数字技术与应用
基于VPN网络接人研究及实现
刘庆：刘开芬
【402160；2.重庆科创职业学院
(1.重庆科创职业学院重庆永川区
.网络安全：
重庆永川区
402160
摘要：随着Internet广泛而深入的应用，对网络接入提出了更高，更安全，更高效的要求。本文针对VPN基本原理，VPN的关健技术等方面进行了深入研究，并对VPN技术在网络接入中的实际应用进行了讨论。
关键词：VPN原理IPSeeVPN关健技术VPN实现中图分类号：TN915
文献标识码：A
1.引言
VPN(Virtual Private Network. 专用网)是指在公共网络提供的信息传输平台基础之上，通过建立虚拟隧道，信息在隧道中安全可靠的传输的一种网络传输模式。通过VPN技术可以在跨国、跨地区企业通过 Intemet建立一个安全，高效的企业内部网。位于不同区城的用户像使用企业内部网络一样使用VPN网络中的资源。
2、VPN原理
Intemet工程任务组织IETF制订的IP安全协议(IPSec）为VPN网络应用提供了加密，数据完整性、用户认证等功能。VPN的专用性保证了企业内部网络的保密性，VPN的虚拟性使组建VPN网络的成本大大降低。
3、VPN的关键技术
VPN的关键技术使用隧道技术，加解密技术、认证技术等。
3.1隧道技术
隧道技术是VPN的基本技术。隧道由隧道协议形成，院道协议分为第二层和第三层协议。第二层隧道协议将数据包封装到PPP 中，然后将整个数据包装人际道协议中在隧道中传输。第二层隧道协议有L2F、PPTP,L2 TP等。第三层隧道协议将数据包直接封装到隧道协议中，形成的数据包通过第三层协议传输，第三层隧道协议有VTP、IPSec等。其中 IPSec隧道协议得到了广泛的应用IPSec是由IETF制订的保护IP协议安全通信的标准，它主要对IP协议分组进行加密和认证,IPSec 有两种工作模式，运输模式和隧道模式。
运输模式(Transport)：在该模式中，仅利用传输层数据来计算AH或ESP首部，AH 或ESP首部以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式应用在两台主机之间或一台主机和一个安全网关之间的通信。
隧道模式(Tunnel)：在该模式中，利用整个IP数据包来计算AH或ESP首部，AH或 ESP首部以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应
102
差字技本与应用方方数据
文章编号：1007-9416(2011)02-0102-01
用在两个安全网关之间的通信。 3.2加解密技术
为了保证数据通信的机密性，VPN必须采用现有成熟的加解密技术来实现数据安全传输，IPSec的ESP协议采用56位的DES-CBC[2]算法实现加密传输，并使用ISAKM P密钥交换协商机制来完成加密和解密密钥的交换。在IPSec中ESP提供加密功能而AH
则不提供加密功能。 3.3认证技术
IPSec定义了两个协议，鉴别首部AH)协议和封装安全有效载荷(ESP)协议，这两个协议完成数据的完整性、消息源的鉴别和数据加密功能。(1)AH协议。AH协议被设计用来鉴别源主机，以确保IP分组所携带的有效载荷的完整性。AH采用散列算法和对称密钥来计算报文揭要，并根据IPSec的运输方式插人到相应位置，AH可以实现数据的完整性.数据源的真实性，但不提供数据的保密传输功能。(2)ESP协议。ESP(封装安全有效载荷)协议提供报文鉴别、完整性和加密功能，ESP增加首部和尾部，并根据IPSec的工作模式插入到相应的位置。(3)AH和ESP的对比。ESP协议是在AH协议的基础上而设计的，ESP协议能完成AH所做的所有功能，但增加了加密机制。因此AH协议最终会被ESP协议所代替”
4、VPN实现
在中小型企业中，绝大多数情况采用以太网技术将企业所有资源融合在一起，因以太网的广播待性，在企业网络中产生大量的安全间题是必然的。用户接人的安全性，数据源的真实性、数据的机密性是企业对网络永恒的需求。利用VPN技术可以完美解决企业上述需求
(1)企业网络需求描述，企业办公系统 Web服务器、FTP服务器、邮件服务器，数据库服务器等资源服务器置于企业资源网中。要求企业内部用户群通过某种接入方式全访问企业资源网和lntermet。禁止企业外部用户访问企业内部网络。(2)网络功能结构。根据企业需求，采用VPN技术完成用户接入数据源鉴别，数据完整性和数据加密等功能.利用VPN服务器、防火增和路由器
Digital technology and application
构建一个安全区城，并将企业资源服务器置于该区城，实现安全保护，路由器完成NAT 功能，使内网接人到Intemet，在防火墙上设置安全策略禁止Intermet访间企业资源网。V PN服务器完成内网用户接人，数据源鉴别、数据完整性和数据加密等功能，通过验证后，从DHCP服务器获取动态IP地址，内网用户方可访间企业资源网和Internet。
4.3网络配置
(1)企业资源网服务器的IP配置。使用网络号为192.168.1.0的IP地址分别分配给各服务器。(2)VPN服务器配置。VPN服务器安装两块网卡，连接企业内网用户群的网卡1 和连接企业资源网的网卡2，其IP地址规划为：网卡1：172.18.0.1255.255.0.0网卡 2：192.168.1.2255.255.255.0默认网关： 192.168.1.1DNS:61.128.128.68在V PN服务器中配置DHCP中继，为接人到VP N服务器的用户自动配置IP地址.(3)防火增的配置，在防火墙中配置禁止外网用户访间企业资源网，允许内网用户访问intermet。(4) 路由器的配置。路由器连接内网的接口IP地址配置为192.168.1.1。配置NAT，使内网用户通过路由器的NAT功能上网。
5、结语
VPN技术凭借安全性、可靠性和低成本将成为当前广城网建设的最佳解决方案之一。IPSec作为VPN中的IP安全协议，虽然能解决诸多安全问题，但也存在一些急待解决的问题。多点传送、跨平台、从IPv4升级到IP v6.内置防火增功能以及综合的VPN管理
能力方面是未来VPN发展的方向参考文献
[1]杨明福.计算机网络原理[M].经济科学
出版社，2007，229~231
[2]（美)Donald.C.Lee.Cisco网络增强型IP
服务M].北京：电子工业出版社，2000，[3]谢希仁等锋.TCP/IP协议质M].北京：
清华大学出版社，2007(4)：630~633.[4]师成江.基于IPSec的安全VPN模型研究
[].计算机应用研究，2000.(6)：256~276.