GET(Group Encrypted Transport ) VPN 的设计与实现

论文总字数：30532字

摘 要

大型公司中，除去其一些外部部门，通过采用MPLS VPN技术对内部部门进行联网。MPLS VPN这项运营商的VPN技术，通过虚构一个网络让除去公司外部的各个部门进行连接，给人外部的感觉好像是各个部门都在一个同一个局域网，但是MPLS VPN技术不能对数据传输的安全问题进行保障。GET VPN技术是联合公共开放的规范和Cisco进行后的产物，思科公司为MPLS VPN技术提出该项技术其中最主要的目标就是帮助MPLS VPN技术，充分发挥底层MPLS和共享网络的同时并实现数据安全的问题。

由于GET VPN这种新型的VPN是基于可信组成员这一概念上所形成的，而该技术属于下一代加密技术，故而基于标准的IPsec模型可被这个新的VPN类型所提供。对于可信组可建立任意点到任意点的动态链接，是因为安全参数已被可信组通过预共享密钥进行协商，而对于可信组之间不再依赖于任何点到点IPsec隧道是由于路由器在可信组中使用的安全策略是相同的。

关键词：GET VPN；协议；加密；MPLS VPN；安全

Design and Implementation of GET(Group Encrypted Transport) VPN

Abstract

In a company, there are many departments within it, and MPLS VPN technology is used when networking. MPLS VPN is a carrier"s VPN technology that connects customers (companies) virtually through the carrier"s network, making departments as if they are on the same internal network. But the main problem with this technology is that it does not guarantee the security of the data. Therefore, one of the main goals of Cisco"s GET VPN technology is to assist MPLS VPN to achieve data security issues. GET VPN technology combines public open standards with Cisco proprietary products and leverages the benefits of underlying MPLS and shared networks.

Since the new VPN of GET VPN is based on the concept of a trusted group member, and this technology belongs to the next generation encryption technology, the standard-based IPsec model can be provided by this new VPN type. For trusted groups, dynamic links from any point to any point can be established because the security parameters have been negotiated by the trusted group through the pre-shared key, and the trusted group is no longer dependent on any point-to-point IPsec tunnel. The security policy used by the router in the trusted group is the same.

Key words: GET VPN; protocol; encryption; MPLS VPN; safe

目 录

摘 要 I

Abstract II

第一章 绪 论 1

1.1 研究背景 1

1.2 研究目的及意义 1

1.3 研究内容及方法 2

1.4 论文工作安排 2

第二章 MPLS VPN技术 3

2.1 多协议标签交换 3

2.2 MPLS VPN 5

2.2.1 MPLS VPN的基本概述 5

2.2.2 MPLS VPN基本工作原理 5

2.3 第三层VPN（L3 VPN）和第二层VPN（L2 VPN） 6

2.3.1 第三层VPN组件 6

2.3.2 VRF概述 7

2.4 本章总结 7

第三章 IPsec VPN技术 8

3.1 IPsec基本理论 8

3.1.1 散列函数 9

3.1.2 加密算法 10

3.1.3 封装协议 11

3.1.4 封装模式 13

3.2 对IPSec VPN在站点到站点间数据传输的设计 13

3.3 本章小结 15

第四章 GET VPN技术 16

4.1 GET VPN的技术架构 16

4.2 GET VPN的特点 16

4.3 GET VPN解决方案 17

4.3.1 GET VPN 如何解决传统IPsec VPN所带来的问题 17

4.3.2 GET VPN三大组成部分 19

4.4 GET VPN的工作流程 20

4.5 GET VPN的两种密钥 20

4.6 GET VPN的三种安全关联 21

4.7 GET VPN 密钥更新特点 22

4.8 GET VPN的ACL配置 22

4.9 本章小结 23

第五章 对GET VPN技术的模拟环境设计 24

5.1 对操作系统的选择 24

5.2 对仿真平台的选择 24

5.3 设计流程 24

5.4 对设计方案进行配置 25

5.5 设计结果 26

5.6 对该项设计的总结 27

第六章 总结语 28

致 谢 29

参考文献 30

附录： 31

第一章 绪 论

1.1 研究背景

在如今经济高速发展的高科技时代，网络已经成为每个公司不可或缺的一部分，并且已然成为公司战略资产的一部分，也可以理解为网络成为每个成功公司支撑之一。如今的网络工程中，网络不仅仅要保证基本服务的正常运行，同时还要确保新型业务的运作，如：语音以及视频通话业务在IP网络上的正常运营、将应用分解成许多小部分的分布式计算、语音通话和视频通话等服务必须在分支机构之间的网络上可以随时随地的运行。而正是基于这样那样的需求，之前传统意义上的Hub-Spoke网络结构的不足之处，已被众人所发现。但企业需要确保自己专用线路和VPN网络中任何节点之间可以自由连通。

基于IPsec隧道的加密解决方案可被Cisco IOS提供多种，但是这些解决方案中不乏那些基于点到点隧道结构的VPN技术。这些技术由于过于老式，故想用传统的IPsec隧道解决方案去实现一个全互联或者是半互联的网络结构是很有难度的。这不仅仅是说管理人员会耗费大量的人力精力去进行维护，并且网络设备中的众多硬件设施被繁杂的互连结构所消耗，CPU、内部硬件设施被严重损耗，大大缩减其使用寿命。有时候管理人员会针对一些特定情况，使用DMVPN技术对站点间VPN进行简化。但由于该技术，我们所得到的站点间路由信息可能并不是最佳选择，它会对底层的路由信息结果进行覆盖，铺上一层新的路由结构。同时，对基本的VPN网络也会带来其他的负面影响，经过研究表明，对于VPN网络设计的性能及其灵活性会受该技术影响并降低。与此同时，对组播技术的支持，老式的基于点到点IPsec隧道技术也并非十分完善。

剩余内容已隐藏，请支付后下载全文，论文总字数：30532字