSec 上的第二层隧道协议（上的第二层隧道协议（L2TPL2TP），点击下一步下一步； 4) 在远

49、程站点网关远程站点网关页，输入远程 VPN 服务器的名称或 IP 地址，如果输入名称，需确保可以正确解析，在这里输入 192.168.1.1，点击下一步下一步； 5) 在远程身份验证远程身份验证页，输入用户名 mainmain，输入密码 mainmain，点击下一步下一步继续； 6) 在网络地址网络地址页，点击添加添加输入与此网卡关联的 IP 地址范围，在此输入 192.168.3.0192.168.3.0 和 192.168.3.255192.168.3.255，点击确定确定后，点击下一步下一步继续； 7) 在正在完成新建网络向导正在完成新建网络向导页，点击完成完成。图 5-6 支部建立的远程站点图 2、建立此远程站点的网络规则接下来，我们需要建立一条网络规则，为远程站点和内部网络间的访问定义路由关系。 1) 右击配置配置下的网络网络，然后点击新建新建，选择网络规则网络规则； 2) 在新建网络规则向导新建网络规则向导页，输入规则名字，在此我命名为内部内部-Main-Main，点击下一步下一步； 3) 在网络通讯源网络通讯源页，点击添加添加，选择网络目录网络目录下的内部内部，点击下一步下一步； 4) 在网络通讯目标网络通讯目标页，点击添加添加，选择网络目录网络目录下的 MainMain，点击下

展开阅读全文