VPN课程设计文档格式.docx

VPN课程设计文档格式.docx

《VPN课程设计文档格式.docx》由会员分享，可在线阅读，更多相关《VPN课程设计文档格式.docx（21页珍藏版）》请在冰豆网上搜索。

（3）分组通过Internet到达VPN设备2，VPN设备2能够识别新增的头部，对其进行拆除，从而得到第1步由主机A生成的原分组，然后根据分组的IP地址信息，进行正常的转发。

2、VPN的分类

根据网络类型的差异，IPVPN可分为两种类型：

Client-LAN和LAN-LAN类型。

Client-LAN类型的VPN

（1）Client-LAN类型的VPN也称为AccessVPN，即远程访问方式的VPN。

它提供了一种安全的远程访问手段，例如，出差在外的员工，有远程办公需要的分支机构，都可以利用这种类型的VPN，实现对企业内部网络资源进行安全的远程访问

（2）LAN-LAN类型的VPN

为了在不同局域网之间建立安全的数据传输通道，例如在企业内部各分支机构之间或者企业与其合作者之间的网络进行互联，可以采用LAN-LAN类型的VPN。

而采用LAN-LAN类型的VPN，可以利用基本的Internet和Intranet网络建立起全球范围内物理的连接，再利用VPN的隧道协议实现安全保密需要，就可以满足公司总部与分支机构以及合作企业间的安全网络连接。

二、VPN的实现方法

VPN实现的两个关键技术是隧道技术和加密技术，同时QoS技术对VPN的实现也至关重要。

　　1、VPN访问点模型

　　首先提供一个VPN访问点功能组成模型图作为参考。

其中IPSec集成了IP层隧道技术和加密技术。

　　2、隧道技术

　　隧道技术简单的说就是：

原始报文在A地进行封装，到达B地后把封装去掉还原成原始报文，这样就形成了一条由A到B的通信隧道。

目前实现隧道技术的有一般路由封装（GenericRoutingEncapsulation，GRE）L2TP和PPTP。

（1）GRE：

GRE主要用于源路由和终路由之间所形成的隧道。

例如，将通过隧道的报文用一个新的报文头（GRE报文头）进行封装然后带着隧道终点地址放入隧道中。

当报文到达隧道终点时，GRE报文头被剥掉，继续原始报文的目标地址进行寻址。

GRE隧道通常是点到点的，即隧道只有一个源地址和一个终地址。

然而也有一些实现允许点到多点，即一个源地址对多个终地址。

这时候就要和下一跳路由协议（Next-HopRoutingProtocol，NHRP）结合使用。

NHRP主要是为了在路由之间建立捷径。

　　GRE隧道用来建立VPN有很大的吸引力。

从体系结构的观点来看，VPN就象是通过普通主机网络的隧道集合。

普通主机网络的每个点都可利用其地址以及路由所形成的物理连接，配置成一个或多个隧道。

在GRE隧道技术中入口地址用的是普通主机网络的地址空间，而在隧道中流动的原始报文用的是VPN的地址空间，这样反过来就要求隧道的终点应该配置成VPN与普通主机网络之间的交界点。

这种方法的好处是使VPN的路由信息从普通主机网络的路由信息中隔离出来，多个VPN可以重复利用同一个地址空间而没有冲突，这使得VPN从主机网络中独立出来。

从而满足了VPN的关键要求：

可以不使用全局唯一的地址空间。

隧道也能封装数量众多的协议族，减少实现VPN功能函数的数量。

还有，对许多VPN所支持的体系结构来说，用同一种格式来支持多种协议同时又保留协议的功能，这是非常重要的。

IP路由过滤的主机网络不能提供这种服务，而只有隧道技术才能把VPN私有协议从主机网络中隔离开来。

基于隧道技术的VPN实现的另一特点是对主机网络环境和VPN路由环境进行隔离。

对VPN而言主机网络可看成点到点的电路集合，VPN能够用其路由协议穿过符合VPN管理要求的虚拟网。

同样，主机网络用符合网络要求的路由设计方案，而不必受VPN用户网络的路由协议限制。

　　虽然GRE隧道技术有很多优点，但用其技术作为VPN机制也有缺点，例如管理费用高、隧道的规模数量大等。

因为GRE是由手工配置的，所以配置和维护隧道所需的费用和隧道的数量是直接相关的――每次隧道的终点改变，隧道要重新配置。

隧道也可自动配置，但有缺点，如不能考虑相关路由信息、性能问题以及容易形成回路问题。

一旦形成回路，会极大恶化路由的效率。

除此之外，通信分类机制是通过一个好的粒度级别来识别通信类型。

如果通信分类过程是通过识别报文（进入隧道前的）进行的话，就会影响路由发送速率的能力及服务性能。

　　GRE隧道技术是用在路由器中的，可以满足ExtranetVPN以及IntranetVPN的需求。

但是在远程访问VPN中，多数用户是采用拨号上网。

这时可以通过L2TP和PPTP来加以解决。

（2）L2TP和PPTP：

L2TP是L2F（Layer2Forwarding）和PPTP的结合。

但是由于PC机的桌面操作系统包含着PPTP，因此PPTP仍比较流行。

隧道的建立有两种方式即：

“用户初始化”隧道和“NAS初始化”（NetworkAccessServer）隧道。

前者一般指“主动”隧道，后者指“强制”隧道。

“主动”隧道是用户为某种特定目的的请求建立的，而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。

　　L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。

建立过程如下：

1、用户通过Modem与NAS建立连接；

2、用户通过NAS的L2TP接入服务器身份认证；

3、在政策配置文件或NAS与政策服务器进行协商的基础上，NAS和L2TP接入服务器动态地建立一条L2TP隧道；

4、用户与L2TP接入服务器之间建立一条点到点协议（PointtoPointProtocol，PPP）访问服务隧道；

5、用户通过该隧道获得VPN服务。

　　与之相反的是，PPTP作为“主动”隧道模型允许终端系统进行配置，与任意位置的PPTP服务器建立一条不连续的、点到点的隧道。

并且，PPTP协商和隧道建立过程都没有中间媒介NAS的参与。

NAS的作用只是提供网络服务。

PPTP建立过程如下：

1、用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务；

2、用户通过路由信息定位PPTP接入服务器；

3、用户形成一个PPTP虚拟接口；

4、用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道；

　　在L2TP中，用户感觉不到NAS的存在，仿佛与PPTP接入服务器直接建立连接。

而在PPTP中，PPTP隧道对NAS是透明的；

NAS不需要知道PPTP接入服务器的存在，只是简单地把PPTP流量作为普通IP流量处理。

　　采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。

L2TP比PPTP更安全，因为L2TP接入服务器能够确定用户从哪里来的。

L2TP主要用于比较集中的、固定的VPN用户，而PPTP比较适合移动的用户。

3、加密技术

　　数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非受权者不能了解被保护信息的内容。

加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。

RC4虽然强度比较弱，但是保护免于非专业人士的攻击已经足够了；

DES和三次DES强度比较高，可用于敏感的商业信息。

　　加密技术可以在协议栈的任意层进行；

可以对数据或报文头进行加密。

在网络层中的加密标准是IPSec。

网络层加密实现的最安全方法是在主机的端到端进行。

另一个选择是“隧道模式”：

加密只在路由器中进行，而终端与第一跳路由之间不加密。

这种方法不太安全，因为数据从终端系统到第一条路由时可能被截取而危及数据安全。

终端到终端的加密方案中，VPN安全粒度达到个人终端系统的标准；

而“隧道模式”方案，VPN安全粒度只达到子网标准。

在链路层中，目前还没有统一的加密标准，因此所有链路层加密方案基本上是生产厂家自己设计的，需要特别的加密硬件。

　　4、QoS技术

　　通过隧道技术和加密技术，已经能够建立起一个具有安全性、互操作性的VPN。

但是该VPN性能上不稳定，管理上不能满足企业的要求，这就要加入QoS技术。

实行QoS应该在主机网络中，即VPN所建立的隧道这一段，这样才能建立一条性能符合用户要求的隧道。

　　不同的应用对网络通信有不同的要求，这些要求可用如下参数给予体现：

（1）带宽：

网络提供给用户的传输率；

（2）反应时间：

用户所能容忍的数据报传递延时；

　　（3）抖动：

延时的变化；

　　（4）丢失率：

数据包丢失的比率。

　　网络资源是有限的，有时用户要求的网络资源得不到满足、通过QoS机制对用户的网络资源分配进行控制以满足应用的需求。

QoS机制具有通信处理机制以及供应（Provisioning）和配置（Configuration）机制。

通信处理机制包括、区分服务（differentiatedserviceper-hop-behaviors，DiffServ）、综合服务（integratedservices，IntServ）等等。

现在大多数局域网是基于IEEE802技术的，如以太网、令牌环、FDDI等，为这些局域网提供了一种支持QoS的机制。

对链路层的802报文定义了一个可表达8种优先级的字段。

优先级只在局域网中有效，一旦出了局域网，通过第三层设备时就被移走。

DiffServ则是第三层的QoS机制，它在IP报文中定义了一个字段称DSCP（DiffServcodepoint）。

DSCP有六位，用作服务类型和优先级，路由器通过它对报文进行排队和调度。

与、DiffServ不同的是，IntServ是一种服务框架，目前有两种：

保证服务和控制负载服务。

保证服务许诺在保证的延时下传输一定的通信量；

控制负载服务则同意在网络轻负载的情况下传输一定的通信量。

典型地，IntServ与资源预留协议（ResourcereservationProtocol，RSVP）相关。

IntServ服务定义了允许进入的控制算法，决定多少通信量被允许进入网络中。

　　供应和配置机制包括RSVP、子网带宽管理（subnetbandwidthmanager，SBM）、政策机制和协议以及管理工具和协议。

这里供应机制指的是比较静态的、比较长期的管理任务，如：

网络设备的选择、网络设备的更新、接口添加删除、拓扑结构的改变等等。

而配置机制指的是比较动态、比较短期的管理任务，如：

流量处理的参数。

　　RSVP是第三层协议，它独立于各种的网络媒介。

因此，RSVP往往被认为介于应用层（或操作系统）与特定网络媒介QoS机制之间的一个抽象层。

RSVP有两个重要的消息：

PATH消息，从发送者到接收者；

RESV消息，从接收者到始发者。

RSVP消息包含如下信息：

1、网络如何识别一个会话流（分类信息）；

2、描述会话流的定量参数（如数据率）；

3、要求网络为会话流提供的服务类型；

4、政策信息（如用户标识）。

RSVP的工作流程如下：

（1）会话发送者首先发送PATH消息，沿途的设备若支持RSVP则进行处理，否则继续发送；

（2）设备若能满足资源要求，并且符合本地管理政策的话，则进行资源分配，PATH消息继续发送，否则向发送者发送拒绝消息；

　　（3）会话接收者若对发送者要求的会话流认同，则发送RESV消息，否则发送拒绝消息；

　　（4）当发送者收到RESV消息时，表示可以进行会话，否则表示失败。

　　SBM是对RSVP功能的加强，扩大了对共享网络的利用。

在共享子网或LAN中包含大量交换机和网络集线器，因此标准的RSVP对资源不能充分利用。

支持RSVP的主机和路由器同意或拒绝会话流，是基于它们个人有效的资源而不是基于全局有效的共享资源。

结果，共享子网的RSVP请求导致局部资源的负载过重。

SBM可以解决这个问题：

协调智能设备。

包括：

具有SBM能力的主机、路由器以及交换机。

这些设备自动运行一选举协议，选出最合适的设备作为DSBM（designatedSBM）。

当交换机参与选举时，它们会根据第二层的拓扑结构对子网进行分割。

主机和路由器发现最近的DSBM并把RSVP消息发送给它。

然后，DSBM查看所有消息来影响资源的分配并提供允许进入控制机制。

　　网络管理员基于一定的政策进行QoS机制配置。

政策组成部分包括：

政策数据，如用户名；

有权使用的网络资源；

政策决定点（policydecsionpoint，PDP）；

政策加强点（policyenforcementpoint，PEP）以及它们之间的协议。

传统的由上而下（TopDown）的政策协议包括简单网络管理协议（SimpleNetworkManagementProtocol，SNMP）、命令行接口（CommandLineInterface，CLI）、命令开放协议服务（CommandOpenProtocolServices，COPS）等。

这些QoS机制相互作用使网络资源得到最大化利用，同时又向用户提供了一个性能良好的网络服务。

三、INTRANET和EXTRANET利用PPTPVPN互联互通

INTRANET与EXTRANET实现互联互通的拓扑图：

由于在实验室试验，我们将Internet改为不同网段的路由代替。

拓扑图如下：

四、实现步骤

（一）VPN服务端的配置

1、网上邻居属性，创建一个新连接。

2、新建连接向导

3、选择设置高级连接

4、选择接受传入的连接

5、允许虚拟专用链接

6、点添加，来设置一个账户

7、点下一步，出现网络软件，这里要设置TCP/IP协议，创建VPN获取内网地址的范围，选择TCP/IP，然后属性

8、出现地址池，应为XP的这个地址选择比较简单，建议你设置一个获取IP的范围，不建议用：

DHCP。

注意：

这里写的IP地址一定要是空闲的IP，没被使用的IP,不然会产生冲突。

9、完成

（二）VPN客户端的配置

1、建立一个VPN拨号连接，网上邻居属性—常见新连接—选择连接到我的工作场所的网络

2、选择虚拟专用网络连接

3、填写VPN外网IP地址

4、最后完成，出现刚刚建立的拨号方式。

5、双击填写开始设置的账户和密码

完成

五、测试结果

1、没有没连接VPN之前的网络。

能访问架设VPN的服务器，但是无法访问内网。

2、连接VPN后。

分配到了一个内网IP，而且能访问内网。

实验成功。

六、总结

通过这次课程设计，对VPN有了更深刻的了解。

VPN的前景很广阔，因为它保障了传输数据的安全性，可以解决传统的远程访问方式成本高的问题。

对于企业公司以及各个需要保护自己的数据安全的用户来说是一个很大的需求。

我们在设计过程中也遇到了一些问题，比如把VLAN2和VLAN3做路由连通，刚开始没有激活IP路由，所以VLAN2和VLAN3老是ping不通，检查接线也没有问题，最后查书才发现是没有激活IP路由，一个很简单的问题，被我们弄了这么久才解决，可见做任何事细心都非常重要。

这次课程设计对我的帮助也很大，不管是理论知识还是实际动手能力，都有一定的提高也为以后网络的组建和设计打下一个基础。