欢迎来到天天文库
浏览记录
ID:34817596
大小:1.88 MB
页数:62页
时间:2019-03-11
《试析基于ipsec的vpn技术穿越nat的研究与设计》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、西南大学硕士学位论文基于IPSec的VPN技术穿越NAT的研究与设计姓名:戴彬申请学位级别:硕士专业:农业机械化工程指导教师:余建桥20060501西南大学硕士学位论文摘要基于IPSec的VPN(VisualPrivateNetwork虚拟专用阿络)技术和NAT(NetworkAddressTranslation网络地址转换)技术都是目前在网络中得以广泛应用的优秀技术。利用VPN隧道技术可以在公共网络中构建私有专用网络,数据可以通过安全的加密隧道进行传送。用户只需要连接上本地的公众信息网,就可以实现在公用网络中数据的安全
2、交换。NAT是一个IETF(InternetEngineeringTaskForce,Internet工程任务组)标准,允许一个整体机构以一个公用IP(InternetProtoc01)地址出现在Internet上。它是一种把内部私有网络地址转换成合法网络IP地址的技术。利用NAT技术,不但是提高IP地址使用效率的好方法,可以大量节省企业用于IP注册所产生的费用,而且NAT技术的另一个很有用的特性是能让多台计算机共用一个IP地址,这样NAT网关可以起到屏蔽内部网络和公用网络的作用,从而增强了系统的安全性。现在人们可以经常
3、在防火墙或者网关、路由器上看到NAT技术的应用。由于目前VPN和NAT技术的不兼容,使得这两种优秀的技术无法同时在网络中并存,其根本原因在于NAT技术的应用破坏了由VPN所建立的加密隧道。VPN在建立通信隧道的时候对数据包的地址或校验和的值进行了加密和解密的工作,而NAT改变了这个地址或校验和的值。如果这一问题得以解决,就可以使众多中小型企业用户以较低的成本进行安全的数据交换,具有很好的应用前景。本文在阐述了IPSecVPN和NAT技术原理的基础上,详细分析研究了两种技术无法兼容的原因。针对这些造成不兼容的原因,分析了可
4、能的几种解决方案。通过对这些方案的对比,以费用最优化为原则,并考虑到目前中小型企业的实际需求,确定了使用UDP封装并配合对IKE协议的修改和扩充以实现NAT穿越的方法。利用这种方法,可以使附加的数据处理降至晟低,同时对现有的NAT设备不需重新部署,是IPv6正式实施前一个较好的解决方案。从用户的角度来说,此种方案也可以在较少投资的前提下,实现基于IPSec的VPN技术与NAT技术的有机融合。根据在进行NAT穿越过程中对数据的处理。文章提出了NAT穿越方案的总体架构a在这个总体架构中较为清晰地描述了在现有协议框架下如何进行
5、功能上的修改和扩充以完成对NAT设备的穿越。指出了实现基于IPSec的VPN和NAT技术兼容的两个必须要解决的关键问题:UDP数据封装和lICE协议的修改和扩充。针对这两个关键问题,文章详细阐述了在IPSec数据包的基础上进行UDP封装的方法和数据格式;对于在IPSec协议体系中起到关键作用的IKE协议的工作模式及其工作过程也作了详细说明,同时研究了如何进行IKE协议功能的扩充和完善以完成相应的要求,并且针对西南大学硕士学位论文摘要实现NAT穿越的凡个重要步骤如VendorID的校验、NAT设备的检测、NAT—D数据包的
6、Hash值的生成等均给出了详细的分析和示意编码。本文结合目前中小型企业网络的实际需求,在不需要对现有NAT设备进行重新部署的前提下.提出了使用UDP数据封装和IKE修改相结合的方法以完成VPN和NAT技术的融合。以NAT穿越方案的总体架构为基础,对数据封装格式进行改进和相关协议的功能进行扩充,可以形成一套完整的NAT穿越解决方案。关键字:VPNNATIPSeclKEUDP封装IIABSTRACTVPN(VisualPrivateNetwork)basedonIPSecandNATfNetworkAddressTransl
7、ation)areexcellenttechnologiesthatarewidelyusedinnetwork.VPNcallestablishprivatenetworkinpublicnetworkthatallowsdatatransmitsafelythroughtheencryptedtunnel.Theclientsonlyneedtoconnecttothelocalpublicnetwork,thedataCanbetransmittedinthepublicnetworksafely.NATisanI
8、ETF(InteractEngineeringTaskForce)standard,allowingawholeorganizationappearonIntemetbyonepublicIPaddress.Itiscapableoftranslatingtheinteriorprivatenetworkaddres
此文档下载收益归作者所有