VPN_IPSec

本文作者：高冲

摘要：在应用Internet技术创建企业本身的内部网整个过程中,VPN（虚拟专用网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）,Virtual Private Network）作为一种便宜安全的组网方案（进行工作的具体计划或对某一问题制定的规划）很快得受到企业的关注。笔者对对于IPSec的VPN在企业网中的应用进行了分析和研究。

本文关键词：企业网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）虚拟专用网安全

中图分类号：TP311 文献标识码：A 文章编号：1674－098X（2011）05（a）－0021－02

当前随着企业网应用的日益广泛,企业网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）的范围也在不停扩大,采用曾经的广域网创建企业专网,往往必要租用昂贵的跨地区数字专线。并且,国内Internet这些年以来得到快速发展,已经遍布全国各地。在物理上,各地的公众信息网都是连通的,但由于公众信息网是对社会开放的,假设企业的信息要经过互联网进行传输,在安全上会存在着很多难题,而VPN 的出现则较好的处理了这些企业所担心的网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）安全难题。IPSec VPN技术无论从扩展性、安全性还是应用性方面完全可以满足型企业网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）的需求。

1 VPN简要介绍

VPN（Virtual Private Network,虚拟专用网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的））,是指应用公共网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）创建私有专用网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）［1］。数据经过安全的“加密隧道”在公共网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）中传播, 连接在Internet上的位于不一样地方的两个或多个企业内部网之间创建一条专有的通信线路,就比如是架设了

一条专线一样,可是它并不必要真真正正地去铺设光缆之类的物理线路。VPN应用公共网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）基础设施为企业各单位提供安全的网络（网络就是用物理链路将各个

孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）互联办事,可以是运行在VPN之间的商业应用享有几乎和专用网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）同样的安全性、可靠性、优先级别和可办理性。企业只必要租用本地的数据专线,连接上本地的互联网,各地的机构就可以互相传递信息。并且,企业并且还能够应用互联网的拨号接入设备,让本身的用户拨号到互联网上,就可以安全地连接进入企业网中。应用VPN有节省本钱、提供远程访问、扩展性强、方便于办理和实现全面控制等好处,是现在和今后企业网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）发展的趋势。

针对不一样的用户要求,VPN有三种处理方案（进行工作的具体计划或对某一问题制定的规划）：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN）,这三种类型的VPN分别与曾经的远程访问网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）、企业内部的Intranet和企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应。

1.1 Access VPN

Access VPN是经过一个拥有与专用网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）相同策略的共享基础设施,提供对企业内部网或外部网的远程访问,应用户随时、随地以其所需的方式访问企业资源。它包括模拟、拨号、ISDN、数字用户线路（XDSL）、移动IP和电缆技术,可以安全地连接移动用户、远程工作者或分支机构。它适合于内部有人员移动或远程办公必要的企业。

1.2 Intranet VPN

Intranet VPN经过公用网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）进行企业各个分布点互联,是曾经的专线网或其他企业网的扩展或替代形式。应用IP网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）建立VPN的实质是经过公共网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）在各个路由器之间创建VPN安全隧道来传输用户的私有网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）数据,用于建立这种VPN连接的隧道技术有IPSec、GRE等。联合办事商提供的QoS机制,可以可行并且可靠地应用网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）资源,包管了网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）质量。对于ATM或帧中继的虚

电路技术建立的VPN也可实现可靠的网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）质量,但其不足是互联区域有较大的限制性。而其他方面,对于Internet建立,VPN是最为经济的方式,但办事质量难以包管。企业在规划VPN建设时应根据自身需求对以上的各种公用网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）方案（进行工作的具体计划或对某一问题制定的规划）进行权衡。

1.3 Extranet VPN

随着信息时代的到来,各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息办事,经过各种方式了解客户的必要,并且各个企业之间的合作关系也越来越多,信息交换日益频繁。Internet为这样的一种发展趋势提供了十分好的基础,而怎么样应用Internet进行可行的信息办理,是企业发展中不行避免的一个关键难题。应用VPN技术可以组建安全的Extranet,既可以向客户、合作伙伴提供可行的信息办事,又可以包管自身的内部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）的安全。 Extranet VPN经过一个应用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）的相同政策,包括安全、办事质量、可办理性和可靠性。Extranet VPN结构的主要好处是,能容易地对外部网进行部署和办理,外部网的连接可以让用与部署内部网和远端访问VPN相同的架构和协议进行部署。

2 IPSec协议

VPN主要采用了两种技术：隧道技术和安全技术。隧道技术现在主要有三种协议支持：

PPTP,L2TP和IPSec。隧道技术原因是完成IP数据包的二次封装,以实现企业私有地址在公网上的传输。为了确保传输的安全,必要一定的安全加密本领,以确保数据的私密性和完整性［2］。安全技术主要有MPPE、IPSec等加密算法。

IPSec（Security Architecture for IP network,IP层协议安全结构）,在IP层提供安全办事。在隧道和加密的技术上,IPSec已成为IP安全的一个应用广泛、开放的VPN安全协议, 可确保运行在

TCP/IP协议上的VPN之间的互操纵性。IPsec定义了一套用于保护私有性和完整性的标准协议,支持相关系列加密算法如DES、 3DES。他检查传输的数据包的完整性,以确保数据没有被修改,具有数据源认证功能。

IPSec适应向Ipv6迁移,它提供所有在网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）层上的数据保护,进行透明的安全通信。IPSec用暗码技术提供以下安全办事：接入控制,无连接完整性,数据源认证,防重放,加密,防传输流研究。IPSec协议能设置成在两种模式下运行：一种是隧道（tunnel）模式,一种是传输（transport）模式。在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中。隧道模式是最安全的,但会带来较大的系统开销。传输模式是为了保护端到端的安全性,即在这种模式下不会隐####路

由信息。

3 IPSec VPN在企业网路中的优势和应用

IPSec VPN技术在IP传输上经过加密隧道,在用公网传送内部专网的内容的并且,包管内部数据的安全性,从而实现企业总部与各分支机构之间的数据、语音、视频业务互通［3］。如今,许多企业已经把VPN作为远端分支和移动用户连接的主要本领,建立企业虚拟业务网,而国内大量企业也已开始考虑现在这种方式,并逐渐开始实施（实际的行为）。企业应用互联网创建本身的IPSec VPN有以下优势。

2.1 经济

不再承担昂贵的固定线路的租费。DDN、帧中继、SDH的异地收费随着通讯距离的增加而递增,分支越远,租费越高。而Internet的接入费用则只承担本地的接入费用,无论分支多远,费用确实一样的。所以,连接长途分支是,采用Internet作为传输骨干是非常便宜的,但带宽却可以较高。另外,VPN设备功能强劲但造价低廉。

2.2 灵活

连接Internet的方式可以是10M、100M端口,也可以是2M或更低速的端口,并且还能够是便宜的DSL连接,甚至于拨号连接都需要连接 Internet,因而成为选择种类众多的端口连接方式。一个IPSec VPN网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）可以连接任意地点的分支,即使超过大洋也毫不受局限。IPSec VPN可以以低廉的价格连接少量的分支,也适合连接众多的分支。IPSec VPN的核心设备的扩展性好,一个端口可以并且连接成千上万的分支,包括分支单位和移动办公的用户,而不必要SDH、DDN等一个端口对应一个远端用户。远程的IP语音业务和视频也可传送到远端分支和移动用户,连同数据业务一起为现代化办公提供便利条件,节省大量长途话费。

2.3 安全

IPSec VPN的显著特征便是它的安全性,这是它包管内部数据安全的根本。在VPN交换机上,经过支持所有领先的通道协议、数据加密、过滤/防火墙、经过 RADIUS、LDAP和SecurID实现授权等多种方式包管安全。并且,VPN设备提供内置防火墙功能,可以在VPN通道之外,从公网到私网接口传输流量。另外,该技术并且还能够经过RADIUS、PAP、CHAP、Tokens、X.509、LDAP和SecurID等认证方式。

2.4 冗余设计

VPN设备可提供冗余机制,包管链路和设备的可靠性。在中心节点VPN核心设备提供冗余CPU、冗余电源的硬件冗余设计。而在链路发生故障时,VPN交换机支持静态隧道鼓掌恢复功能,其安全IP

办事网关可以在多条路由选择路径和多个交换机之间实现负载均衡。另外在连接时,VPN客户端会自动选择通讯列表中设置的本区域的骨干节点,当本区域节点故障时,自动依据列表上的设置选择连接其他VPN交换机,从而达到连接的目的。

2.5 可行办理

VPN交换机的分离通道特性为IPSec客户端提供并且对Internet、 Extranet和本地网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）访问的支持。该技术可以设置权限,允许用户的访问权限,如允许本地打印和文件共享访问,允许直接Internet访问和允许安全外网访问,该特性应用户在安全条件下合理方便第应用网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）资源,即有安全性又有灵活性。众多的用户和复杂的路由必要路由协议的支持使得整个网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）的地址办理方便可行,RIP和OSPF协议使得VPN设备之间像路由器一样连接和扩展,适合网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）规模的不停扩大,并且动态路由协议可在加密隧道中支持。办理人员可以经过办理软件,远程配置达到对远端节点的办理。

参考文献

［1］高海英,薛元星,辛阳.VPN技术［M］.北京：机械工业出版社.2004.

［2］戴宗坤,唐三平.VPN与网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）安全［M］.北京：电子工业出版社.2002.

［3］王达.虚拟专用网VPN精解［M］.北京：清华大学出版社.2004.