虚拟专网的设计和多协议的处理.pdf

摘要 摘要 传统的企qk组网方案巾，要进行远程LAN到LAN互联，除了租用DDN专线 或帧中继之外，并无更好的解决方法。对于移动用户与远端用户而言，只能通过 拨号线路进入企业各自独立的局域网。随着全球化的步伐加快，移动办公人员越 来越多，公司客户关系越来越庞大，这样的方案必然导致高昂的长途线路租用费 Pri vate VPN(virtual 及长途电话费。于是，虚拟专用|：c)9 Network)的概念与 市场随之出现。 虚拟专用网是企业网在冈特网等公共网络上的延伸，通过一个私有的通道在 公共网络上创建一个安全的私有连接。企业之所以采用专用网是因为其对网络与 通信服务有特殊的要求：要求有服务质量的保证，如带宽，传输延时等；要求保 证传输数据的安全性。基于1Psec的虚拟专用网通过安全的数据通道将远程用 户，公司分支机构，公司业务伙伴等跟公司的企业网连接起来，构成一个扩展的 公司企业网，满足了用户这样的要求。由于全球化的企业为VPN提供了市场，并 且Internet的迅猛发展为VPN提供了技术基础，使得VPN开始遍布全世界。 基于分解策略和考虑问题的复杂性，本文作者选择一个具体的虚拟专网为主 要研究对象，通过对网络的设计与搭建，从设计角度阐述了如何应用隧道技术 企业所需的虚拟专用网络，并根据客户的需求部署网络安全设备，把流向私有网 络的数据包从流向公芡互联网络的数据包中过滤分离出来，确保用户不论通过局 域网还是公共互联网络，都能够方便安全的与外地公司进行数据的交流。 在第三层虚拟专网的搭建过程中，安全加密’最备需要已知范围的IP地址或 固定范围的I}I地址，所以动态分配地址不太适合于IPsec。另外除了TCP／IP协 议以外，IPsee不支持其它协议，对于采用NAT方式访问公共网络的情况，IPsec m议除了包过滤外，没有指定其它访问控制方法，因此就显得难以处理。本文作 者在研究分析了IPsec与NAT协议的原理与应用特点后，结合实际网络环境， 针对一个具体的VPN的搭建，提出了使用策略路由屏蔽静态地址转换的方法， 通过对一个逻辑端口的巧妙运用，最终达到IPsec协议与NAT协议在同一VPN 中其存的目的。 论文中主要的研究成果如下： 『11． 综述网络安全的含义，根据虚拟专网的特点及应用环境，从技术和功 能两个方面对VPN进行了分类，并提出了创建虚拟专网的基本要求。 [2】． 详细分析了IP网络安全协议族中各项主要协议，并从IPsec的两种应 用模式入手，通过用原始IP数据包帧结构与各类IPsec力H密数据包帧结构的比较， 对IPsec的实现机制从理论层面进行了论证，并对DES密码技术在虚拟专网中的 应用进行了探讨。 [3]． 分析了网络地址转换技术的优点和局限性，并根据实际工作经验对应 用NAT时遇到的问题提出了相应的解决办法。 摘嘤 [4]． 根据各自协议的特点，从协议相容性角度分析了造成IPsec协议与 NAT协议无法在同一网络中共用的原凶。并介绍了当Ij仃VPN领域解决此类问题 的典型方案。 [5]． 提出如何根据客户需求设计虚拟专网的思路，以及如何使用虚拟端口 概念规避冲突，实现IPsec与NAT的共存。 关键词：lP数据包，虚拟专用网，网络安全协议，数据加密标准，国际数据加 密算法，网络地址转换，共用，冲突，路山器，防火墙，广域网 垒!!塑竺 ————一 Abstract Inthetraditionalmethodsof wewantto network，whenconnectLAN enterprise TO no