地址分离映射网IPSec-VPN的研究

摘要

在信息时代的今天，伴随着人们对网络需求的日益膨胀，各种网络技术也得到了迅猛的发展。IPv6技术的日趋成熟、IPSec-VPN的广泛应用、身份与位置分离技术的热衷研究，无不反映了扩展性、安全性和移动性已经成为当前网路领域中广泛关注的热点问题。 接入地址标识与路由地址标识分离映射网络，是一种基于普适一体化思想的新型网络。该网络主要应用了地址分离映射机制，实现了终端设备身份与位置的分离。同时为了提升网络的安全级别，便于网络的扩展需求，本文选择在骨干网和接入网的边缘设备接入路由器上使用IPSec协议建立VPN隧道。通过使用安全封装协议强大的加密认证功能，加强了接入网终端主机间通信的安全性。 本文的重点是研究在地址分离映射机制下如何实现接入路由器对IPSec协议体系的兼容。通过对接入路由器内核数据包处理流程的分析研究，设计和实现了接入路由器相关功能模块，完成在地址分离映射网络中IPSec协议体系对骨干网的穿越。 首先，本文在对地址分离映射机制和IPSec-VPN深入分析的基础上，通过比较各种地址分映射网络部署方案的利弊，选择在接入路由器部署IPSec-VPN的最优方案； 其次，着重讨论了如何解决IPSec-VPN部署方案的核心问题——接入路由器的设计和实现。在设计接入路由器过程中，从功能的设计、模块加载位置、数据包处理流程和用户界面交流平台等几个方面入手，基于模块化设计思想，完成了对接入路由器的整体设计与实现； 最后，通过对功能测试和性能分析，验证了本方案可以实现IPSec穿越地址分离映射骨干网。并根据性能测试证明了安全性和移动性的提升总是以其他性能的损失为代价的。其中接入路由器比普通路由器转发时延增加约0．05ms，地址分离映射对接入路由器转发时延的影响较大，约为总转发时延的37％。 本文中设计方案仅对功能实现上提出了一个解决方案，对于如何减小转发时延的优化设计还需要进一步的研究改进。

目录

文摘

英文文摘

声明

致谢

1 引言

1.1 研究背景与意义

1.1.1 研究背景

1.1.2 选题意义

1.2 国内外研究现状

1.3 论文主要工作与结构

2 地址分离映射机制原理及IPSec-VPN

2.1 接入地址与路由地址分离映射技术

2.1.1 接入地址与路由地址分离映射机制需求

2.1.2 地址分离映射网络结构

2.1.3 接入地址与路由地址分离映射原理

2.1.4 地址映射网络部署IPSec-VPN的必要性

2.2 IPSec-VPN原理

2.2.1 VPN

2.2.2 IPSec协议

2.2.3 安全联盟(SA)

2.2.4 安全协议

2.2.5 密钥交换(IKE)协议

2.2.6 IPSec处理过程

2.3 本章小结

3 地址分离映射网络IPSec-VPN部署方案设计

3.1 部署方案设计原则

3.2 部署方案的选择

3.2.1 核心路由器间部署IPSec-VPN

3.2.2 通信终端间部署IPSec-VPN

3.2.3 接入路由器间部署IPSec-VPN

3.2.4 最优部署方案选择

3.3 最优方案的通信流程图设计

3.4 本章小结

4 接入路由器IPSec-VPN设计与实现

4.1 总体方案设计

4.2 协议栈转发流程设计

4.3 各模块设计与实现

4.3.1 IKE模块、IPSec内核处理模块

4.3.2 映射表维护模块

4.3.3 标识池模块

4.3.4 地址分离映射模块

4.3.5 系统内核处理模块

4.3.6 用户控制台模块

4.4 本章小结

5 试验测试

5.1 网络拓扑环境

5.2 功能实现与测试

5.2.1 测试目标

5.2.2 测试步骤

5.2.3 测试结果

5.3 性能测试与分析

5.3.1 测试目的

5.3.2 测试方法

5.3.3 测试分析

5.4本章小结

6 总结与展望

参考文献

作者简历