vpn畢業(yè)論文

1、<p><b>　　摘 要</b></p><p>　　本文首先介紹了VPN的定義和研究意義，接著介紹了實現(xiàn)VPN的關(guān)鍵技術(shù)（包括隧道技術(shù),加解密認(rèn)證技術(shù)，密鑰管理技術(shù)，訪問控制技術(shù)）以及實現(xiàn)VPN的主要安全協(xié)議，PPTP/ L2TP協(xié)議、IPSec協(xié)議，為VPN組網(wǎng)提供了理論指導(dǎo)。最后通過構(gòu)建中小企業(yè)的虛擬專用網(wǎng)，全面介紹了在Windows server 2003 ISA 200

2、4環(huán)境下站點到站點和站點到客戶端的VPN的配置，為企業(yè)的VPN構(gòu)建提供參考和借鑒。</p><p>　　關(guān)鍵詞：隧道，L2TP ，PPTP ，IPSec</p><p><b>　　Abstract</b></p><p>　　This paper first introduces the definition of VPN and its s

3、tudy implications. And then introduces the key technologies for implementing a VPN which includes the Tunnel technology and its main secure protocols, PPTP/L2TP protocol, IPSEC protocol, SOCKSv5 protocol, All these techn

4、ologies provide the theoretical bases for building a VPN network. Finally, by constructing an enterprise virtual private network, I introduced the configuration of site to site and site to client VPN under the Windows se

5、r</p><p>　　Key words: Tunnel, L2TP, PPTP, IPSec</p><p><b>　　目錄</b></p><p><b>　　1緒論1</b></p><p>　　1.1 VPN的定義1</p><p>　　1.2 VPN的

6、工作原理1</p><p>　　1.3 VPN的研究背景和意義2</p><p>　　2VPN的應(yīng)用領(lǐng)域和設(shè)計目標(biāo)4</p><p>　　2.1 VPN的主要應(yīng)用領(lǐng)域4</p><p>　　2.2 VPN的設(shè)計目標(biāo)5</p><p>　　3實現(xiàn)VPN的關(guān)鍵技術(shù)和主要協(xié)議7</p>&

7、lt;p>　　3.1 實現(xiàn)VPN的關(guān)鍵技術(shù)7</p><p>　　3.2 VPN的主要安全協(xié)議9</p><p>　　3.2.1　PPTP/L2TP9</p><p>　　3.2.2　IPSec協(xié)議10</p><p><b>　　4實例分析12</b></p><p>　　

8、4.1 需求分析12</p><p>　　4.2 方案達到的目的13</p><p>　　4.3 VPN組建方案網(wǎng)絡(luò)拓?fù)鋱D14</p><p>　　5各部分VPN設(shè)備的配置15</p><p>　　5.1 公司總部到分支機構(gòu)的ISA VPN配置15</p><p>　　5.1.1 總部ISA V

9、PN配置17</p><p>　　5.1.2 支部 ISA VPN配置20</p><p>　　5.1.3 VPN連接22</p><p>　　5.1.4 連接測試23</p><p>　　5.2 公司總部站點到移動用戶端的VPN配置24</p><p>　　5.2.1 總部ISA VPN配置

10、25</p><p>　　5.2.2 移動用戶端VPN配置27</p><p>　　5.2.3 連接測試27</p><p><b>　　致謝29</b></p><p><b>　　參考文獻30</b></p><p><b>　　緒論</b&g

11、t;</p><p>　　1.1 VPN的定義</p><p>　　VPN（ Virtual Private Network）被定義為通過一個公共網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公共網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)絡(luò)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過

12、將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上，一個企業(yè)的虛擬專用網(wǎng)解決方案也將大幅度的減少用戶花費在城域網(wǎng)和遠程網(wǎng)絡(luò)連接上的費用。同時，這將簡化網(wǎng)絡(luò)的設(shè)計和管理，加速連接新的用戶和網(wǎng)站。另外，虛擬專用網(wǎng)還可以保護現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效

13、地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。</p><p>　　1.2 VPN的工作原理</p><p>　　把因特網(wǎng)用作專用廣域網(wǎng)，就要克服兩個主要障礙。首先，網(wǎng)絡(luò)經(jīng)常使用多種協(xié)議如IPX和NetBEUI進行通信，但因特網(wǎng)只能處理IP流量。所以，VPN就需要提供一種方法，將非IP的協(xié)議從一個網(wǎng)絡(luò)傳送到另一個網(wǎng)絡(luò)。其次，網(wǎng)上傳輸?shù)臄?shù)據(jù)包以明文格式傳輸，因而，只要看得到因特網(wǎng)的流量，就

14、能讀取包內(nèi)所含的數(shù)據(jù)。如果公司希望利用因特網(wǎng)傳輸重要的商業(yè)機密信息，這顯然是一個問題。VPN克服這些障礙的辦法就是采用了隧道技術(shù)：數(shù)據(jù)包不是公開在網(wǎng)上傳輸，而是首先進行加密以確保安全，然后由VPN封裝成IP包的形式，通過隧道在網(wǎng)上傳輸，如圖1-1所示：</p><p>　　圖1-1 VPN工作原理圖</p><p>　　源網(wǎng)絡(luò)的VPN隧道發(fā)起器與目標(biāo)網(wǎng)絡(luò)上的VPN隧道發(fā)起器進行通信。兩者就

15、加密方案達成一致，然后隧道發(fā)起器對包進行加密，確保安全（為了加強安全，應(yīng)采用驗證過程，以確保連接用戶擁有進入目標(biāo)網(wǎng)絡(luò)的相應(yīng)的權(quán)限。大多數(shù)現(xiàn)有的VPN產(chǎn)品支持多種驗證方式）。</p><p>　　最后，VPN發(fā)起器將整個加密包封裝成IP包?，F(xiàn)在不管原先傳輸?shù)氖呛畏N協(xié)議，它都能在純IP因特網(wǎng)上傳輸。又因為包進行了加密，所以誰也無法讀取原始數(shù)據(jù)。</p><p>　　在目標(biāo)網(wǎng)絡(luò)這頭，VPN隧道終

16、結(jié)器收到包后去掉IP信息，然后根據(jù)達成一致的加密方案對包進行解密，將隨后獲得的包發(fā)給遠程接入服務(wù)器或本地路由器，他們在把隱藏的IPX包發(fā)到網(wǎng)絡(luò)，最終發(fā)往相應(yīng)目的地。</p><p>　　1.3 VPN的研究背景和意義</p><p>　　隨著網(wǎng)絡(luò)，尤其是網(wǎng)絡(luò)經(jīng)濟的發(fā)展，企業(yè)日益擴張，客戶分布日益廣泛，合作伙伴日益增多，這種情況促使了企業(yè)的效益日益增長，另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能

17、缺陷：傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點的專線連接方式已難以適應(yīng)現(xiàn)代企業(yè)的需求。于是企業(yè)對于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求，主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟性、擴展性等方面。在這樣的背景下，VPN以其獨具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞，令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運行與維護，而更多地致力于企業(yè)的商業(yè)目標(biāo)的實現(xiàn)。</p><p>　　雖然VPN在理解和應(yīng)用方面都是高度復(fù)雜的技術(shù)，甚至確定其是否適用于本公司也一件復(fù)雜

18、的事件，但在大多數(shù)情況下VPN的各種實現(xiàn)方法都可以應(yīng)用于每個公司。即使不需要使用加密數(shù)據(jù)，也可節(jié)省開支。因此，在未來幾年里，客戶和廠商很可能會使用VPN，從而使電子商務(wù)重又獲得生機，畢竟全球化、信息化、電子化是大勢所趨。</p><p>　　VPN的應(yīng)用領(lǐng)域和設(shè)計目標(biāo)</p><p>　　2.1 VPN的主要應(yīng)用領(lǐng)域</p><p>　　利用VPN技術(shù)幾乎可以解決

19、所有利用公共通信網(wǎng)絡(luò)進行通信的虛擬專用網(wǎng)絡(luò)連接的問題。歸納起來，有以下幾種主要應(yīng)用領(lǐng)域。</p><p><b>　?。?）遠程訪問</b></p><p>　　遠程移動用戶通過VPN技術(shù)可以在任何時間、任何地點采用撥號、ISDN、DSL、移動IP和電纜技術(shù)與公司總部、公司內(nèi)聯(lián)網(wǎng)的VPN設(shè)備建立起隧道或密道信，實現(xiàn)訪問連接，此時的遠程用戶終端設(shè)備上必須加裝相應(yīng)的VPN

20、軟件。推而廣之，遠程用戶可與任何一臺主機或網(wǎng)絡(luò)在相同策略下利用公共通信網(wǎng)絡(luò)設(shè)施實現(xiàn)遠程VPN訪問。這種應(yīng)用類型也叫Access VPN(或訪問型VPN)，這是基本的VPN應(yīng)用類型。不難證明，其他類型的VPN都是Access VPN的組合、延伸和擴展。</p><p><b>　　（2）組建內(nèi)聯(lián)網(wǎng)</b></p><p>　　一個組織機構(gòu)的總部或中心網(wǎng)絡(luò)與跨地域的分支機

21、構(gòu)網(wǎng)絡(luò)在公共通信基礎(chǔ)設(shè)施上采用的隧道技術(shù)等VPN技術(shù)構(gòu)成組織機構(gòu)“內(nèi)部”的虛擬專用網(wǎng)絡(luò)，當(dāng)其將公司所有權(quán)的VPN設(shè)備配置在各個公司網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間（即連接邊界處）時，這樣的內(nèi)聯(lián)網(wǎng)還具有管理上的自主可控、策略集中配置和分布式安全控制的安全特性。利用VPN組建的內(nèi)聯(lián)網(wǎng)也叫Intranet VPN。Intranet VPN是解決內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。</p><p><b>　?。?

22、）組建外聯(lián)網(wǎng) </b></p><p>　　使用虛擬專用網(wǎng)絡(luò)技術(shù)在公共通信基礎(chǔ)設(shè)施上將合作伙伴和有共同利益的主機或網(wǎng)絡(luò)與內(nèi)聯(lián)網(wǎng)連接起來，根據(jù)安全策略、資源共享約定規(guī)則實施內(nèi)聯(lián)網(wǎng)內(nèi)的特定主機和網(wǎng)絡(luò)資源與外部特定的主機和網(wǎng)絡(luò)資源相互共享，這在業(yè)務(wù)機構(gòu)和具有相互協(xié)作關(guān)系的內(nèi)聯(lián)網(wǎng)之間具有廣泛的應(yīng)用價值。這樣組建的外聯(lián)網(wǎng)也叫Extranet VPN。Extranet VPN是解決外聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安

23、全的主要方法。若外聯(lián)網(wǎng)VPN的連接和傳輸中使用了加密技術(shù)，必須解決其中的密碼分發(fā)、管理的一致性問題。</p><p>　　2.2 VPN的設(shè)計目標(biāo)</p><p>　　在實際應(yīng)用中，一般來說一個高效、成功的VPN應(yīng)具備以下幾個特點：</p><p><b>　?。?）安全保障</b></p><p>　　雖然實現(xiàn)VPN

24、的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個邏輯的、點對點的連接，稱之為建立一個隧道，可以利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法

25、用戶對網(wǎng)絡(luò)資源或私有信息的訪問。Extranet VPN將企業(yè)網(wǎng)擴展到合作伙伴和客戶，對安全性提出了更高的要求。</p><p>　?。?）服務(wù)質(zhì)量保證（QoS）</p><p>　　VPN網(wǎng)絡(luò)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對服務(wù)質(zhì)量保證的要求差別較大。如移動辦公用戶，提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個主要因素；而對于擁有眾多分支機構(gòu)的專線VPN網(wǎng)絡(luò)，

26、交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對于其它應(yīng)用（如視頻等）則對網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實時性要求高的數(shù)據(jù)得不到及時發(fā)送；而在流量低谷時又造成大量的網(wǎng)絡(luò)帶寬空閑

27、。QoS通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。</p><p>　?。?）可擴充性和靈活性</p><p>　　VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。<

28、;/p><p><b>　?。?）可管理性</b></p><p>　　從用戶角度和運營商的角度應(yīng)可方便地進行管理、維護。在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)為：

29、減小網(wǎng)絡(luò)風(fēng)險、具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。事實上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。</p><p>　　實現(xiàn)VPN的關(guān)鍵技術(shù)和主要協(xié)議</p><p>　　3.1 實現(xiàn)VPN的關(guān)鍵技術(shù)</p><p><b>　　（1）隧道技術(shù)</b></p><p>　　

30、隧道技術(shù)(Tunneling)是VPN的底層支撐技術(shù)，所謂隧道，實際上是一種封裝，就是將一種協(xié)議（協(xié)議X）封裝在另一種協(xié)議（協(xié)議Y）中傳輸，從而實現(xiàn)協(xié)議X對公用網(wǎng)絡(luò)的透明性。這里協(xié)議X被稱為被封裝協(xié)議，協(xié)議Y被稱為封裝協(xié)議，封裝時一般還要加上特定的隧道控制信息，因此隧道協(xié)議的一般形式為（（協(xié)議Y）隧道頭（協(xié)議X））。在公用網(wǎng)絡(luò)（一般指因特網(wǎng)）上傳輸過程中，只有VPN端口或網(wǎng)關(guān)的IP地址暴露在外邊。</p><p>

31、;　　隧道解決了專網(wǎng)與公網(wǎng)的兼容問題，其優(yōu)點是能夠隱藏發(fā)送者、接受者的IP地址以及其它協(xié)議信息。VPN采用隧道技術(shù)向用戶提供了無縫的、安全的、端到端的連接服務(wù)，以確保信息資源的安全。</p><p>　　隧道是由隧道協(xié)議形成的。隧道協(xié)議分為第二、第三層隧道協(xié)議，第二層隧道協(xié)議如L2TP、PPTP、L2F等，他們工作在OSI體系結(jié)構(gòu)的第二層（即數(shù)據(jù)鏈路層）；第三層隧道協(xié)議如IPSec，GRE等，工作在OSI體系結(jié)構(gòu)

32、的第三層（即網(wǎng)絡(luò)層）。第二層隧道和第三層隧道的本質(zhì)區(qū)別在于：用戶的IP數(shù)據(jù)包被封裝在不同的數(shù)據(jù)包中在隧道中傳輸。</p><p>　　第二層隧道協(xié)議是建立在點對點協(xié)議PPP的基礎(chǔ)上，充分利用PPP協(xié)議支持多協(xié)議的特點，先把各種網(wǎng)絡(luò)協(xié)議（如IP、IPX等）封裝到PPP幀中，再把整個數(shù)據(jù)包裝入隧道協(xié)議。PPTP和L2TP協(xié)議主要用于遠程訪問虛擬專用網(wǎng)。</p><p>　　第三層隧道協(xié)議是把各

33、種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠網(wǎng)絡(luò)層協(xié)議進行傳輸。無論從可擴充性，還是安全性、可靠性方面，第三層隧道協(xié)議均優(yōu)于第二層隧道協(xié)議。IPSec即IP安全協(xié)議是目前實現(xiàn)VPN功能的最佳選擇。</p><p>　?。?）加解密認(rèn)證技術(shù)</p><p>　　加解密技術(shù)是VPN的另一核心技術(shù)。為了保證數(shù)據(jù)在傳輸過程中的安全性，不被非法的用戶竊取或篡改，一般都在傳輸之前進行加密，在接受方再

34、對其進行解密。</p><p>　　密碼技術(shù)是保證數(shù)據(jù)安全傳輸?shù)年P(guān)鍵技術(shù)，以密鑰為標(biāo)準(zhǔn)，可將密碼系統(tǒng)分為單鑰密碼（又稱為對稱密碼或私鑰密碼）和雙鑰密碼（又稱為非對稱密碼或公鑰密碼）。單鑰密碼的特點是加密和解密都使用同一個密鑰，因此，單鑰密碼體制的安全性就是密鑰的安全。其優(yōu)點是加解密速度快。最有影響的單鑰密碼就是美國國家標(biāo)準(zhǔn)局頒布的DES算法（56比特密鑰）。而3DES（112比特密鑰）被認(rèn)為是目前不可破譯的。雙鑰

35、密碼體制下，加密密鑰與解密密鑰不同，加密密鑰公開，而解密密鑰保密，相比單鑰體制，其算法復(fù)雜且加密速度慢。所以現(xiàn)在的VPN大都采用單鑰的DES和3DES作為加解密的主要技術(shù)，而以公鑰和單鑰的混合加密體制(即加解密采用單鑰密碼，而密鑰傳送采用雙鑰密碼)來進行網(wǎng)絡(luò)上密鑰交換和管理，不但可以提高了傳輸速度，還具有良好的保密功能。認(rèn)證技術(shù)可以防止來自第三方的主動攻擊。一般用戶和設(shè)備雙方在交換數(shù)據(jù)之前，先核對證書，如果準(zhǔn)確無誤，雙方才開始交換數(shù)據(jù)。

36、用戶身份認(rèn)證最常用的技術(shù)是用戶名和密碼方式。而設(shè)備認(rèn)證則需要依賴由CA所頒發(fā)的電子證書。</p><p>　　目前主要有的認(rèn)證方式有：簡單口令如質(zhì)詢握手驗證協(xié)議CHAP和密碼身份驗證協(xié)議PAP等；動態(tài)口令如動態(tài)令牌和X.509數(shù)字證書等。簡單口令認(rèn)證方式的優(yōu)點是實施簡單、技術(shù)成熟、互操作性好，且支持動態(tài)地加載VPN設(shè)備，可擴展性強。</p><p><b>　　（3）密鑰管理技術(shù)

37、</b></p><p>　　密鑰管理的主要任務(wù)就是保證在開放的網(wǎng)絡(luò)環(huán)境中安全地傳遞密鑰，而不被竊取。目前密鑰管理的協(xié)議包括ISAKMP、SKIP、MKMP等。Internet密鑰交換協(xié)議IKE是Internet安全關(guān)聯(lián)和密鑰管理協(xié)議ISAKMP語言來定義密鑰的交換，綜合了Oakley和SKEME的密鑰交換方案，通過協(xié)商安全策略，形成各自的驗證加密參數(shù)。IKE交換的最終目的是提供一個通過驗證的密鑰以及

38、建立在雙方同意基礎(chǔ)上的安全服務(wù)。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰。</p><p>　　IKE協(xié)議是目前首選的密鑰管理標(biāo)準(zhǔn)，較SKIP而言，其主要優(yōu)勢在于定義更靈活，能適應(yīng)不同的加密密鑰。IKE協(xié)議的缺點是它雖然提供了強大的主機級身份認(rèn)證，但同時卻只能支持有限的用戶級身份認(rèn)證，并且不支持非對稱的用戶認(rèn)證。</p><p><b>　?。?

39、）訪問控制技術(shù)</b></p><p>　　虛擬專用網(wǎng)的基本功能就是不同的用戶對不同的主機或服務(wù)器的訪問權(quán)限是不一樣的。由VPN服務(wù)的提供者與最終網(wǎng)絡(luò)信息資源的提供者共同來協(xié)商確定特定用戶對特定資源的訪問權(quán)限，以此實現(xiàn)基于用戶的細(xì)粒度訪問控制，以實現(xiàn)對信息資源的最大限度的保護。 </p><p>　　訪問控制策略可以細(xì)分為選擇性訪問控制和強制性訪問控制。選擇性訪問控制是基于主體

40、或主體所在組的身份，一般被內(nèi)置于許多操作系統(tǒng)當(dāng)中。強制性訪問控制是基于被訪問信息的敏感性。</p><p>　　3.2 VPN的主要安全協(xié)議</p><p>　　在實施信息安全的過程中，為了給通過非信任網(wǎng)絡(luò)的私有數(shù)據(jù)提供安全保護，通訊的雙方首先進行身份認(rèn)證，這中間要經(jīng)過大量的協(xié)商，在此基礎(chǔ)上，發(fā)送方將數(shù)據(jù)加密后發(fā)出，接受端先對數(shù)據(jù)進行完整性檢查，然后解密，使用。這要求雙方事先確定要使用的

41、加密和完整性檢查算法。由此可見，整個過程必須在雙方共同遵守的規(guī)范( 協(xié)議) 下進行。</p><p>　　VPN區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵是隧道的建立，數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進行封裝、傳送以保證安全性。一般，在數(shù)據(jù)鏈路層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層隧道協(xié)議，常用的有PPTP , L2TP 等;在網(wǎng)絡(luò)層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議，如IPSec。另外，SOCKSv5協(xié)議則在TCP層實現(xiàn)數(shù)據(jù)安全。</p

42、><p>　　3.2.1　PPTP/L2TP </p><p>　　1996年，Microsoft和Ascend等在PPP 協(xié)議的基礎(chǔ)上開發(fā)了PPTP ， 它集成于Windows NT Server4.0中，Windows NT Workstation 和Windows 9.X也提供相應(yīng)的客戶端軟件。PPP支持多種網(wǎng)絡(luò)協(xié)議，可把IP 、IPX、AppleTalk或NetBEUI的數(shù)據(jù)包封裝在P

43、PP包中，再將整個報文封裝在PPTP隧道協(xié)議包中，最后，再嵌入IP報文或幀中繼或ATM中進行傳輸。PPTP提供流量控制，減少擁塞的可能性，避免由于包丟棄而引發(fā)包重傳的數(shù)量。PPTP的加密方法采用Microsoft點對點加密(MPPE: Microsoft Point-to- Point) 算法，可以選用較弱的40位密鑰或強度較大的128位密鑰。1996年， Cisco提出L2F(Layer 2 Forwarding)隧道協(xié)議，它也支持

44、多協(xié)議，但其主要用于Cisco的路由器和撥號訪問服務(wù)器。1997年底，Microsoft 和Cisco公司把PPTP 協(xié)議和L2F協(xié)議的優(yōu)點結(jié)合在一起，形成了L2TP協(xié)議。L2TP支持多協(xié)議，利用公共網(wǎng)絡(luò)封裝PPP幀，可以實現(xiàn)和企業(yè)</p><p>　　PPTP/L2TP協(xié)議的優(yōu)點: PPTP/L2TP對用微軟操作系統(tǒng)的 用戶來說很方便，因為微軟己把它作為路由軟件的一部分。PPTP/ L2TP支持其它網(wǎng)絡(luò)協(xié)議。如

45、NOWELL的IPX,NETBEUI和APPLETALK協(xié)議,還支持流量控制。 它通過減少丟棄包來改善網(wǎng)絡(luò)性能，這樣可減少重傳。</p><p>　　PPTP/ L2TP協(xié)議的缺點:PM和L2TP 將不安全的IP包封裝在安全的IP包內(nèi)，它們用IP幀在兩臺計算機之間創(chuàng)建和打開數(shù)據(jù)通道，一旦通道打開，源和目的用戶身份就不再需要，這樣可能帶來問題，它不對兩個節(jié)點間的信息傳輸進行監(jiān)視或控制。PPTP和L2TP限制同時最多

46、只能連接255個用戶，端點用戶需要在連接前手工建立加密信道，認(rèn)證和加密受到限制，沒有強加密和認(rèn)證支持。</p><p>　　PPTP/ L2TP最適合于遠程訪問VPN.</p><p>　　3.2.2　IPSec協(xié)議　</p><p>　　IPSec是IETF(Internet Engineer Task Force) 正在完善的安全標(biāo)準(zhǔn)，它把幾種安全技術(shù)結(jié)合在一起

47、形成一個較為完整的體系，受到了眾多廠商的關(guān)注和支持。通過對數(shù)據(jù)加密、認(rèn)證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃浴⑺接行院捅Ｃ苄?。IPSec由IP認(rèn)證頭AH(Authentication Header)、IP安全載荷封載ESP(Encapsulated Security Payload)和密鑰管理協(xié)議組成。</p><p>　　IPSec協(xié)議是一個范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議。IPSec 適應(yīng)向IPv6遷移， 它

48、提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護，提供透明的安全通信。IPSec用密碼技術(shù)從三個方面來保證數(shù)據(jù)的安全。即:</p><p>　　認(rèn)證：用于對主機和端點進行身份鑒別。</p><p>　　完整性檢查：用于保證數(shù)據(jù)在通過網(wǎng)絡(luò)傳輸時沒有被修改。</p><p>　　加密：加密IP地址和數(shù)據(jù)以保證私有性。</p><p>　　IPSec協(xié)議可以設(shè)置成在兩

49、種模式下運行:一種是隧道模式，一種是傳輸模式。 在隧道模式下，IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀 中,這樣保護從一個防火墻到另一個防火墻時的安全性。在隧道模式下，信息封裝是為了保護端到端的安全性，即在這種模式下不會隱藏路由信息。隧道模式是最安全的，但會帶來較大的系統(tǒng)開銷。IPSec現(xiàn)在還不完全成熟，但它得到了一些路由器廠商和硬件廠商的大力支持。預(yù)計它今后將成為虛擬專用網(wǎng)的主要標(biāo)準(zhǔn)。IPSec有擴展能力以適應(yīng)未來商業(yè)的需要。在1

50、997年底，IETF安全工作組完成了IPSec 的擴展， 在IPSec協(xié)議中加上ISAKMP(Internet Security Association and Kay Management Protocol)協(xié)議，其中還包括一個密鑰分配協(xié)議Oakley。ISAKMP/Oakley支持自動建立加密信道，密鑰的自動安全分發(fā)和更新。IPSec也可用于連接其它層己存在的通信協(xié)議，如支持安全電子交易(SET:Secure Electronic

51、Transaction)協(xié)議和SSL（Secure Socket layer）協(xié)議。即使不用</p><p><b>　　實例分析</b></p><p>　　VPN的具體實現(xiàn)方案有很多，實際應(yīng)用中應(yīng)根據(jù)用戶的需求、用戶資源現(xiàn)狀、承載網(wǎng)絡(luò)資源現(xiàn)狀、投資效益以及相關(guān)技術(shù)比較等多種因素綜合考慮，選擇一種主流的方案。在本文中就以一個中小型企業(yè)為例模擬實際環(huán)境建立一個基于IS

52、A的企業(yè)VPN網(wǎng)絡(luò)以滿足遠程辦公、分公司和合作伙伴遠程訪問的要求。這個實驗在理論的指導(dǎo)下實現(xiàn)了一種VPN的實際應(yīng)用，為中小企業(yè)設(shè)計VPN網(wǎng)絡(luò)提供參考和借鑒。</p><p><b>　　4.1 需求分析</b></p><p>　　隨著公司的發(fā)展壯大，廈門某公司在上海開辦了分公司來進一步發(fā)展業(yè)務(wù)，公司希望總部和分公司、總部與合作伙伴可以隨時的進行安全的信息溝通，而外

53、出辦公人員可以訪問到企業(yè)內(nèi)部關(guān)鍵數(shù)據(jù)，隨時隨地共享商業(yè)信息，提高工作效率。一些大型跨國公司解決這個問題的方法，就是在各個公司之間租用運營商的專用線路。這個辦法雖然能解決問題，但是費用昂貴，對于中小企業(yè)來說是無法負(fù)擔(dān)的，而VPN技術(shù)能解決這個問題。根據(jù)該公司用戶的需求，遵循著方便實用、高效低成本、安全可靠、網(wǎng)絡(luò)架構(gòu)彈性大等相關(guān)原則決定采用ISA Server VPN安全方案，以ISA作為網(wǎng)絡(luò)訪問的安全控制。ISA Server集成了Wi

54、ndows server VPN服務(wù)，提供一個完善的防火墻和VPN解決方案。以 ISA VPN作為連接Internet的安全網(wǎng)關(guān)，并使用雙網(wǎng)卡，隔開內(nèi)外網(wǎng)，增加網(wǎng)絡(luò)安全性。ISA具備了基于策略的安全性，并且能夠加速和管理對Internet的訪問。防火墻能對數(shù)據(jù)包層、鏈路層和應(yīng)用層進行數(shù)據(jù)過濾、對穿過防火墻的數(shù)據(jù)進行狀態(tài)檢查、對訪問策略進行控制并對網(wǎng)絡(luò)通信進行路由。對于各種規(guī)模的企業(yè)來說，ISA Server 都可以增強網(wǎng)</p&g

55、t;<p>　　在ISA中可以使用以下三種協(xié)議來建立VPN連接： </p><p>　　?IPSEC隧道模式； </p><p>　　?L2TP over IPSec模式； </p><p><b>　　?PPTP； </b></p><p>　　下表比較了這三種協(xié)議： </p><p&

56、gt;　　表4-1 ISA中三種協(xié)議對比表</p><p>　　三個站點都采用ISA VPN作為安全網(wǎng)關(guān)，且L2TP over IPSec結(jié)合了L2TP 和 IPSec的優(yōu)點，所以在這里采用L2TP over IPSec作為VPN實施方案。</p><p>　　4.2 方案達到的目的</p><p>　　廈門總部和分公司之間以及廈門總部和合作伙伴之間透過VPN聯(lián)

57、機采用IPSec協(xié)定，確保傳輸數(shù)據(jù)的安全；</p><p>　　在外出差或想要連回總部或分公司的用戶也可使用IPSec方式連回企業(yè)網(wǎng)路；</p><p>　　對總部內(nèi)網(wǎng)實施上網(wǎng)的訪問控制，通過VPN設(shè)備的訪問控制策略，對訪問的PC進行嚴(yán)格的訪問控制。</p><p>　　對外網(wǎng)可以抵御黑客的入侵，起到Firewall作用。具有控制和限制的安全機制和措施，具備防火墻和

58、抗攻擊等功能；</p><p>　　部署靈活，維護方便，提供強大的管理功能，以減少系統(tǒng)的維護量以適應(yīng)大規(guī)模組網(wǎng)需要。</p><p>　　4.3 VPN組建方案網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　圖4-1 VPN組建網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　各部分VPN設(shè)備的配置</p><p>　　公司總部和分支機構(gòu)之間與公司總

59、部和合作伙伴之間的VPN通信，都是站點對站點的方式，只是權(quán)限設(shè)置不一樣，公司總部和分支機構(gòu)要實現(xiàn)的公司分支機構(gòu)共享總部的資源，公司總部和合作伙伴要實現(xiàn)是資源共享和互訪。兩者之間的差別是合作伙伴的VPN接入上設(shè)置了可以總部可以訪問的操作。因為三個站點都采用ISA VPN作為安全網(wǎng)關(guān)，所以以下站點對站點的VPN配置就以公司總部到分支機構(gòu)為例，說明在ISA上實現(xiàn)VPN的具體操作。</p><p><b>　　

60、模擬基本拓?fù)鋱D：</b></p><p>　　圖5-1 實驗?zāi)M網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　5.1 公司總部到分支機構(gòu)的ISA VPN配置</p><p>　　各主機的TCP/IP為： </p><p><b>　　廈門總部</b></p><p><b>　　外部網(wǎng)絡(luò)

61、： </b></p><p>　　IP：192.168.1.1</p><p>　　DG：192.168.1.1</p><p><b>　　內(nèi)部網(wǎng)絡(luò)： </b></p><p>　　IP：172.16.192.167</p><p><b>　　DG：None </b

62、></p><p><b>　　分部</b></p><p><b>　　外部網(wǎng)絡(luò)： </b></p><p>　　IP：192.168.1.2</p><p>　　DG：192.168.1.1</p><p><b>　　內(nèi)部網(wǎng)絡(luò)： </b>&l

63、t;/p><p>　　IP:192.168.3.1</p><p><b>　　DG：None </b></p><p>　　在總部和支部之間建立一個基于IPSec的站點到站點的VPN連接，由支部向總部進行請求撥號，具體步驟如下： </p><p>　　在總部ISA服務(wù)器上建立遠程站點； </p><p&

64、gt;　　建立此遠程站點的網(wǎng)絡(luò)規(guī)則； </p><p>　　建立此遠程站點的訪問規(guī)則； </p><p>　　在總部為遠程站點的撥入建立用戶；</p><p>　　在支部ISA服務(wù)器上建立遠程站點； </p><p>　　建立此遠程站點的網(wǎng)絡(luò)規(guī)則； </p><p>　　建立此遠程站點的訪問規(guī)則； </p>

65、<p><b>　　測試VPN連接； </b></p><p>　　5.1.1 總部ISA VPN配置</p><p>　　1、在總部ISA服務(wù)器上建立遠程分支機構(gòu)站點 </p><p>　　打開ISA Server 2004控制臺，點擊虛擬專用網(wǎng)絡(luò)，點擊右邊任務(wù)面板中的添加遠程站點網(wǎng)絡(luò)；</p><p&g

66、t;　　在歡迎使用網(wǎng)絡(luò)創(chuàng)建向?qū)ы?，輸入遠程站點的名字Branch，點擊下一步； </p><p>　　在VPN協(xié)議頁，選擇IPSec上的第二層隧道協(xié)議（L2TP），點擊下一步； </p><p>　　在遠程站點網(wǎng)關(guān)頁，輸入遠程VPN服務(wù)器的名稱或IP地址，如果輸入名稱，需確?？梢哉_解析，在這里輸入192.168.1.2點擊下一步； </p><p>　　在網(wǎng)絡(luò)地址

67、頁，點擊添加輸入與此網(wǎng)卡關(guān)聯(lián)的IP地址范圍，在此輸入192.168.3.0和192.168.3.255，點擊確定后，點擊下一步繼續(xù)； </p><p>　　在正在完成新建網(wǎng)絡(luò)向?qū)ы?，點擊完成。 </p><p>　　圖5-2 總部建立的遠程站點圖</p><p>　　打開VPN客戶端，點擊配置VPN客戶端訪問，在常規(guī)頁中，選擇啟用VPN客戶端訪問，填入允許的最大VP

68、N客戶端數(shù)量20，在協(xié)議頁，選擇啟用PPTP（N）和啟用L2TP/IPSEC（E）點擊確定。</p><p>　　點擊選擇身份驗證方法，選擇Microsoft加密的身份驗證版本2（MS-CHAPv2）（M）和允許L2TP連接自定義IPSec策略（L）,輸入預(yù)共享的密鑰main04jsja.</p><p>　　點擊定義地址分配，在地址分配頁，選擇靜態(tài)地址池，點擊添加，添加VPN連接后總部主

69、機分配的給客戶端的IP地址段，在這里輸入210.34.212.0-210.34.212.255，點擊確定完成設(shè)置。（方便測試連接，可不添加）</p><p>　　2、在總部上建立此遠程站點的網(wǎng)絡(luò)規(guī)則 </p><p>　　接下來，我們需要建立一條網(wǎng)絡(luò)規(guī)則，為遠程站點和內(nèi)部網(wǎng)絡(luò)間的訪問定義路由關(guān)系。</p><p>　　右鍵點擊配置下的網(wǎng)絡(luò)，然后點擊新建，選擇網(wǎng)絡(luò)規(guī)則

70、； </p><p>　　在新建網(wǎng)絡(luò)規(guī)則向?qū)ы摚斎胍?guī)則名字，在此命名為Internal to Branch，點擊下一步;</p><p>　　在網(wǎng)絡(luò)通訊源頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的內(nèi)部，點擊下一步； </p><p>　　在網(wǎng)絡(luò)通訊目標(biāo)頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的Branch，點擊下一步； </p><p>　　在網(wǎng)絡(luò)關(guān)系頁，選擇路由

71、，然后點擊下一步； </p><p>　　在正在完成新建網(wǎng)絡(luò)規(guī)則向?qū)ы摚c擊完成； </p><p>　　圖5-3 總部網(wǎng)絡(luò)規(guī)則圖</p><p>　　3、在總部上建立此遠程站點的訪問規(guī)則 </p><p>　　現(xiàn)在，我們需要為遠程站點和內(nèi)部網(wǎng)絡(luò)間的互訪建立訪問規(guī)則，</p><p>　　右鍵點擊防火墻策略，選擇新建，

72、點擊訪問規(guī)則； </p><p>　　在歡迎使用新建訪問規(guī)則向?qū)ы摚斎胍?guī)則名稱，在此命名為main to branch，點擊下一步； </p><p>　　在規(guī)則操作頁，選擇允許，點擊下一步； </p><p>　　在協(xié)議頁，選擇所選的協(xié)議，然后添加HTTP和Ping，(這里可以再根據(jù)實際需要添加協(xié)議)點擊下一步； </p><p>　　在

73、訪問規(guī)則源頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的Branch和內(nèi)部，點擊下一步； </p><p>　　在訪問規(guī)則目標(biāo)頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的Branch和內(nèi)部，點擊下一步；</p><p>　　在用戶集頁，接受默認(rèn)的所有用戶，點擊下一步；在正在完成新建訪問規(guī)則向?qū)ы?，點擊完成； </p><p>　　最后，點擊應(yīng)用以保存修改和更新防火墻設(shè)置。 此時在警報里面有提示

74、，需要重啟ISA服務(wù)器，所以，我們需要重啟ISA計算機。</p><p>　　圖5-4 總部訪問控制圖</p><p>　　4、在總部上為遠程站點的撥入建立用戶 </p><p>　　在重啟總部ISA服務(wù)器后，以管理員身份登錄，</p><p>　　在我的電腦上點擊右鍵，選擇管理，選擇在本地用戶和組里面，右擊用戶，選擇新用戶，這個VPN撥入用

75、戶的名字一定要和遠程站點的名字一致，在此是main，輸入密碼main，選中用戶不能修改密碼和密碼永不過期，取消勾選用戶必須在下次登錄時修改密碼，點擊創(chuàng)建； </p><p>　　右擊此用戶，選擇屬性；在用戶屬性的撥入標(biāo)簽，選擇允許訪問，點擊確定。</p><p>　　圖5-5 總部用戶創(chuàng)建圖</p><p>　　此時，遠程客戶端撥入總部的用戶賬號就建好了。</

76、p><p>　　5.1.2 支部 ISA VPN配置</p><p>　　1、在支部ISA服務(wù)器上添加遠程站點</p><p>　　打開ISA Server 2004控制臺，點擊虛擬專用網(wǎng)絡(luò)，點擊右邊任務(wù)面板中的添加遠程站點網(wǎng)絡(luò)；</p><p>　　在歡迎使用網(wǎng)絡(luò)創(chuàng)建向?qū)ы?，輸入遠程站點的名字Main，點擊下一步； </p>

77、<p>　　在VPN協(xié)議頁，選擇IPSec上的第二層隧道協(xié)議（L2TP），點擊下一步； </p><p>　　在遠程站點網(wǎng)關(guān)頁，輸入遠程VPN服務(wù)器的名稱或IP地址，如果輸入名稱，需確?？梢哉_解析，在這里輸入192.168.1.1，點擊下一步； </p><p>　　在遠程身份驗證頁，輸入用戶名main，輸入密碼main，點擊下一步繼續(xù)； </p><p&g

78、t;　　在網(wǎng)絡(luò)地址頁，點擊添加輸入與此網(wǎng)卡關(guān)聯(lián)的IP地址范圍，在此輸入192.168.3.0和192.168.3.255，點擊確定后，點擊下一步繼續(xù)； </p><p>　　在正在完成新建網(wǎng)絡(luò)向?qū)ы?，點擊完成。 </p><p>　　圖5-6 支部建立的遠程站點圖</p><p>　　2、建立此遠程站點的網(wǎng)絡(luò)規(guī)則 接下來，我們需要建立一條網(wǎng)絡(luò)規(guī)則，為遠程站點和內(nèi)部

79、網(wǎng)絡(luò)間的訪問定義路由關(guān)系。</p><p>　　右擊配置下的網(wǎng)絡(luò)，然后點擊新建，選擇網(wǎng)絡(luò)規(guī)則；</p><p>　　在新建網(wǎng)絡(luò)規(guī)則向?qū)ы?，輸入?guī)則名字，在此我命名為內(nèi)部->Main，點擊下一步；</p><p>　　在網(wǎng)絡(luò)通訊源頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的內(nèi)部，點擊下一步；</p><p>　　在網(wǎng)絡(luò)通訊目標(biāo)頁，點擊添加，選擇網(wǎng)絡(luò)目錄

80、下的Main，點擊下一步；</p><p>　　在網(wǎng)絡(luò)關(guān)系頁，選擇路由，然后點擊下一步；</p><p>　　在正在完成新建網(wǎng)絡(luò)規(guī)則向?qū)ы?，點擊完成；</p><p>　　圖5-7 支部的網(wǎng)絡(luò)規(guī)則圖</p><p>　　3、建立此遠程站點的訪問規(guī)則 </p><p>　　在創(chuàng)建完遠程站點和遠程站點的網(wǎng)絡(luò)規(guī)則之后，我們需

81、要為遠程站點和內(nèi)部網(wǎng)絡(luò)間的互訪建立訪問規(guī)則，</p><p>　　右擊防火墻策略，選擇新建，點擊訪問規(guī)則；</p><p>　　在歡迎使用新建訪問規(guī)則向?qū)ы?，輸入?guī)則名稱，在此我命名為branch to main ，點擊下一步；</p><p>　　在規(guī)則操作頁，選擇允許，點擊下一步；</p><p>　　在協(xié)議頁，選擇所選的協(xié)議，然后添加H

82、TTP和Ping，點擊下一步；</p><p>　　在訪問規(guī)則源頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的Main和內(nèi)部，點擊下一步；</p><p>　　在訪問規(guī)則目標(biāo)頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的Main和內(nèi)部，點擊下一步；</p><p>　　在用戶集頁，接受默認(rèn)的所有用戶，點擊下一步；在正在完成新建訪問規(guī)則向?qū)ы摚c擊完成；</p><p>　　

83、最后，點擊應(yīng)用以保存修改和更新防火墻設(shè)置。</p><p>　　圖5-8 支部的訪問控制圖</p><p>　　此時在警報里面有提示，需要重啟ISA服務(wù)器，所以，我們需要重啟支部ISA計算機。</p><p>　　5.1.3 VPN連接</p><p>　　在支部的路由和遠程訪問控制臺中，展開服務(wù)器，</p><p>

84、;　　點擊網(wǎng)絡(luò)接口，這時就會出現(xiàn)我們創(chuàng)建的main網(wǎng)絡(luò)撥號接口，右鍵點擊屬性，在安全頁選擇高級設(shè)置下的IPSec設(shè)置，在使用預(yù)共享的密鑰作身份驗證（U）的選框里打勾，并輸入密鑰main04jsja, 點擊兩次確定，完成密鑰設(shè)置。</p><p>　　右鍵點擊設(shè)置憑據(jù)，在接口憑據(jù)頁，輸入此接口連接到遠程路由器使用的憑據(jù)，因為在遠程ISA端我們設(shè)置為main 所以這里輸入的用戶密碼為main，點擊確定。</p&

85、gt;<p>　　圖5-9 連接驗證圖</p><p>　　右鍵main點擊連接</p><p>　　圖5-10 正在進行連接示意圖</p><p>　　圖5-11 已連接上示意圖</p><p>　　到此為止站點到站點的VPN已經(jīng)構(gòu)建好了，在上面的設(shè)置中，遠程的支部不允許總部進行訪問，如果要設(shè)成可以互相訪問，支部的配置只要參照

86、總部的配置就可以實現(xiàn)了。</p><p>　　5.1.4 連接測試</p><p>　　我們之前在靜態(tài)地址池里設(shè)置了VPN連接后分配的IP地址，因此測試是否連接時只要查支部主機的IP地址就可以了，在測試的結(jié)果中，出現(xiàn)了210.34.212.2這個VPN分配的IP地址，說明VPN已成功連接上總部的ISA VPN服務(wù)器。</p><p>　　圖5-12 支部主機VPN

87、連接后的ipconfig圖</p><p>　　在支部的主機上ping總部內(nèi)部的某一主機，如下所示，雖然第一次連接時間超時，沒有回應(yīng)，但是接下來的三個連接都可以ping通，說明VPN已經(jīng)成功連接，并可以訪問到總部內(nèi)網(wǎng)的其他主機。</p><p>　　圖5-13 支部PING通總部內(nèi)部網(wǎng)絡(luò)圖</p><p>　　5.2 公司總部站點到移動用戶端的VPN配置</

88、p><p><b>　　總部</b></p><p><b>　　外部網(wǎng)絡(luò)： </b></p><p>　　IP：192.168.1.1</p><p>　　DG：192.168.1.1</p><p><b>　　內(nèi)部網(wǎng)絡(luò)： </b></p>

89、<p>　　IP：172.16.192.167</p><p><b>　　DG：None </b></p><p><b>　　移動用戶</b></p><p>　　IP：192.168.1.3</p><p>　　在總部和移動用戶之間建立一個基于IPSec的VPN連接，具體步驟如下：

90、 </p><p>　　在總部ISA服務(wù)器上建立網(wǎng)絡(luò)規(guī)則 </p><p>　　建立此遠程站點的訪問規(guī)則； </p><p>　　在總部為遠程站點的撥入建立用戶；</p><p>　　在客戶端建立撥號連接</p><p><b>　　測試VPN連接； </b></p><p&g

91、t;　　5.2.1 總部ISA VPN配置</p><p>　　1、創(chuàng)建遠程訪問移動客戶端</p><p>　　打開ISA Server 2004控制臺，點擊虛擬專用網(wǎng)絡(luò)，點擊右邊任務(wù)面板中常規(guī)VPN配置中的選擇訪問網(wǎng)絡(luò)</p><p>　　在虛擬專用網(wǎng)絡(luò)（VPN）屬性頁 選擇訪問網(wǎng)絡(luò),選中外部和所有網(wǎng)絡(luò)（和本地主機）</p><p>　

92、　選擇地址分配頁，這里需要在靜態(tài)地址池里面添加分給VPN撥入用戶的IP地址，因為在站點對站點的設(shè)置里已經(jīng)配置過，所以這里直接點確定點擊確定；</p><p>　　點擊VPN客戶端任務(wù)里的配置VPN客戶端訪問選項，點擊啟用VPN客戶端訪問，設(shè)置允許的最大VPN客戶端數(shù)量20。</p><p>　　點擊協(xié)議選項，選擇啟用PPTP（N）和啟用L2TP/IPSEC（E）點擊確定。</p>

93、;<p>　　2、創(chuàng)建移動客戶端的訪問規(guī)則</p><p>　　現(xiàn)在，我們需要為遠程站點和內(nèi)部網(wǎng)絡(luò)間的互訪建立訪問規(guī)則，</p><p>　　右鍵點擊防火墻策略，在任務(wù)面板上選擇創(chuàng)建新的訪問規(guī)則；</p><p>　　在歡迎使用新建訪問規(guī)則向?qū)ы?，輸入?guī)則名稱Allow move VPN，點擊下一步；</p><p>　　在規(guī)則

94、操作頁，選擇允許，點擊下一步；</p><p>　　在協(xié)議頁，選擇所選的協(xié)議，然后添加HTTP 和PING，點擊下一步；</p><p>　　在訪問規(guī)則源頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的外部，點擊下一步；</p><p>　　在訪問規(guī)則目標(biāo)頁，點擊添加，選擇網(wǎng)絡(luò)集目錄下的所有網(wǎng)絡(luò)（和本地主機），點擊下一步；</p><p>　　在用戶集頁，接受

95、默認(rèn)的所有用戶，點擊下一步；在正在完成新建訪問規(guī)則向?qū)ы?，點擊完成；</p><p>　　最后，點擊應(yīng)用以保存修改和更新防火墻設(shè)置。</p><p>　　圖5-14 總部移動用戶訪問控制圖</p><p>　　3、在總部上為移動用戶創(chuàng)建撥入建立帳號</p><p>　　在重啟總部ISA服務(wù)器后，以管理員身份登錄，</p><

96、;p>　　在我的電腦上點擊右鍵，選擇管理，選擇在本地用戶和組里面，右擊用戶，選擇新用戶，輸入用戶名movevpn，輸入密碼movevpn，選擇用戶必須在下次登錄時修改密碼，點擊創(chuàng)建； </p><p>　　右擊此用戶，選擇屬性；在用戶屬性的撥入標(biāo)簽，選擇允許訪問，點擊確定。</p><p>　　圖5-15 總部移動用戶創(chuàng)建圖</p><p>　　5.2.2

97、移動用戶端VPN配置</p><p>　　1、VPN 客戶端的配置</p><p>　　點擊 開始->所有程序->附件->通訊->新建連接向?qū)?lt;/p><p>　　在新建連接向?qū)ы?，點擊下一步</p><p>　　在網(wǎng)絡(luò)連接類型頁，選擇連接到我的工作場所的網(wǎng)絡(luò)點擊下一步</p><p>　　在

98、網(wǎng)絡(luò)連接頁，選擇虛擬專用網(wǎng)連接點擊下一步</p><p>　　在連接名頁面，輸入連接的名稱，如“XMUT”，點擊下一步</p><p>　　在公用網(wǎng)絡(luò)頁，選擇不撥初始連接，點擊下一步</p><p>　　在VPN服務(wù)器選擇頁，輸入主機名或IP地址192.168.1.1, 點擊下一步</p><p>　　在可用連接頁，根據(jù)需要進行選擇，然后單擊

99、下一步按鈕繼續(xù)。 </p><p>　　在完成網(wǎng)絡(luò)連接向?qū)ы摚催x中在我的桌面添加快捷方式復(fù)選框，然后單擊完成按鈕。</p><p>　　2、設(shè)置XUMT的連接屬性</p><p>　　右鍵XMUT連接，點擊屬性，在安全頁選擇高級設(shè)置下的IPSEC設(shè)置，在使用預(yù)共享的密鑰作身份驗證（U）的選框里打勾，并輸入密鑰main04jsja, 點擊兩次確定。</p>

100、;<p>　　到此為止，站點對站點的VPN和站點對客戶端的VPN已經(jīng)都建立好了，具體的訪問控制和網(wǎng)絡(luò)規(guī)則都可以隨實際的應(yīng)用而更改。</p><p>　　5.2.3 連接測試</p><p>　　在VPN客戶端主機上輸入ipconfig,得到一個靜態(tài)地址210.34.212.4，說明已連接成功。</p><p>　　圖5-16 移動用戶VPN連接后ip

101、config圖</p><p><b>　　致謝</b></p><p>　　隨著論文的完成，近四年的大學(xué)生活也即將宣告結(jié)束了。我將銘記曾經(jīng)直接或間接為本論文做出貢獻和給予我指導(dǎo)和支持的老師們。</p><p>　　在此，我首先向我的導(dǎo)師——***老師和指導(dǎo)過我的老師***，表示最衷心的感謝。我在做畢業(yè)設(shè)計的學(xué)習(xí)和設(shè)計過程中遇到了不少困難，他們

102、總能給予我指導(dǎo)和建議。感謝他們的幫助，讓我能夠順利的完成我的畢業(yè)設(shè)計。</p><p>　　最后，非常感謝計算機科學(xué)與技術(shù)系的所有老師四年來對我的辛勤培育和熱心關(guān)懷。感謝在一起學(xué)習(xí)一起生活的同學(xué)。</p><p><b>　　參考文獻</b></p><p>　　[1]高海英，薛元星，辛陽 .VPN技術(shù) .第一版.北京.機械工業(yè)出版社.2004

103、.1-2</p><p>　　[2]Steven Brown著. 董小宇，魏鴻，馬潔譯.構(gòu)建虛擬專用網(wǎng).第一版.北京.人民郵電出版社.2000.4-5</p><p>　　[3]戴宗坤，唐三平.VPN與網(wǎng)絡(luò)安全.第一版.北京.電子工業(yè)出版社.2002.</p><p>　　[4]邱亮，金悅.ISA配置與管理.第一版.北京.清華大學(xué)出版社.2002.</p>

104、;<p>　　[5]李思齊.服務(wù)器配置全攻略.第一版.北京.清華大學(xué)出版社.2006.</p><p>　　[6]王達等.虛擬專用網(wǎng)（VPN）精解.北京.清華大學(xué)出版社.2004.</p><p>　　[7]Carlton R. Davis 著.周永彬，馮登國等譯.IPSEC:VPN的安全實施.北京.清華大學(xué)出版社.2001</p><p>　　[8]