1. 研究目的与意义
课题名称:企业远程办公技术gre over ipsec的研究与网络搭建
为什么gre over ipsec更有优势?
gre over ipsec 代表gre在ipsec之上,报文通常是由上至下进行协议封装,也就是说gre over ipsec是先封装gre在进行ipsec格式的封装,而ipsec over gre是先封装ipsec再进行gre格式封装。基于gre、ipsec在不安全的网络上构建安全的企业互联互通网络,企业的总部和分支机构位于不同区域当分支机构员工需访问总部服务器的时候,数据传输要经过internet,由于internet中存在多种不安全因素,当分支机构的员工向总部服务器发送访问请求时,报文容易被网络中的黑客窃取或篡改。最终造成数据泄密、重要数据被破坏等后果。为了防止信息泄露,可以在总部和分支机构之间搭建一条物理专网连接,但其费用会非常昂贵。因此我们有必要对如何搭建一套供企业在不安全的internet上安全、低成本、可靠性高的互联互通网络方案进行研究。
2. 课题关键问题和重难点
1.数据加密技术:技术调研、选型,加密策略落地配置方案,加密性能评估
2.抗重放防篡改技术:技术调研、选型,落地配置方案
方案概要:使用ipsec技术体系提供的两大安全机制:认证和加密。认证机制使ip通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性,以防数据在传输过程中被窃听。ipsec为ip层的数据报文提供的安全服务具体包括以下几种:
3. 国内外研究现状(文献综述)
目前,国内外研究的gre over lpsec vpn技术是通过gre与 ipsec相结合,而形成的一种安全性更好vpn技术,其主要借用ipsec的安全加密和gre支持多播的优点,从而使得vpn网络更加安全。该项技术的主要工作原理:将一个完整的组播、广播数据包或非i数据包封装在一个单播数据包( ipsec)里,以处理如ospf的组播或rip的广播数据流,以完成在 ipsec隧道里通信实体之间的动态路由学习。[1]
在gre over ipsec vpn技术实现园区网络互联互通的基础上,针对无线网络统一管理遇到的问题进行了分析,通过仿真实验,定位产生问题的原因,通过分析mtu值对greoveripsecvpn数据传输的影响,探索研究了mtu值在gre over ipsec vpn中的计算方法,结论中mtu值设置大小,即可以适用跨区域无线网络的环境,也适用于跨区域的视频会议、视频监控领域,具有实际的应用价值。[2]
完成研究目标需要熟练地使用hcl仿真软件以及广域的知识,而且gre作为一种通用隧道协议,可以承载多种协议,支持多协议隧道。而在实际环境中,gre结合ipsec vpn隧道技术的使用,可以由ipsec技术提供用户传输数据的加密和验证,从而为网络通信提供更好的安全性,因此有着广泛的应用。[3][4]
4. 研究方案
|
四、方案(设计方案、研制方案、研究方案)设计及论证(不少于900字) 路由学习及访问控制 主要问题及难点: 1.如何高效的打通分办和总部间的网络。 2.如何区分外网访问与内网流量以及指导相应流量的正确转发。 3.如何对不同分部以及客户访问总部的流量进行管理和访问管控。 研究方向及解决方案概要: 配置动态路由协议,出口设备选型——选择具备路由和安全功能的网络设备作为出口设备。 数据安全防窃取防篡改 主要问题及难点: 1.如何确保关键信息铭感数据不被窃取,ftp、SMTP、http、DNS等应用层协议,用户身份、消息信息明文封装在数据包中传输,存被窃取在风险。 2.如何对保障数据的完整性,如何防止黑客对数据包进行窃取,对关键数据进行篡改。 研究方向及解决方案概要: 调研网络加密技术,对总部与分办之间的传输数据进行加密和校验,防止信息被窃取和篡改。
三、调研与设计方案论证 系统结构图:
基于GRE、IPsec、BGP在不安全的网络上构建安全、可靠的企业互联互通网络。为完成总体方案需要进行如下工作: Underlay网络搭建 模块及功能介绍: 该模块指的是基础转发架构的网络,只要网络上任意两点路由可达即可。本文该模块由运营商骨干网(公网)和企业基础设施共同组成。类似于物理专线属于最底层基础设施,用于直接承载上层业务流量,或承载基于该网络构建的上层Overlay网络(VPN网络)。该模块主要分为出口网络设备、ISP接入线路等,该模块主要用于实现企业分办以及总部在Internet上的公网访问。 问题及解决方案 1.出口网络设备:设备选型,需要具备路由功能,具备常用VPN能力,具备访问限制及管控能力、数据加密能力。 方案概要:选用防火墙作为出口设备,防火墙同时具备路由能力和访问管控能力,主流厂商的防火墙设备都支持常用的VPN技术和数据加密能力。同时防火墙作为专用的安全设备,其强大的数据处理和加密性能是远超同级别路由器,其还具备包过滤,流量状态检测等功能。具备较强的访问管控能力。 2.ISP接入宽带:线路需求调研,调研线路接入方式,是否需要公网IP,公网IP是否固定等。 方案概要:根据Overlay网络搭建选用的虚拟专用网络技术进行选型,明确Overlay网络技术后确认线路的具体要求和细节。同时需要评估企业规模和业务交互频率,做好带宽预估。
Overlay网络搭建 模块及功能介绍: 该模块主要是指一种网络架构上叠加的网络虚拟化技术模式,其大体框架是对基础网络不进行大规模修改的条件下,实现应用在网络上的承载。本文中该模块用于Underlay网络上构建企业使用的虚拟专用网络管道,用于承载企业内的各种内网交互和数据请求。 问题及解决方案 1.虚拟专用网络技术:VPN技术选型,VPN虚拟专用网络的基本原理是利用隧道(Tunnel)技术,对传输报文进行封装,利用VPN骨干网建立专用数据传输通道,实现报文的传输。 方案概要:在公网上通过GRE协议构建VPN隧道,通过GRE协议对内网传输的IP报文进行封装,使其能在承载在Internet上通过公网传输,构建一条企业间端到端的虚拟专用链路,对用户来说,隧道是其所在网络的逻辑延伸,在使用效果上与实际物理链路相同。 2.路由协议选型和方案及可靠性设计:如何高效、正确打通各分办与总部间的网络。若通过静态路由配置工作量大容易出现配置错误,且静态路由不能感知链路变化,无法检测故障的发生进行倒换。 方案概要:使用BGP动态路由协议,用于传递和学习分办及总部的路由信息,BGP运行于TCP协议上BGP是一种用于自治系统AS(Autonomous System)之间的动态路由协议。非常契合在公网广域网场景使用,另外BGP协议天生支持负载分担同时也具有丰富的路由属性,方便进行可靠性设计和路由选路策略配置。
|
5. 工作计划
2022-2023-1学期:
第15-16周:完成选题,查阅相关中英文资料。
第17周:与导师沟通进行课题总体规划。
课题毕业论文、文献综述、任务书、外文翻译、程序设计、图纸设计等资料可联系客服协助查找。
