虚拟专用网络管理及技术研究.pdf

摘要 近五年来基于因特网的（TCP/IP ） 虚拟专用网络（VPN ）发展迅速， 在业内受到广泛的关注。这项新的技术通过互联网络服务供应商 （ISP ）访问企业内部专用网络的资源和信息。应用不同的安全技术， 防止这些资源和信息被同一个网络上其他用户不合法的访问。 VPN 供应商承诺与传统的线路租赁方案相比 VPN 更能节约成本，这 是目前关于 VPN 最常用的宣传用语。使用 VPN 的产品可以建立具有 可扩展性和可管理性的 VPN 网络，并且可以支持最新的网络和安全 技术。 然而，节约成本并不总是能实现，例如企业已经投资了别的技术方案， 或者从规模上来看节约不了成本。此外，新的 VPN 技术 还不能完全 提供原来许诺的可扩展性和可管理性，因此不能被广泛的使用。另外， 尽管相关的标准化组织致力于标准 的制定，但是新的标准例如 （IPsec ）仍然不能在不同厂家的VPN 产品中互通。 我们分析了基于 TCP/IP 的VPN 技术及定义了相关的要求，例如服务 质量，可管理性，互操作性，综合性及连通性。文中总结了现有 VPN 存在的问题，并提出了解决方案和建议。通过利用不同的技术和工具 来满足下一代 VPN 产品的需求。 本文的主要工作是: 提出了一个使用基于 TCP/IP 的虚拟专用网络模 III 型，并且讨论及详细分析了在该模型中实现的安全技术。这个行业仍 然是比较新的技术领域而且市场上的产品非常有限。同时我们介绍了 通用定义和特定环境下 VPN 的应用和实现。为了了解VPN 概念，我 们分析了它的服务，结构，网络及安全性。通过提供 VPN 配置的例 子来介绍所有提到的虚拟专用网络的技术。同样这例子作为前期的介 绍来分析 VPN 的管理在第七章。 因为VPN 涉及了多种企业的不同的网络管理方式，因此对VPN 的管 理具有挑战性。VPN 网络不能简单的通过它的产品来实现。VPN 的 管理和技术选择是非常重要的。在管理 VPN 时，业务的服务质量， 网络的安全性及连通性是很重要的。另外，为了满足不同企业的需求， 不同产品之间的互操作性是必要的。用来管理 VPN 的技术局限在 LOGGING EVENTS 及一些 SNMP 支持。与现有的网络管理系统的集 成是个难点。网络管理者必须安装，配置及管理其它网络设备，该设 备就是故障发生点。 在以下的条件下 VPN 可以得到充分的利用： 1． 将 VPN 功能模块集成到现有的网络设备来阻止故障的发生。 2 ． 增加更多不同的安全技术来提高承诺的互操作能力。 3 ． 现有的网络管理系统和 VPN 网络管理系统相结合。 4. 为了提供可管理性的配置及用户期待的服务，很多管理域必须定 义端到端的 VPN 管理特性。客户网络管理可作为其中的一部分。 IV 5. 因为防火墙有时会阻止访问，所以以前的管理技术例如 ping 及 traceroute 不能完全被支持。为了实现端到端的具有可管理性和 可扩展性的 VPN ，还需要进一步发展 SNMP 和新的管理技术。 关键词：虚拟专用网络（VPN ），IPsec 协议, IKE 书协议, 验证， 人证，服务质量（QoS ），Diffie-Hellman ， 域名服务器（DNS ）， 帧中断（FR ）， 封装安全净载重量（ESP ），端到端的协议，端 到端的通道协议，安全协会（SA），简单网络管理协议 （SNMP ）. V Abstract In the last five