《嵌入式软件编程》课程论文格式样例Word文件下载.docx
- 文档编号:21517775
- 上传时间:2023-01-30
- 格式:DOCX
- 页数:16
- 大小:297.46KB
《嵌入式软件编程》课程论文格式样例Word文件下载.docx
《《嵌入式软件编程》课程论文格式样例Word文件下载.docx》由会员分享,可在线阅读,更多相关《《嵌入式软件编程》课程论文格式样例Word文件下载.docx(16页珍藏版)》请在冰豆网上搜索。
2.1VPN概述2
2.2VPN的分类4
三、公司网络的VPN需求分析5
四、公司NAT地址转换和VPN服务器5
五、总结15
六、参考文献15
一、VPN的基本介绍
1.1VPN的概念
虚拟专用网(VPN,VirtualPrivateNetwork)是一种利用公共网络来构建的私人专用网络技术,不是真的专用网络,但却能够实现专用网络的功能。
虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。
在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
IETF草案理解基于IP的VPN为:
"
使用IP机制仿真出一个私有的广域网"
是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。
所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
1.2VPN的安全性
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&
Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)。
1、隧道技术:
隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。
隧道是由隧道协议形成的,分为第二、三层隧道协议。
第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。
这种双层封装方法形成的数据包靠第二层协议进行传输。
第二层隧道协议有L2F、PPTP、L2TP等。
L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。
第三层隧道协议有VTP、IPSec等。
IPSec(IPSecurity)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
2、加解密技术:
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3、密钥管理技术:
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。
现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。
SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;
在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
4、使用者与设备身份认证技术:
使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式,目前这方面做的比较成熟的有国内的深信福科技的VPN解决方案。
1.3VPN网络的可用性
通过VPN,企业可以以更低的成本连接远程办事机构、出差人员以及业务合作伙伴关键业务。
虚拟网组成之后,远程用户只需拥有本地ISP的上网权限,就可以访问企业内部资源,这对于流动性大、分布广泛的企业来说很有意义,特别是当企业将VPN服务延伸到合作伙伴方时,便能极大地降低网络的复杂性和维护费用。
VPN技术的出现及成熟为企业实施ERP、财务软件、移动办公提供了最佳的解决方案。
一方面,VPN利用现有互联网,在互联网上开拓隧道,充分利用企业现有的上网条件,无需申请昂贵的DDN专线,运营成本低。
另一方面,VPN利用IPSEC等加密技术,使在通道内传输的数据,有着高达168位的加密措施,充分保证了数据在VPN通道内传输的安全性。
1.4VPN网络的可管理性
随着技术的进步,各种VPN软硬件解决方案都包含了路由、防火墙、VPN网关等三方面的功能,企业或政府通过购买VPN设备,达到一物多用的功效,既满足了远程互联的要求,而且还能在相当程度上防止黑客的攻击、并能根据时间、IP、内容、Mac地址、服务内容、访问内容等多种服务来限制企业公司内部员工上网时的行为,一举多得。
VPN设备的安装调试、管理、维护都极为简单,而且都支持远程管理,大多数VPN硬件设备甚至可通过中央管理器进行集中式的管理维护。
出差人员也可以通过客户端软件与中心的VPN设备建立VPN通道,从而达到访问中心数据等资源的目的。
让互联无处不在,极大地方便了企业及政府的数据、语音、视频等方面的应用。
二、VPN分类和技术概要
2.1VPN概述
2.1.1VPN的产生
随着社会的发展IT技术越来越多地影响现代企业的业务流程如企业资源规划、基于IP网络的语音、基于IP网络的会议和教学活动等IT技术为企业的自动化办公和信息的获取提供了构架。
随着网络经济的发展越来越多的企业的分布范围日益扩大合作伙伴日益增多公司员工的移动性也不断增加。
这使得企业迫切需要借助电信运营商网络连接企业总部和分支机构组成自己的企业网同时使移动办公人员能在企业以外的地方方便地接入企业内部网络。
最初电信运营商是以租赁专线(LeasedLine)的方式为企业提供二层链路这种方式的主要缺点是:
1.建设时间长
2.价格昂贵
3.难于管理
此后随着ATM(AsynchronousTransferMode)和帧中继(FrameRelay)技术的兴起电信运营商转而使用虚电路方式为客户提供点到点的二层连接客户再在其上建立自己的三层网络以承载IP等数据流。
虚电路方式与租赁专线相比运营商网络建设时间短、价格低能在不同专网之间共享运营商的网络结构。
这种传统专网的不足在于
1.依赖于专用的介质(如ATM或FR)为提供基于ATM的VPN服务运营商需要建立覆盖全部服务范围的ATM网络为提供基于FR的VPN服务又需要建立覆盖全部服务范围的FR网络。
网络建设成本高。
2.速率较慢不能满足当前Internet应用对于速率的要求。
3.部署复杂向已有的私有网络加入新的站点时需要同时修改所有接入此站点的边缘节点的配置。
传统专网的应用促使了企业效益的日益增长但传统专网难以满足企业对网络的灵活性、安全性、经济性、扩展性等方面的要求。
这促使了一种新的替代方案的产生—在现有IP网络上模拟传统专网这种新的解决方案就是虚拟专用网VPN(VirtualPrivateNetwork)。
VPN是依靠Internet服务提供商ISP(InternetServiceProvider)和网络服务提供商NSP(NetworkServiceProvider)在公共网络中建立的虚拟专用通信网络。
2.1.2VPN的特征
VPN具有以下两个基本特征:
1.专用(Private)对于VPN用户使用VPN与使用传统专网没有区别。
VPN与底层承载网络之间保持资源独立即VPN资源不被网络中非该VPN的用户所使用且VPN能够提供足够的安全保证确保VPN内部信息不受外部侵扰。
2.虚拟(Virtual)VPN用户内部的通信是通过公共网络进行的而这个公共网络同时也可以被其他非VPN用户使用VPN用户获得的只是一个逻辑意义上的专网。
这个公共网络称为VPN骨干网(VPNBackbone)。
利用VPN的专用和虚拟的特征可以把现有的IP网络分解成逻辑上隔离的网络。
这种逻辑隔离的网络应用丰富可以用在解决企业内部的互连、相同或不同办事部门的互连也可以用来提供新的业务如为IP电话业务专门开辟一个VPN以此解决IP网络地址不足、QoS保证、以及开展新的增值服务等问题。
在解决企业互连和提供各种新业务方面VPN尤其是MPLSVPN越来越被运营商看好成为运营商在IP网络提供增值业务的重要手段。
2.1.3VPN的优势
从客户角度看VPN和传统的数据专网相比具有如下优势1.安全在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接保证数据传输的安全性。
这对于实现电子商务或金融网络与通讯网络的融合特别重要。
2.廉价利用公共网络进行信息通讯企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。
3.支持移动业务支持驻外VPN用户在任何时间、任何地点的移动接入能够满足不断增长的移动业务需求。
4.服务质量保证构建具有服务质量保证的VPN(如MPLSVPN)可为VPN用户提供不同等级的服务质量保证。
从运营商角度看VPN具有如下优势
5.可运营提高网络资源利用率有助于增加ISP的收益。
6.灵活通过软件配置就可以增加、删除VPN用户无需改动硬件设施。
在应用上具有很大灵活性。
7.多业务SP在提供VPN互连的基础上可以承揽网络外包、业务外包、客户化专业服务的多业务经营。
VPN以其独具特色的优势赢得了越来越多的企业的青睐使企业可以较少地关注网络的运行与维护从而更多地致力于企业的商业目标的实现。
另外运营商可以只管理、运行一个网络并在一个网络上同时提供多种服务如Best-effortIP服务、VPN、流量工程、差分服务(Diffserv)从而减少运营商的建设、维护和运行费用。
VPN在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性。
在全球任何一个角落只要能够接入到Internet即可使用VPN。
2.2VPN的分类
VPN可按业务类型和实现技术两个角度进行分类。
2.2.1按VPN的业务类型划分
根据服务类型VPN业务大致分为三类接入VPNAccessVPN、内联网VPN(IntranetVPN)和外联网VPNExtranetVPN。
通常情况下内联网VPN是专线VPN。
1接入VPN这是企业出差员工通过公网远程访问企业内部网络的VPN方式。
远程用户一般是一台计算机而不是网络因此组成的VPN是一种主机到网络的拓扑模型。
2内联网VPN这是企业的总部与分支机构之间通过公网构筑的虚拟网这是一种网络到网络以对等的方式连接起来所组成的VPN。
3外联网VPN这是企业在发生收购、兼并或企业间建立战略联盟后使不同企业间通过公网来构筑的虚拟网。
这是一种网络到网络以不对等的方式连接起来所组成的VPN主要在安全策略上有所不同。
2.2.2按VPN的实现技术划分
目前主流的VPN技术有IPSecVPN、SSLVPN、MPLSVPN。
IPSecVPN是一个应用广泛、开放的VPN安全协议技术它提供了如何让保密性强的数据在开放的网络中传输的安全机制。
它工作在网络层为数据传输过程提供安全保护主要手段是对数据进行加密和对数据收发方进行身份认证。
IPSecVPN技术可以设置成在两种模式下运行一种是隧道模式把IPv4数据包封装在安全的IP帧中进行传输但这种方式系统开销比较大另一种模式是传输模式隐藏路由信息提供端到端的安全保护。
三、公司网络的VPN需求分析
随着经济全球化步伐的加快跨国、跨地区的企业收购和合并日益增多。
每家公司的分支机构的分布也越来越广公司各分支机构之间为了共享商业数据需要将各分支机构之间联网在保证数据存储和传输安全的前提下共享数据同时解决方案尽可能的要减少投入和降低使用成本。
分析这些需要联网的企业用户的需求特点可以归纳为以下几点:
1分支机构彼此分布不同地点。
2需要共享大量的商业数据对接入带宽有一定的要求。
3必须保证数据在传输过程中的安全性。
过去的企业网络多以封闭式的专线连接为主,其主要原因就是考虑数据传输的安全性。
若在安全性不能被保障的状况下一旦企业重要资料被他人所窃取将对企业造成难以弥补的损失。
4解决方案低成本VPN技术就是在这个背景下应运而生的VPN的出现满足了企业用户的需求。
VPN的基本思路就是充分利用现有的公共IP网通过隧道技术将公网虚拟成专用网同时免除了昂贵的专线租用费用。
四、公司NAT地址转换和VPN服务器
下面我们介绍一下通过WindowsServer操作系统自带的路由和远程访问功能来实现NAT共享上网和VPN网关的功能。
网络拓扑图如下。
我们要实现在异地通过VPN客户端访问总部局域网各种服务器资源。
图4-1拓扑图
组建VPN有多种方法,而本文的讨论则是基于WindowsServer2003提供的“路由和远程访问”服务的。
利用该服务,用户可以在企业内部搭建VPN服务器,然后通过企业外部客户端的VPN拨号连接对企业内部网进行访问。
下面的操作环境基于运行WindowsServer2003系统、通过ADSL接入Internet的服务器环境和运行WindowsXP系统、通过ADSL接入Internet的客户端,连接方式为客户端通过Internet与服务器建立VPN连接。
在WindowsServer2003系统中,“路由和远程访问”服务默认已经安装好。
用户需要对该服务进行必要的配置,才能使其内置的VPN服务生效,操作步骤如下所述:
第一步:
系统前期准备工作
服务器硬件:
双网卡,一块接外网,一块接局域网。
在windows2003中VPN服务称之为“路由和远程访问”,默认状态已经安装。
只需对此服务进行必要的配置使其生效即可。
首先确定是否开启了WindowsFirewall/InternetConnectionSharing(ICS)服务,如果开启了WindowsFirewall/InternetConnectionSharing(ICS)服务的话,在配置“路由和远程访问”时系统会弹出如下对话框。
图4-2提示对话框
我们只要去“开始”-“程序”-“管理工具”-“服务”里面把WindowsFirewall/InternetConnectionSharing(ICS)停止,并设置启动类型为禁用,如下图所示:
图4-3修改服务
第二步:
开启VPN和NAT服务
然后再依次选择“开始”-“程序”-“管理工具”-“路由和远程访问”,打开“路由和远程访问”服务窗口;
再在窗口左边右击本地计算机名,选择“配置并启用路由和远程访问”,如下图所示:
图4-4配置远程路由
在弹出的“路由和远程访问服务器安装向导”中点下一步,出现如下对话框。
图4-5自定义配置
由于我们要实现NAT共享上网和VPN拨入服务器的功能,所以我们选择“自定义配置”选项,点下一步;
图4-6选择选项
在这里我们选择“VPN访问”和“NAT和基本防火墙”选项,点下一步,在弹出的对话框中点“完成”,系统会提示是否启动服务,点“是”,系统会按刚才的配置启动路由和远程访问服务,最后如下图所示;
图4-7启动远程访问服务
第三步:
配置NAT服务
右击“NAT/基本防火墙”选项,选择“新增接口”,弹出如下对话框;
图4-8选择网卡
在这里我们根据自己的网络环境选择连接Internet的接口,选择“本地连接2”接口,点“确定”,弹出“网络地址转换-本地连接2属性”对话框,进行如下图所示配置;
图4-9配置NAT
由于我们这个网卡是连接外网的所以选择“公用接口连接到Internet”和“在此接口上启用NAT”选项并选择“在此接口上启用基本防火墙”选项,这对服务器的安全是非常重要的。
下面我们点“服务和端口”设置服务器允许对外提供PPTPVPN服务,在“服务和端口”界面里点“VPN网关(PPTP)”,在弹出的“编辑服务”对话框中进行如下图设置;
图4-10配置VPN网关
点“确定”,回到“服务和端口”选项卡,确保选中“VPN网关(PPTP)”,如下图;
图4-11应用VPN网关
第四步:
根据需要设置VPN服务
设置连接数:
右击右边树形目录里的端口选项,选择属性,弹出如下对话框;
图4-12VPN端口属性
WindowsServer2003企业版VPN服务默认支持128个PPTP连接和128个L2TP连接,因为我们这里使用PPTP协议,所以我们双击“WAN微型端口(PPTP)选项,在弹出的对话框里根据自己的需要设置所需的连接数;
WindowsServer2003企业版最多支持30000个L2TP端口,16384个PPTP端口。
设置IP地址:
右击右边树形目录里的本地服务器名,选择“属性”并切换到IP选项卡
4-13VPN路由属性
这里我们选择“静态地址池”点“添加”,根据需要接入数量任意添加一个地址范围,但是不要和本地IP地址冲突,如下图所示;
图4-14添加静态地址
点“确定”回到“IP”选项卡,点“确定”应用设置;
第五步:
设置远程访问策略,允许指定用户拨入、新建用户和组:
点“开始”-“程序”-“管理工具”-“计算机管理”,弹出“计算机管理”对话框,如下图;
图4-15打开计算机管理
选择“本地用户和组”,右击“用户”-“新用户”进行如下图所示设置;
图4-16新建用户
点击“创建”新增一个用户;
在右边的树形目录中右击“组”-“新建组”,添入“组名”,点“添加”在弹出的“选择用户”对话框中,点“高级”-“立即查找”,选择刚才建立的“TEST”用户,把用户加入刚才建立的组,如下图;
图4-17新建组
设置远程访问策略:
在“路由和远程访问”窗口,右击右面树形目录中的“远程访问策略”,选择“新建远程访问策略”,在弹出的对话框中点“下一步”,填入方便记忆的“策略名”,点“下一步”,选择“VPN”选项,点“下一步”,点“添加”把刚才新建的组加入到这里,点“下一步”,“下一步”,“下一步”,“完成”,就完成了远程策略的设置,后面如果需要新的用户需要VPN服务,只要为该用户新建一个帐号,并加入刚才新建的“TEST”组就可以了。
六、VPN客户端配置
这一端配置相对简单得多,只需建立一个到VPN服务端的专用连接即可。
首先肯定客户端也要接入internet网络,接着笔者同样以windows2003客户端为例说明,其它的win2K操作系统设置都大同小异:
在桌面“网上邻居”图标点右键选属性,之后双击“新建连接向导”打开向导窗口后点下一步;
接着在“网络连接类型”窗口里点选第二项“连接到我的工作场所的网络”,继续下一步,在如下图所示网络连接方式窗口里选择第二项“虚拟专用网络连接”;
接着为此连接命名后点下一步。
图4-18新建连接
在“VPN服务器选择”窗口里,等待我们输入的是VPN服务端的固定内容,可以是固定IP,也可以是由花生壳软件解析出来的动态域名(此域名需要在提供花生壳软件的网站下载);
接着出现的“可用连接”窗口保持“只是我使用”的默认选项;
最后,为方便操作,可以勾选“在桌面上建立快捷方式”选项,单击完成即会先出现如下图所示的VPN连接窗口。
输入访问VPN服务端合法帐户后的操作就跟XP下“远程桌面”功能一样了。
连接成功后在右下角状态栏会有图标显示。
图4-19连接界面
连接后的共享操作,只要有过一些局域网使用经验的朋友应该知道怎么做了吧?
一种办法是通过“网上邻居”查找VPN服务端共享目录;
另一种办法是在浏览器里输入VPN服务端固定IP地址或动态域名也可打开共享目录资源。
这其实已经跟在同一个局域网内的操作没什么区别了,自然也就可以直接点击某个视频节目播放,省去下载文件这一步所花时间了。
五、总结
到这里我们已经实现了用一台WindowsServer2003操作系统做一台NAT和VPN远程接入服务器,实现公司或家庭共享上网和VPN远程接入访问本地局域网,实现移动办公。
但是这台服务器在安全性和功能上还有一定缺陷,我将在后面的文章中陆续介绍搭建基于L2TPOVERIPSEC的VPN服务器,以增强数据在网络传输中的安全性。
介绍搭建基于MicrosoftInternetSecurityandAcceleration(ISA)Server2006防火墙的远程接入服务器,介绍基于MicrosoftInternetSecurityandAcceleration(ISA)Server2006的站点到站点的虚拟专用网络。
六、参考文献
[1]佟卓,谢宇晶.《宽带城域网技术》.北京:
机械工业出版社,2007.09:
47-67.
[2]谢宗晓,刘琦.《信息安全体系实施案例》.北京:
中国标准出版社,2010:
15-33.
[3]马立新.《局域网组建、管理与维护》.北京:
机械工业出版社,2010:
24-30.
[4]孙为清.《VPN隧道技术》[J].北京:
计算机应用研究所,2010:
9-17.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 嵌入式软件编程 嵌入式 软件 编程 课程 论文格式