eNSP校园网络设计-基于ipsec技术的校园网络安全应用

原创已于 2025-08-28 10:39:58 修改 · 2.1k 阅读

49 ·

CC 4.0 BY-SA版权

文章标签：

#网络 #课程设计 #web安全 #华为 #安全

于 2025-01-01 23:43:21 首次发布

eNSP校园网络设计专栏收录该内容

7 篇文章

订阅专栏

文章目录

校园网布局

目前本人了解到该校园网创建与1999年，共有两个校区，主校区在北京，占地总面积为近60余亩，先后创建有2栋教学楼、2栋图书馆楼，1栋图书馆以及一座体育馆，总建筑面积近2000多平米。校园还建设有食堂，浴室，宿舍等（能够提供学生的学习和生活的休闲场所，在这里学生可以看电影，追剧，唱歌，绘画等。）
在校师生所必需的生活产所。学校教学设施完善，配备有多媒体教室、微机教室、教育管理系统、财务管理系统、学生管理系统等设施为在校的千余名师生提供一个良好的生活和学习的环境。整体校园的平面图如下图所示
在这里插入图片描述
分校区在上海，分校区共计1个教学楼，1个图书馆，1个宿舍楼1个食堂，校园网平面图如下图所示

校园网络现状

通过对校园网络的调查发现目前所存在的问题主要是校园网的覆盖范围不够全面，目前校园网只覆盖了教学楼和图书馆，其他的像男女生宿舍，食堂，体育馆等都游离在校园网之外。并且出口带宽不足，出口带宽只有10M左右存在出口安全隐患。目前主校区和分校区通信采用GRE协议进行通信，属于明文传输数据，很不安全。校园网内网所有设备均单独部署，未做到冗余部署。经调查发现目前校园网不能满足在校师生随时随地上网，网络安全空白，任何人想要使用校园网，只需连接入校园网都可以直接使用，没有相关的安全措施。无线网并未覆盖，且没有统一的管理机制。且由使用者自行设置使用，缺乏统一的管理机制。没有网络行为管理机制，不能根据使用者使用流量的控制机制去限制和管理不同的网络。没有流控机制，不能区分各个流量的重要等级，不能有区别的区分各个流量。以上就是我通过调查校园网现有网络，所发现的现有网络的不足。具体网络拓扑如下图所示：
在这里插入图片描述

校园网络解决方案

本次毕业设计主要做一个大约2000人的校园局域网，分为若干个楼宇，为了保证每个楼宇能够访问互联网，我们在每个楼宇都敷设接入交换机，所有接入交换机均双上联至汇聚交换机，汇聚交换机设置为2台，实现链路冗余及设备冗余。
主校区和分校区传递数据采用IPSEC VPN技术进行传递加密数据，保证校园网内网数据安全可靠。
为了实现高可靠性，校园网内网汇聚采用VRRP协议，实现高可靠性。校园网敷设无线，专为宿舍和教学楼使用，使其教师和学生能够通过无线信号访问互联网需求。
整体拓扑图如下图所示：
在这里插入图片描述

加密安全设计方案

ipsec技术原理介绍

ipsec（internet protocol security）是一种网络层安全协议，它提供了对ip数据包的加密、认证和完整性检查。ipsec可以在两个网络设备之间建立连接，并保证数据流经过公共互联网时不会被、篡改或伪造。下面是ipsec技术原理的概述：认证头部（ah）：认证头部提供了数据的完整性验证和防止数据篡改的功能，它使用mac算法对数据包进行数字签名。每个数据包的ah字段都包含一个计算出的哈希值和关键字信息。加密负载头部（esp）：esp提供了强大的加密和身份验证支持，它将ip数据包加密并发送到目标设备。esp也提供了同样重要的完整性和源认证功能。esp可比认证头更为安全，但它的缺点是容易受到中间人攻击。安全关联（sa）：sa是协商出来的安全参数，用于确定如何使用ipsec保护数据。sa主要包括加密密钥、hash算法、认证方法等参数。密钥管理：ipsec还需要通过一种密钥管理协议来交换密钥，以确保数据的机密性。ike（internet key exchange）是一种常见的密钥管理协议，它可以自动为ipsec连接生成和管理密钥。安全关联（sa）和密钥管理则提供了必要的安全参数和密钥交换。
IPSec提供的服务有数据来源验证，IPSec可以确保接收方验证发送方身份是否合法。这可以防止未授权的用户发送虚假信息。还有数据加密：IPSec可以对发送方发送的数据进行加密，以确保数据在通过Internet时不被窃听或窃取。其次还有数据完整性：IPSec可以通过验证接收方接收到的数据，以确保数据在传输过程中没有被篡改或修改。抗重放：IPSec可以防止攻击者捕获数据包后重复发送它们。它可以确保接收方拒绝旧的或重复的数据包，以避免针对重复数据包的攻击。

ipsec特性

机密性：ipsec使用加密来保护数据不被未经授权的人查看和修改。
完整性：ipsec可以检测是否有任何未经授权的更改数据的企图，并在这种情况下拒绝传输。
认证：ipsec可以验证通信对等体的身份以确保与正确的对等体建立连接。
防重放攻击：ipsec包含序号防止恶意攻击者通过复制或重新发送消息来伪造通信。
网络层保护：ipsec提供了直接在网络层实现的保护，这意味着它可以保护整个ip数据包而不只是有效载荷。IPSec应用场景1.远程访问vpn：组织或个人可以使用远程访问vpn连接到公司网络或其他私有网络，从而获得远程访问，数据传输将受到ipsec保护。2.点对点vpn：也称为站点到站点vpn，允许两个网络直接通信，不需要通过互联网公共节点进行中转。ipsec能够加密和保护两个网络之间的所有数据流量。3.voip：voip（语音通信）可能存在**和截距风险。使用ipsec加密保护电话会话可以很好地解决这些问题。4.web服务：web应用程序和服务经常包含敏感数据或交易信息，因此ipssec可确保通信路径的隐私和完整性。5.移动设备管理：企业使用ipsec来保护在移动设备上存储和传输的敏感信息，例如数据备份、文件共享等。6.云计算：使用ipsec可以保障云环境下的数据传输，在跨越多个数据中心和云服务提供商时，使数据始终得到加密和保护。总之，ipsec适用于几乎所有需要保护数据机密性、完整性和可用性的环境。

ipsec 实现

首先进行选择协议：选择一个合适的协议作为VPN隧道的加密和身份验证机制。ipsec是一个流行的选择，因为它提供了广泛的加密算法和安全协议，包括aes、des、sha和md5。确定网络架构：确定的整体网络架构。可以是基于客户端的或者基于网关的，前者是指用户在访问资源时通过一个客户端软件建立加密连接，而后者是指网络管理员在组织内部设立一个网关来使所有用户都能与该网关建立加密连接。选择实现方式：对于基于客户端的，还需要选择一种实现方案，例如使用开源或商业软件或者自定义开发。针对基于网关的，可以选择购买专门的网关设备或者使用普通的路由器和交换机来搭建网关系统。配置网络设备：根据已选方案配置相关的网络设备。这包括设置ipsec策略、证书和密码管理、隧道参数等。最后进行测试与验证：测试新的架构并评估其效果和安全性。如果发现任何问题，需要进行修改和优化直到获得期望的性能。

ipsec 组网实现方案

1.site-to-site
site-to-site 是指将两个或多个不同地理位置的网络连接起来形成一个安全的网络。这种方式下，可以使用ipsec来建立一个安全的通信通道，以保护两个网络之间的通信。
2remote access
remote access 是指允许远程用户通过互联网访问公司内部网络资源的。用户需要使用客户端建立安全链接，并且需要提供正确的密码和用户名进行身份验证。ipsec可用于确保该连接的安全性。