浅议方案设计基于L2TP/IPSec远程访问VPN系统案例设计与实施
更新时间:2024-02-20
点赞:25589
浏览:111057
作者:用户投稿
本站原创
摘 要:通过分析两种远程访问VPN应用模式的特点,选择自愿隧道模式设计了VPN,制定了VPN的实施策略,并实施了VPN远程摘自:毕业论文格式范文www.618jyw.com
客户端的配置。
关键词:VPN 隧道 网关
通过以上分析可以看出,在L2TP/IPSec的自愿隧道模式中,VPN远程用户端作为VPN隧道的起始点。此应用模式独立于运营商,对通信运营商的依赖程度低,用户可直接控制VPN网络,安全性比较强,可实施性好。因此,以下VPN的模拟实施作者选择采用自愿隧道应用模式。
② 设备验证的类型:IPSec支持预共享密钥和数字签名或证书的验证方式,考虑到实验环境中的远程设备较少,采用预共享密钥方式进行设备验证。
③ 数据包验证方法:IPSec支持MD5 HMAC和SHA HMAC数据包验证方法,用于实现数据源验证与检测被损坏的数据包。SHA相对于MD5可以更有效的防止强大的攻破功能,因此本文选择SHA HMAC实现数据包的验证。
④ 密钥交换方法:IPSec支持DH(Diffie-HellMan)算法以公钥加密的方式完成在不安全的网络上共享对称密钥。DH使用密钥组来定义共享密钥是如何产生的,而密钥组定义了公钥和私钥的密钥长度。本实验使用DH密钥组2来实现对称密钥的共享与交换。
张大路,卢现峰.VPN核心技术研究.计算机工程,2000(3):41-42.
陆国栋.基于IPSec VPN的安全性研究[D].武汉:华东师范大学,2006.
[3] 杨明.基于IPSec虚拟专用网的研究与实现[D].北京:北京工业大学,2003.
客户端的配置。
关键词:VPN 隧道 网关
一、VPN系统方案设计的应用模式设计
(一)自愿隧道模式
在自愿隧道模式下,远程用户的PC机和VPN网关作为隧道的两端。远程访问用户作为LAC(L2TP Access Concentrator,简称LAC)运行L2TP/IPSec软件,并建立到VPN网关的连接。LAC将L2TP分组发送到ISP,再经过Internet传送到LNS(L2TP Network Server,简称LNS)。(二)强制隧道模式
在强制隧道模式中,IPSec安装于远程访问用户的主机上,而L2TP集成于LAC。PPP(Point to Point Protocol,简称PPP) 客户端发送PPP帧给LAC,LAC再进行L2TP分组的封装并通过Internet传送到LNS。LNS端收到的IP数据包是封装了PPP的L2TP分组。在这种模式下,远程客户端和LNS拥有安全服务的不同信息,PPP加密和压缩是否执行,要依靠客户端的策略。通过以上分析可以看出,在L2TP/IPSec的自愿隧道模式中,VPN远程用户端作为VPN隧道的起始点。此应用模式独立于运营商,对通信运营商的依赖程度低,用户可直接控制VPN网络,安全性比较强,可实施性好。因此,以下VPN的模拟实施作者选择采用自愿隧道应用模式。
二、基于L2TP/IPSec远程远程访问VPN系统方案的模拟实施
为了便于研究,本文仅抽象出一个简化的模拟实验环境,其网络拓扑结构如图1所示。(一)确定I*P IKE阶段1的管理策略
1.允许VPN数据流通过防火墙
在防火墙上部署VPN网关时,考虑到防火墙接口被分配给不同的安全级别,默认情况下,流量是不允许从低安全级别(外网接口)向高安全级别(内网接口)流动的。配置时应采取措施(ACL或ACL旁路)允许VPN数据流从一个不安全的接口进入或者穿过PIX的更安全的接口。2.确定管理连接的安全策略
① 使用的加密算法:IPSec支持DES、3DES或AES,在VPN实施时普遍采用前两者。由于DES加密力度较弱,已被证明在有限时间内易被攻破,因此本文使用3DES加密。② 设备验证的类型:IPSec支持预共享密钥和数字签名或证书的验证方式,考虑到实验环境中的远程设备较少,采用预共享密钥方式进行设备验证。
③ 数据包验证方法:IPSec支持MD5 HMAC和SHA HMAC数据包验证方法,用于实现数据源验证与检测被损坏的数据包。SHA相对于MD5可以更有效的防止强大的攻破功能,因此本文选择SHA HMAC实现数据包的验证。
④ 密钥交换方法:IPSec支持DH(Diffie-HellMan)算法以公钥加密的方式完成在不安全的网络上共享对称密钥。DH使用密钥组来定义共享密钥是如何产生的,而密钥组定义了公钥和私钥的密钥长度。本实验使用DH密钥组2来实现对称密钥的共享与交换。
(二)确定I*P IKE阶段2数据连接的安全策略
1.数据包验证方法。由于IPSec AH协议的认证范围包括数据包的IP地址,数据包在通过防火墙时要进行地址转换,这种地址变化将导致远端用户的验证失败,因此本实验中使用IPSec ESP协议支持的SHA HMAC认证方法,不启动AH协议。2.数据包的加密。使用IPSec ESP协议支持的3DES加密算法。3.确定连接模式。在本方案中,使用L2TP建立隧道,使用IPSec提供安全传输,因此确定IPSec的连接模式为传输模式。(三)确定L2TP连接的安全策略
1.用户认证方式。L2TP支持PPP的认证方式——PAP、CHAP或MS-CHAP,它们用于实现用户级身份认证。本实验使用MS-CHAP方法。由于用户认证数据较少,为方便起见,VPN网关将有关身份认证信息存储在本地[3]。2.PPP数据加密。PPP支持的MPPE加密力度较弱,容易被攻破,考虑本方案已经使用IPSec支持的3DES加密算法对隧道流量进行加密,因此不启用PPP的加密服务。3.PPP数据压缩。考虑到实施PPP数据压缩会使VPN系统的吞吐量急剧下降,因此本实验不启动此服务。(四)VPN远程客户端的配置步骤
1.验证Windows客户端的可操作性。对于Windows 2000和以后的操作系统,系统自带的VPN客户端是自动安装的。为了确保微软客户端正常运行,应首先检查VPN客户端是否开启。2.建立一个安全策略。进入开始-〉程序-〉管理工具-〉本地安全策略,打开创建安全策略向导,创建一个安全策略,创建完成后激活该策略。3. 建立一个VPN连接。在客户端建立一个新的远程访问VPN连接,并编辑连接属性。
参考文献:张大路,卢现峰.VPN核心技术研究.计算机工程,2000(3):41-42.
陆国栋.基于IPSec VPN的安全性研究[D].武汉:华东师范大学,2006.
[3] 杨明.基于IPSec虚拟专用网的研究与实现[D].北京:北京工业大学,2003.
发表评论
共有3000条评论 快来参与吧~