1. 研究目的与意义
本次我选的课题是基于Easy VPN的优级先科公司网络设计与实现,我的目的就是能够远程客户,分支办公室提供的一种访问VPN的解决方案。Easy VPN是通过一个公用网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络但是保证其传输数据的安全性、传输速率的稳定性的二层隧道协议。现如今各种虚拟专用网都是对企业内部网的扩展,虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
但是对于很多IPSec VPN用户来说,IPSec VPN的解决方案的高成本和复杂的结构是很头疼的。因为在部署和使用软硬件客户端的时候,需要大量的评价、部署、培训、升级和支持,对于用户来说,这些无论是在经济上和技术上都是个很大的负担,将远程解决方案和昂贵的内部应用相集成,对任何IT专业人员来说都是严峻的挑战。为了保持竞争力,消除企业内部信息孤岛,很多公司需要在与企业相关的不同的组织和个人之间传递信息,所以很多公司需要找一种实施简便,不需改变现有网络结构,运营成本低的解决方案那就是使用EasyVPN。实际上EasyVPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。2. 课题关键问题和重难点
本次课题拟解决的关键问题是实现VPN的四种关键技术。第一,实现隧道技术,其是VPN的底层支撑技术,隧道其实是一种封装,就是将一种协议(协议A)封装在另一种协议(协议B)之中传输,实现协议A对于公用网络的透明性,其中主要使用隧道协议PPTP、L2TP和IKE2进行实现。
其次是加解密认证技术,主要是由MPPE将通过MS-CHAP、MS-CHAP v2身份验证过程所生成的加密密钥对PPP帧进行加密。然后是密钥管理技术,IKE是Internet安全关联和密钥管理协议ISAKMP语言来定义密钥的交换,综合了Oakley和SKEME的密钥交换方案,通过协商安全策略,形成各自的验证加密参数。最后是访问控制技术,VPN服务的提供者与最终网络信息资源的提供者来共同协商确定特定资源的访问权限。
3. 国内外研究现状(文献综述)
Easy VPN的应用面目前来看十分的广泛,其是Cisco为远程用户和分支办公室提供的一种远程访问VPN解决方案,提供了集中的VPN管理和动态的策略分发,降低了远程访问VPN部署的复杂程度,增加了可扩展性及灵活性。论述了Easy VPN的组件和原理,并在此基础上分析了Easy VPN的特性,针对企业分支机构及移动办公人员访问内部资源所面临的问题,分析了EasyVPN的部署方案。通过部署Easy VPN,企业的分支机构通过Internet可以同总部建立点到点的VPN,移动或在家办公用户可以在接入Internet的任何地方方便、安全地访问内部资源,这有助于提高企业生产力,降低企业的管理和维护成本。
经过阅读文献资料对于Easy VPN的简历过程至少需要以下四个步骤:首先建立用于IKE的第一阶段设备认证的IKE策略,也是一个或多个包括加密算法、哈希算法、认证方法和DH组类型组合。其次配置用于IKE第二阶段Xauth扩展用户认证的AAA策略,其中包括所采用的AAA认证、授权的方法,去请求服务器进行认证信息。然后配置模式配置推送功能,其中包括定义可用于模式配置推送的IPSec组或用户属性(包括要推送给Easy VPN客户端的内部本地地址),启用模式配置推送功能,指定推送URL。最后Sever端进行反向路由注入(Reverse Route Inject,RRI))为刚分配的Client端IP地址产生一条静态路由,以便正确额路由发送给Client端数据包。
我们知道经常采用的三种加密模式为PPTP、L2TP和IKE2,本次研究的课题easy VPN当Sever端对Client端发送请求认证时需要采用PPTP(Point To Point tunneling Protocol),即点对点隧道协议。PPTP是对端对端协议(PPP)的一种扩展,它采用了PPP所提供的身份验证、压缩与加密机制。PPTP能够随TCP/IP协议一道自动进行安装。PPTP与Microsoft端对端加密(MPPE)技术提供了用以对保密数据进行封装与加密的VPN服务。MPPE将通过由MS-CHAP、MS-CHAP v2身份验证过程所生成的加密密钥对PPP帧进行加密。为对PPP帧中所包含的有效数据进行加密,虚拟专用网络客户端必须使用MS-CHAP、MS-CHAP v2身份验证协议。下面对于PPTP控制建立连接过程可分为以下几步:
4. 研究方案
在本次毕业设计我要实现Easy VPN的技术,所使用的模拟器是思科Cicso Packet Tracer 6.0模拟器,当然我对于Easy VPN的技术也可以使用别的模拟器,比如GNS 3,EVE等;虽然CicsoPacket Tracer 6.0模拟器作为新手入门级别的模拟器,里面的功能虽然不是强大,但是涉及到的技术确是十分全面的。并且本次试验我需要的一些东西是别的模拟器所没有的,因此我使用Cicso Packet Tracer 6.0作为本次试验的下面的模拟器。
实验的基本思路:在Easy VPN的网络环境模式下,远程移动客户只需要对Cisco VPN Client连接软件进行简单的配置,其余大部分的数据由总部站点下发给远程移动客户。其中一台路由器用来模拟总部的网关,另一台做了NAT的路由器模拟能够访问外网。外出移动办公的笔记本或者分支办公地点跨越互联网到达的总部的路由器上,通过Easy VPN连接到总部的服务器上,并访问总部的WEB服务器进行资源的上传与下载。
我们知道当不同的远程互联网通过网络连接时,比如南京银行南京总行和南京银行扬州分行的两个公司通过互联网连接时,网络之间的互访将会出现一些局域性。
5. 工作计划
(1)第一周至第二周查阅资料修改并完善开题报告;
(2)第三周至第六周搜集并整理资料,了解神州新桥科技股份有限公司在南京银行扬州分公行实现Easy VPN实现的原理和方法,借鉴神州新桥工程师做项目的全过程。
(3)第七周,完善自己的实验拓扑图,对实验拓扑要实现的功能进一步明确规划;期间同时完成外文翻译;
以上是毕业论文开题报告,课题毕业论文、任务书、外文翻译、程序设计、图纸设计等资料可联系客服协助查找。
