路由器建立VPN的原理与应用浅析

重庆工业职业技术学院毕业论文

重庆工业职业技术学院

毕业设计（论文）

课 题 名 称： 路由器建立VPN的原理与应用浅析 专 业 班 级： 12信安301 学 生 姓 名： 陈金华 指 导 教 师： 何静

二O一 五 年 三 月

1

重庆工业职业技术学院毕业论文

目 录

摘 要.............................................................. 3 一、VPN概述 ........................................................ 4

1.1 VPN的定义 .................................................. 4 1.2 VPN种类 .................................................... 5

1.2.1 二层VPN L2TP ......................................... 5 1.2.2三层VPN............................................... 5 1.2.3 MPLSVPN............................................... 6

二、VPN原理与配置浅析 .............................................. 7

2.1 IPsec协议栈 ................................................ 7

2.1.1 机密性................................................ 7 2.1.2 完整性数据包认证...................................... 8 2.1.3 源认证数据来源认证.................................... 9 2.1.4 防重放............................................... 10 2.1.5 Diffie-Hellman算法 .................................. 10 2.2 IPsecVPN配置与高级原理 .................................... 11

2.2.1 IKE阶段一管理连接 ................................... 11 2.2.2 I KE阶段二数据连接 .................................. 12 2.2.3 建立加密映射......................................... 14 2.2.4 激活加密映射......................................... 15 2.2.5 测试与排错........................................... 15

三、VPN的应用现状与前景 ........................................... 18

3.1 VPN现在的运营状况 ......................................... 18

3.1.1 VPN市场应用现状 ..................................... 18 3.2 VPN前景展望 ............................................... 19

3.2.1 VPN的未来发展趋势 ................................... 19 3.2.2 IPsecVPN的优点 ...................................... 20 3.2.2 IPsecVPN的缺点 ...................................... 20

结束语............................................................. 21 参考文献........................................................... 22

2

重庆工业职业技术学院毕业论文

摘 要

本论文分为三个部分VPN的定义与种类;VPN的协议栈与配置详解;VPN的应用现状与展望。在第一部分主要介绍了什么是VPN，VPN有什么功能。现在常见的VPN种类。第二部分为本文重点部分，阐述了IPsec协议栈及配置IPsec的完整过程与步骤，包括IKE阶段1、IKE阶段2、建立加密映射、激活VPN及VPN排错等内容。详细说明了VPN建立时数据的产生与转发过称。本文的第三部分说明了VPN的发展现状与未来展望，包括VPN的产品类型、VPN的优缺点对比。最后本文添加附件一份，详细说明实验配置过程与实现原理。

关键词:VPN IPsec 协议栈 IPsecVPN实例

3

重庆工业职业技术学院毕业论文

一、VPN概述

1.1 VPN的定义

VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议为连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。

我们可以把VPN理解成为是建立在实际网络(或物理网络)基础上的一种功能性网络。它利用低成本的公共网络做为企业骨干网，同时又克服了公共网络缺乏保密性的弱点，在VPN网络中，位于公共网络两端的网络在公共网络上传输信息时，其信息都是经过安全处理的，可以保证数据的完整性、真实性和私有性。

每家公司都有自己的内部网络，而这个网络是封闭的、有边界的。小一些的网络可能仅由办公室中的几台电脑组成，规模较大的网络可能由一栋建筑物中的所有终端组成甚至整个厂区中的所有终端组成，但无论如何，这个内部网络总是有边界的，所以物理上将上海总部的内网与北京分部的内网直接相连在一般条件下是不可能实现的，而这一问题同时也限制了企业内部各种应用的延伸。

网络通信是采用分层机制实现的，上层的各种应用无法查觉到下层网络的工作方式，所以无论是逻辑上还是物理上只要将两个网络进行直接连连，对于上层应用来讲是没有分别的。VPN所实现的效果正是将两个物理上分离的网络通过Internet这个公共网络进行逻辑上的直接连接，通过这种方式我们可以无限延伸企业的内部网络，继而使所有用户可以访问相同的资源，使用相同的应用。

VPN的优势之处还在于它可以很好的利用当前既有的Internet线路资源，不再受地域的限制，而对于用户来讲，VPN的工作方式是完全透明的。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。针对不同的用户要求，VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN)，分别适用于远程/移动用户访问、连接各个企业内部网络、连接企业内部网与合作伙伴内部网。

4