資源描述:
《試析基于ipsec的vpn技術(shù)穿越nat的研究與設(shè)計(jì)》由會(huì)員上傳分享,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)�����。
1�����、西南大學(xué)碩士學(xué)位論文基于IPSec的VPN技術(shù)穿越NAT的研究與設(shè)計(jì)姓名:戴彬申請(qǐng)學(xué)位級(jí)別:碩士專業(yè):農(nóng)業(yè)機(jī)械化工程指導(dǎo)教師:余建橋20060501西南大學(xué)碩士學(xué)位論文摘要基于IPSec的VPN(VisualPrivateNetwork虛擬專用阿絡(luò))技術(shù)和NAT(NetworkAddressTranslation網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)都是目前在網(wǎng)絡(luò)中得以廣泛應(yīng)用的優(yōu)秀技術(shù)�。利用VPN隧道技術(shù)可以在公共網(wǎng)絡(luò)中構(gòu)建私有專用網(wǎng)絡(luò)���,數(shù)據(jù)可以通過(guò)安全的加密隧道進(jìn)行傳送��。用戶只需要連接上本地的公眾信息網(wǎng)����,就可以實(shí)現(xiàn)在公用網(wǎng)絡(luò)中數(shù)據(jù)的安全
2���、交換�����。NAT是一個(gè)IETF(InternetEngineeringTaskForce��,Internet工程任務(wù)組)標(biāo)準(zhǔn)����,允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP(InternetProtoc01)地址出現(xiàn)在Internet上。它是一種把內(nèi)部私有網(wǎng)絡(luò)地址轉(zhuǎn)換成合法網(wǎng)絡(luò)IP地址的技術(shù)���。利用NAT技術(shù)���,不但是提高IP地址使用效率的好方法,可以大量節(jié)省企業(yè)用于IP注冊(cè)所產(chǎn)生的費(fèi)用��,而且NAT技術(shù)的另一個(gè)很有用的特性是能讓多臺(tái)計(jì)算機(jī)共用一個(gè)IP地址��,這樣NAT網(wǎng)關(guān)可以起到屏蔽內(nèi)部網(wǎng)絡(luò)和公用網(wǎng)絡(luò)的作用�����,從而增強(qiáng)了系統(tǒng)的安全性?�,F(xiàn)在人們可以經(jīng)常
3�����、在防火墻或者網(wǎng)關(guān)�、路由器上看到NAT技術(shù)的應(yīng)用。由于目前VPN和NAT技術(shù)的不兼容,使得這兩種優(yōu)秀的技術(shù)無(wú)法同時(shí)在網(wǎng)絡(luò)中并存�����,其根本原因在于NAT技術(shù)的應(yīng)用破壞了由VPN所建立的加密隧道��。VPN在建立通信隧道的時(shí)候?qū)?shù)據(jù)包的地址或校驗(yàn)和的值進(jìn)行了加密和解密的工作��,而NAT改變了這個(gè)地址或校驗(yàn)和的值�����。如果這一問(wèn)題得以解決�����,就可以使眾多中小型企業(yè)用戶以較低的成本進(jìn)行安全的數(shù)據(jù)交換��,具有很好的應(yīng)用前景�����。本文在闡述了IPSecVPN和NAT技術(shù)原理的基礎(chǔ)上��,詳細(xì)分析研究了兩種技術(shù)無(wú)法兼容的原因���。針對(duì)這些造成不兼容的原因����,分析了可
4�����、能的幾種解決方案����。通過(guò)對(duì)這些方案的對(duì)比,以費(fèi)用最優(yōu)化為原則���,并考慮到目前中小型企業(yè)的實(shí)際需求�,確定了使用UDP封裝并配合對(duì)IKE協(xié)議的修改和擴(kuò)充以實(shí)現(xiàn)NAT穿越的方法�。利用這種方法,可以使附加的數(shù)據(jù)處理降至晟低�����,同時(shí)對(duì)現(xiàn)有的NAT設(shè)備不需重新部署�����,是IPv6正式實(shí)施前一個(gè)較好的解決方案。從用戶的角度來(lái)說(shuō)�,此種方案也可以在較少投資的前提下,實(shí)現(xiàn)基于IPSec的VPN技術(shù)與NAT技術(shù)的有機(jī)融合���。根據(jù)在進(jìn)行NAT穿越過(guò)程中對(duì)數(shù)據(jù)的處理�。文章提出了NAT穿越方案的總體架構(gòu)a在這個(gè)總體架構(gòu)中較為清晰地描述了在現(xiàn)有協(xié)議框架下如何進(jìn)行
5����、功能上的修改和擴(kuò)充以完成對(duì)NAT設(shè)備的穿越。指出了實(shí)現(xiàn)基于IPSec的VPN和NAT技術(shù)兼容的兩個(gè)必須要解決的關(guān)鍵問(wèn)題:UDP數(shù)據(jù)封裝和lICE協(xié)議的修改和擴(kuò)充�。針對(duì)這兩個(gè)關(guān)鍵問(wèn)題��,文章詳細(xì)闡述了在IPSec數(shù)據(jù)包的基礎(chǔ)上進(jìn)行UDP封裝的方法和數(shù)據(jù)格式���;對(duì)于在IPSec協(xié)議體系中起到關(guān)鍵作用的IKE協(xié)議的工作模式及其工作過(guò)程也作了詳細(xì)說(shuō)明����,同時(shí)研究了如何進(jìn)行IKE協(xié)議功能的擴(kuò)充和完善以完成相應(yīng)的要求�,并且針對(duì)西南大學(xué)碩士學(xué)位論文摘要實(shí)現(xiàn)NAT穿越的凡個(gè)重要步驟如VendorID的校驗(yàn)、NAT設(shè)備的檢測(cè)���、NAT—D數(shù)據(jù)包的
6�����、Hash值的生成等均給出了詳細(xì)的分析和示意編碼���。本文結(jié)合目前中小型企業(yè)網(wǎng)絡(luò)的實(shí)際需求�,在不需要對(duì)現(xiàn)有NAT設(shè)備進(jìn)行重新部署的前提下.提出了使用UDP數(shù)據(jù)封裝和IKE修改相結(jié)合的方法以完成VPN和NAT技術(shù)的融合����。以NAT穿越方案的總體架構(gòu)為基礎(chǔ),對(duì)數(shù)據(jù)封裝格式進(jìn)行改進(jìn)和相關(guān)協(xié)議的功能進(jìn)行擴(kuò)充�,可以形成一套完整的NAT穿越解決方案。關(guān)鍵字:VPNNATIPSeclKEUDP封裝IIABSTRACTVPN(VisualPrivateNetwork)basedonIPSecandNATfNetworkAddressTransl
7�����、ation)areexcellenttechnologiesthatarewidelyusedinnetwork.VPNcallestablishprivatenetworkinpublicnetworkthatallowsdatatransmitsafelythroughtheencryptedtunnel.Theclientsonlyneedtoconnecttothelocalpublicnetwork��,thedataCanbetransmittedinthepublicnetworksafely.NATisanI
8�����、ETF(InteractEngineeringTaskForce)standard�,allowingawholeorganizationappearonIntemetbyonepublicIPaddress.Itiscapableoftranslatingtheinteriorprivatenetworkaddres
