黛蓝公司VPN网络方案设计与分析

LUOYANG NORMAL UNIVERSITY

2013届本科毕业设计

黛蓝公司VPN网络方案设计与分析

院（系）名称 专 业 名 称 学学指

导

教生

姓

名 号 师

信息技术学院 网络工程 XXX 091124030

讲师 2013年4月

完 成 时 间

黛蓝公司VPN网络方案设计与分析

摘要

先进的网络系统对于企业加强管理、提高工作效率和增加市场竞争力是至关重要的。企业网络采用的技术必须先进、成熟、稳定、可靠的网络系统。同时，对于身处异地的分支机构或者分公司、办事处，或者在外出差的公司员工，需要为其提供高效、实时的内网访问，保证相关业务的准确高效。并且在远距离传输过程中要保证数据不被窃听和篡改。

本文具体分析了VPN技术的现状和发展趋势，介绍了VPN的产生、特征和优势。阐述了黛蓝公司及该公司VPN网络建设的需求，并对IPSec VPN，SSL VPN与MPLS VPN三种方案的进行了对比分析，给出了它们各自的适用场景。从公司的实际需求出发，针对现今各种流行的VPN技术进行了分析比较，结合实际应用背景给出两个解决方案，即基于IPSec VPN和SSL VPN在黛蓝公司中的部署方案，并详细地给出了它们的设计和实现方法。从原理到结构，从设置到最后的维护都做了详细的分析。最后通过实验模拟，得出了VPN的实际效用。

关键词：VPN；安全负载封装；安全套接层；多标签交换协议

I

洛阳师范学院2013届本科生毕业设计

Abstract

The advanced network system strengthens the management, the enhancement working efficiency regarding the enterprise and increases the market competitiveness is very important. The enterprise network uses the technology must advanced, mature, stable, the reliable network system, simultaneously, regarding places the different place the Branch office or the subsidiary company, the office, or enterprise staff who travels on official business in outside, needs to provide highly effective, the real-time in net visit for it, guaranteed that related service accurate highly effective, simultaneously, in the long-distance transmission process must guarantee that the data is not intercepted and the distortion.

This article analyzes the present situation and development tendency of VPN technology, this article introduces the generation of VPN, features and advantages. Elaborated the cross each company and the company VPN network construction requirements, and the IPSec VPN and SSL VPN and MPLS VPN has carried on the comparative analysis of three kinds of the programmes, given their respective applicable scenario. Starting from the company's actual demand, according to the current popular VPN technology has carried on the analysis and comparison, combined with practical application background gives two solutions, based on IPSec VPN and SSL VPN deployment plan in cross each company, and design and implementation of the method are given in detail. From the principle to the structure, from set up until the last maintenance have made detailed analysis. Finally through simulation experiments, it is concluded that the actual effectiveness of the VPN.

Keywords: VPN ; IPSEC;SSL;MPLS

II

黛蓝公司VPN网络方案设计与分析

目 录

第1章 绪论 ........................................................ 1

1.1研究背景 .................................................... 1 1.2 技术发展现状 ................................................ 1 第 2 章 黛蓝公司介绍 ............................................... 4

2.1 公司背景介绍 ................................................ 4 2.2 公司远程接入需求 ............................................ 4 第3章 黛蓝公司VPN建设需求 ........................................ 5 第4章 VPN方案比较分析 ............................................. 7

4.1 VPN综述 .................................................... 7

4.1.1 VPN的概念 ............................................. 7 4.1.2 VPN的特征 ............................................ 7 4.1.3 VPN的优势 ............................................ 7 4.2 VPN分类介绍 ................................................ 8

4.2.1 按VPN的业务类型划分 .................................. 8 4.2.2 按VPN的实现技术划分 ................................. 11

4.2.2.1 IPSEC VPN的种类： .............................. 11 4.2.2.2 IPSEC 概述 ...................................... 11 4.2.2.3 IPSEC框架结构 .................................. 13 4.2.2.4 IPSEC 封装模式 .................................. 14 4.2.2.5 Internet Key Exchange ........................... 14 4.2.3 SSL VPN .............................................. 16

4.2.3.1 SSL VPN 概述 .................................... 16 4.2.3.2 SSL VPN原理 .................................... 17 4.2.3.3 SSL VPN优势 .................................... 17 4.2.4 MPLS VPN ............................................. 19

4.2.4.1 MPLS 概述 ....................................... 19 4.2.4.2 MPLS 原理 ....................................... 20 4.2.4.3 MPLS VPN优势 ................................... 21

第5章 适合公司的VPN网络构建 .................................... 23

5.1 公司VPN技术选择 ........................................... 23 5.2 公司VPN设计选择 ........................................... 24

III

洛阳师范学院2013届本科生毕业设计

第6章 组建公司VPN网络 ........................................... 25

6.1 公司VPN总体设计 ........................................... 25 6.2 IPSEC VPN建设 ............................................. 25

6.2.1 集团IPSEC VPN部署 ................................... 25 6.2.2 IPSEC VPN基本配置 .................................... 26 6.3 SSL VPN建设 ............................................... 30

6.3.1 SSL VPN部署 .......................................... 30

6.3.2 SSL VPN基本配置 ...................................... 31 第7章 VPN管理与维护 .............................................. 34

7.1 IPSEC VPN 的管理与维护 ..................................... 34 7.2 SSL VPN的管理与维护 ....................................... 34 第8章 工作总结和展望 ............................................. 35 参考文献 .......................................................... 36 致 谢 ............................................................ 37

IV

黛蓝公司VPN网络方案设计与分析

第1章 绪论

1.1研究背景

21世纪的中国，聚焦了世界的目光，经济空前繁荣，企业面临着异常激烈的竞争，机遇与挑战并存。如何提高运营效率和客户满意度，如何控制并降低成本，如何获得业务的快速增长，如何增强核心更大的竞争力，成为企业负责人最关心的话题。信息技术在各行各业发展中起到的作用不断凸显，信息化为我们带来了相当高效率的业务模式，信息化为企业的高速发展提供了最新的技术保证，如何让信息技术转化为高生产力，并最终成为核心的竞争力，将是每位企业信息主管不断思考的话题。

先进网络系统对于企业加强管理、提高工作效率和增加市场竞争力是至关重要的。因此，企业网络采用的技术必须先进、成熟、稳定、可靠的网络系统，同时，对于身处异地的分支机构或者分公司，办事处，或者在外出差的企业员工， 需要为其提供高效，实时的内网访问，保证相关业务的准确高效，同时，在远距离传输过程中要保证数据不被窃听和篡改。于是，各种远程互联技术应运而生，对于各种解决方案，其中的建设费用，以及相应的维护，改造，扩展等费用，以及不稳定性，不安全，不能保证特殊服务，所以产生了一种综合的应用解决方案——VPN技术。当下，充斥着多种VPN技术。在本设计中，针对公司的特殊需要，详细分析比较了几种VPN技术的利弊，以及相应的实验验证，得出了较好的解决方案。

1.2 技术发展现状

近十年，VPN已从电话公司仅仅提供语音业务发展到了提供数据/语音混合，甚至多媒体业务。相应的技术也从基于DDN,帧中继(Frame Relay), ATM发展到了IP VPN，直至现在的MPLS VPN。

SSL VPN市场近些年来一直保持着快速增长的势头，在之前IT调研公司发布的中国SSL VPN市场分析报告中可以看到，在中国的SSL VPN市场在过去的一年里保持10.3%左右的健康增长。这其中，对于安全接入的需求增长起到了非常重要的促进作用。

SSL VPN市场现状：政府和大中型企业等需求显著。近些年来，各级政府对于信息化建设的投入一直在大幅度增加，这其中，无论是社保医疗网络的建设，还是财务税收信息化的建设，每个环节都在大踏步地迈进信息化时代，在此背景之下，

1

洛阳师范学院2013届本科生毕业设计

各级政府对其网络的稳定性具有非常高的要求，SSL VPN在这些方面具有较强的先天优势，从而获得了政府行业更多的政策性支持；另外一方面，对于保密性质较高的政府网络来说，防黑防盗是一个长期的课题，SSL VPN产品突出的安全性能也更容易受到用户的青睐。

大型企业和中型企业方面，其往往具有信息化程度高、跨地域业务多和外包合作多的特点。这与政府行业更多是单纯跨地域的网络连通具有一定的差异。为了保证在不同网络、不同地域机构之间的业务连续性，相当数量的用户都选择了比较安全稳定的SSL VPN产品。

从未来市场增长的角度来看，移动终端和私有云的大规模发展也会对SSL VPN市场的增长起到一个巨大的促进作用。

国外研究IPsec VPN较早，从1995年开始，IETF着手研究制定了一套用于保护IP通信的IPsec安全协议族，1998年制订了IP安全框架。 IPsec提供既可用于IPv4也可用于IPv6的安全性机制，它是工Pv6的一个组成部分，也是IPv4的一个可选扩展协议。通过实现和扩展工IPsec协议族，国外厂商纷纷推出了面向不同市场的IPsec VPN产品。除拥有IPsec VPN基本的加密、认证等功能外，还和防火墙、IDS等设备融合，形成了具有VPN功能的网络安全设备。为满足不同的用户需求，各厂商还推出了拥有独特功能的IPsec VPN，例如Cisco支持其专有Hub-and-Spoke技术的VPN。IPsec VPN技术的长足发展，还促使产生了许多开放源代码的IPsec VPN软件。

国内IPsec VPN已有数年的研究发展历史。初期主要是通过研究、分析国外开源VPN软件，模仿国外大公司软件功能的做法推出产品.随着技术积累沉淀，国内网络安全公司也开始研发具有自主知识产权、独特功能的IPsec VPN产品.特别是在加密算法、认证方式、NAT穿越等适应国内网络发展现状的技术领域中获得了长足进步。

MPLS VPN业务近几年引起了全球运营业的普遍关注。国外大的运营商如AT&T, sprint, Verizon, Bellsouth, NTT都己经开始应用MPLS网络。我国运营商中最早推出MPLS VPN业务的是中国网通，推出时间为2002年6月。随着市场前景的日益看好，中国电信、中国铁通也开始提供这项服务。此外，一些跨国运营商也开始关注中国市场，围绕MPLS VPN业务的竞争正在中国市场上逐渐升温。

2

黛蓝公司VPN网络方案设计与分析

作为网络之国的美国，美国政府非常重视MPLS VPN技术的发展。2004年初，美国全国性运营商sprint推出针对企业用户的MPLS VPN业务。至此，sprint己经拥有了数据网互联方面所有的服务产品，包括旧有的传统专用线、帧中继、ATM,IP接入等等。在接下来的两年里，sprint希望在自己的专有IP网和全球IP平台上都采用MPLS VPN技术，并且集成以前的Internet接入和远程接入服务。

MPLS VPN在我国己经进入市场成长期，越来越多的运营商会提供相应的产品，有两个方面的经验可以借鉴：其一国外同行的运营经验，其二国内同行和自己的经验教训。总的来说，首先，运营商一定要结合其他的VPN技术，如租用线、IP VPN、帧中继、ATM来提供满足不同用户不同需求的整体解决方案；再次要确保运营质量，如可靠性、QoS等;第三要努力降低网络操作维护的复杂度，提高网络的利用率，优化网络资源的使用;最后就是要加强和内容提供商的合作，特别注意及时引入新业务吸引用户。运营商相继推出MPLS VPN服务，可能产生的最主要问题是特殊安全需求和互联互通问题。

在我国，因为在公共信息基础平台上发展专有网络已是大势所趋，唯一让用户担心的是安全性。实际上，MPLS VPN针对一般用户，己经可以提供虚电路级的安全性。但是在特殊要求的场合，比如公安、国防领域、电子交易、传送敏感信息、商业文件时，用户需要更加安全的保障措施。所以在吸引此类传统的专网用户时，运营商应该着力应对，提出更值得信赖的解决方案，比如IPSec加MPLS VPN。MPLS VPN应是未来VPN实现技术的趋势与主流。

3

洛阳师范学院2013届本科生毕业设计

第 2 章 黛蓝公司介绍

2.1 公司背景介绍

黛蓝化妆品有限公司是一个以生产和销售化妆品和批发原材料为主，兼营销内衣等行业的有限公司。“DIALEN·黛蓝”品牌文化渊源深厚而悠久，传承意大利香熏制品的精髓，着力打造精油市场最具影响力的品牌。“黛蓝”产品的原料植物采集遍及世界各地，将最佳产地的最优品质的植物精油带到中国。

在产品中有六大产品系列，充分满足市场需求。产品系列为：黛蓝单方纯植物精油系列、复方功效型精油系列、纯植物精油组合套装系列、基础油系列、香薰浴盐系列、精油添加型护肤品系列。

营销方面充分调动公司人、财、物等营销资源，支持代理商、经销商的工作。提供全面性的销售、广告、促销解决方案，使品牌知名度迅速转化为市场利润。

代理、经销加盟机制完善、合理，充分保障市场渠道的合理利润；双方建立畅顺的沟通渠道，保证市场有效运转，力求“做一块市场，火一方水土”。

美容导师、专业人士组成“金牌讲师团”定期进行各种培训、 考核，提升美容院服务质素，以此带动销售，赢得更多顾客。

公司发展的需要，总公司在羊城广州，而大陆的分布在山西省会太原，以两个集中点来带动市场的推广。这样精心的公司当然必须有一个稳定，可靠，可拓展的网络才能适应公司的各种业务需求。

2.2 公司远程接入需求

黛蓝化妆品有限由于其所经营的业务涉及到产品的原料配置，企业的业务方案，还有销售计划以及员工资料的保密性，所以业务是否正常直接关系到公司生存的命脉。于是该公司需要保证网络24小时正常。总公司，子公司的远程互联要实时保证。同时，针对大文件传输，以及远程视频会议等都要保证其稳定可靠，移动办公人员要能随时访问公司资源。所以需求一种好的解决方案。于是，VPN技术为企业远程互联带来了保障。

4

黛蓝公司VPN网络方案设计与分析

第3章 黛蓝公司VPN建设需求

前一章中我们介绍了黛蓝公司是跨域式的公司并且公司的业务情况。以下我们来看下黛蓝公司的网络拓扑图

图3-1 黛蓝公司网络拓扑图

在网络设计中我们要考虑公司网络应具有的性质：

1. 高效性

该公司由于规模庞大，信息总量大且相关行业涉及到公司的经济命脉，所以对于实时的数据传输，以及远程视频会议等有着较高的需求；该公司要求保证远程视频会议无延迟，话音无失真；在数据传输方面要能够保证数据的实时传递，无延时。

2. 稳定性

稳定性是企业得以运转的重要保证，该公司需要全天24小时保证网络的稳定，不发生网络故障，对于远程接入方面，该公司要求接入后能保证网络的稳定，不出现掉线延迟等网络故障。

3. 安全性

5

洛阳师范学院2013届本科生毕业设计

该公司的业务涉及到公司一年业绩的稳定，公司的长治久安，所以该公司面对一切可能的威胁网络安全就显得尤为重要，特别是在远程的数据传输方面，更要保证不被窃听，篡改，伪造等。所以在网络安全上需要良好的设计，尤其在经过公网的数据传输。

4. 维护简单

该信息系统建成后能保证不需要复杂的维护就能保证网络的正常运转，发生故障时能快速恢复。且维护人员也不需要太多的专业性知识。

5. 系统可靠

目前Internet的接入已经非常普及，由于长期的投入建设，整个Internet线路已经达到了很高的水平，不仅带宽有保证，而且提供的接入方式多样。一旦某一条线路出错，可以使用其他备份线路接入Internet。因此单一线路可靠性虽然没有MPLS高，由于随时可以使用的其他线路作备份，因此系统具有很强的容错能力。这一点，是MPLS链路无法达到的。

6. 造价便宜

为了响应国家在十八大会议提到的关于建设节约型社会的号召，也为了减少公司的财务支出，该公司要求造价在保证性价比的基础上尽可能便宜。

本着上述原则，企业网络采用的技术必须先进、成熟、稳定、可靠的网络系统，同时，对于身处异地的分支机构或者分公司，办事处，或者在外出差的企业员工，需要为其提供高效，实时的内网访问，保证相关业务的准确高效，同时，在远距离传输过程中要保证数据不被窃听和篡改公司需要。在最少花费下取得最好的效果，达到公司验收标准。

6

黛蓝公司VPN网络方案设计与分析

第4章 VPN方案比较分析

4.1 VPN综述

4.1.1 VPN的概念

虚拟专用网络（Virtual Private Network ，简称VPN)就是建立在公用网上的，

由某一组织或某一群用户专用的通讯网络，其虚拟性表现在任意一对VPN用户之间没有专用的物理链接，而是通过ISP提供的公用网络来实现通信，其专用性表现在VPN之外的用户无法访问VPN内部的网络资源，VPN内部用户之间可以实现安全通信。这里讲的VPN是指在Internet 上建立的由用户（组织或个人）自行管理的VPN，而不涉及一般电信网中的VPN。后者一般指X.25，帧中继或ATM虚拟路线。 Internet本质上是一个开放的网络，没有任何的安全措施可言。随着Internet应用的扩展，很多要求安全和保密的业务需要Internet实现，这一需求促进了VPN技术的发展。各个国际组织和企业都在研究和开发VPN的理论技术，协议，系统和服务。应用中要根据具体的情况选用适当的VPN技术。实现VPN的关键技术有隧道技术，加解密技术，密钥管理技术，身份认证技术。

4.1.2 VPN的特征

1. 安全保障。VPN通过建立一个隧道，利用加密技术对传输数据进行加密，以

保证数据的私有和安全性。

2. 服务质量保证。VPN可以为不同要求提供不同等级的服务质量保证。 3. 可扩充、灵活性。VPN支持通过Internet和Extranet的任何类型的数据流。 4. 可管理性。VPN可以从用户和运营商角度方便进行管理。

4.1.3 VPN的优势

从客户角度看，VPN和传统的数据专网相比具有如下优势：

1.安全：在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接，保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融

7

洛阳师范学院2013届本科生毕业设计

合特别重要。

2.支持移动业务：支持驻外VPN用户在任何时间、任何地点的移动接入，能够满足不断增长的移动业务需求。

3.服务质量保证：构建具有服务质量保证的VPN(如MPLS VPN)，可为VPN用户提供不同等级的服务质量保证。从运营商角度看，VPN具有如下优势：

4.廉价：利用公共网络进行信息通讯，企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。

5.灵活：通过软件配置就可以增加、删除VPN用户，无需改动硬件设施。在应用上具有很大灵活性。

6.可运营：提高网络资源利用率，有助于增加ISP的收益。

7.多业务：SP在提供VPN互连的基础上，可以承揽网络外包、业务外包、客户化专业服务的多业务经营。

VPN以其独具特色的优势赢得了越来越多的企业的青睐，使企业可以较少地关注网络的运行与维护，从而更多地致力于企业的商业目标的实现。另外，运营商可以只管理、运行一个网络，并在一个网络上同时提供多种服务，如Best-effort IP服务、VPN、流量工程、差分服务，从而减少运营商的建设、维护和运行费用。 VPN在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性。在全球任何一个角落，只要能够接入到Internet，即可使用VPN。

4.2 VPN分类介绍

VPN可按业务类型和实现技术两个角度进行分类。

4.2.1 按VPN的业务类型划分

根据服务类型，VPN业务大致分为三类：接入VPN（Access VPN）、内联网VPN(Intranet VPN)和外联网VPN（Extranet VPN）。通常情况下内联网VPN是专线VPN。

1.接入VPN：通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。这是企业出差员工通过公网远程访问企业内部网络的

8

黛蓝公司VPN网络方案设计与分析

VPN方式。远程用户一般是一台计算机，而不是网络，因此组成的VPN是一种主机到网络的拓扑模型。

Access VPN的结构有两种类型

用户发起（Client-initiated）的VPN连接， 接入服务器发起（NAS-initiated）的VPN连接。

图4-1 接入VPN拓扑类型

Access VPN的优点

(1)减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络。 (2)实现本地拨号接入的功能来取代远距离接入或800电话接入，这样能显著降低远距离通信的费用。

(3)极大的可扩展性，简便地对加入网络的新用户进行调度。

(4)远端验证拨入用户服务（RADIUS）基于标准，基于策略功能的安全服务 2.内联网VPN：通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。这是企业的总部与分支机构之间通过公网构筑的虚拟网，这是一种网络到网络以对等的方式连接起来所组成的VPN。

9

洛阳师范学院2013届本科生毕业设计

Intranet VPN的优点 (1)减少WAN带宽的费用。

(2)能使用灵活的拓扑结构，包括全网孔连接。 (3)新的站点能更快、更容易地被连接。

(4)通过设备供应商WAN的连接冗余，可以延长网络的可用时间。

图4-2 内联网VPN拓扑类型

3.外联网VPN：这是企业在发生收购、兼并或企业间建立战略联盟后，使不同企业间通过公网来构筑的虚拟网。这是一种网络到网络以不对等的方式连接起来所组成的VPN（主要在安全策略上有所不同）。

10

黛蓝公司VPN网络方案设计与分析

图4-3 外联网VPN拓扑类型 Extranet VPN优点：

(1)能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。

(2)主要的不同是接入许可，外部网的用户被许可只有一次机会连接到其合作人的网络。

4.2.2 按VPN的实现技术划分

目前，主流的VPN技术有IPSec VPN、SSL VPN、MPLS VPN。

4.2.2.1 IPSEC VPN的种类：

1.无缝连接两个私有网络 2.允许远程用户接入 3.点到点 VPN 4.客户端工具接入

4.2.2.2 IPSEC 概述

IPSec VPN是一个应用广泛、开放的VPN安全协议技术，它提供了如何让保密性强的数据在开放的网络中传输的安全机制。它工作在网络层，为数据传输过程提

11

洛阳师范学院2013届本科生毕业设计

供安全保护，主要手段是对数据进行加密和对数据收发方进行身份认证。IPSec VPN技术可以设置成在两种模式下运行，一种是隧道模式，把IPv4数据包封装在安全的IP帧中进行传输，但这种方式系统开销比较大；另一种模式是传输模式，隐藏路由信息，提供端到端的安全保护。特定的通信方之间在IP 层通过加密和数据摘要(hash)等手段，来保证数据包在Internet 网上传输时的私密性(confidentiality) 、完整性(data integrity)和真实性(origin authentication)，防重放（protection against replays）等。

IPSEC协议簇包含以下协议。

图4-4 IPSec 协议簇

IPSec只能工作在IP层，要求乘客协议和承载协议都是IP协议

新增加的IP头 IPSEC头 被封装的原始IP包 IPSec数据包格式 必须是IP协议 必须是IP协议 图4-5 IP协议图

1.加密保证数据的私密性

通过加密把数据从明文变成无法读懂的密文，从而确保数据的私密性

12

黛蓝公司VPN网络方案设计与分析

图4-6 数据私密性描述

2.保证数据完整性（hash，sha）

图4-7 数据完整性描述

3.通过身份认证保证数据的真实性

4.通过身份认证可以保证数据的真实性。常用的身份认证方式包括： (1)Pre-shared key ，预共享密钥 (2)RSA Signature ，数字签名

4.2.2.3 IPSEC框架结构

13

洛阳师范学院2013届本科生毕业设计

图4-8 IPSEC框架

我们可以看到框架中包括IPSEC协议簇，数据加密，散列算法，以及密钥交换体系。

4.2.2.4 IPSEC 封装模式

IPSec支持以下两种封装模式：传输模式，隧道模式。

下面的两幅图可以很好的描述两种模式的区别。

1.传输模式：不改变原有的IP包头，通常用于主机与主机之间。

图4-9 传输模式封装图

2.隧道模式：增加新的IP头，通常用于私网与私网之间通过公网进行通信。

图4-10 隧道模式封装图

4.2.2.5 Internet Key Exchange

IKE是用来协商IPSEC安全参数，如: 协商参数，交换公共密钥，密钥刷新，认证对等体，以及密钥管理。

IKE包含三个协议：

1.SKEME— 提供公共密钥更新技术。

14

黛蓝公司VPN网络方案设计与分析

2.Oakley— 提供IPSEC对等体之间提供密钥交换模式 3.ISAKMP— 提供安全关联和密钥管理协议 IKE工作原理：

IKE包含两个过程，phase1和phase2 。Phase1主要对通信双方进行身份认证，并在两端之间建立一条安全的通道，主要有主模式和积极模式。Phase2在上述安全通道上协商IPSec参数，主要有快速模式。

图4-11 IKE阶段1

图4-12 IKE阶段2

IKE阶段2协商IPSEC 安全关联（SA），SA由SPD (security policy database)和SAD(SA database)组成

15

洛阳师范学院2013届本科生毕业设计

4.2.3 SSL VPN 4.2.3.1 SSL VPN 概述

SSL VPN也是一种在Internet上确保信息安全收发的通用协议技术，位于TCP/IP协议与各种应用层协议之间，以可靠的传输协议(如TCP)为根基，为高层协议提供数据封装、压缩、加密等基本功能的支持，为网络的连接提供服务器认证、可选的客户认证、SSL链路上的数据完整性保证、保密性保证。目前，SSL VPN也广泛被应用于各种浏览器中，使用者利用浏览器内的SSL封装包处理功能，用浏览器连接单位内网的SSL VPN服务器，通过网络封包转向的方式，从而让远程计算机执行任务，读取单位内网上的信息。

图4-13 SSL示意图

在TCP的网络层，IPSec协议通过预共享密钥或者安全数字签名和高强度加密

算法实现了局域网的安全互联，让组织的分支机构融合到了总部的局域网，分支机构可以根据其网络规模和使用人数选择和总部连接的方式，然而，组织的成员不会永远安坐在办公室，当他们“移动”起来时，例如下班回到家中、参加会议、出差考察，环境的频繁变化让IPSec难以应对。组织的外界环境迅速膨胀，合作伙伴、股东、审计部门、供应商、经销商都被纳入了组织的网络外延，他们需要接入到组织的内网，以访问他们所关心的应用资源和数据报表。IPSec的部署问题会让企业的网络人员成为合作伙伴 “公用”的网管。IPSec客户端不停的安装、调试和维护将会成为网管人员生活中不可或缺的一部分，无论你是在工作时间还是8小时之外。问题还远没有结束，基于IPSec是网络层协议的前提，当远程设备从Internet接入

16

黛蓝公司VPN网络方案设计与分析

后将被虚拟成局域网内的一台PC，也就是获得了局域网的所有使用权限。这是相当危险和难以控制的。如果这台接入的设备携带了病毒、蠕虫，局域网也会很快地受到感染，使网络人员精心构建的安全城墙在一瞬间被摧毁。

SSL(安全套接层)VPN被视为IPSec VPN的互补性技术，在实现移动办公和远程接入时，SSL VPN更可以作为IPSec VPN的取代性方案。SSL协议由网景公司提出，是一种基于WEB应用的安全协议，包括服务器认证、客户认证(可选)、SSL链路上的数据完整性和数据保密性。所有标准的WEB浏览器均已内建了SSL协议。采用SSL协议的设备实现对WEB及各种使用静态或动态端口的服务做支持，于是便出现了 SSL VPN。在上图中，移动用户或者固定用户通过浏览器直接访问公司内部网络或者访问内部服务，实现内网的随时随地访问。

4.2.3.2 SSL VPN原理

SSL（安全套接层）协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议（如HTTP、Telnet和FTP等）和 TCP/IP协议之间进行数据交换的安全机制，为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。 警告协议用于在发生错误时终止两个主机之间的会话。所以SSL VPN，就是使用者利用浏览器内建的Secure Socket Layer封包处理功能，用浏览器访问公司内部SSL VPN服务器，然后透过网络封包转向的方式，让使用者可以在远程计算机执行应用程序，读取公司内部服务器数据。它采用标准的安全套接层（SSL）对传输中的数据包进行加密，从而在应用层保护了数据的安全性。高质量的SSL VPN解决方案可保证企业进行安全的全局访问，即构建基于IP的访问。在不断扩展的互联网Web站点之间、远程办公室、传统交易大厅和客户端间，SSL VPN克服了IPSec VPN的不足，用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问，从而降低用户的总成本并增加远程用户的工作效率。

4.2.3.3 SSL VPN优势

17

洛阳师范学院2013届本科生毕业设计

SSL VPN的优势来自于HTTP的广泛应用，常见的使用 HTTP 的应用有：SOAP（Simple Object Access Protocol） 简单对象访问协议，UDDI （Universal Description, Discovery, and Integration）统一描述、发现和集成等。这类B/S 架构管理软件只安装在服务器端上，用户界面主要事务逻辑在服务器端完全通过WWW浏览器实现。极少部分事务逻辑在前端（Browser）实现，所有的客户端可以只有浏览器。 SSL VPN与主流的IPSEC easy VPN相比，自然有其优势。与L2TP VPN相比，更是明显。一个是2层，一个是3层VPN，这里不作比较。 1.不需要客户端

客户端的区别是SSL VPN最大的优势。有Web浏览器的地方的就有SSL，所以预先安装了Web浏览器的客户机可以随时作为SSL VPN的客户端。这样，使用零客户端的SSL VPN远程访问的用户可以为远程员工、客户、合作伙伴及供应商等，通过SSL VPN,客户端可以在任何时间任何地点对应用资源进行访问，而IPSec VPN只允许已经定义好的客户端进行访问，所以它更适用于企业内部。

SSL VPN的客户端属于即插即用的安装模式，不需要任何附加的客户端软件和硬件,即便是瘦客户端模式，由于是用自动下载的模式，所以对用户来讲仍然是透明的；相对而言，IPSec VPN通常需要长时间的配置，并必须有相应的软硬件才可使用，用户需要支付软硬件费用以及配置、技术支持的费用也就比较高。IPSec VPN部署如果增添新的设备，往往要改变网络结构，因此造成IPSec VPN的可扩展性比较差。

2.安全性较好

SSL是与客户资源之间建立安全连接的，确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。

SSL VPN的安全性与IPSec VPN相比较，SSL VPN在防病毒和防火墙方面有它特有的优势。

SSL VPN由于是与资源直接建立连接，比如web 服务器，文件服务器，邮件等，所以不是基于IP应用的访问。所以客户主机即使感染病毒而后发起基于SSL VPN的访问，都不会感染内网的其他主机。而采用IPSEC VPN，则可能会感染整个网络。因此通过SSL VPN连接，受外界病毒感染的可能性大大减小。

还有就是对整个网络的影响。比如客户要访问公司内部FTP服务器，则在出口防火墙则需要开启对21端口的检测，或者运行outside直接访问inside服务器的21端口，这样务必会造成防火墙多余端口的开放，造成不必要的安全隐患。而SSL VPN采用HTTPS加密传输数据，不需要防火墙等安全设备开放21端口，所以这在另一个

18

黛蓝公司VPN网络方案设计与分析

层面上保证了集团内网安全。

3.身份识别方面

用户部署VPN是为了让外网用户能安全的访问内网资源，所以保护网络中重要数据的安全成了VPN的一个重要组成部分。在电子商务和电子政务日益发展的今天，企业的各种应用日益复杂，需要访问内部网络人员的身份也多种多样，对内网资源的权限也有不同的级别。

由于IPSEC VPN主要提供基于IP的应用，所以用户通过IPSEC连到内网后就没办法控制，他们就具有较高的权限，因此，内部网络对于IPSec VPN的使用者来说是透明的，只要是通过了IPSEC VPN网关，就可以任意访问内网中的资源。因此，IPSEC VPN的目标是建立起来一个虚拟的IP网，而无法保护内部数据的全面安全。

而SSL VPN重点在于只是对敏感数据的访问，所以SSL VPN可以根据用户的不同身份，给予不同的访问权限。通过配合一定的身份认证，不仅可以控制访问人员的权限，还可以对访问人员的每个访问的关键信息进行数字签名，以保证每次访问的不可抵赖性，为事后追踪提供了依据。

4.经济性

使用SSL VPN具有很好的经济性，SSL VPN不需要使用专门的设备，只需要在防火墙或者出口路由器上配置即可。但是对于IPSEC VPN来说，每增加一个需要访问的分支，就需要添加一个硬件设备，同时，若也在出口路由器以及防火墙上部署IPSEC easy VPN，则IPSEC使用的加密手段以及HASH手段会加大设备的负担，造成处理能力低下。就使用成本而言，SSL VPN具有更大的优势。

5.易于维护

SSL VPN相比IPSEC EASY VPN，只需要较少的专业知识就可以维护，不像IPSEC，IPSEC过程较为复杂，很容易就出现差错。出现差错了排错也不容易。所以从维护性来说这也是SSL VPN的一个优势。

所以SSL VPN在其易于使用性及安全层级，都比IPSec VPN高。我们都知道，由于Internet的迅速扩展，针对远程安全登入的需求也日益提升。对于使用者而言，方便安全简单便宜的解决方案，才能真正符合需求。

4.2.4 MPLS VPN 4.2.4.1 MPLS 概述

多协议标签交换MPLS VPN是一种面向连接的技术，通过MPLS信令建立好MPLS标记交换通道LSP，数据转发时在网络的入口处对信息进行分类，网络设备中根据分类选择相应的交换通道LSP，并打上相应的标签，再转发时直接根据报头的标签

19

洛阳师范学院2013届本科生毕业设计

转发，不再通过IP地址查找，在LSP出口处，卸掉标签，还原为原来的IP数据包。它是一种快速数据包交换和路由的体系，通过标签交换路径将私有的网络的不同分支联系起来，从而形成一套虚拟的统一的网络。基于这种交换和路由的特点，它的路由工作在网络的第三层，而核心任务工作在第二层。

4.2.4.2 MPLS 原理

MPLS VPN网络主要由CE、PE和P等3部分组成：CE(Custom Edge Router，用户网络边缘路由器)设备直接与服务提供商网络(图1中的MPLS骨干网络)相连，它“感知”不到VPN的存在；PE(Provider Edge Router，骨干网边缘路由器)设备与用户的CE直接相连，负责VPN业务接入，处理VPN-IPv4路由，是MPLS三层VPN的主要实现者：P(Provider Router 骨干路由器)负责快速转发数据，不与CE直接相连。在整个MPLS VPN中，P,PE设备需要支持MPLS的基本功能，CE设备不必支持MPLS。

PE是MPLS VPN网络的关键设备，根据PE路由器是否参与客户的路由，MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC2547bis标准，使用MBGP在PE路由器之间分发路由信息，使用MPLS技术在VPN站点之间传送数据，因而又称为 BGP/MPLS VPN。本文主要阐述的是Layer3 MPLS VPN。

在MPLS VPN网络中，对VPN的所有处理都发生在PE路由器上，为此，PE路由器上起用了VPNv4地址族，引入了RD(Route Distinguisher)和RT(Route Target)等属性。RD具有全局惟一性，通过将8byte的RD作为IPv4地址前缀的扩展，使不惟一的IPv4地址转化为惟一的VPNv4地址。 VPNv4地址对客户端设备来说是不可见的，它只用于骨干网络上路由信息的分发。PE对等体之间需要发布基于VPNv4地址族的路由，这通常是通过 MBGP实现的。正常的BGP4能只传递IPv4的路由，MP-BGP在BGP的基础上定义了新的属性。MP-iBGP在邻居间传递VPN用户路由时会将 IPv4地址打上RD前缀，这样VPN用户传来的IPv4路由就转变为VPNv4路由，从而保证VPN用户的路由到了对端的PE上以后，即使存在地址空间重叠，对端PE也能够区分开分属不同VPN的用户路由。RT使用了BGP中扩展团体属性，用于路由信息的分发，具有全局惟一性，同一个RT只能被一个 VPN使用，它分成Import RT和Export RT，分别用于路由信息的导入和导出策略。在PE路由器上针对每个site均创建了一个虚拟路由转发表VRF(VPN Routing & Forwarding)，VRF为每个site维护逻辑上分离的路由表，每个VRF都有Import RT和Export RT属性。当PE从VRF表中导出VPN路由时，要用Export RT对VPN路由进行标记；当PE收到VPNv4路由信息时，只有所带RT标记与VRF表中任意一个Import RT相符的路由才会被导入到VRF表中，而不是全网所有VPN的路由，从而形成不同的VPN，实现VPN的互访与隔离。通过

20

黛蓝公司VPN网络方案设计与分析

对Import RT和Export RT的合理配置，运营商可以构建不同拓扑类型的VPN，如重叠式VPN和Hub-and-spoke VPN。

整个MPLS VPN体系结构可以分成控制面和数据面，控制面定义了LSP的建立和VPN路由信息的分发过程，数据面则定义了VPN数据的转发过程。

在控制层面，P路由器并不参与VPN路由信息的交互，客户路由器是通过CE和PE路由器之间、PE路由器之间的路由交互知道属于某个VPN的网络拓扑信息。CE-PE路由器之间通过采用静态/默认路由或采用ICP(RIPv2、OSPF)等动态路由协议。PE-PE之间通过采用MP-iBGP进行路由信息的交互，PE路由器通过维持iBGP网状连接或使用路由反射器来确保路由信息分发给所有的PE路由器。除了路由协议外，在控制层面工作的还有 LDP，它在整个MPLS网络中进行标签的分发，形成数据转发的逻辑通道LSP。

在数据转发层面，MPLS VPN网络中传输的VPN业务数据采用外标签(又称隧道标签)和内标签(又称VPN标签)两层标签栈结构。当一个VPN业务分组由CE路由器发给入口PE 路由器后，PE路由器查找该子接口对应的VRF表，从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后，就通过PE输出接口转发出去，然后在MPLS骨干网中沿着LSP被逐级转发。在出口PE之前的最后一个P路由器上，外层标签被弹出，P路由器将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据内层标签查找对应的输出接口，在弹出VPN标签后通过该接口将VPN分组发送给正确的CE 路由器，从而实现了整个数据转发过程。

4.2.4.3 MPLS VPN优势

MPLS能识别不同种类的应用的数据包这点，保证了QoS的实现，而且实现方法比IP隧道和基于VC的网络简单。因为在IP网络上建设VPN需要隧道或加密，而基于VC的网络(如ATM和帧中继)所建的VPN是点对点的，需要为每个CPE进行单独的配置。另外因为在这种网络上的IP数据包的传输是在VC通道内进行的，所以整个VPN并不知道通信的内容和种类。这种方式下，需要智能化和有策略配置的边界设备，可以给每个通信最大的VC带宽。而且这种方式是以连接为中心的，不具备可扩展性。而且还与IP的商业应用是冲突的，因为IP的商务应用是围绕无连接的TCP/IP协议的。VPN还应当能识别通信的类型，从而将通信根据应用分类。而且VPN应当对VPN的整个网络的存在有了解，这样服务商可以将不同用户和服务分组到IntranetVPN或ExtranetVPN。

MPLS完全可以隔离无关用户的通信，使得无关用户的通信不会混杂，从而提高了安全性。这是在不必使用隧道和加密的前提下就能完成的。MPLS根据服务类型区分的传输方法和完全的QoS策略使得服务商的原来面向传输的服务模型转变成为重

21

洛阳师范学院2013届本科生毕业设计

点集中于服务变化的模型。

基于MPLS的网络能够将数据流分开，无需建立隧道或加密即可提供保密性，基于MPLS的网络，以网络到网络的方式提供保密性，为用户提供服务。这将支持服务供应商实现从面向传输的模式到面向服务的模式转变。基于MPLS的VPN提供了逻辑上最大的安全性，网络的安全性是由BGP、IP地址方案、可选的IPSec加密三方面结合而成的。

MPLS VPN不仅满足VPN用户对安全性的要求，还减少了网络方和用户方的工作量，可以建立任意的连接，且具有很好的网络可扩展性。VPN用户可以延用原有的专用地址，不需要作任何修改，在骨干网络采用VPN-ID，可以保持全网的唯一性。MPLSVPN还易于提供增值业务，如不同的COS等。

22

黛蓝公司VPN网络方案设计与分析

第5章 适合公司的VPN网络构建

5.1 公司VPN技术选择

黛蓝化妆品公司只拥有广州和太原两个公司。所以广州及太原的分公司间需要较好的远程网络互联。同时，公司之间因业务需求需要保证相当的服务质量，要能保证相关业务以及视频会议等不出现延迟，或者不能访问的现象，同时又要保证数据的安全。在工程造价以及维护方面要便宜简单。综合考虑，需要以下几点作保证：

1.可靠稳定

MPLS、GRE、IPSEC，SSL、L2TP等技术组建VPN网络在可靠性稳定性方面，GRE、IPSEC、SSL、L2TP不能保证服务质量，其很大程度上要依赖运营商网络。MPLS承载在专线上，而且还提供丰富的QOS，所以MPLS在很大程度上能保证网络的可靠性，稳定性。所以在可靠性以及稳定性方面选择MPLS VLN。

2.安全性

普通GRE隧道没有采用加密方式，所以在安全性上得不到保证，所以大多选择选择了IPSEC+GRE模式。IPSEC在数据部分和IP包头部分采用加密和HASH算法，保证数据的安全性，完整性。同时，IPSEC的还能保证数据源认证以及防重放等功能。SSL采用SSL套接层加密，HASH等保证数据安全性，数据完整性。基于MPLS的网络能够将数据流分开，无需建立隧道或加密即可提供保密性，基于MPLS的网络，以网络到网络的方式提供保密性，为用户提供安全服务。 所以在安全性上考虑可以选择GRE

+IPSEC或者IPSEC或者SSL，MPLS VPN等部署方式。

3.用户可使用性

GRE或者IPSEC VPN在点到点方式上用户不需要安装什么客户端软件就可以直接访问公司内部网络，不过不具备移动性。基于IPSEC的easy VPN技术可以很好的解决移动性问题，不过需要客户端软件拨号。SSL VPN可以很好的实现无客户端移动访问，具有很好的可移动性。MPLS VPN用户也不具移动性，也是在固定站点后使用。

4.支持的应用

除了SSL VPN是基于WEB，邮件，文件共享等的应用，其他都是基于IP的服务应用。所以在支持的应用上基于不同的需求可以选择不同的部署类型。

5.可伸缩性

GRE隧道容易配置，也方便用户端扩展。IPSEC在服务器端可以自由扩展，在客户端有限制。SSL VPN容易配置和扩展。与设备性能有关。MPLS VPN也利于扩展。

6.维护

在维护方面，IPSEC难维护，需要配置较多参数，而且也难管理。SSL维护简单，

23

洛阳师范学院2013届本科生毕业设计

管理也容易。GRE 隧道在管理方面基本也容易，配置不多，维护也简单。MPLS在CE端维护简单，在PE侧有运营商维护。所以从维护管理上来说GRE和SSL较容易。IPSEC相对复杂的多。

7.费用

从造价方面，GRE借助运营商网络也就是互联网，造价不会太高，IPSEC和SSL也借助运营商网络。MPLS需要承载网，需要租用线路，所以相对贵些。

5.2 公司VPN设计选择

经过调研，黛蓝化妆品公司现在主要是点对点式的网络远程，有时候也会出差。因此只要保证网络的安全性，时效性，性价比就可以了。所以针对黛蓝公司的现状，建议太原公司使用IPSEC VPN。移动人员使用SSL VPN。

24

黛蓝公司VPN网络方案设计与分析

第6章 组建公司VPN网络

6.1 公司VPN总体设计

太原分部 移动人员

图6-1公司VPN网络总设计图

6.2 IPSEC VPN建设

6.2.1 集团IPSEC VPN部署

图6-2 公司IPSEC部署图

太原分公司要远程访问广州总公司的各种网络资源，CRM系统、FTP服务器等。在Internet上传输数据本身存在安全隐患，通过IPsec VPN技术实现数据的安全传输。 1.需求分析 需求：解决太原分公司和广州总公司之间通过Internet进行数据传输的安全问

25

洛阳师范学院2013届本科生毕业设计

题。

分析：IPsec VPN技术通过隧道技术、加解密技术、密钥管理技术、认证技术等有效地保证了数据在Internet传输的安全性，是目前最安全、使用最广泛的VPN技术。因此我们可以通过建立IPsec VPN的加密隧道，实现分公司和总公司之间的安全的数据传输。 2.模拟拓扑

如图所示网络拓扑，通过Internet进行数据传输的安全问题。太原分公司要远程访问总公司的各种网络资源，需要在Internet上传输数据，这家公司通过在路由器上配置站点到站点（Site-to-Site）的IPsec VPN隧道技术，实现数据在Internet上的安全传输。

图6-3 公司IPSEC-VPN网络实验模拟拓扑图

3.模拟原理

IPsec（IP security，IP安全性）的主要作用是为IP数据通信提供安全服务。IPsec不是一个单独协议，它是一套完整的体系框架，包括AH、ESP和IKE三个协议。IPsec使用了多种加密算法、散列算法、密钥交换方法等为IP数据流提供安全性，它可以提供数据的机密性、数据的完整性、数据源认证和反重放等安全服务。

6.2.2 IPSEC VPN基本配置

1.配置Internet路由器R3 R3#configure terminal

R3(config)#interface fastEthernet 1/0

R3(config-if)#ip address 1.1.1.2 255.255.255.252 R3(config-if)#exit

R3(config)#interface fastEthernet 1/1

R3(config-if)#ip address 2.2.2.2 255.255.255.252 R3(config-if)#exit

2.配置R1与R2的Internet连通性 R1#configure terminal

R1(config)#interface fastEthernet 1/0

26

黛蓝公司VPN网络方案设计与分析

R1(config-if)#ip address 1.1.1.1 255.255.255.252 R1(config-if)#exit

R1(config)#interface fastEthernet 1/1

R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#exit

R1(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2

R2#configure terminal

R2(config)#interface fastEthernet 1/1

R2(config-if)#ip address 2.2.2.1 255.255.255.252 R2(config-if)#exit

R2(config)#interface fastEthernet 1/0

R2(config-if)#ip address 192.168.2.1 255.255.255.0 R2(config-if)#exit

R2(config)#ip route 0.0.0.0 0.0.0.0 2.2.2.2

3.配置R1的IKE参数

R1(config)#crypto isakmp policy 1 ！创建IKE策略 R1(isakmp-policy)#encryption 3des ！使用3DES加密算法

R1(isakmp-policy)#authentication pre-share ！使用预共享密钥验证方式 R1(isakmp-policy)#hash sha ！使用SHA-1算列算法 R1(isakmp-policy)#group 2 ！使用DH组2 R1(isakmp-policy)#exit

R1(config)#crypto isakmp key 0 1234567 address 2.2.2.1 ！配置预共享密钥 4.配置R1的IPsec参数

R1(config)#crypto ipsec transform-set 3des_sha esp-3des esp-sha-hmac ！配置IPsec转换集，使用ESP协议，3DES算法和SHA-1散列算法 R1(cfg-crypto-trans)#exit

R1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ！配置加密访问控制列表 R1(config)#crypto map to_r2 1 ipsec-isakmp ！配置IPsec加密映射 R1(config-crypto-map)#match address 100 ！引用加密访问控制列表 R1(config-crypto-map)#set transform-set 3des_sha ！引用IPsec转换集 R1(config-crypto-map)#set peer 2.2.2.1 ！配置IPsec对等体地址 R1(config-crypto-map)#exit

R1(config)#interface fastEthernet1/0

R1(config-if)#crypto map to_r2 ！将IPsec加密映射应用到接口 R1(config-if)#exit

5.配置R2的IKE参数

R2(config)#crypto isakmp policy 1 R2(isakmp-policy)#encryption 3des

R2(isakmp-policy)#authentication pre-share R2(isakmp-policy)#hash sha

27

洛阳师范学院2013届本科生毕业设计

R2(isakmp-policy)#group 2 R2(isakmp-policy)#exit

R2(config)#crypto isakmp key 0 1234567 address 1.1.1.1

6.配置R2的IPsec参数

R2(config)#crypto ipsec transform-set 3des_sha esp-3des esp-sha-hmac R2(cfg-crypto-trans)#exit

R2(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

R2(config)#crypto map to_r1 1 ipsec-isakmp R2(config-crypto-map)#match address 100

R2(config-crypto-map)#set transform-set 3des_sha R2(config-crypto-map)#set peer 1.1.1.1 R2(config-crypto-map)#exit

R2(config)#interface fastEthernet1/0 R2(config-if)#crypto map to_r1 R2(config-if)#exit

7.配置PC1和PC2

PC1的IP地址为192.168.1.2，网关为192.168.1.1 PC2的IP地址为192.168.2.2，网关为192.168.2.1

8.验证测试

在PC1上ping PC2，可以ping通。由于第一个报文用于触发IKE协商并建立IPsec隧道，所以第一个ping包会由于超时而未得到响应。

查看R1的IKE SA，可以看到IKE SA协商成功，状态为QM_IDLE： R1#show crypto isakmp sa

destination source state conn-id lifetime(second)

2.2.2.1 1.1.1.1 QM_IDLE 33 85896 31c961f99129c159 009f3edd7c1bba59

查看R1的IPsec SA，可以看到两个IPsec SA协商成功，一个用于入站报文，一

个用于出站报文：

R1#show crypto ipsec sa

Interface: FastEthernet 1/0

Crypto map tag:to_r2, local addr 1.1.1.1 media mtu 1500

================================== item type:static, seqno:1, id=32

local ident (addr/mask/prot/port): (192.168.1.0/0.0.0.255/0/0)) remote ident (addr/mask/prot/port): (192.168.2.0/0.0.0.255/0/0))

28

黛蓝公司VPN网络方案设计与分析

PERMIT

#pkts encaps: 3, #pkts encrypt: 3, #pkts digest 3 #pkts decaps: 3, #pkts decrypt: 3, #pkts verify 3 #send errors 0, #recv errors 0

Inbound esp sas:

spi:0x30098aa2 (805931682)

transform: esp-3des esp-sha-hmac in use settings={Tunnel,} crypto map to_r2 1

sa timing: remaining key lifetime (k/sec): (4606999/2933) IV size: 8 bytes

Replay detection support:Y

Outbound esp sas:

spi:0x1e1e0b3f (505285439)

transform: esp-3des esp-sha-hmac in use settings={Tunnel,} crypto map to_r2 1

sa timing: remaining key lifetime (k/sec): (4606999/2933) IV size: 8 bytes

Replay detection support:Y

查看R2的IKE SA，可以看到IKE SA协商成功，状态为QM_IDLE：

R2#show crypto isakmp sa

destination source state conn-id lifetime(second)

2.2.2.1 1.1.1.1 QM_IDLE 33 85618 31c961f99129c159 009f3edd7c1bba59

查看R2的IPsec SA，可以看到两个IPsec SA协商成功，一个用于入站报文，一个用于出站报文：

R2#show crypto ipsec sa Interface: FastEthernet 1/1

Crypto map tag:to_r1, local addr 2.2.2.1 media mtu 1500

================================== item type:static, seqno:1, id=32

local ident (addr/mask/prot/port): (192.168.2.0/0.0.0.255/0/0)) remote ident (addr/mask/prot/port): (192.168.1.0/0.0.0.255/0/0)) PERMIT

#pkts encaps: 3, #pkts encrypt: 3, #pkts digest 3

29

洛阳师范学院2013届本科生毕业设计

#pkts decaps: 3, #pkts decrypt: 3, #pkts verify 3 #send errors 0, #recv errors 0

Inbound esp sas:

spi:0x1e1e0b3f (505285439)

transform: esp-3des esp-sha-hmac in use settings={Tunnel,} crypto map to_r1 1

sa timing: remaining key lifetime (k/sec): (4607999/2785) IV size: 8 bytes

Replay detection support:Y

Outbound esp sas:

spi:0x30098aa2 (805931682)

transform: esp-3des esp-sha-hmac in use settings={Tunnel,} crypto map to_r1 1

sa timing: remaining key lifetime (k/sec): (4607999/2785) IV size: 8 bytes

Replay detection support:Y

通过以上状态信息可以看出，R1与R2成功协商了一个IKE SA和两个IPsec SA（每个方向各一个）。

6.3 SSL VPN建设

6.3.1 SSL VPN部署

如下图所示：SSL VPN可以让移动用户，固定用户以及小型SOHO家庭用户登录，根据该公司网络实际情况，充分考虑了各种因素，提出了将SSL VPN网关架设在防火墙上，也就是cisco ASA5580上。只要用户能上网，就能访问到SSL网关，也就是ASA5580。ASA5580完全能满足SSL VPN的部署需求，百万的连接数，5000M的网络吞吐能力，加上强大的处理器内存等硬件设施，完全能满足企业SSL VPN网关部署需求。

30

黛蓝公司VPN网络方案设计与分析

图6-4公司SSL-VPN 模拟图

6.3.2 SSL VPN基本配置

SSL配置基本需求：

1.认证：SSL VPN需要配置认证，最好配置授权，审计，也就是AAA。也可以使用本地授权认证。

2. DNS：需要定义域名或者静态主机名到IP的映射。 3. 证书和信任点

4. WEB VPN 网关 包括地址，信任点等 5. WEB VPN context

配置相关信息，诸如登陆信息，URL显示，或者策略组或者其他如URL跳转，文件共享，端口转发等。

具体基本配置： aaa new-model//认证

aaa authentication login webvpn group radius

radius-server host 10.10.10.10 auth-port 1645 acct-port 1646 key cisco 1.WEB vpn基本配置

webvpn gateway webvpn_gate//webvpn基本配置，包括网关地址以及激活服务 ip address 192.168.1.254 port 443

ssl trustpoint TP-self-signed-4294967295//自动生成的证书 inservice

2.URL-LIST基本配置

webvpn context OA//OA context ，在网页上会显示OA目录，相当于书签

31

洛阳师范学院2013届本科生毕业设计

ssl authenticate verify all url-list \ heading \

url-text \点击OAServer这个标签时会自动跳转到10.10.20.253 的OAServer上，10.10.20.253为OAserver地址，也可以添加其他地址只需要标签对应的地址就可以了

policy group OAGroup//策略组，在这里调用URL-list url-list \

default-group-policy OAGroup inservice//激活 3. File-share配置： webvpn context fileshare ssl authenticate verify all

nbns-list \转发标签 nbns-server 10.10.20.252 //文件服务器地址 policy group fileshare//组策略

nbns-list \组策略下调用转发列表

functions file-access//允许的操作，包括文件访问，文件浏览等 functions file-browse functions file-entry

functions svc-enabled//运行客户端通过隧道模式访问 default-group-policy fileshare//调用策略组 inservice 4.端口转发：

webvpn context telnet ssl authenticate verify all port-forward \转发表

local-port 6666 remote-server \\基本转发项，包含本地端口，远端设备地址以及远端端口。 !

policy group portforward//策略组，调用转发策略组 port-forward \

default-group-policy portforward Inservice

6.3.3 SSL VPN 验证方法

32

黛蓝公司VPN网络方案设计与分析

show webvpn gateway //显示WEBVPN网关的运行状态

show webvpn context //显示操作的状态和配置的参数 show webvpn nbns //文件共享状态

show webvpn policy //WEBVPN策略参数与context的关联情况 show webvpn session //显示WEBVPN用户会话信息 show webvpn stats //显示WEBVPN应用和网络状态 排错方法：

Debug webvpn //开启webvpn基本会话监视，会显示大量WEBVPN信息 Debug webvpn aaa //调试显示AAA信息

Debug webvpn port-forward //调试端口转发信息 Debug webvpn webservice //显示webservice调试信息 清除相关会话信息：

Clear webvpn session/nbns/stats??

对于集团公司的SSL VPN建设，主要从安全性，稳定性，可靠性，以及造价方面考虑，只需要在ASA5580上配置，没有必要花费额外的金钱去购买SSL VPN设备。

33

洛阳师范学院2013届本科生毕业设计

第7章 VPN管理与维护

7.1 IPSEC VPN 的管理与维护

针对集团远程接入需求，结合该集团实际情况，部署了IPSEC SITE TO SITE VPN，主要在总部的7206路由器以及各分支机构的出口路由器。Cisco 7206路由器完全可以支持IPSEC VPN 的部署，而且双出口的部署模式不会对现存网络产生影响。唯一的缺点是IPSEC 不好维护。其众多的策略组以及加密图有时候很难匹配，造成麻烦。所以从管理上考虑，需要将策略组与加密图对应，然后记录下相应的策略组与分支机构的对应关系，这样以后出现故障也好查找。同时，可以借助SDM之类的软件进行配置管理，还有就是 VPN的配置部分要及时做好备份。

IPSEC的维护的确是一件困难的事，但是我们做好相应的备份与记录管理，管理也就不是问题。

7.2 SSL VPN的管理与维护

在SSL VPN的管理方面相对IPSEC来说还是比较容易，SSL只需要一台SSL VPN网关或者叫服务器。SSL VPN不需要客户端支持，可以说随时随地都可以访问网络资源同时SSL VPN消耗的硬件资源较少，不需要策略组的匹配与加密图。所以不需要花费相当的资源去加解密数据，也不需要去匹配规则。同时ASA5580对SSL VPN的支持也比较出色，所以在管理方面需要花费较少的精力。

34

黛蓝公司VPN网络方案设计与分析

第8章 工作总结和展望

通过几个周期的完善，终于把VPN这个课题给做完了，心里有许多感慨。从中自己学到了很多，也了解到了自己的不足之处并加以改善。学习到了很多课本上没有的东西，了解了国际上与中国的科技技术情况等等。我们都知道：依靠因特网发展而迅速发展的电子商务越来越受到企业，政府等企事业单位的重视，先进的网络系统对于企业加强管理、提高工作效率和增加市场竞争力是至关重要的。因此，企业网络采用的技术必须先进、成熟、稳定、可靠的网络系统，同时，对于身处异地的分支机构或者分公司，办事处，或者在外出差的企业员工，需要为其提供高效，实时的内网访问，保证相关业务运行的准确高效，同时，在远距离传输过程中要保证数据不被窃取和篡改，不遭受其他各种形势的威胁。于是，通过本课题的研究，帮助企业实现远程安全，实时，高效互联。

从整体上说，对于企业远程接入的设计不仅仅只是购买相应的VPN设备或者做相应的配置，还需要掌握企业针对远程接入的需求以及VPN设计的原则，从企业的实际需求出发，针对现今各种流行的VPN技术进行了分析比较，从原理到数据包的封装到体系结构都做了详细的分析比较，最后选出了适合企业的3种VPN部署方式，最后通过实验模拟，得出了VPN的实际效用。当然，本实验只是在理论上做的模拟。在实际环境中会复杂的多，所以难免会有很多不足之处。希望通过本次设计研究，提供给企业一个很好的参考。

35

本文来源：https://www.bwwdw.com/article/nff6.html