群组加密传输VPN的设计和实现
2023-01-14 12:29:15
论文总字数:24856字
摘 要
现代社会的语音、视频之类的网络化的应用加速了企业内部的分化以及对即时互联分支结构、可确保服务质量(QoS)的广域网的需求。这些分布式结构促使大型公司日益需要大规模部署。而大型公司中经常会使用MPLS VPN技术对内部部门进行连接,组成广域网。但是MPLS VPN技术并不能够保障数据传输的安全。随着网络安全问题的日益加剧,思科推出了下一代广域网加密技术——群组加密传输VPN,即GET VPN。这项技术主要的目标就是协助MPLS VPN技术,解决MPLS VPN技术的数据安全问题。
GET VPN技术是基于“可信”组员这一概念所形成,通过此技术,可以构建无需隧道的新型虚拟局域网(VPN)。对于“可信”组的成员可建立任意点到点的动态链接,并且“可信”组之间不再依赖于点到点的IPsec隧道。无需点到点隧道使得分支机构能够大规模拓展,同时保证传输质量。这项技术可以接受基于标准的IPsec模型,并提供全新的IPsec模式,可信成员使用相同的安全策略,并且通过预共享密钥协商安全参数,故与任何点到点IPsec隧道无关。
关键词:GET VPN;协议;加密;MPLS VPN;安全
Design and implementation of Group Encrypted Transport VPN
Abstract
The application of voice and video network in modern society accelerates the differentiation of enterprises and the demand for Instant Internet branch structure and wide area network that can ensure the quality of service (QoS). These distributed structures make large companies increasingly need to deploy on a large scale. In large companies, MPLS VPN technology is often used to connect internal departments and form a wide area network. But MPLS VPN technology can’t guarantee the security of data transmission. With the increasing problem of network security, Cisco has launched the next generation of Wan encryption technology - Group Encryption Transmission VPN. The main goal of this technology is to assist MPLS VPN technology and solve the data security problem of MPLS VPN technology.
GET VPN technology is based on the concept of "trusted" group members. Through this technology, a new virtual local area network (VPN) without tunnel can be built. Members of the trusted group can establish any point-to-point dynamic link, and the trusted group is no longer dependent on the point-to-point IPsec tunnel. Without point-to-point tunnel, the branch can be expanded on a large scale and the transmission quality can be guaranteed at the same time. This technology can accept the standard based IPsec model and provide a new IPsec mode. Trusted members use the same security policy and negotiate security parameters through pre shared key, so it has nothing to do with any point-to-point IPsec tunnel.
Key words: GET VPN; protocol; encryption; MPLS VPN; safe
目录
摘 要 I
Abstract II
第一章 绪 论 1
1.1 研究背景 1
1.2 研究目的以及意义 1
1.3 研究内容和方法 2
1.4 论文工作安排 2
第二章 多协议标记转换VPN(MPLS VPN) 3
2.1 多协议标签交换技术 MPLS 3
2.1.1 MPLS网络结构 3
2.1.2MPLS工作流程 5
2.2 MPLS VPN 6
2.2.1 MPLS VPN基本概述 6
2.2.2 MPLS VPN基本工作原理 6
2.2.3 第二层VPN(L2 VPN) 和 第三层VPN(L3 VPN) 6
2.2.4 第三层VPN组件 7
2.2.5 VRF 概述 7
2.3 本章总结 7
第三章 群组加密VPN(GET VPN) 8
3.1 GET VPN技术架构 8
3.2 GET VPN的特征 8
3.3用GET VPN来解决传统问题的方案 9
3.3.1 如何解决传统IPsec VPN带来的问题 10
3.3.2 GET VPN的组成部分 11
3.4 GET VPN的ACL配置 12
3.5本章小结 12
第四章 对加密ISP模拟传输试验 13
4.1试验平台选择 13
4.2 实验流程 13
4.3实验结果 14
第五章 总结 16
致谢 17
参考文献 18
附录:全部代码配置 19
绪 论
1.1 研究背景
在如今这个经济高速发展的信息化社会,信息网络已经成为了公司极其重要的一部分,也可以说是每个成功公司的重要支撑之一。所以在如今的网络工程中,不仅仅要保障基本的网络服务的正常运行,还要确保新型的网络业务的运作,例如:语音和视频通话等分布性网络服务需要能够在分支机构之间随时随地的稳定运行、可以把应用分解成许多小部分的分布式计算等。而正是基于这样那样的繁多需求,传统的Hub-Spoke网络结构的不足之处也逐渐暴露了出来。然而企业需要确保自己的专用线路和VPN网络中任何节点相互之间可以自由的连通。
Cisco IOS已经提供了相当多种基于IPsec隧道的加密解决方案,但是这些解决方案中有相当多的基于点到点隧道结构的VPN技术。这些点到点隧道技术由于过于老式,所以想用传统的IPsec隧道解决方案去实现一个全互联或者是半互联的网络结构是相当有难度的一件事。这不仅仅是指管理人员会耗费大量的人力精力在维护上面,而且网络设备中的众多硬件设备会被复杂的互连结构所消耗,CPU和内部硬件设备也会被严重损耗,大大缩减了其使用寿命。有时候管理人员会针对一些特定情况,用DMVPN技术对站点间VPN进行简化。但由于DMVPN技术的自身限制,我们所得到的站点间的路由信息可能并不是最佳选择,而且它会对底层的路由信息结果进行覆盖,铺上一层新的路由结构。同时,对基本的VPN网络也会带来其他的负面影响。经过实验表明,对于VPN网络设计的性能及其灵活性会受该DMVPN技术影响并降低。与此同时,老式的基于点到点IPsec隧道技术对组播技术的支持也并不完善。
剩余内容已隐藏,请支付后下载全文,论文总字数:24856字