《东方学院校园网设计—毕业设计论文.doc》由会员分享,可在线阅读,更多相关《东方学院校园网设计—毕业设计论文.doc(70页珍藏版)》请在三一办公上搜索。
1、 目 录摘 要IAbstractII1 绪论11.1 课题研究背景11.2 国内外研究现状11.3 VPN技术应用于校园网的重要意义31.4 本文主要研究内容32 VPN技术剖析32.1 VPN简介32.2 VPN工作原理42.3 VPN关键技术52.4 VPN组网方式73 基于IPSec协议的VPN技术83.1 IPSec协议体系结构93.2 IPSec协议工作原理103.3 IPSec协议两种工作模式113.4 IPSec协议族的构成123.5 IPSec VPN的优缺点154 VPN产品选型及校园网组网方案164.1 校园网设计方案的要求164.2 东方学院校园网组网需求分析164.3
2、校园网对网络设备要求164.4 网络产品选型174.5 东方学院校园网拓扑结构设计195 IP地址规划205.1 IP地址划分发展历程205.2 IP地址规划原则215.3 IP地址规划216 组网的方案设计实现226.1 VLAN的配置与实现236.2 VTP的配置与实现236.3 链路聚合的配置与实现256.4 三层接口配置256.5 HSRP的配置与实现276.6 NAT/PAT的配置与实现286.8 Internet接入之静态路由配置306.9 ACL的配置与实现306.10 IPSEC VPN的配置与实现317 测试结果327.1 查看各设备的端口配置情况327.2 VTP的配置结果
3、337.3 OSPF的配置结果347.4 HSRP测试结果357.5 IPSec测试结果357.6 全网连通性测试结果378 总结398.1 本文完成的工作398.2 感悟39参考文献41致 谢42摘 要随着东方学院校园规模的扩大,如何实现不同校区间的资源安全高效地互访,这是校园网建设面临的重大问题。IPSec VPN是解决此问题的非常有效的手段。本文首先介绍了IPSec协议族及VPN相关技术,对东方学院校园网的现状及使用IPSec VPN技术设计校园网的可行性与必要性作了详细分析,然后结合网络结构和使用情况提出了基于IPSec VPN的校园网建设的组网方案,通过GNS3网络仿真软件实现了总部
4、和分部两个校区间资源互访,给出了网络拓扑中各个设备的具体配置方法。关键词:IP安全协议;虚拟专用网;校园网;通用路由封装;隧道Abstract With the expansion of Oriental College,the college has a major issue to build the construction of the campus network, to actualize a safe and efficient resources exchange among different campuses visits. IPSec protocol and VPN t
5、echnology is a very effective solution to solve this problem. The IPSec protocol and VPN technology be called IPSec VPN for short, it is necessary and available based on current situation of campus network. This paper explains the necessity and feasibility in detail first, and then introduces the ca
6、mpus networking solution of IPSec VPN based on network structure and the use. The GNS3 network simulation software actualizes the resources exchange and visit visits between the headquarters and the branch. The network topology method shows the specific configuration of each device in the solution.
7、Keywords:IPSec;VPN;campus network;GRE;tunnel1 绪论1.1课题研究背景 随着我国经济建设的进一步加强,教育事业近年来也有了突飞猛进的发展,各级各类学校招生人数逐年增多,学校规模逐步扩大,很多地区政府、教育主管部门均加大对教育事业的投入,纷纷新建校园,扩大学校办学规模,使得很多学校有多个校区,实行多校区管理。学校本部与各分校区之间需要随时通信;同时随着网络的普及,老师、学生、家长以及外出入员需要随时随地联入校园网。然而在使用过程中,可能造成泄漏或丢失重要的数据;没有经过过授权,使用了校园网的一些网络资源;用非法手段窃取数据或对数据进行非法操作。校园网建
8、设过程中应考虑的关键性问题是采用何种手段来更高速、安全的访问校园资源1。VPN(虚拟专用网)平衡了校园网适用性、安全性和价格优势的需求。利用共享的IP网建立VPN连接,可以使校园网减少对昂贵租用线路和复杂远程访问方案的依赖性。在校园网中运用VPN技术,不仅突破校园网的校园地域限制,而且可以使学校管理部门更好地管理和运用校园网。VPN代表了当今网络发展的最新趋势,它综合了传统数据网络的性能优点(安全与服务质量)和共享数据网络结构的优点(简单与低成本),建立安全的数据通道,能够提供远程访问、外部网和内部网的连接,价格比专线或者帧中继网络要低得多。而且,VPN在降低成本的同时满足了用户对网络带宽、接
9、入和服务不断增加的需求,因此,VPN必将成为未来企业传输业务的主要工具。本课题所研究的东方学院的校园网,是一个中小型的校园网。东方学院共有两个校区,共用一条专线上网,东、西校区分别有十个、十六个上网区,财务部门(所在办公楼处)和图书馆需要建立VPN服务。1.2 国内外研究现状虚拟专用网(Virtual Private Network)即是指通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虽然VPN通讯建立在公共互联网络的基础上,但是用户在使用VPN时感觉如同在使用专用网络进行通讯所以得名虚拟专用网络1。现在对VPN的研究,正处在一个高速成
10、长的发展阶段。基于IPSEC的VPN是VPN发展的主流方向,安全VPN已成为计算机网络信息系统的重大发展方向之一。校园网作为Internet的一部分,为广大师生员工的工作、学习和信息交流提供了方便。一方面,它具有开放性,它可以让师生员工通过它的连接获得校内外大量信息;另一方面,校园网络也具有专用性,或者是它的一些特定资源只允许校园内的用户享用,或者是某些资源对不同的用户具有不同的权限。虚拟专用网(VPN)满足了各大高校对网络的灵活性、安全性、经济性、扩展性等多方面要求,赢得了越来越多学校的青睐,使学校可以较少地关注网络的运行与维护,更多地致力于为师生提供优良服务目标的实现。对于校园网网用户来说
11、,IPSec VPN是一个公认的理想解决方案。IPSec是业界标准的网络安全协议,可以为 IP 网络通信提供透明的安全服务,保护 TCP/IP 通信免遭窃听和篡改,从而有效抵御网络攻击,在一定程度上提高了网络的安全性。下面简要介绍国外主要厂商的VPN解决方案及特点。(1)Microsoft的解决方案是通过拨号网络连接到ISP,再通过Internet连接到一个PPTP服务器;或者使用拨号网络直接连接到ISP的PPTP隧道服务器,然后使用PPTP隧道服务器建立与其他公共网、企业局域网的隧道连接。Microsoft解决方案的优点是实现比较方便、成本较低。(2)Cisco的解决方案包括若干技术:隧道技
12、术、加密、分组验证、防火墙、入侵检测系统和用户验证。其中基于硬件的集成式IPSec加密,把DES或3DES加密算法与IPPCP压缩结合起来,在加密之前实现数据压缩。另外,Cisco将防火墙、入侵检测系统和安全扫描程序三者配合起来,用户可以最大限度地保证他们VPN的可靠性和安全性。(3)3COM针对不同用户的需求提供了3种VPN解决方案:全球Internet接人;虚拟专线;安全外联网。使用了IPSec协议和3 DES数据加密算法,任何用户都可以从3 COM的解决方案中找到适合自己的方案。(4)Cabletron使用ISDN为本地按人的VPN解决方案,并采用L2TP和IPSec协议建立安全的隧道,
13、利用DES协议对在隧道中传输的数据包进行加密和解密。这样傲的好处有:通信速率较高且有保证,费用低,可以利用ISDN的多业务的特点,在必要时直接利用ISDN在三地之间开视频会议或发传真。VPN在我国必定有着光明的发展前景,但是就目前我国的现状来看,VPN短期内还不能在我国形成大的气候,原因如下。(1)目前国内建网的企业数目并不很多而且即使建网了,也没有很好的管理,在这样的情况下,企业的领导和网络主管们暂时不会有使用VPN的愿望;(2)日前国内企业网络的共享资源不多,有的只是停留在简单小型数据库的共用上;(3)国内的ISP对VPN并未加以足够的关注,推广的力度还不够;(4)国内主干网的带宽并不足够
14、用于发展VPN业务。目前中国网络用户数每年将翻两翻,而带宽的增长趋势却远不及用户数的增长。在无带宽优势的情况下,VPN的QoS优势也必然无从发挥了。1.3 VPN技术应用于校园网的重要意义 在校园网上引入VPN技术,利用公共通信线路保持传输的信息和数据的隐蔽性和安全性是一个很好的选择。通过在多校区校园网中引入VPN技术,结合校园网的具体特点,使得校园网的功能得到应有的运用和放大。VPN技术的目的就是利用公共通信网络在相同的安全策略下将某些具有共同利益的网络、主机连接成一个可以自己管理的的网络。这种“专用”的网络,无需额外投资建立和维护相关远程通信线路和网络设备,同时可以对通过公共通信区域的信息
15、和数据内容保持相应的隐蔽性。也就是说,可以利用VPN技术在公共通信网络基础设施中提取出组织机构内通信的某些部分,在利用公共基础设施(带宽、转发或中继设备等)的同时,使通信的部分或全部在外部无法观察到。相对专用网,VPN技术的引入可以大大降低成本;相对因特网通信,VPN又具有很好的隐蔽性和安全性。VPN代表了当今网络发展的新趋势,将是各类学校、机关、企业等组成内联网、外联网和实现远程接入网的基本的、主要的方法。1.4 本文主要研究内容论文首先从基于VPN技术实现校园网组网的重大意义、必要性、目前国内外对VPN技术在校园网应用方面的发展现状等术做了全面的介绍,然后对与VPN技术相关的理论知识予以介
16、绍,并对VPN技术进行了相关的论述、分析和比较,包括VPN简介、VPN工作原理、VPN中的关键技术(L2TP VPN、IPSec VPN、BGP/MPLS VPN、SSL VPN等),并详细分析了基于IPSec协议的VPN技术,IPSec VPN引进了完整安全机制,包括加密、认证、数据防篡改功能,通过包封装技术,利用Internet可路由地址,封装内部网络IP地址,实现异地网络互通。IPSec VPN从成本和技术上综合考虑,都比较适合中小型校园网。最后,结合东方学院校园网具体情况,介绍了VPN产品需求分析与产品选型,提出将VPN技术应用于多校区校园网的实现方案。在VPN设备领域,生产厂商众多,
17、有国际知名的大厂商,也有国内新兴的小公司,产品有集中器、路由器、网关、防火墙等,从高端到低端,各自有各自的特点。面对林林总总的VPN技术、品种繁多的VPN产品,如何根据自己的实际情况构建适合多校区校园网的VPN网络尤其显得重要3。2 VPN技术剖析2.1 VPN简介虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式、Frame Relay(帧中继
18、)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN技术是依靠因特网服务提供商(ISP)或其它网络服务提供商(NSP),在公共网络中建立专用的数据通信网络的技术。虚拟专用网并非真正意义上的专用网络,但其却能实现专用网络的相应功能。在虚拟专用网中,任意两个节点之间并没有传统专用网所需的端到端的物理链路,而是利用某些公共网络的资源动态组成的。利用虚拟专用网的隧道技术、认证和加密技术,能够在一种不可信、不安全的网络上为两个单独实体之间建立一条安全可信的专用信道。它使企业网络延伸到全国乃至全球,从而以安全、经济的网络互联模式为各式
19、各样的应用服务提供了安全、优质的网络平台。2.2 VPN工作原理VPN网络就相当于在公网上形成了一条隧道,而隧道是由隧道协议形成的,与各种网络是依靠相应的网络协议完成通讯没有区别。普遍采用的隧道协议主要有三种,即基于第二层的PPTP协议和L2TP协议,基于第三层的IP安全协议IPSec。数据PPTP协议在一个已存在的IP连接上封装PPP会话,而不管IP连接是如何建立的,也就是说。只要网络层是连通的,就可以运行PPTP协议。PPTP可看作是PPP协议的一种扩展,只是使用PPP建立拨号连接。PPTP使用PPP协议的PAP或CHAP进行认证,另外也支持Microsoft公司的点到点加密技术(MPPE
20、)2。L2TP与PPTP的最大不同在于L2TP将控制包和数据包合二为一,并运行在UDP上,而不是TCP上。UDP省去了TCP中同步、检错、重传等机制,因此L2TP速度很快。L2TP隧道建立在L2TP访问集中器LAC和L2TP网络服务器LNS之间,对系统透明6。LAC负责将PPP帧封装在L2TP帧中,通过隧道传给LNS,LAC是入站呼叫的发起者,出站呼叫的接收者,是L2TP协议的客户服务模式的客户端。LNS负责建立、维护、释放隧道,同时是入站呼叫的接收方和出站呼叫的发起者。PPTP和L2TP都是通过拨号建立连接,如图2-1所示。 图2-1 PPTP&L2TP建立拨号连接 IPSec较好地融合了加
21、密、认证、访问控制等多种安全技术,通过查询SPD决定对接收到的IP数据包的处理。为了进行加密和认证,IPSec还需要有密钥的管理和交换的功能,以便为加密和认证提供所需要的密钥并对密钥的使用进行管理,分别由AH、ESP和IKE三个协议进行规定。IPSec对IP数据包进行的加密或者认证工作存在两种模式:传输模式和隧道模式。传输模式只对I P数据包的有效负载进行加密或认证,继续使用初始IP头部,只对初始JP头部的部分域进行修改,IPSec协议头部插入到初始I P头部和有效负载之间。隧道模式对整个l P数据包进行加密或认证。要保护的整个IP包都封装到另一个I P数据包里,同时在外部与内部IP头之间嵌入
22、一个新的IPSec头,IPSec头部被放在新产生的IP头部和初始IP数据包之间,从而组成一个新的IP头部。2.3 VPN关键技术VPN具有专线连接的专用、安全、保密、高性能等特点,通过对数据包的头部信息和有效的封装加密来保证数据包安全性,通过散列功能的处理保证数据的完整性。构建一个VPN,需要解决的关键技术包括隧道技术、加解密技术、密钥管理技术和身份认证技术,如图2-2所示。 图2-2 VPN的多种保证数据安全性技术2.3.1 VPN隧道技术隧道技术是VPN技术的底层支撑技术。当前的VPN具体实现大多采用隧道技术。隧道技术主要负责将需要传输的原始数据包进行加密、协议封装,再嵌套装入另一种协议数
23、据包中进入网络,然后像普通数据包一样进行传输,只有该虚拟专用网络授权的用户才能对隧道中传输的数据包进行解释和处理,其他用户则不能对相关数据进行处理,从而保证VPN的远程用户或主机和专用网络的安全连接,该技术就像在公用网上为信息交换的双方开设一条专有的、隐蔽的数据通道一样3。如图2-3所示。 图2-3 VPN隧道技术的应用隧道是由一系列的协议组成。根据通讯协议的分层模型,可分为第二层隧道协议和第三层隧道协议。第二层隧道协议主要有PPTP、L2F、L2TP等。第三层隧道协议主要有IPSec、GRE等5。2.3.2 VPN加解密技术为了保障数据传输的安全性,对在公开信道上传输的VPN流量必须进行加密
24、,从而确保网络上未授权的用户无法读取信息。过程就是发送者在发送数据之前对数据加密,当数据到达接收者时由接收者对数据进行解密。可以说密码技术是网络安全的核心问题,在VPN中更是如此。密码技术可以分为两类:对称加解密和非对称加解密技术。对称加解密技术简单易用,处理效率比较高,易于用硬件实现,缺点是密钥管理较困难,常用的有DES、3DES5。非对称加解密技术安全系数更高,可以公开加密密钥,对密钥的更新也很容易,易于管理缺点是效率低、难于用硬件实现,常用的有DimeHellman、RSA。工作模式如图2-4所示。 图2-4 非对称加解密技术的工作模式 通常用非对称加密进行身份认证和密钥交换,对称密钥用
25、于数据加密。2.3.3 VPN密钥管理技术密钥管理技术的主要任务是解决公用网络上安全传递密钥不被窃取的问题。现行密钥管理技术又分为SKIP与ISAKMP两种4。SKIP主要是利用 DiffieHellman的演法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别作公用、私用。2.4 VPN组网方式根据VPN应用的类型,可以将VPN分为三类:远程访问虚拟专网(Access VPN)、企业内部虚拟专网(Intranet VPN)和扩展的企业内部虚拟专网(Extranet VPN)。三类VPN的应用主要如图2-5所示9。 图2-5 VPN的不同类型的应用 本文研究的东方学院校园网的VPN
26、组网方案属于企业内部虚拟专用网这一类。Intranet VPN即企业总部网络与分支机构间的网络通过公网来构建的虚拟网。随着企业规模的扩大,企业在全国乃至世界范围内建立的分公司、办事处越来越多,它们之间需要通信。若采用专线连接,费用高昂自不必说了;而Intranet VPN通过Internet这一公共网络将企业在全国乃至世界范围内建立的分公司的LAN连接到企业总部LAN,以便于实现企业内部的资源共享、文件传递等,可大大节省DDN等专线所带来的高额费用6。同时,企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。Internet VPN是解决内联网结构安全和连接安全、传输
27、安全的主要方法。3 基于IPSec协议的VPN技术校园网VPN方案可以通过公众IP网络建立私有数据传输通道,将多个校区移动办公人员等连接起来,解决了数据在不同网络间安全传输的问题,减轻了校园网的远程访问费用负担5。从VPN技术架构来看,IPSec VPN是比较理想的校园网接入方案,由于它工作在网络层,可以对终端站点间所有传输数据进行保护,可以实现Internet多专用网安全连接。在校园网建设方案的安全性方面,具有很高的应用价值。3.1 IPSec协议体系结构IPSec是一系列基于口网络,由IETF正式定制的开放性安全标准7。IPSec很大程度上减少了由于IP欺骗进行Internet攻击所带来的
28、威胁,促进了如虚拟专用网、电子商务等应用的发展。IPSec体系结构如图3-1所示。 图3-1 IPSec协议体系结构该体系结构包含了一般的概念、安全需求、定义和定义IPSec的技术机制。其中,封装安全有效载荷协议(ESP)覆盖了为了包加密与ESP的使用相关的包格式和常规问题;认证头(AH),包含使用AH进行包身份验证相关的包格式和一般问题;加密算法描述各种加密算法如何在ESP中使用;验证算法描述各种身份验证算法如何用于AH中和ESP身份验证选项的一组文档;密钥管理中IKE(Internet密钥交换协议)是默认的密钥自动交换协议;解释域(DOI)是彼此相关的各部分标识符及运作参数;策略决定了两个
29、实体之间能否通信,以及以何种方式进行通信。3.2 IPSec协议工作原理IPSec使用认证头和封装安全载荷两个协议来提供数据包的安全。AH提供无连接完整性,数据源认证和一个可选择的抗重播服务。ESP能够提供机密性和受限制的通信流量的机密性,也提供无连接完整性,抗重播服务和数据源认证。AH和ESP建立在加密密钥的分配和与这些安全协议相关的通信流量管理上,都称为接入控制手段。IPSec的工作流程如图3-2所示。 图3-2 IPSec的工作流程 IPSec协议使用IKE(Internet Key Exchange)协议实现安全协议的自动安全参数协商。这些安全参数包括加密及鉴别密钥、加密及鉴别算法、密
30、钥的生存期、通信的保护模式(传输或隧道模式)等。IKE还负责刷新这些安全参数。对于IPSec数据流处理而言,有两个重要的数据库:安全策略数据库(Security Policy Database,简称SPD)和安全关联数据库(Security Association Database,简称SAD)6。SPD指定了安全策略,这些策略决定了数据流如何到达特定主机或者网络。SAD包含活动的SA参数。SPD和SAD都需要单独的输入和输出数据库8。解释域DOI(Domain of Interpretation)是整个IPSec协议中的关键部分,通过访问解释域可以得到相关的协议的各字节位的含义及解释,它将所
31、有的IPSec小组的文献捆绑在了一起。它可以称为所有IPSec安全参数的主数据库,与IPSec服务相关的系统参考可以任意调用这些参数。3.3 IPSec协议两种工作模式IPSec VPN的一个最基本的优点是它可以在共享网络访问设备,甚至是所有的主机和服务器上完全实现,这很大程度避免了升级任何网络相关资源的需要。在客户端,IPSec VPN架构允许使用在远程访问接入路由器或基于纯软件方式使用普通MODEM的PC机和工作站。IPSec VPN通过两种模式在应用上提供更多的弹性:传输模式和隧道模式。如图3-3所示。 图3-3 IPSec的两种工作模式3.3.1 传输模式传输模式的工作原理是在IP包的
32、包头与数据报之间插入一个ESP头,并将数据报进行加密,然后在Internet网上传输。这种模式的特点是保留了原IP头信息,即信源/宿地址不变,所有安全相关信息包括在ESP头中。传输双方依此进行安全封装传输和拆封还原。ESP传输模式适用于主机与主机的安全通信。显然这种安全方式可将通信两端由源到宿的基于虚拟连接的传输信息进行加密。3.3.2 隧道模式要全面实施VPN,使用隧道模式会更有效。ESP也支持隧道模式,保护了整个IP包。为此,IP包在添加了ESP字段后,整个包以及包的安全字段被认为是新的IP包外层内容,附有新的IP外层包头。原来的(及内层)包通过“隧道”从一个IP网络起点传输到另一个IP网
33、点,中途的路由器可以检查IP的内层包头。因为原来的包已被打包,新的包可能有不同的源地址及目的地址,以达到安全的目的。隧道模式的工作原理入图3-4所示。 图3-4 隧道模式的工作原理图 ESP隧道模式的工作原理是先将IP数据包整个进行加密后再加上ESP头和新的口头,这个新的m头中包含有隧道源宿的地址。当通过ESP隧道的数据包到达目的网关(即隧道的另一端)后,利用ESP头中的安全相关信息对加密过的原IP包进行安全相关处理,将已还原的高层数据按原IP头标明的IP地址递交,以完成信源一信宿之间的安全传输。ESP隧道模式可用于下列情况的安全服务7:(1)用于网关与网关之间保护内部网络。通过配置,一个网关
34、可与多个网关建立IPSec的安全互联,从而实现具有相同安全策略的VPN。可以使得内部一些主机通过网关一网关的IPSec隧道,另一些主机虽通过网关一网关进行Internet通信,但并不经过IPSec隧道。这种VPN就有了应用的灵活性。(2)用于网关与主机或主机与网关之间的安全保护。 IPSec隧道建在网关与主机之间。其中通过配有IPSec模块的安全网关保护一个内部网络,而另一侧保护的是一台主机。隧道模式被用在两端或是一端是安全网关的架构中,这些主机所生成的未加保护的网包,经过外网,使用隧道模式的安全组织规定(即SA,发送者与接收者之间的单向关系,定义装在本地网络边缘的安全路由器或防火墙中的IPS
35、ec软件P交换所规定的参数)传输。3.4 IPSec协议族的构成3.4.1 AH协议AH是一种IPSec协议,用于为IP提供数据完整性、数据源身份认证和一些可选的、有限的抗重播服务,定义在RFC2402中。除了不具有机密性,AH提供ESP能够提供的一切。AH定义保护方法、头的位置、身份认证的覆盖范围以及输出和输入处理规则,但没有对所用的身份认证算法进行定义。AH可用来保护一个上层协议(传输模式)或一个完整的IP数据包(隧道模式)。它可保护一个隧道传输协议,比如L2TP或GRE,或者,可用于隧道包本身。AH可以单独应用,也可以与ESP协议一起应用,还可以以隧道模式嵌套使用。需要注意的是,AH与E
36、SP二者的认证服务的差别在于它们计算时所覆盖的范围不同。RFC2402对AH头的格式位置验证的范围及进入和外出处理规则进行了描述,AH的格式如图3-5所示。下一个头载荷长度保留安全参数索引(SPI)序列号认证数据(变长) 图3-5 AH的格式AH的认证头各字段含义如下8:下一个头(Next Header)表示在AH头后面的数据,这与AH的工作模式有关。在传输模式下,将是受保护的上层协议的分配值,如UDP或TCP的值。在隧道模式下,4表示IP-in-IP(IPv4)。载荷长度(Payload Length)字段是从32位字表示的头长度减2所得的值。在IPv6环境下,AH头是一个IPv6扩展头。序
37、列号(Sequence Number)是一个单向递增的计算器,主要用来提供抗重播攻击服务。验证数据(Authentication Data)是一个不固定长度的字段,是受保护的数据,其中包括完整性验证的结果。其中,在隧道模式下,原始IP报头的格式如图3-6所示。IP头数据载荷 图3-6 隧道模式下原始IP报头 AH协议对IP报文加上AH头,格式如图3-7所示。新IP头AH头原IP头数据载荷 图3-7 隧道模式下加AH头的IP报文3.4.2 ESP协议封装安全载荷(Encapsulating Security Payload,简称ESP)也是一个安全协议头,ESP为IP报文以无连接的方式提供完整性
38、校验,身份认证和加密保护,同时还提供抗重播攻击保护。ESP提供的认证范围比AH小,例如不保护ESP头外的IP报头。可选择使用ESP协议为上层数据提供认证;同时加密和认证是可选的,但至少要选择其中一种保护方式。ESP可以在两种不同的实现模式下工作,即插入P头与上层协议头如UDP或TCP(传输模式)之间,或者用它来封装整个IP数据报(通道模式)。ESP的格式如图3-8所示。安全参数索引(SPI)序列号初始化向量数据载荷(变长)填充项填充项长度下一个头验证数据图3-8 ESP的格式验证头各字段含义如下10:安全参数索引:32比特,标识一个安全关联。序列号:32比特,单增的计数器值。数据载荷:ESP要
39、保护的数据包含在载荷数据字段中,也可以保护数据字段中包含一个加密算法可能需要用到的初始化向量。填充项:0-255字节,额外的字节有的加密算法要求明文长度是8位组的某个整倍数。填充项长度:8比特,表示填充的字节数。下一头:8比特,通过标识载荷中的第一个头如IPv6中的扩展头或诸如TCP之类的上层协议头确定载荷数据字段中数据的类型。验证数据:用于容纳数据完整性的检验结果,通常是一个经过密钥处理的散列函数。它的长度有SA所用的身份验证算法决定。ESP共有两种操作模式:传输模式和隧道模式,隧道模式在IPSec VPN网关中使用,以下就ESP的隧道模式进行分析。隧道模式下,ESP被插在原始IP头之前并且
40、生成一个新的IP头并将其插在ESP之前,如图3-9所示。 IP头 安全参数索引(SPI) 序列号 初始化向量已验证 IP头 TCP头已加密 数据 填充项 填充项长度 下一个头 验证数据 图3-9 隧道模式下受ESP保护的一个IP包3.4.3 IKE协议IPSec使用因特网密钥交换协议(IKE)实现安全协议的自动安全参数协商。IKE协商的安全参数包括加密机鉴别密钥、加密机鉴别算法、通信的保护模式、密钥的生存期等。IKE将这些参数构成的安全参数集成称为安全关联(SA)。IKE通过两个阶段的协商来完成IPSec SA的建立。第一阶段,由交换的发起方发起一个主模式交换(Main Model),建立一个
41、名为ISAKMP(Internet Security Association and Key Management Protoc01)SA的安全关联。这个安全关联的作用是保护为安全协议协商SA的后续通信。IKE还提供了另一种模式来建立ISAKMP SA,即积极模式(Aggressive Mode)。第二阶段,可由通信的任何一方发起一个快速模式(Quick Mode)的消息交换序列,完成用于保护通信数据的IPSec SA的协商。两个阶段的协商结合起来共同生成对数据包实施IPSec保护所使用的安全参数。3.5 IPSec VPN的优缺点3.5.1 IPSec VPN的优点 (1)通用性好IPSec
42、是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议,并且IPSec定义了一套用于认证、保护私有性和完整性的标准协议,这使得客户端至站点(client-tosite)、站点对站点(site-to-site)、客户端至客户端(client-to-client)连接所使用的技术是完全相同的。而且IPSec VPN支持一系列加密算法如DES、三重DES、IDEA。它检查传输的数据包的完整性,以确保数据没有被修改。(2)整合性好IPSec VPN网关整合了网络防火墙的功能,还可与个人防火墙等其他安全功能一起销售。因此,可保证配置、预防病毒,并能进行入侵检测。并且IPSec可在多个防火墙
43、和服务器之间提供安全性,确保运行在TCPIP协议上的VPN之间的互操作性。(3)透明性IPSec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec,应用程序一类的上层软件也不会被影响。IPSec对终端用户来说是透明的,因此不必对用户进行安全机制的培训。3.5.2 IPSec VPN的缺点(1)IPSec VPN需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的客户端程序;(2)IPSec VPN的连接性会受到网络地址转换(NAT)的影响,或受网关代理设备(Proxy)的影响;(3
44、)IPSec VPN需要先完成客户端配置才能建立通信信道, 并且配置复杂。4 VPN产品选型及校园网组网方案4.1 校园网设计方案的要求 校园网络设计方案应满足如下要求9: (1)网络方案应采用成熟的技术,并尽可能采用先进的技术。 (2)采用国际统一标准,以拥有广泛的支持厂商,最大限度的采用同一厂家的产品。 (3)方案应合理分配带宽,使用户不受网上“塞车”的影响。 (4)应充分考虑未来可能的应用,如桌面将承受大型应用软件和多媒体传输需求的压力。 (5)该网络方案要具有高扩展性,能为用户未来数目的扩展具有调整、扩充的手段和方法。4.2 东方学院校园网组网需求分析本课题所研究的东方学院校园网,是一
45、个中小型校园网。东方学院共有东、西个校区,其中西校区是总校区,东校区是分部。东、西校区分别有五个、三个上网主要区域,考虑到东方学院上网人数多,设备数量较多,决定采用地址空间较大的:10.0.0.0/8。由于东校区和西校区之间的信息交流主要是通过邮件来实现,无法实现资源共享和远程办公。随着学校办学规模的不断扩大,信息交互也越来越频繁,东校区的教学管理、学生管理等各项管理工作均由西校区统一安排,若仍以电子邮件方式进行信息交流,很难做到管理的实时性,更无法做到全程管理。东校区及各部门需要及时将信息传送到西校区校区,同样也需要随时从西校区特别是财务处和行政楼获取所需信息。重要的数据和信息在网络中传输也越来越多,安全性要求也越来越重要,目前学校信息交互的方式已不能满足学校日常工作的需求。东、西校区需要通过GRE隧道技术连接,财务处和行政楼需要建立VPN服务。采用何种方式,才能够满足我校的校园网络的使用需求。经过分析比较,我们决定组建基于IPSec VPN的网络,利用VPN网络技术,实现东、西校区网络的互联互通,达到财务信息和数字图书资源共享、提高办事效率的目的,同时降低联网成本,增强数据传输的安全性。4.3 校园网对网络设备要求 校园网对网络设备的主要要求大致可归纳为以下几点: (1)高性
