vpn技術論文范文

vpn技術論文范文第1篇

VPN即虛擬專用網 (Virtual Private Network) , 處于不同地理位置的用戶皆可通過VPN安全便捷地訪問某一機構的本地網絡。由于租用線路, 建立物理專線費時費力的弊端, 這一傳統方法逐漸被淘汰。而隧道技術的興起則是VPN普及的極大推動力, 使地理位置不同的計算機在邏輯上的建立互聯。

二、隧道技術

(一) 隧道技術的引出

由于公用網絡的復雜性, 公共性以及較低的安全性, 機構內部之間的數據傳輸會出現較多的不安全因素, 而通過建立虛擬專用網, 在公共網絡中鋪設一條“隧道”來封裝數據, 便可保證數據的安全傳輸, 這便是隧道技術。

隧道技術如何封裝數據, 這便引出了隧道協議。

(二) 隧道協議

對數據的封裝中, 第二層隧道技術和第三層隧道技術起著至關重要的作用。二者的區別就在于通過不同的隧道技術對數據包的封裝傳輸, 應用于協議棧的不同層。第二層隧道技術, 如PPTP, L2F, L2TP, 位于OSI模型中的數據鏈路層, 將數據封裝進PPP幀中, 并以數據幀為傳輸單元。第三層隧道技術, 如IPSec, GRE位于OSI模型中的網絡層, 將數據封裝在IP數據報中。下文以IPSec協議為例, 介紹如何實現虛擬專用網對數據的封裝及安全傳輸。

三、IPSec協議

(一) IPSec協議概述

IPSec協議 (Internet安全協議, 即Internet Protocol Security) 的核心特點是安全性, 所有性能均圍繞這一特點展開的。IPSec是第三層隧道技術應用于網絡層, 與其他協議不同的是IPSec并非單獨獨立的, 而是一系列用于保護數據在專用網中安全傳輸的協議族, 包括IKE, ESP, AH。在使用IPSec協議時, 首先對使用該協議的實體建立邏輯互聯即安全關聯SA (Security Association) 。兩個實體根據IKE協議 (Internet密鑰交換協議, 即Internet Key Exchange) 配置同一個安全策略, 并通過協商建立SA, 密鑰交換, 定義感興趣流。ESP (封裝安全載荷, 即Encapsulate Security Payload) 與AH (驗證頭, 即Authentication Header) 為IPSec提供兩個防范機制, ESP虛擬專用網中的數據提供加密服務, 在IP數據首部報首部與TCP首部增加ESP首部, 而在尾部增加ESP校驗;AH實現數據完整性檢測, 認證數據源身份, AH序列號可識別重復的數據包并將其丟棄。

(二) IPSec協議兩種封裝及工作模式

隧道模式與傳輸模式是IPSec協議兩種主要的工作模式。二者區別在于兩點, 一是封裝方式不同, 二是其IP地址是否允許數據包從一個網絡設備轉發到另一個網絡設備 (即是否可路由) 。當IP地址不可路由時使用隧道模式, 并將將原IP首部封裝起來, 并添加新的IP首部和ESP首部;反之使用傳輸模式, 并在原IP首部與TCP首部之間插入ESP首部。若IP地址不可路由仍使用傳輸模式, 數據包則會被目的路由所丟棄。

四、IPSec協議配置校園網

IPSec協議由一整套具有完整性, 安全性的標準協議構成, 支持大多數IP層協議, 并整合網絡防火墻功能, 因此作為校園網的基本協議較為合適。

R總校 (config) #crypto isakmp policy 01

R總校 (config) #encryption 3des//EPS加密算法3des

R總校 (config) #hash md5//AH加密算法md5

R總校 (config) #authentication pre-share

R總校 (config) #crypto isakmp key xxx address xxx.xxx.xxx.xxx//設置共享密鑰名稱及映射地址 (其中x可根據實際情況自定義)

總校區分校區均需對雙方各自路由器完成上述配置。首先進行IPSec第一階段協商, 配置同一IKE策略 (即SA) , 兩校區根據對方IP地址協商密鑰交換方式, 數據加密算法, 以上述代碼為例, AH采取md5加密算法, EPS采取3des加密算法。隨后進行第二階段協商定義感興趣流, 通過創建加密圖, 并將第一階段的配置關聯到加密圖中。此時VPN配置基本完成, 如需通過VPN訪問公用網絡, 則對各自路由器配置NAT便可實現對互聯網資源的正常訪問。

五、結語

IPSec協議可靠性, 私有性等特點保障了校園虛擬專用網數據的安全傳輸, 但IPSec需要完成路由器的配置, 并且用戶使用前需安裝相應客戶端, 因此會帶來一些不便。故產生了多個協議配合使用的方式如, L2TP與IPSec, GRE OVER IPSec, 彌補單一協議的缺點。

摘要：VPN作為一種便捷低廉的通訊方式逐漸進入人們的視野, 其中隧道技術的運用最為廣泛。本文分析了根據IPSec協議建立VPN隧道, 并以校園網為例, 介紹該技術在實際生活領域的應用。

關鍵詞：VPN,隧道技術,IPSec協議,數據傳輸,校園網絡

參考文獻

[1] 李睿.VPN隧道技術的研究及其實現[D].上海:同濟大學, 2007.

[2] 過林吉, 沈淺.VPN隧道協議的研究與探討[J].電腦知識與技術, 2010, 6 (3) :609-610.

[3] 孫光懿.基于GRE和IPSec協議的VPN仿真[J].陜西理工大學學報, 2018, 34 (1) :49-55.

[4] 梁澤海.基于IPSec的VPN在校園網中的研究與設計[J].信息與電腦, 2018 (4) :122-125.

vpn技術論文范文第2篇

1.1 VPN的概念

VPN (Virtual Private Network虛擬專用網絡) 是利用隧道封裝、認證、加密、訪問控制等多種網絡安全手段, 在公用網絡上建立起專用鏈路的網絡安全技術。虛擬專用網絡可以實現不同網絡的組件和資源之間的相互連接。虛擬專用網絡能夠利用互聯網或其它公共互聯網絡等基礎網絡資源為用戶創建專用的安全隧道[1]。

1.2 VPN的分類

按業務分類V P N共有三種類型, 它們分別是遠程訪問虛擬專網 (Access VPN) 、內部虛擬專網 (Intranet VPN) 和擴展的內部虛擬專網 (Extranet VPN) 。按實現技術分類, 工作在鏈路層的隧道協議:點到點隧道協議 (PPTP) 、第二層轉發協議 (L2F) 、第二層隧道協議 (L2TP) 。工作在網絡層的三層隧道協議:如通用路由封裝協議 (GRE) 、IP安全協議 (IPSec) 。介于二層和三層之間的隧道協議:如MPLS隧道協議。工作在應用層的安全協議:如SSL協議。

2 VPN技術在軍用網絡中的應用研究

依據虛擬專網的實現方式, 結合部隊的實際需要, V P N技術在軍用網絡中的運用可有以下幾種方式。

2.1 構建點到點的安全通信鏈路

軍網通信過程中, 用戶間往往要構建端到端的安全傳輸通道。在構建端到端的安全鏈路中可選取應用于網絡層的IPSec協議。構建對端安全鏈路過程中, 可將IPSec協議嵌入到安全鏈路兩端的接口設備中, 通過該接口設備將計算機與軍用網絡連接, 通過AH和ESP等協議, 實現數據的身份認證、加密處理、解密處理。

保密設備由網卡芯片與IPSec芯片構成, 包含網絡協議解析、身份認證、密鑰隨即生成、加解密編碼四部分模塊組成。在進行通信時, 首先要對雙方進行身份認證, 若為非法用戶則斷開邏輯鏈接, 對于合法用戶則為雙方同步生成隨機的工作密鑰, 此后發送方用此密鑰對通信數據進行加密, 而接收方亦用相同的密鑰進行解密。

2.2 構建單用戶到內部局域網的安全訪問通道

當軍網用戶想要訪問某軍事單位內部資源時, 需要構建一條單用戶到內部網絡的安全訪問通道。安全訪問鏈路構建可用L2TP、IPSec雙重安全協議[3]?；贗PSec的L2TP具有兩種隧道類型, 自發型隧道和強制型隧道。強制隧道需要有服務提供商ISP提供認真服務器, 在這種環境下, 存在二個認證服務器, 即ISP內的認證服務器LAC和內部網內的認證服務器LNS。自愿隧道模式用戶主機充當了LAC, 用戶自主對L2TP進行配置和管理[4]。

軍用網絡中構建訪問型V P N時, 在具有信息資源優勢的軍事單位內部網絡中建立認真服務器L N S?？紤]軍用網絡中操作的可行性, 將L2TP和IPSec均安裝于遠程用戶主機上, 由遠程訪問用戶充當LAC, 遠程用戶發送訪問請求到LNS, 經驗證后, 搭建立L2TP鏈路。

2.3 構建局域網間的安全通信鏈路

由于軍事單位所處地域分散, 各機要單位或密級較高的軍事單位內部局域網與局域網之間的安全通信, 依托軍用網絡構建一個安全、便捷、低成本的專用線路, 連接各單位內部局域網, 是解決這一問題的有效途徑。

以IP安全協議體系IPSec為基礎, 面向網關到網關的V P N應用環境, 設計了一種基于IPSec協議的VPN網關。安全網關的設計原理為, 將IPSec協議與IP層相結合, 形成IPSec+IP協議, 對流入網關的數據包, 進行身份驗證和解密處理等處理。

3 結語

將V P N技術運用到軍用網絡中, 在軍用網絡與互聯網物理隔離的基礎上, 又增添了一道防御措施, 有效地保證軍事信息的安全傳輸。但隨著各類VPN技術的運用, 存在著需構建與軍用網絡相適應的管理機制和服務提供單位制的問題, 相信隨著研究的繼續深入, 將會得到解決, 進一步提升部隊信息化建設程度。

摘要：隨著軍隊信息化建設的深入開展, 軍用網絡在部隊建設中發揮的作用也越來越明顯, 因此保障軍用網絡的安全對于提高部隊信息化建設水平、保障軍事信息的安全傳輸具有十分重要的意義。本文通過研究不同種類的VPN并分析軍用網絡的安全需求, 將虛擬專網技術運用到軍用網絡的安全保障中去。

關鍵詞：軍用網絡,VPN,網絡安全

參考文獻

[1] 戴宗坤, 唐三平.VPN與網絡安全[M].北京:電子工業出版社, 2002.

[2] 焦秋光.軍事裝備管理學[M].北京:軍事科學出版社, 2003.

[3] 王達.網絡安全[M].北京:電子工業出版社, 2006.

vpn技術論文范文第3篇

(四) 修改chap-secrets文件

編輯/etc/chap-secrets配置文件, 添加如下內容:

上面第二行代碼的四項內容分別對應第一行中的四項。“wb@ldz.cn”是Client端的VPN用戶名;“server”對應的是VPN服務器的名字, 該名字必須和/etc/ppp/options.pptpd文件中指明的一樣, 或者設置成“*”號來表示自動識別服務器;“secret”對應的是登錄密碼;“IP addresses”對應的是可以撥入的客戶端IP地址, 如果不需要做特別限制, 可以將其設置為“*”號。

(五) 設置IP偽裝轉發

只有設置了IP偽裝轉發, 通過VPN連接上來的遠程計算機才能互相ping通, 實現像局域網那樣的共享。用下面的命令進行設置:

可以將這條命令放到文件/etc/rc.d/rc.local里面, 以實現每次開機時自動運行該命令。

(六) 打開防火墻端口

將Linux服務器的1723端口和47端口打開, 并打開GRE協議。

二、測試

下面以Windows Server xp為例來進行測試。

(一) 新建連接。單擊“開始→設置→網絡連接→新建連接向導”打開“新建連接向導”的窗口, 打開“新建連接向導”的窗口, 然后依次選擇或填寫“連接到我的工作場所網絡→虛擬專用網絡連接→公司名 (可以隨便填寫) →不撥初始連接→IP地址 (填入VPN服務器的IP地址) ”, 最后單擊“確定”, 就建立了一個新的連接。

(二) 修改連接屬性。右擊剛才創建的連接, 再依次單擊“屬性→網絡 (選擇TCP/IP協議) →屬性→高級”, 然后把“在遠程網絡上使用默認網關”前面的勾去掉后單擊“確定”。