摘要：随着互联网安全越来越被关注，现在绝大部分公司为达到不同地域之间安全地传递数据的目的，会选择使用VPN技术。但是VPN会影响企业网络的安全性。

本次设计从公司数据安全传递的角度，提升数据在内网与公网中传递的安全性。内网通过防火墙对数据进行加密和解密操作，外网通过总部和分部之间建立专用的虚拟隧道，达到内网的数据安全地在公网上进行传递。本次方案中对于公网的数据安全使用了DES、DH、数字签名等技术，需要在设备两端配置算法和密钥进行数据流量加密，保证数据流量在公网中传递。在内网中利用思科防火墙进行配置策略，允许低安全等级区域的数据流量传递到高安全等级区域，高等级区域的数据流量传递到低等级的区域进行NAT变换，做到公司内部网络和外部网络的数据区分，达到了保护内网地址和数据流量的目的。

设计实现了数据在内网与公网传递安全性，确保了网络的拓展性。

关键词：VPN；DES；NAT；防火墙；网络安全

目录

摘要

Abstract

1  引言-1

2  动态多点VPN-3

2.1  MGRE隧道-3

2.2  NHRP （下一跳解析协议）-3

2.3  虚拟隧道的传输模式-3

2.4  隧道模式-4

2.5  两种加密模式的对比-5

2.5.1 对称密钥-5

2.5.2 非对称密钥-6

2.5.3 对称和非对称加密的对比-7

3  CISCO的防火墙-8

3.1  IP数据包的过滤技术-8

3.2  网络地址转换/PAT地址转换-8

3.3  主动、备用故障转换-9

3.4  Active/Active Failover（A/A模式） -9

4  企业安全网络组网方案设计-10

4.1  需求分析-10

4.2  网络架构-11

4.3  网络设计-12

4.4  动态多点虚拟隧道的总部及分支组网-14

4.5  ASA NAT（PAT）组网-16

4.6  Failover-16

5  企业安全网络方案实现-17

5.1  运行环境-17

5.2  ISP公网方案实现-17

5.3  内网防火墙方案实现-20

5.4  内网DMVPN方案实现-25

6  测试结果-30

7  结束语-33

参考文献-34