基于IPSec的VPN网络设计.docVIP

基于IPSec的VPN网络设计 　　摘要：VPN技术能够在公共网络的基础之上，构建企业专用的私有网络。VPN技术涵盖了跨公共网络的数据报文封装、加密和身份验证等技术。本文针对基于IPSec的VPN网络技术进行研究，并以一个实例对VPN网络的组建方案和配置流程进行描述。 　　关键词：VPN；IPSec；ISA服务器 　　中图分类号：TP393.08 　　虚拟专用网络（Virtual Private Network，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个的构建的VPN网络是没有以往老式的线路连接的，它是在公用网络的层次之上的一个特殊的网络使用平台，比如我们所讲的帧中继、ATM等都是属于这种VPN网络的范围之中，企业的文件或者数据传输是在一个虚拟的网络连接路段中来实现的。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。 　　1IPSec VPN概述 　　1.1IPSec协议简介 　　IPSec(IP Security)是在IPv6标准的制定过程之中提出的，用于为互联网提供IP层的安全性保障。所有基于TCP／IP协议系统的计算机设备进行数据交互时，IP层的数据处理是必需的环节，因此在IP层的提供了安全性保障就等同于为整个TCP/IP协议体系提供了安全性保障。考虑到IPv4标准的应用仍然很普遍，因此在后续IPSec的研究中也加入了对IPv4标准的支持。 　　1.2IPSec协议的基本原理 　　IPSec协议的本质是一种包过滤防火墙技术，通过对包过滤防火墙技术进行一系列的改进和扩展而得到。基于包过滤防火墙技术，每当接收到一个IP数据包时，防火墙就在一个规则表内对该数据包的头部进行匹配。若能够在规则表中找到一个与其相匹配的规则时，防火墙就使用该规则约定的方法对所接收到的数据包进行丢弃活着转发的处理。 　　IPSec协议在上述的包过滤防火墙技术中对数据包的处理方式的基础上进行了一定的改进，在IPSec协议中设置了安全策略数据库(Security Po1icy Database，SPD)，在对每个数据包进行处理时通过查询SPD数据库决定如何对IP数据包进行后续的处理。同时，在对IP数据包的处理方式上增加了一种IPSec处理方式，对传输的IP数据包进行了加密和认证处理，从而将原始的IP数据转换成加密的IP报文在网络中进行传输。通过引入该处理策略，使得IPSec协议不仅能够对所接收到IP数据包进行筛选，从而控制由本网络设备发出或者其他网络设备发往本网络设备的IP数据包的通过，从而能够拒绝某些非授权的外部网络设备访问本地网络的内部网络设备，同时也可以防止本地网络内部的网络设备访问外部的非授权站点。此外，IPSec协议通过对传输的数据包进行加密和认证之后，在外部网络中所传输的就是加密的IP报文。因此该技术能够有效的防止所传输的数据包被外部设备截取和篡改，从而显著提高了所传输数据的保密性，可靠性和可信度。 　　IPSec协议既能够对所传输的IP数据包只进行认证操作，也可以只对其进行加密，也可以同时进行加密和认证。但不管是启动了加密处理还是启动了认证处理，在IPSec协议中都支持两种工作模式，即隧道模式和传输模式。其中，在隧道模式下IPSec处理过程中对IP数据包整体进行加密或者认证处理。在传输模式中只对原始IP数据包的有效负载部分进行加密或者认证处理。 　　2VPN的应用 　　VPN网络的典型应用场景包括：（1）构建企业的总部和分部之间的VPN网络；（2）构建企业与合作伙伴之间的VPN网络；（3）为企业的远程终端构建访问企业内部网络的通道。 　　其中前两种场景较为相似，只是网络访问规则不同。因此本文以一个具有一个分支机构的小型企业VPN的应用需求为背景，详细介绍基于IPSec技术为其建立分部与总部和远程终端之间的VPN网络的方法和过程。 　　2.1网络组建方案 　　VPN网络的拓扑结构如下图所示，总部和分部以及远程终端之间通过互联网进行连接。 　　 　　图1网络拓扑结构图 　　总部、分布、以及远程终端各主机的IP地址分配如下表所示： 　　地点 网络类型 IP DG 　　总部 外部网络 　　 内部网络 67 None 　　分部 外部网络 　　 内部网络 None 　　移动用户 外部网络 　　 　　2.2配置流程 　　本文仅以总部到分部之间的VPN连接为例，对VPN网络的配置进行描述。其具体操作步骤包括： 　　第一步：在总部ISA服务器上为分支机构建立远程站点，包括设置远程站点的VPN协议类型为L2TP并设置启用PPTP和L2TP/IPSec协议，在网关属性中设置远程产的名称和IP分别为Branch和。