发布时间 : 星期三 文章毕业设计论文-一种基于dmvpn技术的网络平台的设计论文更新完毕开始阅读23120a616ad97f192279168884868762caaebbc7
的安全性提供了有力的保证。从而达到完美解决现网中存在不足和缺陷。
1.5本文主要内容
本文通过A市基于DMVPN的福利彩票销售系统网络平台改造项目的设计与实现,深入研究和分析了传统虚拟专用网存在的问题。针对A市福彩销售网络具体现状,提出了有针对性的技术解决方案,即采用动态多点虚拟专用网,并分析了DMVPN技术的优点,将此技术应用到具体项目中,成功解决了平台改造项目的技术难题。
第一章主要介绍论文的研究背景和意义,当前VPN技术的发展现状,以及本文的主要内容。
第二章对动态多点虚拟专用网的相关技术基础作一些简要介绍,DMVPN技术是融合mGRE和NHRP再配合IPSec的一种综合技术,所以基础技术也是很重要的。
第三章根据具体项目的背景进行方案的设计和规划,画出网络拓扑图,并进行IP地址的划分和路由的规划,为成功实施项目做好准备工作。
第四章是福彩销售系统网络平台改造项目的具体实施,也是本文的重点之一,完成设备的命名规范、设备的配置、以及项目实施后的测试。
第五章是结论,介绍课题的完成情况和得出的结论。
- 5 -
第二章 相关技术概述
2.1虚拟专用网
2.1.1虚拟专用网概述
虚拟专用网(VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式)、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。在传统的企业网络配置中,要进行异地局域网之间的互连,传统的方法是租用DDN(数字数据网)专线或帧中继。这样的通讯方案必然导致高昂的网络通讯维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般通过拨号线路(Internet)进入企业的局域网,而这样必然带来安全上的隐患。
虚拟专用网的提出就是来解决这些问题:
1) 使用VPN可降低成本——通过公用网来建立VPN,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。
2) 传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性。
3) 连接方便灵活——用户如果想与合作伙伴联网,如果没有虚拟专用网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了虚拟专用网之后,只需双方配置安全连接信息即可。
4) 完全控制——虚拟专用网使用户可以利用ISP (Internet Service Provider,互联网服务提供商)的设施和服务,同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源,对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。 2.1.2 VPN技术基础 VPN安全技术
目前 VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加密技术(Encryption&Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。 1、隧道技术
隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层
- 6 -
隧道协议。第二层隧道协议是先把各种网络协议封装到PPP(Point to Point Protocol,点对点协议)中,再把整个数据包装入隧道协议中进行传输。第二层隧道协议有L2F (Level 2 Forwarding protocol ,第二层转发协议)、PPTP(Point to Point Tunneling Protocol, 点对点隧道协议)、L2TP(Layer 2 Tunneling Protocol , 第二层隧道协议)等。第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输,第三层隧道协议有VTP(VLAN Trunk Protocol)、IPSec等。
2、加解密技术
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。 3、密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥:在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
4、使用者与设备身份认证技术
使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。 VPN使用的安全协议
SOCKS v5、IPSec、PPTP、L2TP四种协议是建设VPN经常使用的几种协议,他们工作在OSI网络模型的不同层次上,因此他们能够提供的服务也有所不同。相对PP2P/L2TP/SOCKS v5而言,IPSec协议具有最好的网络适应性和应用承载性,因此基于IPSec的VPN也是目前应用最广泛的一种。如表2-1所示列出了OSI(Open System Interconnection ,开放式系统互联参考模型)参考模型与相应层次的安全技术和所用的安全协议。
表2-1 OSI参考模型与相应层次的安全技术和所用的安全协议 OSI七层模型 会话层 传输层 网络层 数据链路层 物理层
包过滤 安全技术 会话层代理
安全协议 SOCKS v5/SSL
IPSec PPTP/L2F/L2TP
—
2.2 IPSec VPN的基本原理
IPSec协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。其中私有性
- 7 -
(Confidentiality)指对用户数据进行加密保护,用密文的形式传送:完整性(Data integrity)指对接收的数据进行验证,以判定报文是否被篡改;真实性(Data authentication)指验证数据源,以保证数据来自真实的发送者;防重放(Anti—replay)指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。
1) AH和ESP协议
IPSec通过AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)这两个安全协议来实现上述目标。并且还可以通过IKE(Internet Key Exchange,因特网密钥交换协议)为IPSec提供了自动协商交换密钥、建立和维护安全联盟的服务,以简化IPSec的使用和管理。
AH是报文头验证协议,主要提供的功能有数据源验证、数据完整性校验和防报文重放功能;然而,AH并不加密所保护的数据报。
ESP是封装安全载荷协议,它除提供AH协议的所有功能之外(数据完整性校验不包括IP头),还可提供对IP报文的加密功能。 2) 安全联盟
IPSec在两个端点之间提供安全通信,端点被称为IPSec对等体。IPSec能够允许系统、网络的用户或管理员控制对等体间安全服务的粒度。例如,某个组织的安全策略可能规定来自特定子网的数据流应同时使用AH和ESP进行保护,并使用3DES(Triple Data Encryption Standard,三重数据加密标准)进行加密;另一方面,策略可能规定来自另一个站点的数据流只使用ESP保护,并仅使用DES加密。通过SA(Security Association,安全联盟),IPSec能够对不同的数据流提供不同级别的安全保护。安全联盟是IPSec的基础,也是IPSec的本质。SA是通信对等体间对某些要素的约定,例如,使用哪种协议(AH、ESP还是两者结合使用)、协议的操作模式(传输模式和隧道模式)、密码算法(DES和3DES)、特定流中保护数据的共享密钥以及密钥的生存周期等。安全联盟是单向的,在两个对等体之间的双向通信,最少需要两个安全联盟来分别对两个方向的数据流进行安全保护。同时,如果希望同时使用AH和ESP来保护对等体间的数据流,则分别需要两个SA,一个用于AH,另一个用于ESP。安全联盟由一个三元组来唯一标识,这个三元组包括SPI(Security Parameter Index,安全参数索引)、目的IP地址、安全协议号(AH或ESP)。SPI是为唯一标识SA而生成的一个32比特的数值,它在AH和ESP头中传输。安全联盟具有生存周期。生存周期的计算包括两种方式:以时间为限制,每隔指定长度的时间就进行更新;以流量为限制,每传输指定的数据量(字节)就进行更新。 3) IPSec协议的操作模式
IPSec协议有两种操作模式:传输模式和隧道模式。SA中指定了协议的操作模式。 在传输模式下,AH或ESP被插入到IP头之后但在所有传输层协议之前,或所有其他IPSec协议之前。
在隧道模式下,AH或ESP插在原始IP头之前,另外生成一个新头放到AH或ESP
- 8 -