VPN技术在企业网络安全中的应用

内 容 摘  要

随着Internet网络技术的普及，网络安全越显重要。为了能更好地解决公司安全问题，让公司总部服务器最小限度地免受外界网络攻击，也为了使企业用户方便地从远程访问虚拟网、企业内部虚拟网、企业扩展虚拟网，企业可以考虑采用VPN技术。VPN技术具体包括隧道技术、加密技术、用户身份认证等。

本文首先介绍了VPN的基本概念、优势、分类和安全技术等基本内容。然后介绍了VPN技术在杭州芝麻开门信息技术有限公司的应用。先介绍了该公司的现状，以及该公司所面临的网络安全问题，接着分析了解决该问题的具体措施。最后,论文做出了展望并给出了自己的结论。

关键词： VPN技术、网络安全、网络设计   

THE APPLICATION OF VPN TECHNOLOGY IN THE NETWORK SECURITY OF COMPANY

ABSTRACT

With the popularity of Internet technology, Network security becomes more and more important. We can use VPN technology to solve the security problem of the company and minimize attacks from external network. The clients can also enter the Intranet VPN or extranet VPN by use it. VPN technology includes Tunneling technology, Encryption technology, and User authentication, etc.

       At first, this paper introduces the basic concept, advantages, classification and security technology of the VPN technology. Then, the author analyzes the utilization of VPN technology by give the example of Zi ma kai men company of hangzhou. The author analyzes the situation and the network security problem of the company firstly. Then, the author thinks that the company can take actions to solve this problem. Finally, the author gives his conclusion.

KEY WORDS: VPN Technology, Network security, Network design    

正文目录

第一章引言…………………………………………………………1

第二章VPN概述……………………………………………………2

第一节VPN的概念……………………………………………………………2

第二节VPN的组成……………………………………………………………2

第三节VPN技术………………………………………………………………3

第四节VPN用途………………………………………………………………4

第三章VPN在企业中的应运………………………………………6

第一节公司简介………………………………………………………………6

第二节公司网络现有状况……………………………………………………6

第三节需求分析………………………………………………………………7

第四节需求总结………………………………………………………………8

第五节方案设计………………………………………………………………9

第六节实施过程………………………………………………………………11

第七节方案的实施效果………………………………………………………19

第四章结论与启示…………………………………………………20

第一节VPN的优势……………………………………………………………20

第二节VPN的展望……………………………………………………………21

第三节总结……………………………………………………………………21

参考文献 ……………………………………………………………23

致谢 …………………………………………………………………24

第一章引言

现代意义上的计算机网络是从1969年美国国防部高级研究计划局建成的ARPAnet实验网开始的。当时只有4个结点，发展到现在的正如其名所言如蜘蛛网一般的复杂的万联网。威胁与安全一直都是并存着的。窃听、假冒、重放、拒绝服务、病毒、诽谤等等的威胁无时无刻攻击着网络通信，威胁着我们的信息安全。然而提供这些威胁存在的原因正是由于操作系统、计算机网络、数据库管理系统存在着本身的漏洞，这就使得一些非法授权的行为可以“祸起萧墙”。专家把这些可能使得一个网络受到破坏的所有行为都认定为攻击，它可以是主动攻击、被动攻击、物理临近攻击、内部人员攻击和分发攻击，所有的一切都威胁着网络的安全。

所以Internet的安全话题一直以来都是发散而复杂的。从最初把Internet作为科学研究用途，到当今的电子商务炙手可热之时，安全已然成为网络发展的绊脚石。所以有更多的安全技术顺势而出，目前的安全措施有数据加密、数字签名、身份认证、防火墙和内容检查等。这些虽然不能阻止风险的出现，但可以把风险降到最低。

专用网络指的是企业内部的局域和广域网络，是Internet等公共网络上的延伸。在过去，大型企业为了网络通讯的需求，往往必须投资人力、物力及财力，来建立企业专用的广域网络通讯管道，或采用长途电话甚至国际电话的昂贵拨接方式。在Internet蓬勃发展的现在，企业为了维持竞争力，又为了使公司总部和分支、合作伙伴之间信息的安全性受到保障，通常需要将专用网络与Internet间适当地整合在一起，但是又必须花费一笔Internet连接的固定费用。基本上Internet是建立在公众网络的基础之上，如果企业可以将专用网络中的广域网络连结与远程拨号连接这两部份，架构在Internet这一类的公众网络之上，同时又可以维持原有的功能与安全需求的话，则将可以节省下一笔不算小的通讯费用支出。这个问题的解决方法，就需要虚拟专用网。

第二章VPN概述

第一节VPN的概念

利用公共网络来构建的私人专用网络称为虚拟专用网络(VPN，Virtual Private Network)，用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN像企业现有的私有网络一样能提供安全性、可靠性和可管理性等。

“虚拟”的概念是相对于传统专用网络的构建方式而言的。对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域网连接。通过VPN，企业可以以明显的、更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴。

企业内部资源享用者只需连入本地ISP的POP(Point Of Presence，接入服务提供点)，即可相互通信；而利用传统的WAN组建技术，彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后，出差员工和外地客户只需拥有本地ISP的上网权限就可以访问企业内部资源；如果接入服务器的用户身份认证服务器支持漫游的话，甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少，只需在资源共享处放置一台VPN服务器就可以了。

VPN具有虚拟的特点：VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路，但是，VPN同时又具有专线的数据传输功能，因为VPN能够像专线一样在公共网络上处理自己公司的信息。它通过安全的数据通道将远程用户，公司分支机构，公司业务伙伴等与公司企业网连接起来，构成一个扩展的公司企业网。在该网络的主机似乎感觉所有主机都在同一个网络内，而没有察觉公共网络的存在，同时感到公共网络为本网络独自占用。然而，事实并非如此，所以称之为虚拟专用网。

第二节VPN的组成

无论是从VPN技术发展历程还是应用模式看，VPN技术包含了多种当前新兴的网络技术，涉及到隧道技术、密码技术、和身份认证技术，是多种技术的结合体。这决定了用户在选择VPN时必须以应用为导向，以解决方案为实施依据，方可事半功倍。

VPN是一个建立在现有共用网络基础上的专网，它由各种网络节点、统一的运行机制和与物理接口构成，一般包括以下几个关键组成部分：

一、VPN服务器 

VPN服务器作为端点的计算机系统，可能是防火墙、路由器、专用网关，也可能是一台运行VPN软件的联网计算机，或是一台联网手持设备。

二、算法体系 

算法体系是VPN专用网络的形成的关键，常见的有：摘要算法MD5或SHA1，对称加密RC4、RC5、DES、3DES、AES、IDEA、BLOWFISH，公用密钥加密RSA、DSA等。不同类型的VPN根据应用特点在实现上使用对应的算法，有的还可以由用户根据使用现场临时更换。

三、认证系统 

VPN是一个网络，要为网络节点提供可靠的连接。如同现实社会交往中强调的“诚信”原则一样，当你通过一个网络去访问一个网络资源时，你自然希望对方是像你要求的那样是真实的，可以想象，对方也是这样要求你的，如何认证对方和认证自己，同时还要防止认证信息泄露，这就是认证系统所要解决的问题，是开始VPN连接的基础。一般使用的有口令、一次性密码、RSA 、SecurID、双因素令牌、LDAP、Windows AD、Radius、证书，一个系统中往往包括一种以上几种方式来增加灵活性。

四、VPN协议 

它规定了VPN产品的特征，主要包括安全程度和与上下层网络系统的接口形式。安全不仅要靠算法，由于VPN强调的是网络连接和传输，配套的密钥交换和密钥保护方法甚至比算法更重要，而接口决定了一个VPN产品的适用度。常见的有PPTP、L2TP 、MPLS VPN、IPsec 、SOCKS、SSL。

第三节VPN技术

VPN采用的关键技术主要包括隧道技术、加密技术、用户身份认证技术及访问控制技术。

一、隧道技术 

VPN的核心就是隧道技术。隧道是一种通过互联网络在网络之间传递数据的一种方式。所传递的数据在传送之前就被封装在相应的隧道协议里，当到达另一端后才被解封。被封装的数据在互联网上传递时所经过的路径是一条逻辑路径。

在VPN中主要有两种隧道。一种是端到端的隧道，主要实现个人与主机之间的连接，端设备必须完成隧道的建立，对端到端的数据进行加密及解密。另一种是节点到节点的隧道，主要是用于连接不同地点的LAN数据到达LAN边缘VPN设备时被加密并传送到隧道的另一端，在那里被解密并送入相连的LAN。它其实就是边界路由器在起着关键作用，隧道的建立，数据的加密、解密都是在边界路由器里完成的。

隧道技术相关的协议分为第二层隧道协议和第三层隧道协议。第二层隧道协议主要有PPTP、L2TP和LZF等，第三层隧道协议主要有GRE以及IPSec等。

二、加密技术 

VPN的加密方法主要是发送者在发送数据之前对要发送的数据进行加密，当数据到达接收者时再由接收者对数据进行解密的处理过程。加密算法的种类包括:对称密钥算法，公共密钥算法等。

三、用户身份认证技术 

用户身份认证技术主要用于远程访问的情况。当一个拨号用户要求建立一个会话时，就会对用户的身份进行鉴定，以确定该用户是否是合法用户以及哪些资源可以被使用。

四、访问控制技术 

访问控制技术就是确定合法用户对特定资源的访问权限，以实现对信息资源的最大限度的保护。

第四节VPN的用途

一、远程访问VPN 

最适用于用户从离散的地

点访问固定的网络资源，如从住所访问办公室内的资源；出差员工从外地旅店存取企业网数据；技术支持人员从客户网络内访问公司的数据库查询调试参数；纳税企业从本企业内接入互联网并通过VPN进入当地税务管理部门进行网上税金缴纳。远程访问VPN可以完全替代以往昂贵的远程拨号接入，并加强了数据安全。

二、内联网（分支机构联网）VPN 

最适用将异地的两个或多个局域网或主机相连形成一个内网，主要用于将用户的异地LAN通过互联网上的VPN作为一条虚拟专线连接起来，或是将分支机构与总部连接起来。内联网VPN可以替代目前市场上使用帧中继和ATM等专线构成的专网，显著降低网络建设和运行成本，极大提高了部署和扩展灵活性。

三、安全平台 

将相同工作性质的，离散地理位置的终端设备、局域网内的主机或局域网连接形成一个专网，满足协同工作的要求，如总公司销售部门的LAN与下属单位的销售部门的PC，以及外出销售人员的笔记本之间构成一个安全销售网，共享CRM、文档和IP电话，满足用户动态、业务导向化的组网要求，这是其他方案难以实现的。

四、替代专线 

内联网VPN的简化版，简单地将两个主机相连实现联机、遥控，或一个主机与一个LAN相连，或替代现有专网的某一条专线成为专网的一部分。

五、用户认证 

利用VPN用户认证机制和VPN的安全性，强化用户认证的安全，如上网计费系统，认证后的数据传输安全不是重点。

六、网络资源访问控制 

将VPN用户认证机制和VPN网关对网络访问的调度能力结合起来，根据预定的安全策略给与不同用户不同的资源访问权限，强化网络资源的合理配置和安全性。

第三章VPN在企业中的应运

第一节公司简介

杭州芝麻开门信息技术有限公司系专业行业性B2B和B2C平台运营商，公司下设两家分公司，运营两个网站：www.cn-pen.com和www.zmkm.cn，现在公司主要是和中国制笔协会共同开发中国笔业贸易网www.cn-pen.com．公司汇聚了众多IT界的精英，直接出击日益扩张的全球市场。公司的目的是将传统的国内、国际性采购及贸易活动转变成一个高效率、高效益、低成本的新型电子商务模式，并根据企业的商务活动的实际状况，推出一系列适合于供应商及采购商进行商业信息交流与沟通的平台，促进并达到让制笔行业的企业利用www.cn-pen.com得到更多的商业服务和最大限度的商业资讯。中国笔业贸易网的信息具有传递快、大容量、及时更换等特点，可以迅速发布行业内的供求、人才、新产品、新技术专利等信息。并建立了制笔行业进出口统计、行业标准、法规、技术知识、人才中心等信息数据库，为广大的制笔企业及全球采购商提供了真正实用的电子商务大平台。

第二节公司现有的网络状况

首先来了解一下关于杭州芝麻开门信息技术有限公司的网络拓扑结构。如图3-1所示。

图3-1 杭州芝麻开门信息技术有限公司的网络图

从图看出总公司和分公司、银行、合作伙伴，分公司和银行、合作伙伴，出差员工或者在家办公人员和总公司、分公司之间，这三种关系的连接都是经过Internet的。

总公司是通过Cisco2600系列路由器作为边界网关与外界Internet等公共网相连，并配置放火墙。内部则由两台Cisco Crystal2950系列交换机做为中心交换机把办公大楼、营销中心、FTP服务器、WWW服务器、E-mail服务器、数据库服务器等联系起来。网管站直接和交换机相连，并管理路由器、中心交换机、服务器等。如图3-2所示。

图3-2 总部内网

丽水分支和杭州分支是通过拨号上网，与总公司联系。它们具体是先经ADSL Modem连到24接口阿尔法AFR-K24路由器（内配置防火墙），再接24接口阿尔法AFS-3026交换机和个人电脑相连。

公司通过防火墙接入Internet。目前公司所有应用仅限于公司局域网内，出差员工不能访问。

总部网络内建设WWW、文件共享服务、Exchange、公司ERP系统，总部各部门局域网络实现接入Internet,但没有实现内部网络互联。

杭州分支公司：电脑接入Internet，实现了办公网络半自动化。

丽水分支公司：电脑接入Internet，实现了办公网络半自动化。

第三节需求分析

杭州芝麻开门信息技术有限公司自1996年创建以来，所拥有的客户群已越来越庞大。而作为以网站服务和维护为主的公司，其客户需要频繁地访问公司内部网，访问服务器。从安全性上讲，通过Internet等公共网的连接，势必会带来一些危险：从客户端带来的威胁会有病毒、陷门和木马、非授权访问、假冒、重放、诽谤等。从服务器端的威胁就有数据完整性破坏、信息篡改等。

根据公司工程技术人员的深入了解和分析，杭州芝麻开门信息技术有限公司需要一种安全的接入机制来保障通信的安全，并达到以下要求：

、企业必需要确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户；

、要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务；

、构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽；

、总部通过多条线路连接广域网，保证分点财务核算数据的连接安全，也节约了宽带接入成本；

、支持从各种网络条件下的安全接入；

、通过隧道技术在网络协议的越下层实现更高的数据安全性；

、通过路由器对用户实行统一的管理，对访问权限实行分级管理等要求，实现流量控制、端口镜象等要求，通过路由器的相关防火墙功能实现网络的安全管理；

、出差员工利用公司笔记公共电脑（如机场侯机厅的计算机）也能够较安全地访问公司内部网络资源；

、总部保证内网至少100台电脑接入Internet，还要考虑到公司以后的发展接入点的增加，同时实现一级分部通过相关设备在连到总部网络的同时还提供访问公司FTP服务器，连接公司ERP系统提交与查询相关信息等要求；

、杭州、丽水分支机构2个办事处电脑接入Internet，同时考虑到公司以后的发展接入点的增加，同时实现与总部实现互联同时还提供访问公司FTP服务器，连接公司ERP系统提交与查询相关信息等要求；

、在各分支机构和总公司之间创造一个集成化的办公环境，为工作人员提供多功能的桌面办公环境，解决办公人员处理不同事务需要使用不同工作环境的问题。

第四节需求总结

针对以上的需求，通过VPN的配置可以解决互联问题，另外对VPN加以相应配置可以实现资料传输的安全性问题。

以现有技术来说，所谓最优选择其实必须根据远程访问的需求与目标而定。目前主流VPN方案有两种：IPSec/IKE和SSL VPN。当前企业需要安全的点对点连接，或用单一装置进行远程访问，并且让企业拥有管理所有远程访问使用能力，IPSec/IKE是最适合的解决方案。

比较那种传输方法比较好更重要的问题是：那种安全技术最符合远程接入方案的需求，IPSec可以保护任何IP流量，而SSL专注于应用层流量。IPSec适合长期的连接，即宽带、持续和网络层连接要求。SSL 仅适合于个别的，对应用层和资源的连接，而且支持的应用没有IPSec 多。

实现外出出差员工通过PPTP拨号连接公司网络完成相关工作。

第五节方案设计

、设备选择 

由于VPN的应用受到网管者的欢迎，因此技术也不断演进。一般常见的VPN协定有PPTP、IPSec、SSL等。其中PPTP为微软支持的协定，设定较方便，但保全性不够；IPSec公认是最安全的协定，但是设定和配置复杂，一般的用户不容易操作；SSL则需在服务器端进行介面转换，并不是所有的应用程序都可支持。

在实际操作上，VPN的架设还面临其他的问题：例如当互联网联机掉线时，再安全的VPN也没有作用；中国由于IP资源有限，因此VPN联机必须基于双方为动态IP的基础上建立；由于幅员广大，网管人员要跑遍各个分公司的成本太高，VPN的设定最好简单清楚，略有网络知识者即可完成；每个ISP的IP分派方式都不同，IPSec并不一定都能穿透。

现在市场上的VPN产品繁多，而且功能各不相同，本着遵循着方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则，同时对杭州芝麻开门信息技术有限公司的需求分析，在选择VPN连接设备上推荐市场上思科公司的Cisco2600系列VPN防火墙路由器产品。

Cisco2600系列VPN防火墙路由器产品支持 IPSec VPN连接，提供适用于各办公室，事业伙伴及远程使用者使用的安全便利的网络加密方式，包括3DES， DES， 以及AH/ESP加密方式。 VPN 功能提供了各分支点间或大多数远程使用者采VPN方式，将资料自动加密解密的通讯方式，支持Gateway To Gateway ，Client To Gateway与Group VPNs 等模式。具备PPTP服务器功能，具备联机状态显示，可以满足在外出差或想要连回总部或分公司的用户也可使用PPTP或IPSec方式连回企业网络，相对来说PPTP要比IPSec易配制，对移动办公用户比较适合。

Cisco2600系列VPN防火墙路由器产品内建进阶型防火墙功能，能够阻绝大多数的网络攻击行为， 使用了SPI封包主动侦测检验技术(Stateful Packet Inspection)，封包检验型防火墙主要运作在网络层，执行对每个连接的动态检验，也拥有应用程序的警示功能，让封包检验型防火墙可以拒绝非标准的通讯协议所使用的连结， 预设自动侦测并阻挡。Cisco2600亦同时支持使用网络地址转换 Network Address Translation (NAT)功能以及Routing 路由模式，使网络环境架构更为弹性，易于规划管理。

总部网络通过光纤连接，连接路由器交换机选择三层千兆交换机，三层千兆交换机之间用光纤连接，以满足内部网络 VLAN的划分，同时考虑到今后公司的发展，信息点扩充的需要。

、设计原则 

VPN的设计包含以下原则:

安全性

VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必需要确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。具体的有隧道与加密、数据验证、用户身份验证、防火墙与攻击检测。

㈡网络优化

构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QOS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

一般地，二层和三层的QOS具有以下功能:

流分类:根据不同的用户、应用、服务器或URL地址等对数据流进行分类，然后才可以在不同的数据流上实施不同的QOS策略。流分类是实现带宽管理以及其他QOS功能的基础。ACL就是流分类的手段之一。

流量整形与监管:流量整形是指根据数据流的优先级，在流量高峰时先尽量保证优先级高的数据流的接收/发送，而将超过流量的优先级低的数据流丢弃或滞后到流量低谷时接收/发送，使网络上的流量趋于稳定；流量监管则是指带宽大的路由器出口的发送速率，从而避免下游带宽小的路由器丢弃超过其带宽的数据包，消除网络瓶颈。

拥塞管理与带宽分配:根据一定的比例给不同的优先级的数据流分配不同的带宽资源，并对网络上的流量进行预测，在流量达到上限之前丢弃若干数据包，避免过多的数据包因发送失败的同时进行重传而引起更严重的资源紧张，进而提高网络的总体流量。

VPN管理 

VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。可以将一些次要的网络管理任务交给服务提供商去完成，企业自己就可完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。

VPN管理的目标为:

减小网络风险:从传统的专线网络扩展到公用网络基础设施上，VPN面临着新的安全与监控的挑战。网络管理需要做到在允许公司分部、客户和合作伙伴对VPN访问的同时，还要确保公司数据资源的完整性。

扩展性: VPN管理需要对日益增多的客户和合作伙伴作出迅捷的反应，包括网络硬、软件的升级、网络质量保证、安全策略维护等。

经济性:保证VPN管理的扩展性的同时不应过多地增加操作和维护成本。

可靠性:VPN构建于公用网之上，不同于传统的专线广域网，其受控性大大降低，故VPN可靠而稳定地运行是VPN管理必需考虑的问题。

VPN管理主要包括安全管理、设备管理、配置管理、ACL管理、QOS管理等内容。

第六节实施过程

、网络结构

企业通过Internet数据传输平台，实施加密的VPN实现接入的方法有多种，针对杭州芝麻开门信息技术有限公司的网络现状，我们采用IPSec VPN和PPTP VPN相结合的方法。

总公司以一条光纤联机（ISP分配的固定IP地址），而分公司以用光纤或ADSL联机均可（公网动态IP），作为联机的基础。总公司选择Cisco2600机型，连接四条光纤（ADSL可选，ADSL可连接同一网络营运商来做备援服务，以避免单一营运商掉线的风险及不同运营商网络之间的互连）；分公司也可采用Cisco2600，各地分支机构可以选择不同网络营运商的线路。VPN联机采用IPSec协定，以保障联机的安全。网管人员只要将设备寄到分支机构，并提供总公司VPN通道IP、用户名及密码，即可由具一般计算机操作能力用户完成设定。在外出差或想要连回总部或分公司的用户也可使用PPTP或IPSec方式连回企业网络，相对来说PPTP要比IPSec易配制，对移动办公用户比较适合。

总部100信息点接入，选用Cisco2600，内置300条ipsec,100条pptp。

杭州分支： 40-50信息点接入，选用Cisco2600，内置50条ipsec。

丽水分支： 20信息点接入，选用Cisco2600，内置50条ipsec。

、VPN相关组件的安装

首先要正确观念，VPN服务器并不是成体的，此组件只是在远程用户访问过程中起到了中转角色，如果对方的用户名和密码正确及为其开出一个直线通道。其实建立一台VPN服务器很简单，只要短短几步即可完成。

服务器端VPN的建立 

    步骤一、依次打开开始-程序-管理工具，在路由和远程访问窗口中单击操作按钮，并在弹出的菜单中选择配置并启用路由和远程访问，载入创建一个新服务器的向导，选择“自定义配置”（使用者可以根据自己的需求进行选择性配置，建议主机内安有双网卡的用户可以选择虚拟专用网络VPN访问NAT）。

    步骤二、右击右边树形目录里的本地服务器名，选择[属性]并切换到IP选项卡，在这里按提示诼步填入相关IP地址及内容，这样一个简单的VPN服务端建立完成了。

客户VPN的建立 

网络客户连接服务器也非常简单，打开[我的电脑]选中控制面板中的[网络连接]，在其内选择[网络和internet连接][新建网络连接]，创建一个新的连接到一个商业网络（VPN）这样就可以连接到服务端了，在弹出的下一步对话框中输入网络用户名（这里随意命名）接下来输入用户名和密码（为了使用方便点击保存密码并发送到桌面快捷方式），客户端由此产生了。

   、IPSec VPN的配置

IPSec的实现 

IPSec实现的VPN有四个配置部分：

为IPSec做准备

为IPSec做准备涉及到详细的加密策略，包括确定我们要保护的主机和网络，选择一种认证，确定有关IPSec对等体的详细信息，确定我们所需要的IPSec的特性，并且确认现有的访问控制列表允许IPSec数据流的通过。

步骤一：根据对等体的数量与位置在IPSec对等体之间确定一个IKE策略。

步骤二：确定IPSec策略，包括IPSec对等体的详细信息，就如IP地址以及IPSec变换集和模式。

步骤三：用show命令来检查当前的配置。

步骤四：确认在诶有加密前网络能够正常使用，用“ping”命令并在加密前运行测试数据流来排除基本的路由故障。

步骤五：确认在边界路由器和防火墙中已经有的访问控制列表允许IPSec数据流通过，或者想要的数据流将可以被过滤出来。

配置IKE

配置IKE涉及到启用IKE（IKE和isakmp是同义词），创建IKE策略，验证我们的配置。

用”isakmp enable”命令来启用或者关闭IKE；

用“isakmp policy”命令创建IKE策略；

用“isakmp key”命令和相关命令来配置预共享密钥；

用“show isakmp [policy]”命令来验证IKE的配置。

配置IPSec

IPSec配置包括创建加密用访问控制列表、定义变换集、创建加密图条目、并将加密集应用到接口上去。

用access－list命令来配置加密用访问控制列表；

用crypto ipsec transform。Set命令配置变换集；

（任选）用crypto ipsec security－association lifetime命令来配置全局性的 IPSec安全关联的生存期；

用crypto map命令来配置加密图；

用interface命令和crypto map map.Name interface应用到接口上；

用各种可用的show命令来验证IPSec的配置。

测试和验证IPSec

使用“show”、“debug”和相关的命令来测试和验证IPSec加密工作是否正常，并且用来排除故障。

路由器端的配置 

本部分的配置主要是针对路由器IPSec的配置，对于路由器中开头部分已简略。

路由器之间的地址分配如表3-1所示。

表3-1 地址分配图

总部与杭州分支间的配置，其简图如图3-3所示。

图3-3 总部与杭州分支的网络简图

总部路由器配置

当前路由器提示，视图依次输入的配置命令，//后为简单说明。

crypto isakmp policy 1//配置IKE策略1

authentication pre-share//IKE1的验证方法设为pre-share

group2;1024-bit Diffie-Hellman//加密算法未设置则取默认值：DES

crypto isakmp key test123 address 202.96.1.2//设置pre-share的密钥为test123，此值两端需一致

crypto ipsec transform-set VPNtag ah-md5-hmac asp-des//设置AH散列算法为md5，！ESP加密算法为DES

crypto map VPNdemo 10 ipsec- isakmp//定义crypto map

set peer 202.96.1.2//设置隧道对端IP地址

set transform-set VPNtag//设置隧道AH及ESP

match address 101

!

interface Tunnel0//定义隧道接口

ip address 192.168.1.1 255.255.255.0//隧道端口IP地址

no ip directed-broadcast

tunnel source 202.96.1.1//隧道源端IP地址

tunnel destination 202.96.1.2//隧道目的端IP地址

crypto map VPNdemo//应用VPNdemo于此端口

interface Serial 0/0

ip address 202.96.1.1 255.255.255.252//串口Internet IP地址

no ip directed-broadcast

crypto map VPNdemo//应用VPNdemo于此串口

!

Interface Ethernet0/1

Ip address 168.1.1.1 255.255.255.0//外部端口IP地址

no ip directed-broadcast

Interface Ethernet0/0

Ip address172.22.1.100 255.255.255.0//内部端口IP地址

no ip directed-broadcast

!

Ip classless

Ip route 0.0.0.0 0.0.0.0 202.196.1.2//默认路由

Ip route 172.22.1.100 255.255.255.0//到内网静态路由（经过隧道）

Access.list101 permit gre host 202.96.1.1 host 202.96.1.2//定义存取列表

杭州分支的路由器配置

crypto isakmp policy 1//配置IKE策略1

authentication pre-share//IKE1的验证方法设为pre-share

group2;1024-bit Diffie-Hellman//加密算法未设置则取默认值：DES

crypto isakmp key test123 address 202.96.1.1//设置pre-share的密钥为test123，此值两端需一致

crypto ipsec transform-set VPNtag ah-md5-hmac asp-des//设置AH散列算法为md5，！ESP加密算法为DES

crypto map VPNdemo 10 ipsec- isakmp//定义crypto map

set peer 202.96.1.1//设置隧道对端IP地址

set transform-set VPNtag//设置隧道AH及ESP

match address 101

!

interface Tunnel0//定义隧道接口

ip address 192.168.1.2 255.255.255.0//隧道端口IP地址

no ip directed-broadcast

tunnel source 202.96.1.2//隧道源端IP地址

tunnel destination 202.96.1.1//隧道目的端IP地址

crypto map VPNdemo//应用VPNdemo于此端口

interface Serial 0/0

ip address 202.96.1.2 255.255.255.252//串口Internet IP地址

no ip directed-broadcast

crypto map VPNdemo//应用VPNdemo于此串口

!

Interface Ethernet0/1

Ip address 167.1.1.1 255.255.255.0//外部端口IP地址

no ip directed-broadcast

Interface Ethernet0/0

Ip address172.22.2.100 255.255.255.0//内部端口IP地址

no ip directed-broadcast

!

Ip classless

Ip route 0.0.0.0 0.0.0.0 202.196.1.1//默认路由

Ip route 172.22.1.100 255.255.255.0//到内网静态路由（经过隧道）

Access.list101 permit gre host 202.96.1.2 host 202.96.1.1//定义存取列表

总部与丽水分支之间的配置，其简图如图3-4所示。

图3-4 总部与丽水分支的网络简图

总部路由器配置

crypto isakmp policy 1//配置IKE策略1

authentication pre-share//IKE1的验证方法设为pre-share

group2;1024-bit Diffie-Hellman//加密算法未设置则取默认值：DES

crypto isakmp key test123 address 202.96.1.3//设置pre-share的密钥为test123，此值两端需一致

crypto ipsec transform-set VPNtag ah-md5-hmac asp-des//设置AH散列算法为md5，！ESP加密算法为DES

crypto map VPNdemo 10 ipsec- isakmp//定义crypto map

set peer 202.96.1.3//设置隧道对端IP地址

set transform-set VPNtag//设置隧道AH及ESP

match address 101

!

interface Tunnel0//定义隧道接口

ip address 192.168.1.1 255.255.255.0//隧道端口IP地址

no ip directed-broadcast

tunnel source 202.96.1.1//隧道源端IP地址

tunnel destination 202.96.1.3//隧道目的端IP地址

crypto map VPNdemo//应用VPNdemo于此端口

interface Serial 0/0

ip address 202.96.1.1 255.255.255.252//串口Internet IP地址

no ip directed-broadcast

crypto map VPNdemo//应用VPNdemo于此串口

!

Interface Ethernet0/1

Ip address 168.1.1.1 255.255.255.0//外部端口IP地址

no ip directed-broadcast

Interface Ethernet0/0

Ip address172.22.1.100 255.255.255.0//内部端口IP地址

no ip directed-broadcast

!

Ip classless

Ip route 0.0.0.0 0.0.0.0 202.196.1.3//默认路由

Ip route 172.22.1.100 255.255.255.0//到内网静态路由（经过隧道）

Access.list101 permit gre host 202.96.1.1 host 202.96.1.3//定义存取列表

丽水分支的路由器配置

crypto isakmp policy 1//配置IKE策略1

authentication pre-share//IKE1的验证方法设为pre-share

group2;1024-bit Diffie-Hellman//加密算法未设置则取默认值：DES

crypto isakmp key test123 address 202.96.1.1//设置pre-share的密钥为test123，此值两端需一致

crypto ipsec transform-set VPNtag ah-md5-hmac asp-des//设置AH散列算法为md5，！ESP加密算法为DES

crypto map VPNdemo 10 ipsec- isakmp//定义crypto map

set peer 202.96.1.1//设置隧道对端IP地址

set transform-set VPNtag//设置隧道AH及ESP

match address 101

!

interface Tunnel0//定义隧道接口

ip address 192.168.1.3 255.255.255.0//隧道端口IP地址

no ip directed-broadcast

tunnel source 202.96.1.3//隧道源端IP地址

tunnel destination 202.96.1.1//隧道目的端IP地址

crypto map VPNdemo//应用VPNdemo于此端口

interface Serial 0/0

ip address 202.96.1.3 255.255.255.252//串口Internet IP地址

no ip directed-broadcast

crypto map VPNdemo//应用VPNdemo于此串口

!

Interface Ethernet0/1

Ip address 166.1.1.1 255.255.255.0//外部端口IP地址

no ip directed-broadcast

Interface Ethernet0/0

Ip address172.22.3.100 255.255.255.0//内部端口IP地址

no ip directed-broadcast

!

Ip classless

Ip route 0.0.0.0 0.0.0.0 202.196.1.1//默认路由

Ip route 172.22.1.100 255.255.255.0//到内网静态路由（经过隧道）

Access.list101 permit gre host 202.96.1.3 host 202.96.1.1//定义存取列表

工作过程简介

远程拨号用户首先与本地ISP(NSP)的远程访问服务(NAS)建立PPP连接，再与中心LAN网关之间建立隧道从而建立数据链路连接，在此过程中，由ISP的远程访问服务器对远程用户的用户名和密码进行认证，身份确认后分配给远程用户一个IP地址，这个IP地址就是Internet全局IP地址，用它可以访问Internet；中心网关也对远程拨号用户的用户名和口令进行认证(一般而言，用户在ISP注册的身份和在中心网关注册的身份是一致的)，并分配给拨号用户一个IP地址，这个IP地址即是访问中心LAN的IP地址，也是访问其内部的IP地址，远程用户在获取该地址后，就可以访问中心LAN服务器在建立隧道的过程中，PPP帧被封装成PPTP帧，再将PPTP帧封装成IP报文，在IP报文中，源IP地址是本地的ISP分配的Internet全局IP地址，目地IP地址是由中心LAN网关分配的IP地址报文经Internet到达中心LAN网关后，中心LAN网关根据IP报文的目地地址将报文转发给中心LAN内的服务器，同时分离出PPTP帧，再从PPTP帧中分离出PPP帧，然后对远程用户的PPP帧进行处理。

中心服务器对接收到的用户信息进行处理，同时给出答复信息，该信息被封装成IP报文在这个IP报文中，源IP地址是服务器在中心LAN内的IP地址，目的IP地址是中心LAN网关分配给远程用户的IP地址中心LAN网关根据报文的目地地址获知该报文传输必须通过隧道传输，并将该报文封装成PPP帧格式，然后将PPP帧格式封装成PPTP帧格式，再嵌入IP报头形成IP报文，转发给Internet，在这个报文中，源IP地址是由中心LAN网关分配的全局IP地址，目的IP地址是ISP分配给远程拨号用户的Internet全局IP地址。

第七节方案的实施效果

使用VPN结构，可以实现两个办公室之间的联机，可通过VPN建立的隧道，经由先进的加密技术安全地互相传送，不会被恶意第三者截取分析；非标准TCP/IP的应用，也可通过VPN专有隧道连通，就像在同一个局域网一样；在外移动的行动用户，只要可以连上网路，即可通过VPN设定连回公司，使用各种办公室应用；办公室间的传输，例如视频会议、语音通讯，通过VPN即不受到网路运行商的管制，带宽不会受到。

VPN上的设施和服务完全掌握在企业手中。企业可以把拨号访问权交给NSP去做，而自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

通过采用“隧道”技术，在公众网中形成企业的安全、机密、顺畅的专用链路。

企业不必租用长途专线建设专网，不必大量的网络维护人员和设备投资，节省成本。

第四章结论与启示

第一节VPN的优势

通过组网，我们体会到了VPN的优势主要在以下四个方面：

一、降低成本：同传统的专用网络相比，虚拟专用网的一个显著优势就是成本低企业不必租用长途专线建设专网，不必大量的网络维护人员和设备投资。利用现有的公用网组建的Internet，要比租用专线或铺设专线要节省开支，而且当距离越远时节省的越多。

二、容易扩展：网络路由设备配置简单，无需增加太多的设备，省时省钱。对于发展很快的企业来说，VPN就更加是不可不用了。如果企业要组建自己的传统专用网，那么在扩展网络分支时，就要考虑到网络的容量，架设新链路，增加互联设备以及升级设备等；而如果实现了VPN就方便多了，只需要连接到公共网上，对新加入的网络终端在逻辑上进行设置，也不需要考虑公用网的容量问题和设备问题等。

三、完全控制主动权：VPN上的设施和服务完全掌握在企业手中。例如，企业可以把拨号访问权交给NSP去做，而自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

四、安全保障：和传统的专用网络一样，VPN也同样拥有一样的安全性。VPN通过采用“隧道”技术，并在Internet或国际互联网工程工作组(IETF)制定的IPsec标准统一下，在公众网中形成企业的安全、机密、顺畅的专用链路。

第二节VPN的展望

VPN主要经历了 IPSec VPN，SSL VPN二个阶段。

IPSec VPN通过在Internet上建立“隧道”,为公司的防火墙或者网关外的使用者提供远程接入到企业内部资源的链接，但是“隧道”两端的使用者只能够使用同一厂商的设备。这就了企业通过IPSec VPN与合作伙伴或者是客户之间建立企业Extranet的应用。除此之外IPSec VPN还有其他的一些不足：

分发和管理客户端软件将是一件非常麻烦和费时的事情。而且如果使用者的网络环境发生了变化，那将需要对原有的客户端配置进行修改，对于企业的IT部门来说将带来很多的烦恼。

IPSec VPN两端的全部网络是彼此可见的。这样就算企业自身内部网络没有问题，但当合作伙伴或者客户端的网络不安全，通过IPSec远程接入同样会使企业内部网络受到来自隧道另一端的威胁。

有许多内部网络使用NAT，当非专业的IPSec使用者如果不寻找公司技术人员的支持，不更改一些配置常常不能建立远程接入。而且IPSec需要在防火墙上开放多个端口，而在其他公司的防火墙上一般是不开放这些非标准的端口的，因为那样会增加企业网络的安全风险。

在这种情况下SSL VPN技术浮出了水面，SSL VPN的出现是为了解决IPSec VPN的固有缺点而出现的，SSL VPN继承了IPSec VPN的远程使用与内网使用一致、与应用无关的优点，避免了因有客户端而导致的使用维护不便、某些网络条件下无法接通、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题。从功能上可以提供C/S应用和B/S应用访问，并非只能解决web应用。因此，SSL VPN是目前主流的VPN技术。

第三节总结

总而言之，我们在为企业组网时，尤其时为各个部门在不同地域的企业组网时，VPN技术是我们可以优先考虑的一种技术。我们可以先分析企业的需求，在此基础上设计出一套适合企业的一套方案，然后在根据方案选择相应的产品。选择产品时应根据各产品的规格、功能和产品见的兼容性等方面来考虑最适合的产品。最后再组网、及测试网络。

【参考文献】

[1] 黄叔武，杨一平. 计算机网络工程教程.[M].北京.清华大学出版社. 2004.4.

[2] 阎慧，王伟，宁宇鹏. 防火墙技术与原理.[M].北京. 机械工业出版社. 2004.5.1.

[3] 雷震甲. 网络工程师教程.[M].北京. 清华大学出版社. 2004.7.

[4]蒋建春，扬凡.计算机网络信息安全理论与实践教程.[M].西安.西安电子科技大学出版社. 2005.

[5] 雷震甲. 网络工程师考试辅导.[M].西安.西安电子科技大学出版社.2005.

[6][美]Todd .Lammle . CCNA学习指南（英文第五版）（0-801）.[J].北京.电子工业出版社.2005.

[7] 石硕. 交换机/路由器及其配置.[M].北京.电子工业出版社. 2003.1.

[8] [美] Radia Perlmam. Cisco现场手册. [M].北京.机械工业出版社. 2002.1.

[9] [美]Todd .Lammle著，徐宏，程代伟等译. CCNA学习指南（中文版）（0-801）.[M].北京.电子工业出版社.2005.

[10] 雷震甲. 网络工程师教程（第2版）.[M].北京.清华大学出版社. 2006.

[11]郭威，郑连清.虚拟专用网及其核心技术.[J].现代电子技术.2004,（8）：60-61.

[12] 陈世唏.虚拟专用网VPN关键技术的探讨.[N].集美大学学报（自然科学版）.2003.3.8（1）.

[13] [美] Radia Perlmam. Cisco现场手册.[M].北京.机械工业出版社. 2002.1.1.

[14] Andrews. Tanenbaum著 潘爱民译. 计算机网络（第4版）（中文版）.[M].北京. 清华大学出版社. 2004.8.1.

[15] 朴英花. 企业局域网安全问题分析.[J]. 长春工程学院学报. 2002.3.