皆さんこんにちは、コンピューター分野のブロガー、Xiaohua先輩です。長年の学習と実践を経て、私は豊富なコンピューターの知識と経験を蓄積してきましたが、ここでは、皆さんがより優れたプログラマーになるために、私の学習経験とスキルを皆さんと共有したいと思います。
私はコンピューターブロガーとして、プログラミング、アルゴリズム、ソフトウェア開発などの分野に注力しており、これらの分野で多くの経験を積んできました。共有することはWin-Winの関係だと私は信じており、共有することで他の人の技術レベルを向上させることができ、同時に学びとコミュニケーションの機会を得ることができます。
私の記事では、さまざまなプログラミング言語、開発ツール、一般的な問題についての私の分析と分析をご覧いただけます。実際のプロジェクト経験に基づいた実践的なソリューションと最適化テクニックを提供します。これらの経験は、現在直面している問題を解決するだけでなく、プログラミング的思考や問題解決能力の向上にもつながると信じています。
技術的な側面を共有することに加えて、キャリア開発や学習方法に関するいくつかのトピックについても触れます。私は元学生として、自分自身をより良く改善し、コンピューター分野での課題に対処する方法を知っています。皆さんのキャリア開発にプラスの影響を与えることを願って、いくつかの学習方法、面接スキル、職場での経験を共有します。
私の記事は、非常に活発で専門的なコンピューター テクノロジ コミュニティである CSDN コミュニティに公開されます。ここでは、テクノロジーを愛する他の人々とコミュニケーションし、学び、共有することができます。私のブログをフォローすると、私の最新記事をいち早く入手でき、私や他の読者と交流することができます。
コンピュータ分野に興味があり、プログラミング スキルと技術レベルをさらに向上させたいと考えている場合は、私の CSDN ブログをフォローしてください。私が共有する内容があなたを助け、インスピレーションを与え、コンピュータ分野でより大きな成功を収めることができると信じています。
一緒に優れたプログラマーになり、コンピューティングの素晴らしい世界を一緒に探索しましょう。ご注目とご支援に感謝いたします!
共有されるすべてのコンピューター プロジェクトのソース コードにはドキュメントが含まれており、卒業プロジェクトやコース設計に使用できます。質問を共有したり、経験を交換したりするためにメッセージを残すことを歓迎します。
まとめ
ネットワーク テクノロジの急速な発展に伴い、複数のリモート ブランチを持つ企業は、優れたモバイル オフィス機能と情報構築のニーズを備えている必要があります。仮想プライベート ネットワーク (VPN) は、パブリック ネットワークを通じて確立される一時的な安全なネットワークです。接続コストが低くなります。さらに、トンネルと暗号化技術を使用することで、企業のイントラネット上での情報送信のセキュリティをより確実に確保できます。企業の従業員は、インターネットまたは 4G ネットワークをベースに、いつでもリモートから企業の内部ネットワークにアクセスでき、さまざまなオフィス サービスを効率的に実行できます。SSL VPN は、リモート ユーザーが企業の内部データにアクセスするための最速、最も安全、最も効果的なテクノロジーです。リモートワークを効果的に実現し、企業の生産性向上とネットワークセキュリティの強化を支援し、企業の管理・運用保守コストも削減できます。
この記事では、VPN の基本原理といくつかの重要な実装テクノロジを紹介します。この記事では、SSL VPN と IPsec VPN の長所と短所を分析および比較し、SSL VPN テクノロジーを使用して企業イントラネットを構築する方法について説明します。このペーパーでは、SSL VPN テクノロジの概要を示し、企業情報システムにおける SSL VPN ネットワーク テクノロジの適用について分析および研究します。これは、SSL VPN テクノロジを使用して大規模および中規模のネットワーク アプリケーションの欠点を解決し、企業情報のセキュリティを確保することを目的としています。システム。
SSL VPN を使用してエンタープライズ ネットワークを構築すると、従業員は出張中や自宅にいるときにダイヤルアップして社内ネットワークに接続し、データを安全に転送できます。リモートワークに便利で安定しています。
キーワード: SSL エンタープライズ セキュリティ トンネル ネットワーク
抽象的な
ネットワーク技術の急速な発展に伴い、さまざまな場所に複数の支店を持つ企業は、情報構築において優れたモバイルオフィス能力と需要を備えている必要があります。仮想プライベート ネットワーク (VPN) は、パブリック ネットワークを通じて確立される一時的で安全な接続です。従来の専用線に比べてコストが安くなります。さらに、トンネルと暗号化技術を使用し、企業のイントラネット上での情報送信のセキュリティをより確実に確保できます。インターネットまたは 4G ネットワークの下では、企業の従業員はいつでも企業の内部ネットワークにアクセスし、あらゆる種類のオフィス業務を効率的に実行できます。SSL VPN は、リモート ユーザーが企業の内部データにアクセスするための最も速く、最も安全で、最も効果的なテクノロジーです。ユーザーはリモートビジネスを迅速かつ安全に実現でき、企業の生産性の向上とネットワーク セキュリティの強化を支援します。同時に、企業の管理および運用保守のコストも削減できます。
このペーパーでは、VPN の基本原理といくつかの重要な実装テクノロジを紹介します。このペーパーでは、SSL VPN と IPSec VPN の長所と短所を分析および比較し、SSL VPN テクノロジを使用して企業イントラネットを構築する方法について説明します。この論文は、SSL VPN 技術を要約し、企業情報システムにおける SSL VPN ネットワーク技術の適用を分析および研究し、SSL VPN 技術を使用して大規模および中規模のネットワーク アプリケーションに存在する問題を解決し、企業のセキュリティを確保することを目的としています。情報システム。
SSL VPN を使用してエンタープライズ ネットワークを構築すると、従業員は出張中または自宅から社内ネットワークにダイヤルインし、データを安全に転送できます。リモートオフィスを実現するための幅広いアプリケーションの見通し、より高いセキュリティ要件、より便利で安定した動作を備えています。
キーワード: SSL エンタープライズ セキュリティ トンネル ネットワーク
目次
第1章はじめに
21世紀に入り、情報化の普及と急速な発展に伴い、インターネットはあらゆる分野で大きな利便性を享受してきましたが、その一方で新たな問題も生じており、その最大の課題がネットワークセキュリティです。オンライン プラットフォームにおけるネットワーク セキュリティ問題は常に懸念事項であり、特に金融や企業などのユーザーはネットワーク情報セキュリティ問題を非常に重視しています。
ネットワーク技術の発展によりネットワーク環境も複雑化しており、システム自体のセキュリティ上の問題だけでなく、インターネット上のセキュリティ上の問題も後を絶ちません。既存のネットワーク環境技術を効果的に活用し、全体的なセキュリティと管理レベルを向上させることが最大の課題であり、社会の発展と進歩により、ネットワークハードウェア機器もより成熟し、安定性が増しています。
1.1 研究の背景
ネットワーク システム セキュリティは、国家の安全保障、国家の安定した発展、国民の生活や仕事において直面する重要な戦略的課題に関わるものであり、ネットワーク セキュリティなくして国家の安全はないと言えます。
世界のネットワークセキュリティの現状に応じて、ネットワークシステムが直面する主要なセキュリティ課題を分析し、さまざまなセキュリティ課題に対する設定が行われています。議論の結果、地域を越えたデータ伝送を確実にするために開発された VPN 技術は、ネットワークの制御性とセキュリティを強化することを目的としており、VPN (Virtual Private Network) は、公衆ネットワークに依存した仮想プライベート ネットワークです。低料金、高速、強力な拡張性、高セキュリティの技術的特徴 事業者の専用線を借りているのと同様の効果を実現 特殊なデータフロー間に専用トンネルを構築可能 トンネルはVPNである コア技術としてはトンネルがなければ VPN とは言えませんが、トンネル技術を実装するには、トンネル プロトコルに従う必要があります。
仮想プライベート ネットワークの登場により、固定サイト間の安全なアクセスの問題が解決されました。近年の新しいネットワーク技術で、インターネット網上にポイントツーポイント接続用の仮想チャネルを構築し、公衆網環境下にプライベートネットワークの構築を実現します。この記事では、主に VPN における SSL VPN テクノロジについて説明します。これは、ネットワーク層 VPN テクノロジおよび IETF によって定義されたセキュリティ フレームワークに属します。パブリック ネットワーク環境とプライベート ネットワーク環境の間で送信されるデータのポイントツーポイント検証と暗号化を保証するために使用できます。データアクセスを実現し、低コスト、高セキュリティ機能を実現します。
1.2 研究の意義
このプロジェクトの主な目的は、企業ネットワークにおけるデータ通信のセキュリティ問題を解決し、 ISP ネットワークにおける企業のモバイル オフィス担当者向けのポイントツーポイント仮想化トンネルの安全な伝送を実現し、信頼性を提供することです。 、データ通信のセキュリティと機密性: 外出担当者向けのモバイル オフィス通信のデータの整合性が影響を受けないようにします。
1.3 研究内容
現在、情報技術の発展に伴い、企業内の従業員やパートナー間の情報のやり取りが活発化しており、インターネットを介して企業内システムにアクセスし、リモートワークを実現することが企業発展にとって避けられない要件となっています。パブリック ネットワーク送信は暗号化されていないため、セキュリティと機密性が非常に低くなりますが、パブリック ネットワーク接続と暗号化された送信という利点により、企業では仮想プライベート ネットワーク (VPN) の利用が増えています。VPN テクノロジーには、L2TP、PPTP、IPsec VPN、SSL VPN などが含まれます。初期の企業向けリモートオフィスシステムでは、IPSecVPNが主に使用されていましたが、IPSecVPNは通信性能が低い、専用のクライアントソフトウェアをインストールする必要がある、導入や保守が難しい、実際に完全にサポートされているシステムが比較的少ないなどの欠点がありました。 , 近年、徐々に採用されてきています。SSL VPN テクノロジーの発展に伴い、企業のリモート オフィスを構築するために SSL VPN を使用する企業がますます増えています。この記事では、これに基づいて、SSL の実装とアクセスの設計について調査および説明します。企業ネットワークの VPN。
第 2章システム分析
2.1 実現可能性の分析
2.1.1 技術的な実現可能性
従来の IPSec VPN と比較して、SSL VPN では、社内のより多くのリモート ユーザーがさまざまな場所からアクセスでき、より多くのネットワーク リソースにアクセスでき、クライアント機器の要件が低いため、構成と運用のサポート コストが削減されます。多くの企業ユーザーは、リモート セキュア アクセス テクノロジとして SSL VPN を使用しており、主にそのアクセス制御機能を重視しています。SSL VPN は、強化されたリモート セキュア アクセス機能を提供します。IPSec VPN は、2 つのサイト間に直接 (非プロキシ) アクセス用のトンネルを作成することにより、ネットワーク全体への透過的なアクセスを実現します。トンネルが作成されている限り、ユーザー PC は物理的に企業 LAN 上にあるかのように動作します。これには、特にアクセス ユーザーが過剰な権限を持っている場合、多くのセキュリティ リスクが伴います。SSL VPN は安全なプロキシ可能な接続を提供し、認証されたユーザーのみがリソースにアクセスできるため、より安全です。SSL VPN は暗号化されたトンネルを細分化し、エンド ユーザーがインターネットと社内ネットワーク リソースに同時にアクセスできるようにし、制御可能にします。さらに、SSL VPN は、アクセス制御機能を改良して、さまざまなユーザーにさまざまなアクセス権を付与し、スケーラブルなアクセスを実現することもできます。この種の正確な機能は、リモート アクセス IPSec VPN では基本的に実現できません。
2.1.2 経済的実現可能性
SSL VPN は、自宅の PC や公共のインターネット アクセス場所などの管理対象または管理対象外の企業デバイスにアクセスできますが、IPSec VPN クライアントは管理対象デバイスまたは固定デバイスのみにアクセスできます。リモート アクセスの需要が高まる中、IPSec VPN はアクセス制御において大きな課題に直面しており、管理と運用のコストが高くなります。ポイントツーポイント接続には最適なソリューションですが、どの場所でも安全なリモート アクセスを完了するには、IPSec VPN が最適です。 SSL VPN を使用する方がはるかに満足です。
2.1.3 運用の実現可能性
IPSec VPN は、やや複雑なネットワーク構造ではファイアウォールや NAT を通過することが難しく、IP アドレスの競合の問題を効果的に解決できません。SSL VPN にはアクセス場所の制限がほとんどなく、任意の遠隔地にある多数のインターネット アクセス デバイスからネットワーク リソースにアクセスできます。SSL VPN 通信は標準の TCP/UDP プロトコル送信に基づいているため、すべての NAT デバイス、プロキシベースのファイアウォール、ステートフル検査ファイアウォールを通過できます。これにより、ユーザーは、別の会社のネットワーク上のプロキシベースのファイアウォールの背後にある場合でも、ブロードバンド接続を介しても、どこからでもアクセスできるようになります。
2.2 需要分析
2.2.1 機能要件
企業は SSL VPN テクノロジーを使用する必要があります。これにより、企業ネットワークを許可されたユーザーまで安全に拡張できるため、外部ユーザーや従業員は標準の Web ブラウザを使用して、インターネット接続があればどこからでも企業リソースへのリモート アクセス接続を確立できます。
2.2.2 非機能要件
1.性能要件
SSL VPN が VPN 接続を機能させるには、同時に複数のユーザーをサポートできる必要があり、特定のユーザー制限を超えるようにユーザー数と同時接続数を拡張できる必要があります。デバイスのネットワーク ポートには、ネットワークへのギガビット インターネット アクセスをサポートし、複数のネットワーク カードを備えているため、ビジネス アドレスと管理アドレスの分離を実現できます。
2.ユーザビリティ要件
SSL VPN は現在、リモート ユーザーが企業データにアクセスするための業界で最もシンプルかつ安全なソリューション テクノロジです。基本的にアクセス場所に制限されず、すべての NAT デバイス、プロキシベースのファイアウォール、ステートフル インスペクション ファイアウォールを通過できます。従来の IPSec VPN と同様に、各クライアント PC にクライアント ソフトウェアをインストールする必要がありますが、SSL はシンプルで使いやすい方法で情報のリモート接続を実現します。ブラウザがインストールされているユーザーのコンピュータならどれでも使用でき、従業員は、自宅の PC、インターネット キオスク、ワイヤレス ホットスポットなど、社内 LAN に所有されていないデバイス端末から Web ブラウザとそのローカル SSL 暗号化を使用するだけでアクセスできます。多くの場合、IT 部門は IPSec VPN 接続用の VPN クライアント ソフトウェアを簡単に導入および管理できません。アプリケーションのアクセス要件が制限されている場合、SSL VPN ではプレインストールされた VPN クライアント ソフトウェアを使用する必要がありません。管理者は、カスタマイズされたユーザー ポータルと、Web サイトおよび企業アプリケーションに対する正確なアクセス制御を提供できます。
3.信頼性の要件
周知のとおり、国内の基本的なネットワーク環境は比較的厳しく、光ファイバー、家庭用ブロードバンド、ADSL、狭帯域ダイヤルアップ、3Gなどのネットワークアクセス方式が混在しており、チャイナテレコム、チャイナモバイル、チャイナユニコムの通信事業者が複数存在しており、特に事業者間回線の状況は不安定であり、多くのユーザーが購入した SSL VPN システムは導入後のパフォーマンスが低く、いつでもどこでもモバイル作業を行うという計画された目標を達成できません。多くのユーザーの SSL VPN がプラットフォームにアクセスした後、エクスペリエンスの悪さから、それに接続してアクセスするユーザーはますます少なくなり、最終的には投資収益率が低く放置された状態になりました。
したがって、VPN には、高速 HTTP 技術、フラッシュリンク技術などに加えて、複数回線負荷などの技術が必要です。これらのテクノロジーにより、ほとんどの SSL VPN エンド ユーザーのアクセス速度を数倍に向上させることができます。
5. セキュリティ要件
中小企業では、オフィス ネットワークやビジネス ネットワークを分離するためにユーザーが一般的に使用している製品では満足できないことが多く、ゲートキーパーやファイアウォールなどの従来の製品では、特定のアプリケーションへのアクセスを許可しながらネットワークを分離する必要があるユーザーのニーズを満たすことができません。新しい要件。これに対応して、SSL VPN のネットワークの隔離保護、アクセス担当者の許可の詳細な割り当て、記録、およびその他の機能機能は、ユーザーの要件を完全に満たし、隔離に基づいた安全なアクセス効果を実現します。SSL VPN をサーバーまたはビジネス ネットワークのフロントエンドに展開することにより、論理的な分離、アクセス担当者、権限の割り当て、アクセス動作の監査に至るまで包括的なセキュリティが保証されます。
第3 章関連技術の概要
3.1 SSL VPN テクノロジー
3.1.1 SSL VPNの概要
SSL (Secure Sockets Layer) は、 Netscape によって開発されたインターネット データ セキュリティ プロトコルのセットで、現在のバージョンは 3.0 です。Web ブラウザとサーバー間の認証と暗号化されたデータ送信に広く使用されています。SSL プロトコルは、TCP/IP プロトコルとさまざまなアプリケーション層プロトコルの間に位置し、データ通信のセキュリティ サポートを提供します。SSL プロトコルは 2 つの層に分けることができます。 SSL レコード プロトコル: 信頼性の高い伝送プロトコル (TCP など) に基づいて構築され、データのカプセル化、圧縮、高レベル プロトコルの暗号化などの基本機能のサポートを提供します。SSL ハンドシェイク プロトコル: SSL レコード プロトコルに基づいて構築されており、実際のデータ送信が開始される前に、ID 認証、暗号化アルゴリズムのネゴシエーション、および通信当事者間の暗号キーの交換に使用されます。
3.1.2 SSL VPN のセキュリティ
現在登場しているモバイル オフィスなどのリモート アクセス アプリケーションに関しては、SSL VPN の方が大きな利点があります。送信セキュリティ、ID認証、アクセスセキュリティ検査、アクセス認可などの側面からSSLVPNソリューションのセキュリティを確保します。
1.送信セキュリティ
送信のセキュリティは SSL プロトコルを通じて保証されます。SSL は、データ送信および通信当事者の機密性、完全性、および相互認証を保証します。さまざまな公開鍵 (RSA、DSA) アルゴリズム、対称鍵アルゴリズム (DES、3DES、RC4)、完全性 (MD5、SHIA-1) を使用できます。)アルゴリズム。
2.本人認証
SSL プロトコルでは、クライアントとサーバーはハンドシェイク フェーズ中に認証を行い、この認証がデバイス間の認証になります。SSLプロトコルの双方向認証は端末の信頼性を保証しますが、端末を使用する本人であることを証明することはできません。SSL VPN は、(SSL 層ではなく) アプリケーション層でアクセス ユーザー ID 認証機能を提供できます。従来のユーザー名/パスワード認証方法に加えて、SSL VPN は、デジタル証明書認証、動的パスワード認証、アクセス端末ハードウェア機能コード バインディングなど、さまざまな拡張認証方法も提供できます。
3. アクセスセキュリティチェック
ユーザーの環境の複雑さと使用される端末の不確実性は、イントラネットのセキュリティに影響を与える可能性があります。この問題に直面して、SSL VPN ゲートウェイは、ユーザー端末のセキュリティと信頼性をチェックするための端末セキュリティ検査および制御戦略を導入します。検査結果に基づいて端末のセキュリティ状況が評価され、ユーザーがイントラネットにアクセスできるかどうか、およびどのリソースにアクセスできるかが決定されます。
4.アクセス許可
SSL VPN ユーザーは多様であり、ユーザーは役割、ユーザー グループ、および個々のユーザーに基づいて承認できます。ユーザーの既存の認証システムについては、SSL VPN は既存の外部認証システムとの統合をサポートできるため、管理者はネットワーク全体に認証ポリシーを展開することが容易になります。ユーザーごとに異なるアクセス許可を実装することにより、SSL VPN ゲートウェイは正規のユーザーのみにアクセスを許可できます。管理者は、ユーザーをグループ化するか、異なる役割を定義して、特定のユーザーが許可された特定のリソースのみにアクセスできるように、異なるリソースを構成できます。内部リソースの制御の粒度が細かいほど、イントラネットのセキュリティがより効果的になります。SSLVPN は、URL、IP、ポート、およびアプリケーション サービスにアクセスして制御できます。
3.1.3 SSL VPN の動作プロセス
SSL VPN の接続プロセスは次のとおりです。
図3.1 SSL VPN確立プロセス
1. リモート コンピュータ ユーザーは、SSL VPN ページにログインし、Web ブラウジングを使用して SSL VPN サーバー 6.16.5.6 の外部ネットワーク アドレスを開き、ログインするためのアカウントやパスワードなどのユーザーの ID 情報を入力します。時間になると、HTTPS セッションが確立され、サーバーはこのセッションを使用してユーザーに SSL VPN クライアント プログラムを自動的にロードします。
2. 現時点での SSL VPN クライアント プログラムの目的は、ユーザーの PC に仮想ネットワーク カードを作成して、本社ネットワークへの VPN 接続を実現することです。
3. 仮想ネットワーク カードが作成されると、SSL VPN サーバーはアドレス プール 192.168.1.0/24 から 192.168.1.2 などのアドレスを取得してリモート コンピューター ユーザーに割り当て、同時にルーティングを提供します。 、DNS およびその他の情報。SSL VPN サーバーはこのアドレスをターゲットにします。プールにはサーバー アドレス 192.168.1.1 もあり、すべてのクライアント プログラム仮想ネットワーク カードのゲートウェイとして機能します。
4. この時点で、SSL VPN クライアント プログラムとサーバーの間に新しい SSL セッションが確立され、特に仮想ネットワーク カードと SSL VPN サーバー間のトラフィックの送信に使用されます。
5. リモート コンピュータ ユーザーが会社の内部 DNS 10.6.16.1 サーバーにアクセスしたいとします。ルーティング関係に従って、リモート PC は会社の内部 DNS (送信元 192.168.1.2 宛先 10.6.16.1) へのアクセス要求を次の宛先に転送します。仮想ネットワーク カードを介した SSL VPN サーバー 192.168。1.1;
6. リモート PC 上の SSL VPN クライアント プログラムは、仮想ネットワーク カードによって送信された IP パケットを新しい SSL セッションにカプセル化し、インターネット経由で SSL VPN サーバーに送信します。
7. SSL VPN サーバーは、カプセル化解除後に復号化して IP 宛先アドレスが 10.6.16.1 であることを確認し、それを内部 DNS サーバーに転送します。
8. 逆のプロセスと内部 ERP サーバー 10.6.16.4 へのアクセスはこれと同様です。
3.1.4 SSL VPN と IPSEC VPN
(1) IPSec VPN の導入と管理のコストは高くなります。IPSec VPN の価値は、その伝送のセキュリティにあります。ただし、IPScc を導入するには、リモート アクセスを容易にするためにインフラストラクチャの大規模な変更が必要ですが、管理コストが高くなります。クライアントに複雑なソフトウェアをインストールする必要があるため、ユーザーの VPN ポリシーが変更されると、管理の難易度が飛躍的に高まります。SSL VPN はその逆です。クライアントはソフトウェアやハードウェアをインストールする必要がありません。標準のブラウザを使用して、シンプルな SSL セキュリティ暗号化プロトコルを通じてアフガニスタンのネットワーク上の情報に安全にアクセスでき、コストも大幅に低くなります。
(2) SSI VPN がインストールされています。IPSec プロトコルは、クライアントのレイリー ネットワーク リソースのエッジでのみチャネルを確立します。保護範囲は顧客から企業ネットワーク エッジへの接続を保護するのに十分であり、内部ネットワーク上のすべてのデータは透過的です。顧客とアクセスされるリソースとの間には、SSL によって確立された安全なチャネルがあれば十分ですが、データは内部ネットワーク上でもインターネット上でも透過的ではなく、顧客によるリソースのすべての操作は認証および暗号化される必要があります。真のエンドツーエンドのセキュリティを確保します。
(3) SSI.VPN は拡張性が優れています。これは、IPSec VPN を展開するときにネットワーク トポロジを考慮する必要があるためで、毎日新しいデバイスを追加すると、ネットワーク構造が変化して再展開が必要になり、IPSec VPN の拡張性が低下する可能性があります。SSL VPN は異なり、VPN 保護が必要なサーバーを必要に応じていつでも追加できるため、より柔軟になります。
3.2 DHCP テクノロジー
DHCP (Dynamic Host Configuration Protocol) は、通常、大規模なローカル エリア ネットワーク環境で使用され、その主な機能は、ネットワーク環境内のホストが IP アドレス、ゲートウェイ アドレス、および DNS を動的に取得できるように、IP アドレスを集中管理して割り当てることです。サーバーアドレスやその他の情報を取得し、アドレスの使用法を改善できます。
DHCP プロトコルはクライアント/サーバー モデルを使用し、ホスト アドレスの動的割り当てはネットワーク ホストによって制御されます。DHCP サーバーは、アドレスを申請しているネットワーク ホストから情報を受信すると、関連するアドレス構成およびその他の情報をネットワーク ホストに送信し、ネットワーク ホスト アドレス情報の動的な構成を実現します。DHCP には次の機能があります。
(1) どの IP アドレスも、同時に 1 つの DHCP クライアントのみが使用できるようにしてください。
(2) DHCP はユーザーに永続的な固定 IP アドレスを割り当てることができる必要があります。
(3) DHCP は、他の方法を使用して IP アドレスを取得するホスト (手動で構成された IP アドレスを持つホストなど) と共存できる必要があります。
(4) DHCP サーバーは既存の BOOTP クライアントにサービスを提供する必要があります。
図 3.2 DHCP の動作プロセス
DHCP には、IP アドレスを割り当てるための 3 つのメカニズムがあります。
1) 自動割り当て: DHCP サーバーはホストに永続的な IP アドレスを割り当て、DHCP クライアントが初めて DHCP サーバーから IP アドレスを正常にリースすると、そのアドレスを永続的に使用できるようになります。
2) 動的割り当て: DHCP サーバーは、時間制限付きの IP アドレスをホストに割り当てます。時間が経過するか、ホストが明示的にアドレスを放棄すると、そのアドレスは他のホストで使用できるようになります。
3) 手動割り当て: クライアントの IP アドレスはネットワーク管理者によって指定され、DHCP サーバーは指定された IP アドレスのみをクライアント ホストに伝えます。
3 つのアドレス割り当て方法のうち、クライアントが不要になったアドレスを再利用できるのは動的割り当てだけです。
3.3 ACLの設計
ACL は、パケット フィルタリングに基づくフロー制御テクノロジです。ルータで広く使用されています。ACL は、2 つのネットワーク デバイス間のネットワーク アプリケーションに特有の、第 3 層のネットワーク リソースへのネットワーク ユーザーのアクセスを効果的に制御できます。ネットワークセグメントに応じたアクセス制御管理が可能です。ACL を実装すると、エンタープライズ ネットワークの送信ポリシーを効果的に展開できます。また、LAN 内の内部リソースへのアクセスを制御し、リソースのセキュリティを確保するためにも使用できます。ただし、ルーターのオーバーヘッドが増加し、管理の複雑さと困難さが増します。 ACL テクノロジーの使用は、管理効率とネットワーク セキュリティの間のトレードオフです。初期の頃、ACL はルーターでのみサポートされていましたが、近年ではレイヤー 3 スイッチにも拡張され、2950 などの一部のレイヤー 2 スイッチでも ACL が提供され始めています。
サポート。
図 3.3 ACL マッチング図
上の図からわかるように、ACL の作業プロセスは次のとおりです。
ルーターに ACL があるかどうかに関係なく、データ パケットを受信した後、特定のステーションにデータが入ると、ルーターはまずそのパケットがルーティング可能かどうかを確認し、ルーティング可能でない場合は破棄されます。 、それはルーティング テーブルで見つかります。ルートと対応する送信インターフェイスの詳細情報。
ルーティング可能であると仮定して、アウトバウンドに送信するインターフェイスを見つけます。このとき、ルーターはアウトバウンド ポートが ACL に含まれているかどうかを確認し、含まれていない場合は、このポートから直接送信します。ACL がある場合、ルータは上から順にデータと ACL を照合して 1 つずつ実行し、いずれかの ACL と一致した場合、ACL で指定された動作に従ってデータを処理します。 。
(許可または拒否)、クエリの続行を停止します。ACL の最後で一致が見つからない場合は、ACL の最後で暗黙的なステートメント Deny any を呼び出してパケットを破棄します。
アクセス コントロール リストは、標準アクセス コントロール リストと拡張アクセス コントロール リストの 2 つのカテゴリに大別できます。
1. 標準 IP アクセス制御リスト
標準の IP アクセス コントロール リストは、IP パケット内の送信元アドレスまたは送信元アドレスの一部と一致し、一致したパケットを拒否または許可する 2 つのアクションを実行できます。番号の範囲は 1 ~ 99 です。アクセス コントロール リストは標準の IP アクセス コントロール リストです。
2. IP アクセス制御リストの拡張
拡張 IP アクセス コントロール リストには、プロトコル タイプの送信元アドレス、宛先アドレス、送信元ポート、宛先ポート、接続の確立、IP 優先順位など、標準の IP アクセス コントロール リストよりも多くの一致があります。100 ~ 199 の範囲の番号が付いたアクセス コントロール リストは、拡張 IP アクセス コントロール リストです。
3. 名前付き IP アクセス制御リスト
いわゆる名前付き IP アクセス コントロール リストでは、リスト番号の代わりにリスト名を使用して IP アクセス コントロール リストを定義します。これには、標準と拡張の 2 種類のリストも含まれます。フィルタリングを定義するステートメントは、番号付け方法と似ています。
3.4 NAT設計
NAT の英語での正式名称は「Network Address Translation」、中国語で「ネットワーク アドレス変換」を意味し、組織全体を公共のネットワークに表示できるようにする IETF (Internet Engineering Task Force、インターネット技術特別調査委員会) の標準です。インターネット上の IP (インターネット プロトコル) アドレス。その名のとおり、NAT は社内のプライベート ネットワーク アドレス (IP アドレス) を合法的なネットワーク IP アドレスに変換する技術であるため、NAT はパブリック ネットワーク アドレス不足の問題をある程度効果的に解決できると考えられます。
簡単に言うと、NAT は LAN の内部ネットワークの内部アドレスを使用し、内部ノードが外部ネットワークと通信したいときは、ゲートウェイ (庭のドアのような出口として理解できます) に存在します。例)アドレスをパブリックアドレスに置き換え、外部のパブリックネットワーク(インターネット)でも正常に利用できるようにします NATにより、複数のコンピュータでインターネット接続を共有できるようになります パブリックIPアドレス不足の問題を解決する機能です。この方法では、正当な IP アドレスを申請するだけで、LAN 全体のコンピュータをインターネットに接続できます。現時点では、NAT は内部ネットワークをブロックし、すべてのイントラネット コンピュータはパブリック ネットワークから見えなくなり、イントラネット コンピュータのユーザーは通常、NAT の存在に気づきません。以下に示すように。ここでいう内部アドレスとは、内部ネットワーク内のノードに割り当てられるプライベートIPアドレスのことで、内部ネットワーク内でのみ使用でき、ルーティングによる転送はできません。
3.5 OSPF設計
ルーティングプロトコルOSPFの正式名称はOpen Shortest Path First、つまりオープンな最短パスファーストプロトコルであり、OSPFはIETFによって開発されたため、どのメーカーの利用も制限されず誰でも利用できることからオープンと呼ばれています。最短パス優先プロトコルはオープンと呼ばれます. パス優先順位 (SPF) は OSPF の中心的な概念にすぎません. それが使用するアルゴリズムはダイクストラのアルゴリズムです. 最短パス優先順位には特別な意味はありません. 優先順位を付けるルーティング プロトコルはありません.すべてのプロトコルは最短のパスを選択します。
OSPF プロトコルでは、ネットワークを「バックボーン」で接続された一連の独立した部分に分割する「階層型ルーティング」の概念が導入されています。これらの独立した部分は「エリア」と呼ばれ、「バックボーン」部分は「バックボーン エリア」と呼ばれます。 。各エリアは独立したネットワークのようなもので、このエリアの OSPF ルーターはこのエリアのリンク状態のみを保存します。各ルータのリンク状態データベースは適切なサイズに保つことができ、ルート計算時間やパケット数が大きくなりすぎることはありません。
図 3.4 OSPF データパケット
OSPF の利点は、最大数百のルータまでのさまざまなサイズのネットワークをサポートできることです。OSPF は帯域幅に基づいてパスを選択します。ネットワーク トポロジが変更された場合、OSPF はすぐに更新メッセージを送信し、変更が自律システムに反映されるようにします。 ; OSPF は最短パス ツリー アルゴリズムを使用して収集されたリンク ステータスを通じてルートを計算するため、アルゴリズム自体が自己ループ ルートが生成されないことを保証します; OSPF はルートを記述するときにネットワーク セグメントのマスク情報を運ぶため、OSPF プロトコル自然マスクによって制限されず、VLSM と CIDR を適切にサポートします。OSPF プロトコルを使用すると、自律システムのネットワークを管理用のエリアに分割でき、エリア間で送信されるルーティング情報がさらに抽象化されるため、ネットワークが占有する帯域幅が削減されます。ネットワーク、OSPF は同じ宛先アドレスへの複数の等しい値のルートをサポートします。OSPF は 4 つの異なるタイプのルートを使用します。優先順位の順に、エリア内ルーティング、エリア間ルーティング、タイプ 1 外部ルーティング、およびタイプ 2 外部です。ルーティング; インターフェイスベースのパケット検証をサポートし、ルート計算のセキュリティを確保します。
第4章システム設計
4.1 全体的なネットワーク設計
数年間の開発を経て、今日の SSL VPN ネットワーキング テクノロジは、企業が ERP システムを構築する上で避けられない選択肢となっています。ERP アクセスには企業のプライバシーとデータ セキュリティの問題が含まれるため、インターネット ベースのリモート アクセスを実装する場合は、ハッカーによる極秘データの取得、改ざん、操作を防ぐために、データ送信のセキュリティとアクセスの合法性を考慮する必要があります。競合他社を破壊します。したがって、企業 ERP システムを構築する場合、そのセキュリティ要件は他の企業情報システムと比較して特に顕著になります。また、ERPシステムの効率性を確保し、セキュリティを前提としたビジネスの拡張性をいかに維持するかも、現在のERP導入において検討すべき重要な課題となっている。同時に、エンタープライズ ビジネスの発展には、ERP システムへの安全性と安定性の高いアクセスを実現する機能も必要です。
本プロジェクトのネットワーク環境には、セキュリティ部、営業部、管理部、営業部、人事部、財務部、管理室、技術部、会議室の9部門が設置されています。部屋。ローカル エリア ネットワークは、ネットワーク伝送速度を確保するために完全なギガビット リンク相互接続を使用します。ネットワーク設計には、Cisco Packet Trace シミュレータを使用します。スイッチに VTP サーバー上の VLAN 情報を自動的に学習させます。VLAN 間のトラフィックをルーティングするために SVI インターフェイスと組み合わせて使用することもできます。企業の内部ネットワークは OSPF プロトコルを使用しており、本社の内部ネットワークのユーザーは NAT を使用してイントラネットのプライベート アドレスを外部ネットワークのプライベート アドレスに変換してセキュリティを確保しています。DHCP サービスを使用して IP を動的に割り当て、使用率を向上させます。ACL テクノロジーを使用すると、内部ネットワークはサーバーと外部ネットワークにアクセスでき、外部ネットワークはサーバーにアクセスできますが、内部ネットワークにはアクセスできません。
ネットワーク全体をゾーニングし、内部ゲートウェイを強化します。LAN内で大量のデータが循環することによる無駄なデータパケットの過剰問題を軽減します。国際的に先進的な技術を採用するだけでなく、システムの安全性、信頼性、実用性の確保、高性能、高帯域、管理の容易性などを考慮し、社内での分析と議論を経てネットワーク全体のアーキテクチャを選定します。ネットワークアーキテクチャは「コア層-アグリゲーション層-アクセス層」の3層階層ネットワーク設計モデルを採用。
4.2 ネットワークセキュリティ設計
私たちはネットワーク セキュリティの問題に常に注意を払ってきましたが、ネットワーク セキュリティ保護システムを設計する際には、いくつかの原則に従う必要もあります。主なものは、最小特権の原則、多層防御の原則、防御多様性の原則、防御完全性の原則、セキュリティとコストのバランスの原則、およびネットワーク リソースの階層の原則です。
(1) 最小権限の原則
どのオブジェクトも、指定されたタスクを完了するために必要な権限のみを持つ必要があり、権限の使用範囲、スペース、時間などを制限する必要があります。
(2) 多層防御の原則
ネットワークセキュリティ保護システムは多層セキュリティシステムであることが要求され、ネットワーク内の「単一障害点」になることを避けるために、複数の防御システムを導入する必要があります。
(3) 防衛多様性の原則
テクノロジーと防御方法の2つの側面があります。テクノロジー面では、ホストセキュリティとネットワークセキュリティを確保すると同時に、ウイルスやトロイの木馬への防御にも注意する必要があります。防御方法に関しては、ファイアウォール、IDS、ハニーポットなどを導入してシステムのセキュリティを保護できます。
(4) ネットワークセキュリティの全体的な原則
ネットワークが攻撃を受けたり損傷したりした場合には、損失を軽減するために、ネットワーク情報センターのサービスをできるだけ早く復旧することが求められます。
(5) 安全性の評価とバランスの原則
どのようなネットワークにおいても、絶対的なセキュリティを実現することは難しく、必ずしも必要ではないため、実際のセキュリティとユーザーのニーズを考慮した合理的な評価とバランスのシステムを確立する必要があります。
(6) 標準化と一貫性の原則
安全システムは、人、技術、運用などが関わる複雑なシステムエンジニアリングです。これはテクノロジーだけでも、マネジメントだけでも実現できません。したがって、さまざまな安全技術と運転管理の仕組み、人材の思想教育や技術訓練、安全規則の構築などを組み合わせる必要があります。
企業の情報化の深化に伴い、企業、支社、外国人従業員のつながりは地理的な隔たりではなく、情報の流れの伝達と統合という観点から見ると、より全体的なものとなり、リモートセキュアアクセスは連携して機能します。 . 需要はますます明らかになるでしょう。このため、多くのユーザーは、高度なセキュリティで ERP アプリケーションを高速化するというニーズを満たす適切な製品を探しています。現時点では、高いセキュリティ、拡張性、安定性、柔軟な管理を特徴とする SSL VPN が、徐々に好まれるアクセス ソリューションになりつつあります。SSL VPN によってもたらされる最も明白な利点は、情報セキュリティとアプリケーションのパフォーマンスの向上です。SSL VPN は、SSL プロトコル自体がセキュリティ技術であるため、情報漏洩の防止、不正アクセスの拒否、情報の完全性の保護、ユーザーのなりすましの防止、システムの可用性の確保といった特徴を持ち、アクセスのセキュリティをさらに確保することができるため、安全機能が備わっています。拡張されました。アプリケーション層と TCP/UDP 層の間のセキュリティ プロトコルとして、ネットワーク層の IPSec SSL と比較して、アプリケーション層に基づいたアクセス制御を提供でき、リモート セキュア アクセスのモビリティと分散化により適しています。数年間の開発を経て、今日の SSL VPN ネットワーキング テクノロジは、企業が ERP システムを構築する上で避けられない選択肢となっています。ERPシステムはデータの集約とサプライチェーン管理を実現するため、高いセキュリティで安定的に稼働することが求められます。SSL VPN はアプリケーション層の相互接続のみを提供し、各ユーザーは自分に許可されたアプリケーションにのみアクセスでき、その他のリソースにはアクセスできないため、システム リソースのセキュリティが確保されます。
4.3 ネットワークトポロジ図
SSL VPN に基づいて設計されたネットワーク構造は、コア層、アグリゲーション層、アクセス層の一般的な 3 層階層を採用しています。3 層の設計アーキテクチャは間違いなくエンタープライズ ネットワーク環境に最適です. アクセス層は端末のネットワーク インターフェイスを実装し、アグリゲーション層はアクセス トラフィックを収集し、コア層は集約されたトラフィックを受信して転送し、トラフィックを明確にし、クリア。
コア層には、コア スイッチと出力ルーターが含まれます。OSPF ダイナミック ルーティング プロトコルは、LAN ルートを自動的に学習するためにコア領域間で構成されます。出力ルーターは、内部ユーザーがインターネットに正常にアクセスできるように NAT アドレス変換を実行します。
このトピックで説明する SSL VPN の実装については、ルータはインターネット アクセス デバイスであるため、当然ルータ上で設定されます。デバイスは、インターネット アクセスと SSL VPN のグループ名とアドレス プールを呼び出し、外部の従業員が企業はいつでもインターネットにアクセスできます。SSL VPN リモート アクセスは、あらゆるインターネット環境で実行でき、事務作業やデータ通信のために社内 LAN にアクセスできます。セキュリティ上の考慮事項に基づいて、コア スイッチには SSL の ACL 制御ポリシー アクセス制限も実装されています。 VPN 仮想アドレス プール。
Cisco パケット トレーサ シミュレータを通じて設計されたネットワーク トポロジ ダイアグラムは次のとおりです。
図 4.1 ネットワークトポロジ図
4.4 IPアドレスの計画
IP アドレスは、ネットワーク アドレスとホスト アドレスの 2 つの部分に分かれています。IP アドレスの構造は、私たちが日常的に使用する電話番号と似ています。電話番号は市外局番とデバイス番号で構成されます。IP アドレスの前のネットワーク部分はネットワーク セグメントを指し、ホストはホストを指します。その後ろの部分は、このネットワークに接続されているネットワークを指します。この IP アドレスの階層構造の利点は、各 3 層ネットワーク デバイスが各ホストの IP アドレスを保存する必要がなく、各ネットワーク セグメントのネットワーク アドレスのみを保存すればよいことです。ネットワーク アドレスはネットワーク セグメント内のすべてのホストを表すことができるため、ルーティング テーブルのエントリも大幅に削減され、それに応じてルーティングの柔軟性が向上します。
表4.1 IPアドレス計画表
| 部門 |
VLAN |
IP |
ゲートウェイ |
| 安全保障省 |
10 |
10.1.10.0/24 |
10.1.10.1 |
| 商務部 |
11 |
10.1.11.0/24 |
10.1.11.1 |
| 管理部 |
12 |
10.1.12.0/24 |
10.1.12.1 |
| 販売 |
13 |
10.1.13.0/24 |
10.1.13.1 |
| 人事部 |
14 |
10.1.14.0/24 |
10.1.14.1 |
| 財務部 |
15 |
10.1.15.0/24 |
10.1.15.1 |
| 管理人室 |
16 |
10.1.16.0/24 |
10.1.16.1 |
| 技術部 |
17 |
10.1.17.0/24 |
10.1.17.1 |
| 会議室 |
18 |
10.1.18.0/24 |
10.1.18.1 |
| DNSサーバー |
100 |
10.1.100.254/24 |
10.1.100.1 |
| 販売サーバー |
100 |
10.1.100.253/24 |
10.1.100.1 |
| 人事サーバー |
100 |
10.1.100.252/24 |
10.1.100.1 |
| 金融サーバー |
100 |
10.1.100.251/24 |
10.1.100.1 |
| ネットワーク管理用PC |
100 |
10.1.100.2/24 |
10.1.100.1 |
4.5 機器の選択
4.5.1 コアスイッチの選択
コア レイヤ機器には高性能 10G レイヤ 3 スイッチを使用し、ギガビット リンクを通じてアグリゲーション レイヤ機器に接続し、10G リンクを通じてコア レイヤを相互接続することをお勧めします。したがって、今回はコア スイッチとして CISCO C9300-48T-Aを使用することを推奨します。
図 4.2 Cisco®Catalyst®9300 製品図
Cisco® Catalyst® 9300 シリーズ スイッチは、セキュリティ、IoT、モビリティ、クラウド向けに構築されたシスコの最先端のスタッカブル エンタープライズ スイッチング プラットフォームです。C9300-48T-A は、9300 シリーズの 48 ポート データ、Network Advantage スイッチのみです。Catalyst 9300 シリーズは、業界で最も広く導入されている次世代スイッチング プラットフォームです。これらは、最も柔軟なアップリンク アーキテクチャを備えた、480 Gbps の業界最高密度のスタッキング帯域幅ソリューションです。Catalyst 9300 シリーズは、高密度 802.11ac Wave2 用に最適化された最初のプラットフォームです。ネットワーク サイズの新しい最大値を設定します。これらのスイッチは、x86 CPU アーキテクチャとより多くのメモリを備えた将来対応型でもあるため、コンテナをホストし、スイッチ内でサードパーティのアプリケーションやスクリプトをネイティブに実行できます。
具体的なパラメータは次のとおりです。
表4.2 C9300-48T-Aのパラメータ
| 製品コード |
C9300-48T-A |
| 伝送速度 |
10/100/1000Mbps |
| バックプレーンの帯域幅 |
256Gbps |
| パケット転送速度 |
190.48Mpps |
| 製品説明 |
合計 10/100/1000 またはギガビット銅線ポート |
| デフォルトのAC電源 |
350WAC |
| PoE電源が利用可能 |
/ |
| 寸法(高さ×幅×奥行き) |
1.73×17.5×17.5インチ |
| 重さ |
16.33ポンド |
4.5.2 アグリゲーションスイッチの選択
アグリゲーション スイッチには、スタック可能な Catalyst 3650 シリーズ マルチギガビットおよび 10 Gbps ネットワーク スイッチが含まれており、有線ネットワークと無線ネットワークの統合を可能にし、ネットワークを拡張して保護することができます。
図 4.3 Catalyst 3650 製品図
これは、Cisco IOS XE ソフトウェアに基づいた単一プラットフォーム上で有線および無線サービスを実装する、シスコ初のスタッカブル アクセス スイッチング プラットフォームです。このテクノロジーにより、シスコはスタック上でのステートフル スイッチング(SSO)ベースの高可用性、きめ細かい QoS、セキュリティ、有線と無線にわたるフレキシブル ネットフロー(FNF)などの豊富な機能をシームレスな方法で実現した最初の企業です。) 。さらに、有線機能と無線機能が 1 つの Cisco IOS ソフトウェア イメージにバンドルされているため、ネットワークで有効にする前にユーザが認定/認証する必要がある多数のソフトウェア イメージが不要になります。単一のコンソール ポートを介したコマンド ライン インターフェイス(CLI)管理により、有線および無線サービスを管理するための多数のタッチ ポイントが不要になり、ネットワークの複雑さが軽減され、ネットワーク運用が簡素化され、インフラストラクチャ管理の TCO が削減されます。また、最適化された省エネ、EEE (RJ45 ポート上)、低電力動作により、クラス最高の電力管理および電力消費機能を実現します。Cisco Catalyst 3650 ポートは省電力モードをサポートしているため、未使用のポートは低電力状態に移行できます。
アグリゲーション レイヤ スイッチとして CISCO WS-C3650-48TS-L が選択されており、具体的なパラメータは次のとおりです。
表 4.3 CISCO WS-C3650-48TS-L パラメータ
| 製品の種類 |
ギガビットイーサネットスイッチ |
| 伝送速度 |
10/100/1000Mbps |
| 交換方法 |
ストアアンドフォワード |
| 港湾構造 |
非モジュール式 |
| ポート数 |
48 |
| ポートの説明 |
48 ギガビット イーサネット インターフェイス |
| 電圧 |
交流電力 |
| 電源 |
250W |
4.5.3 アクセススイッチの選択
Cisco 2960 シリーズ スイッチは、ブランチ オフィス、従来のワークスペース、ワイヤリング クローゼット外のアプリケーションにエントリー レベルのエンタープライズ クラスのレイヤ 2 アクセスを提供するように設計された非モジュラ ギガビット イーサネット スイッチです。
図 4.4 Cisco 2960 製品図
このシリーズの製品は、運用を簡素化することで総所有コストを削減するように設計されており、さまざまな Cisco IOS ソフトウェア機能を活用して安全で省エネなビジネス運用を実現できます。アクセス レイヤで Cisco Catalyst 2960 シリーズ スイッチを選択します。2960 シリーズ スイッチは、ハイエンド スイッチに似たネットワーク特性と高密度の固定ポートがあるため、通常、キャンパス ネットワークのアクセス スイッチに適しています。2960 シリーズ スイッチは、アドミッション コントロール、統合セキュリティ、柔軟性など、多くの高度なスイッチング機能をサポートでき、価格も手頃でコスト効率が優れています。ネットワークのエッジにインテリジェントなサービスを提供できます。
2960-X の機能: 4 x スモール フォーム ファクター プラス (SFP+) アップリンク、2 または 4 ギガビット スモール フォーム ファクター プラグ (SFP) アップリンク、Power over Ethernet Plus (PoE+) サポート 最大 370 W の電力バジェットで利用可能、永続的な PoE により中断のないサービスを提供スイッチの起動中であっても、接続されたデバイスに電力を供給; ファンレス動作、ワイヤリング クローゼットの外に配置した場合の最大動作温度は 45°C; 動作がないため、平均故障間隔 (MTBF) を延長するための機械コンポーネント; 奥行き 11.5 インチ未満スペースに制約のあるユースケース向け、低消費電力と高度なエネルギー管理機能、RJ45 および USB コンソールへのアクセスにより操作が簡素化され、直感的 Web ユーザー インターフェイスは導入と管理が簡単で、Bluetooth インターフェイスを介してワイヤレスで設定および管理できます。パフォーマンスの点では、2960 シリーズ スイッチは 32Gbit/s スイッチング アレイをサポートし、EtherChannel リンクをサポートし、最大 8,000 個の MAC アドレスをサポートします。スパニングツリー冗長化および802.3adもサポートされています。セキュリティの面では、2960 シリーズ スイッチは 802.1x 高度なセキュリティ機能をサポートし、リモート アクセスとリモート管理を可能にし、リモート セッションでの暗号化された管理者トラフィックをサポートして、ネットワーク セキュリティを効果的に保護します。
アクセス スイッチは CISCO WS-C2960X-48TS-L スイッチを使用しており、具体的なパラメータは次のとおりです。
表 4.4CISCO WS-C2960X-48TS-L パラメータ
| 製品の種類 |
マネージドスイッチ |
| アプリケーションレベル |
2階 |
| 伝送速度 |
10/100/1000Mbps |
| プロセッサー |
APM86392 600MHz デュアルコア |
| 製品メモリ |
フラッシュメモリ:128MB |
| 交換方法 |
ストアアンドフォワード |
| バックプレーンの帯域幅 |
108Gbps |
| パケット転送速度 |
107.1Mpps |
| ポート数 |
52 |
| ポートの説明 |
48 10/100/1000 インターフェイス、4 SFP インターフェイス |
| 送信モード |
全二重/半二重対応 |
| 商品のサイズ |
45×279×445mm |
第5章詳細設計
本课题设计的网络环境中包含1台核心交换机、3台汇聚接入交换机、10台接入交换机,4台服务器,网络数据交互通过三层核心交换机转发,互联网出口链路接入路由器,设置SSL VPN供外出的员工在互联网上通过账户密码连接,进行远程办公,但是为了保障安全性,对于VPN账号和权限设定了限制,只允许连接的VPN账户访问固定的内部网段。
5.1 VPN技术实现方式
VPN技术的虚拟性体现在进行通信的用户对之间没有真正的物流连接,而是通过ISP供应商的公共网络,如Inlecmct,其专用线则表现为除了企业内部的负工可以使用网络资源外,外网用户无法进行数据和资源的共享。实现VPN的技术主要有以下几种方式:
(1)隧道技术。隧道技术将其他协议的数据包重新封装,在新的包头中传输,包头提供新的路中,从而使数据可以在Intenet中传输,隧道可以建立在不同的协议层,如网络层,应用层等。
(2)加密技术。通过使用现有的加解密技术,实现保密通信,确保公司信息和个人信息在网络中的安全传递吗,不被窃取。
(3)密饼管理技术。即产生、分发、控制、管理和跟踪密钥,开验证密钥的真实性。
(4)身份验证技术。对用户进行身份验证,通常使用用户名和密码或智能卡进行,只对过的合法人员能正常接入网络。
5.2 SSL安全性
SSL通过加密方式保护在互联网.上传输的数据安全性,它可以自动应用在每-一个浏览器上。这里,需要提供一个数字证书给Web服务器,这个数字证书需要付费购买,想对而言,给应用程序设立SSL服务是比较容易的。如果应用程序本身不支持SSL,那么就需要改变一些链接,这只与应用程序有关。对于出现较大信息量的情况,建议给SSL进行加速以避免流量瓶颈。通常SSL加速装置为热插拔装置。VPN则主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能。过去,VPN总是和IPSec联系在-起,因为它是VPN加密信息实际用到的协议。IPSec运行于网络层,IPSec VPN则多用于连接两具网络或点到点之间的连接。
SSL可以防止信息泄漏。由于客户端与SSL VPN网关之间实现高强度的加密信息传输,因此虽然信息传输是通过公网进行的,但是其安全性是可以得到保证的。第三方即使可以得到传输数据,但是却无法得到隐藏到其中的明文信息。因此敏感的信息如业务账号等被保护起来,杜绝了有效信的泄露。(2 )杜绝非法访问.SSL VPN的访问要经过认证和授权,充分保证用户身份的合法性。SSL VPN只允许那些拥有相应权限的用户进行网络连接。如果请求连接的用户没有合法身份,则SSL VPN将拒绝其连接请求,从而限制了非法用户对内网的访问。(3)保护信息的完整性.SSL VPN使用数字证书进行机密性与完整性参数的协商,它不仅能够对所传输的数据进行机密性的保护,同时也对其提供完整性保护。当在传输过程中的数据被篡改之后,SSL VPN是可以检测到的,如果检测到数据被篡改,他们就会放弃所接收到的数据。
5.3核心层设计
图5.1 核心层
VPN的设计主要在核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常需要保证数据高速的传输。网络的控制功能最好尽量的少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。
在既有网络的架构当中, SSL VPN的应用方式其实是很简单的,比起传统IPSecVPN要容易许多。因为它所在的位置是在防火墙后方,人员只需要针对SSL VPN装置在防火墙当中开启设定, 就完成安装了。并不会像IPSecVPN一样,需要针对不同用户开启不同的VPN Profile 设定。因为远程的使用者是利用浏览器连接到SSL VPN设备,然后透过IP封包转译的方式,由SSL VPN设备[模拟]远程使用者在[内部]进行数据存取,所以才有办法突破各种网络的限制,达到执行各种ERP、CRM或者是特定应用程序。传统使用VPNClient程序的架构,由于使用者取得的是内部IP位置,因此在执行企业内部专属程序的时候,只有该程序所使用的连接协议是VPN装置所支持,就没有设定上的问题。
本课题核心层的设备包含路由器和三层交换机,核心区域之间配置OSPF动态路由协议的骨干区域做路由的一个自动学习功能,路由器上做SSL VPN隧道连接,设立VPN组和账户密码以及VPN地址池来给连接用户进行分配,再通过核心交换机对这些地址池的访问限制做一个ACL访问控制列表策略。
5.4 汇聚层设计
图5.2 汇聚层设计
汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层设计为连接本地的逻辑中心,仍需要较高的性能和比较丰富的功能,汇聚设备的转发能力也是需要一定的要求。
本课题设计的汇聚层主要用来汇聚接入交换机的上联链路,再通过汇聚设备统一的链路转发给核心交换机,减轻核心交换机的负荷,设计中包含3台汇聚交换机,这三台汇聚交换机每台分别接入3台接入交换机,做到汇聚的效果。交换机上创建接入层的vlan号,并且将所有互联口配置成Trunk口,放行多个VLAN通过。
5.5 接入层设计
核心层和汇聚层的设计中主要考虑的是网络性能和功能性要高,那么网络接入层的设计主要考虑的是使用性能价格比高的设备。接入层是内部员工或者外来人员最终与网络的接口,它应该提供即插即用的特性,同时应该非常易于使用和维护。当然我们也应该考虑端口密度的问题。
本设计的接入层分别部署在各个部门弱电间里,一个部门一台接入交换机,保证端口的可用性和外来人员接入的扩展性。
5.6 关键性技术及难点
网络环境设计中主要涉及的关键技术为互联网接口的NAT源地址转换策略和SSL VPN相关技术的实现和访问,局域网内部的路由学习则采用OSPF路由协议来进行学习。
难点在于NAT地址转换的时候出现了IP地址被占用的情况,后面发现使用端口复用NAT可以很好的解决内部用户同时上网的问题。
5.7 存在的问题和解决方法
在设计过程中发现,SSL VPN用户一但从互联网接入成功之后,内网的所有网段路由都可达,造成了很大的安全隐患。因此,通过ACL访问控制列表的限制措施下,设置了针对用户访问权限的一个放行和拒绝访问的规则集合,这样一来,远程办公的用户就算拨入VPN,也只能访问自己部门的一个网段及服务器。
第6章 系统测试
6.1 网络结论现象验收
6.1.1 查看DHCP地址池分配,如图6.1所示:
图6.1 DHCP地址池分配
6.1.2 网关地址状态
核心交换机网关地址状态,如图6.2所示:
图6.2 地址状态
6.1.3 OSPF邻居状态
路由器的OSPF建立状态,如图6.3所示:
图6.3 OSPF邻居状态
6.1.4 路由表信息
路由器的路由表信息如图6.4所示:
图6.4 OSPF路由信息
6.1.5 NAT信息
路由器地址转换信息如图6.5所示:
图6.5 NAT信息
6.2 连通性测试
6.2.1 终端DHCP自动获取测试
图6.6 人事部自动获取到地址
通过在核心交换机上设立了DHCP服务器,终端用户自动获取到了下发的地址。
6.2.2 跨VLAN之间的互相访问
图6.7 跨三层访问
通过商务部的PC去访问技术部跟会议室的网段,测试结果返回正常。
6.2.3 ACL测试
图6.8 访问销售部服务器
行政部访问销售部服务器返回的结果显示目的主机不可达,销售部访问销售部服务器返回结果正常,证明ACL生效了。
6.2.4 VPN连接测试
图6.9 VPN连接成功
图6.10 人事部VPN连接
上图可以看到人事部连接VPN成功后,只能访问人事部的网段,无法访问内部其它网段地址。
6.2.5 访问互联网测试
经理室访问互联网地址正常,如图6.11所示:
图6.11 经理室访问互联网
第7章 总结
本次设计的题目为基于SSL VPN技术的中小企业网络接入设计与实现,毕业设计是我们作为学生在学习阶段的最后一个环节,是对所学基础知识和专业知识的一种综合应用,是一种综合的再学习、再提高的过程,这一过程对学生的学习能力和独立思考及工作能力也是一个培养,同时毕业设计也是一个重要的环节,是我们步入社会参与实际工作的一次极好的演示,也是对我们自学能力和解决问题能力的一次考验,是学校生活与社会生活间的过渡。在完成毕业设计的这段时间里,我收获颇多,掌握了很多SSL VPN方面和网络方面的知识,对我所学过的知识有所巩固和提高,让我对现在社会的网络环境的现状有所了解。
参考文献
[1]张兴.SSL-VPN技术在高校图书馆资源共享中的应用研究[J].兰台世界,2020.
[2]马军锋.SSLVPN技术原理及其应用[J].电信网技术,2018,08:22-24.
[3]包丽红,李立亚.基于SSL的VPN技术研究[J].网络安全技术与应用,2018(5):38-40.
[4]吕俊霞,景文富.基于SSL的VPN技术原理与实现[J].济南职业学院学报,2019(04):112-115.
[5]包瑞.基于SSLVPN技术的远程资源访问模式研究[J].河南图书馆学刊,2020,30(001):72-74.
[6]梁绍宇.SSLVPN技术应用研究[D].华南理工大学.2018.
[7]陈旭东.VPDN与SSLVPN技术在"金保工程"中的应用[J].湖北民族学院学报:自然科学版,2018
[8]赵新辉,郭瑞.基于OpenVPN技术的SSLVPN的实现与研究[J].网络安全技术与应用,2018
[9]胡国强,邓希廉,周兆永.浅析SSLVPN技术在我校校园网的应用[J].中国科技博览,2020
[10]颜雪峰,翟雅萌,武渊博.基于SSL VPN技术的信息平台搭建[J].铁道通信信号,2021
[11]邵旻晖,竺荣,楼文彦.基于SSL VPN的医院OA-钉钉安全接入方案[J].电子技术与软件工程,2021
[12]刘邦桂.虚拟专用网技术在校园网应用中的研究与实现[J].软件工程,2020
[13]代锐锋.基于SSL虚拟技术的高校网络安全体系模型构建[J].计算机与现代化,2020
[14]童长卫.VPN技术在院校资源共享中的设计与实现[J].长江技术经济,2020
[15]刘媛,姜川.SSL VPN在黄委网络安全中的应用和改进[J].人民黄河,2020.
附 录
附 录1:
ip dhcp pool 10
network 10.1.10.0 255.255.255.0
default-router 10.1.10.1
dns-server 10.1.100.254
ip dhcp pool 11
network 10.1.11.0 255.255.255.0
default-router 10.1.11.1
dns-server 10.1.100.254
ip dhcp pool 12
network 10.1.12.0 255.255.255.0
default-router 10.1.12.1
dns-server 10.1.100.254
ip dhcp pool 13
network 10.1.13.0 255.255.255.0
default-router 10.1.13.1
dns-server 10.1.100.254
ip dhcp pool 14
network 10.1.14.0 255.255.255.0
default-router 10.1.14.1
dns-server 10.1.100.254
ip dhcp pool 15
network 10.1.15.0 255.255.255.0
default-router 10.1.15.1
dns-server 10.1.100.254
ip dhcp pool 16
network 10.1.16.0 255.255.255.0
default-router 10.1.16.1
dns-server 10.1.100.254
ip dhcp pool 17
network 10.1.17.0 255.255.255.0
default-router 10.1.17.1
dns-server 10.1.100.254
ip dhcp pool 18
network 10.1.18.0 255.255.255.0
default-router 10.1.18.1
dns-server 10.1.100.254
interface FastEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
interface FastEthernet0/2
switchport trunk encapsulation dot1q
switchport mode trunk
interface FastEthernet0/3
switchport trunk encapsulation dot1q
switchport mode trunk
interface FastEthernet0/4
no switchport
ip address 172.16.1.1 255.255.255.0
ip access-group 110 in
duplex auto
speed auto
interface FastEthernet0/5
switchport access vlan 100
interface Vlan10
mac-address 0001.6400.ba01
ip address 10.1.10.1 255.255.255.0
ip access-group 101 in
interface Vlan11
mac-address 0001.6400.ba02
ip address 10.1.11.1 255.255.255.0
ip access-group 101 in
interface Vlan12
mac-address 0001.6400.ba03
ip address 10.1.12.1 255.255.255.0
ip access-group 101 in
interface Vlan13
mac-address 0001.6400.ba04
ip address 10.1.13.1 255.255.255.0
ip access-group 100 in
interface Vlan14
mac-address 0001.6400.ba05
ip address 10.1.14.1 255.255.255.0
ip access-group 100 in
interface Vlan15
mac-address 0001.6400.ba06
ip address 10.1.15.1 255.255.255.0
ip access-group 100 in
interface Vlan16
mac-address 0001.6400.ba07
ip address 10.1.16.1 255.255.255.0
interface Vlan17
mac-address 0001.6400.ba08
ip address 10.1.17.1 255.255.255.0
interface Vlan18
mac-address 0001.6400.ba09
ip address 10.1.18.1 255.255.255.0
interface Vlan100
mac-address 0001.6400.ba0a
ip address 10.1.100.1 255.255.255.0
router ospf 1
log-adjacency-changes
network 10.1.0.0 0.0.255.255 area 0
network 172.16.0.0 0.0.255.255 area 0
access-list 101 permit ip any host 10.1.100.254
access-list 101 deny ip 10.1.10.0 0.0.0.255 10.1.100.0 0.0.0.255
access-list 101 deny ip 10.1.11.0 0.0.0.255 10.1.100.0 0.0.0.255
access-list 101 deny ip 10.1.12.0 0.0.0.255 10.1.100.0 0.0.0.255
access-list 101 permit ip any any
access-list 100 permit ip any host 10.1.100.254
access-list 100 permit ip 10.1.13.0 0.0.0.255 host 10.1.100.253
access-list 100 permit ip 10.1.14.0 0.0.0.255 host 10.1.100.252
access-list 100 permit ip 10.1.15.0 0.0.0.255 host 10.1.100.251
access-list 100 deny ip any 10.1.100.0 0.0.0.255
access-list 100 permit ip any any
access-list 110 permit ip 172.17.0.0 0.0.255.255 10.1.14.0 0.0.0.255
access-list 110 permit ip 172.18.0.0 0.0.255.255 10.1.15.0 0.0.0.255
access-list 110 permit ip 172.17.0.0 0.0.255.255 host 10.1.100.252
access-list 110 permit ip 172.18.0.0 0.0.255.255 10.1.100.0 0.0.0.255
access-list 110 deny ip 172.17.0.0 0.0.255.255 any
access-list 110 deny ip 172.18.0.0 0.0.255.255 any
access-list 110 permit ip any any
路由器源代码:
aaa authentication login 1 local
aaa authorization network 2 local
aaa authorization network vpn1 local
aaa authorization network 1 local
username vpn password 0 vpn
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp client configuration group vpn
key vpn
pool pool1
crypto isakmp client configuration group vpn1
key vpn
pool pool2
crypto ipsec transform-set lan esp-3des esp-md5-hmac
crypto dynamic-map map 10
set transform-set lan
reverse-route
crypto map map client authentication list 1
crypto map map isakmp authorization list 1
crypto map map client configuration address respond
crypto map map 10 ipsec-isakmp dynamic map
interface FastEthernet0/0
ip address 172.16.1.2 255.255.255.0
ip nat inside
duplex auto
speed auto
interface Serial0/0/0
ip address 211.192.45.1 255.255.255.0
ip nat outside
crypto map map
router ospf 1
log-adjacency-changes
network 172.16.0.0 0.0.255.255 area 0
default-information originate
ip local pool pool1 172.17.1.100 172.17.1.200
ip local pool pool2 172.18.1.100 172.18.1.200
ip nat inside source list 1 interface Serial0/0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 211.192.45.2
access-list 1 permit any
汇聚交换机1源代码:
interface FastEthernet0/1
switchport mode trunk
interface FastEthernet0/2
switchport access vlan 10
interface FastEthernet0/3
switchport access vlan 11
interface FastEthernet0/4
switchport access vlan 12
汇聚交换机2源代码:
interface FastEthernet0/1
switchport mode trunk
interface FastEthernet0/2
switchport access vlan 13
interface FastEthernet0/3
switchport access vlan 14
interface FastEthernet0/4
switchport access vlan 15
汇聚交换机3源代码:
interface FastEthernet0/1
switchport mode trunk
interface FastEthernet0/2
switchport access vlan 16
interface FastEthernet0/3
switchport access vlan 17
interface FastEthernet0/4
switchport access vlan 18