(毕业论文 页数:36字数:18814)摘要:随着全球经济的发展，无论是大企业还是中小企业，都在各地拥有自己的分支机构。 VPN技术以其管理简单,费用低廉的优点成为企业构建内部广域网络的首选。VPN服务市场在2005年取得了总销售额230亿美元的骄人业绩，预计到2009年还将增长22%，前景非常广阔。
VPN(虚拟专用网)不是真的专用网络，但它却能够通过公用网络实现专用网络的功能，能为企业的商业运作提供一个可靠、安全的数据传输网络。实现VPN技术的方式很多，本文以在Linux系统下常用的三种软件VPN：PPTP VPN ，SSL VPN 和IPSEC VPN为例，对各种VPN的工作原理做了详细的阐述，并对实现这些VPN的功能，需要在其服务器端和客户端如何配置做出了详细的总结。
在最后阶段对几种VPN进行比较，得出结论：IPSec VPN适合拥有较多的分支机构，维护成本较高，IT建设、管理和维护方面拥有一定经验的员工的大中型企业。而SSL VPN适用于那些需要很强灵活性的企业，员工需要在不同地点都可以轻易的访问公司内部资源，并可能通过各种移动终端或设备随时进行访问，企业的IT维护较低。相对而言，PPTP配置简单方便，适合那些规模较小，对安全要求较低的小企业。
Study of the VPN Technology

Abstract
Along with the development of global economy, regardless of the big enterprises or mid- and small-scale enterprises, all have their own branches in each place. The VPN technology, for its merits of simple management and the low expense, becomes the first choice of the enterprise to construct the internal wide area network (WAN). In 2005, the VPN service market has obtained excellent achievements with the total sales volume of 23 billion US dollars, which is surprising, it is estimated that it will increase by 22% in 2009, the prospect is extremely broad.
The VPN (Virtual Private Network) technology is not the real private network, but it can realizes the function of private network through the public network to offer a kind of reliable and safe data transmission network for enterprise's commercial operation. Taking three VPN software often used under Linux system such as PPTP VPN, SSL VPN, and IPSEC VPN as example, this article makes elaboration to each kind of VPNs’ principle of work, and summarizes in details its function how to configure in its server end and client end
In the end of the article, I carry on the comparison to several kinds of VPN, and then reach the conclusion, that is, IPSec VPN is suitable for large and middle-scale with more branches and higher maintenance cost, the IT construction, the management and the enterprises. Because their staff have the certain experience in the aspect of maintenance. But SSL VPN is suitable for the enterprises which need very strong flexibility and cost little on IT, there the staff need in different places to be allowed to easily visit interior resources of the company, and are able to carry on the visiting as necessary through each kind of mobile termination or the equipment. Relatively, as PPTP VPN can be configured simply and conveniently, it suits these small businesses with low safety requisition.

目录


1．引言 1
1.1 课题背景： 1
1.2 VPN的特点： 1
2.1 隧道技术 2
2.2点对点隧道协议PPTP（Point-to-Point Tunneling Protocol） 2
2.2.1 建立控制连接 3
2.2.2 PPP协议 3
2.2.3 PPTP数据封装 6
2.3 SSL（安全套接协议） 8
2.3.1 SSL的体系结构 8
2.3.2 SSL握手过程步骤： 9
2.3.3对称加密和非对称加密 10
2.4 IPSec(Internet 协议安全) 10
2.4.1 IPSec的工作原理 10
2.4.2 SA（Security Association）安全关联 11
2.4.3 AH（Authentication Header）认证头 11
2.4.4 ESP（Encapsulating Security Paylod）封装安全负载 12
2.4.5 IKE协议 13
3．VPN的实现 14
3.1 PPTP VPN的实现： 14
3.1.1配置服务器 15
3.1.2 WINXP下客户端的配置 16
3.1.3 建立连接 17
3.2 SSL VPN的实现： 18
3.2.1 openvpn安装： 18
3.2.2 配置VPN Server 19
3.2.3 安装和配置WINDOWS XP下的客户端 21
3.3 IPSec VPN的实现 22
3.3.1编译内核（需要截图） 22
3.3.2 安装OpenSWan 24
3.3.3 配置OpenSWan 25
4.1 几种VPN的特点 28
4.2 几种VPN的比较 29
4.3 结论 30
参考文献 30
致 谢 32

1引言
1.1 课题背景：
随着全球经济化的发展，许多企业都在各地拥有自己的分支机构，用户的商业服务也随之不断发展，分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源，企业需要扩展自身的网络资源来为远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输，VPN技术便能够提供可靠的数据加密、信息安全交换的能力，可采用的方案有点对点、点对多点、用户对点、用户对用户的连接方式，能为企业的商业运作实现一个可靠、安全的数据传输网络。
VPN是Virtual Private Network的缩写,即虚拟专用网。顾名思义虚拟专用网不是真的专用网络，但它却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。
VPN是建立在实际网络（或物理网络）基础上的一种功能性网络。它利用 公共网络作为企业骨干网的低成本优势，同时克服公共网络缺乏保密性的弱点，在VPN网络中，位于公共网络两端的网络在公共网络上传输信息时，其信息都是经过安全处理的，可以保证数据的完整性、真实性和私有性。
1.2 VPN的特点：
虽然VPN的种类多种多样，一般而言，一个高效、成功的VPN应具备以下几个主要特点：
■．安全保障： 虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。
■．服务质量保证（QoS）： VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。
■．可扩充性和灵活性： VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
■．可管理性： 从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。所以，一个完善的VPN管理系统是必不可少的。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。
2. VPN的原理
2.1 隧道技术
隧道技术（Tunneling）是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以使用不同协议的数据帧或包，隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息，以便通过互联网传递被封装的负载数据。
这里所说的隧道类似于点到点的连接。这种方式能够使来自许多信息源的网络业务在同一个基础设施中通过不同的隧道进行传输。隧道技术使用点对点通信协议代替了交换连接，通过路由网络来连接数据地址。隧道技术允许授权移动用户或已授权的用户在任何时间、任何地点访问企业网络。通过隧道的建立，可实现：
1) 将数据流强制送到特定的地址
2) 隐藏私有的网络地址
3) 在IP网上传递非IP数据包
4) 提供数据安全支持
为创建隧道，隧道的客户机和服务器双方必须使用相同的隧道协议。隧道技术可分别以第2层或第3层隧道协议为基础。第2层隧道协议对应于OSI模型的数据链路层，使用帧作为数据交换单位。PPTP（点对点隧道协议）、L2TP（第二层隧道协议）和L2F（第2层转发协议）都属于第2层隧道协议，是将用户数据封装在点对点协议（PPP）帧中通过互联网发送。第3层隧道协议对应于OSI 模型的网络层，使用包作为数据交换单位。IPIP（IP over IP）以及IPSec隧道模式属于第3层隧道协议，是将IP包封装在附加的IP包头中，通过IP网络传送。无论哪种隧道协议都是由传输的载体、不同的封装格式以及用户数据包组成的。它们的本质区别在于，用户的数据包是被封装在哪种数据包中在隧道中传输。
2.2点对点隧道协议PPTP（Point-to-Point Tunneling Protocol）
点到点隧道协议PPTP(Point—to—Point Tunneling Protocol[RFC2637])是对点到点协议PPP(Point--to—Point Protocol)的扩展．它并不对PPP协议进行任何修改，只提供了一种传送PPP的机制，并增强了PPP的认证、压缩、加密等功能。由于PPTP基于PPP协议，因而它支持多种网络协议，可将IP、IPX、APPLETAIK、NetBEUI的数据包封装于PPP数据帧中,通过该协议，远程用户能够通过装有点对点协议的系统安全访问公司网络，并能拨号连入本地 ISP ，通过 Internet 安全链接到公司网络。
PPTP通过PPTP控制连接来创建、维护、终止一条隧道，并使用通用路由封装GRE（Generic Routing Encapsulation）对PPP帧进行封装。封装前PPP帧的有效载荷即有效传输数据首先必须经过加密、压缩或是两者的混合处理。 　　
PPTP协议假定在PPTP客户机和PPTP服务器之间有连通且可用的IP网络。因此如果PPTP客户机本身已经是某IP网络的组成部分，那么即可通过该IP网络与PPTP服务器取得连接。而如果PPTP客户机尚未连入网络，譬如在Internet拨号用户的情形下，PPTP客户机必须首先拨打NAS以建立IP连接。这里所说的PPTP客户机也就是使用PPTP协议的VPN客户机，而PPTP服务器亦即使用PPTP协议的VPN服务器。
2.2.1 建立控制连接
PPTP控制连接建立在PPTP客户端和服务器之间，PPTP客户端使用动态分配的TCP端口号，而PPTP服务器则使用保留TCP端口号1723。PPTP控制连接携带PPTP呼叫控制和管理信息，用于维护PPTP隧道，其中包括周期性地发送回送请求和回送应答消息，以期检测出客户机与服务器之间可能出现的连接中断。
PPTP控制连接数据包包括一个IP报头，一个TCP报头和PPTP控制信息，数据包格式见下图　

PPP Delivery Header
IP

TCP PPTP Control
Message
Trailer
图2.1 PPTP控制连接包格式
PPTP控制连接通过以下步骤建立：TCP连接由PPTP客户机上的一个动态分配的TCP端口到PPTP服务器上的TCP端口1723建立。
■ PPTP客户端发送一条PPTP Start-Control-Connection-Request（开始控制连接请求）消息，后者将用于建立一个PPTP控制连接。
■ PPTP服务器使用一条PPTP Start-Control-Connection-Reply（开始控制连接应答）消息予以响应。
■ PPTP客户端发送一条PPTP Outgoing-Call-Request（传出调用请求）消息，并选择一个调用ID，识别用于将数据从PPTP客户端发送到PPTP服务器的PPTP隧道。PPTP客户端使用PPTP Outgoing-Call-Request消息从PPTP服务器请求一个PPTP隧道（也称为调用）。
■ PPTP服务器发送一条PPTP Outgoing-Call-Reply（传出调用应答）消息，并选择自身的调用ID识别将数据从PPTP服务器发送到PPTP客户端的PPTP隧道。
■ PPTP客户端发送一条PPTP Set-Link-Info（设置链路信息）消息来指定PPTP协商选项。
PPTP控制连接创建过程的最终结果如下：
（1） PPTP服务器已允许创建一个PPTP隧道。
（2） PPTP客户端已确定了在通过PPTP隧道向PPTP服务器发送数据时在GRE报头中使用的调用ID。
2.2.2 PPP协议
因为第2层隧道协议在很大程度上依靠PPP协议的各种特性，因此有必要对PPP协议进行深入的探讨。PPP协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。PPP协议将IP，IPX和NETBEUI包封装在PPP帧内通过点对点的链路发送，PPP拨号会话过程可以分成4个不同的阶段。分别如下：
阶段1：创建PPP链路
PPP使用链路控制协议（LCP）创建，维护或终止一次物理连接。在LCP阶段的初期，将对基本的通讯方式进行选择。在链路创建阶段，只是对验证协议进行选择，用户验证将在第2阶段实现。同样，在LCP阶段还将确定链路对等双方是否要对使用数据压缩或加密进行协商。实际对数据压缩/加密算法和其它细节的选择将在第4阶段实现。
阶段2：用户验证
在第2阶段，客户会PC将用户的身份明发给远端的接入服务器。该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。大多数的PPP方案只提供了有限的验证方式，包括口令验证协议（PAP），挑战握手验证协议（CHAP）和微软挑战握手验证协议（MSCHAP）。