【正文】 客協(xié)議，GRE被稱之為封裝協(xié)議，而負(fù)責(zé)轉(zhuǎn)發(fā)的IP 協(xié)議被稱之為傳遞（Delivery）協(xié)議或傳輸（Transport）協(xié)議。注意到在以上的流程中不用關(guān)心乘客協(xié)議的具體格式或內(nèi)容。整個被封裝的報(bào)文具有下圖所示格式： 通過GRE傳輸報(bào)文形式IPSecIPSec（IP Security）是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗(yàn)證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私有性、完整性和真實(shí)性。IPSec通過AH （Authentication Header）和ESP （Encapsulating Security Payload）這兩個安全協(xié)議來實(shí)現(xiàn)。而且此實(shí)現(xiàn)不會對用戶、主機(jī)或其它Internet組件造成影響，用戶還可以選擇不同的硬件和軟件加密算法，而不會影響其它部分的實(shí)現(xiàn)。IPSec提供以下幾種網(wǎng)絡(luò)安全服務(wù)：? 私有性 － ；? 完整性 － IPSec在目的地要驗(yàn)證數(shù)據(jù)包，以保證該數(shù)據(jù)包在傳輸過程中沒有被修改；? 真實(shí)性 － IPSec端要驗(yàn)證所有受IPSec保護(hù)的數(shù)據(jù)包；? 防重放 － IPSec防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會拒絕老的或重復(fù)的數(shù)據(jù)包，它通過報(bào)文的序列號實(shí)現(xiàn)。IPSec在兩個端點(diǎn)之間通過建立安全聯(lián)盟（Security Association）進(jìn)行數(shù)據(jù)傳輸。安全聯(lián)盟定義了數(shù)據(jù)保護(hù)中使用的協(xié)議和算法以及安全聯(lián)盟的有效時間等屬性。IPSec在轉(zhuǎn)發(fā)加密數(shù)據(jù)時產(chǎn)生新的AH和/或ESP附加報(bào)頭，用于保證IP數(shù)據(jù)包的安全性。IPSec有隧道和傳輸兩種工作方式。在隧道方式中，用戶的整個IP數(shù)據(jù)包被用來計(jì)算附加報(bào)頭，且被加密，附加報(bào)頭和加密用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)包中；在傳輸方式中，只是傳輸層（如TCP、UDP、ICMP）數(shù)據(jù)被用來計(jì)算附加報(bào)頭，附加報(bào)頭和被加密的傳輸層數(shù)據(jù)被放置在原IP報(bào)頭后面。AH報(bào)頭用以保證數(shù)據(jù)包的完整性和真實(shí)性，防止黑客截?cái)鄶?shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包?？紤]到計(jì)算效率，AH沒有采用數(shù)字簽名，而是采用了安全哈希算法來對數(shù)據(jù)包進(jìn)行保護(hù)。AH沒有對用戶數(shù)據(jù)進(jìn)行加密。AH在IP包中的位置如圖5所示（隧道方式）：圖5 AH處理示意圖ESP將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到IP包中，ESP可以保證數(shù)據(jù)的完整性、真實(shí)性和私有性。ESP頭在IP包中的位置如下（隧道方式）：圖6 ESP處理示意圖AH和ESP可以單獨(dú)使用，也可以同時使用。使用IPSec，數(shù)據(jù)就可以在公網(wǎng)上安全傳輸，而不必?fù)?dān)心數(shù)據(jù)被監(jiān)視、修改或偽造。IPSec提供了兩個主機(jī)之間、兩個安全網(wǎng)關(guān)之間或主機(jī)和安全網(wǎng)關(guān)之間的數(shù)據(jù)保護(hù)。在兩個端點(diǎn)之間可以建立多個安全聯(lián)盟，并結(jié)合訪問控制列表（accesslist）， IPSec可以對不同的數(shù)據(jù)流實(shí)施不同的保護(hù)策略，達(dá)到不同的保護(hù)效果。安全聯(lián)盟是有方向性的（單向）。通常在兩個端點(diǎn)之間存在四個安全聯(lián)盟，每個端點(diǎn)兩個，一個用于數(shù)據(jù)發(fā)送，一個用于數(shù)據(jù)接收。IPSec的安全聯(lián)盟可以通過手工配置的方式建立，但是當(dāng)網(wǎng)絡(luò)中結(jié)點(diǎn)增多時，手工配置將非常困難，而且難以保證安全性。這時就要使用IKE自動地進(jìn)行安全聯(lián)盟建立與密鑰交換的過程。 加密技術(shù)Internet密鑰交換協(xié)議（IKE）用于通信雙方協(xié)商和建立安全聯(lián)盟，交換密鑰。IKE定義了通信雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會話密鑰的方法。IKE的精髓在于它永遠(yuǎn)不在不安全的網(wǎng)絡(luò)上直接傳送密鑰，而是通過一系列數(shù)據(jù)的交換，通信雙方最終計(jì)算出共享的密鑰。其中的核心技術(shù)就是DH（Diffie Hellman）交換技術(shù)。DH交換基于公開的信息計(jì)算私有信息，數(shù)學(xué)上已經(jīng)證明，破解DH交換的計(jì)算復(fù)雜度非常高從而是不可實(shí)現(xiàn)的。 所以，DH交換技術(shù)可以保證雙方能夠安全地獲得公有信息，即使第三方截獲了雙方用于計(jì)算密鑰的所有交換數(shù)據(jù)，也不足以計(jì)算出真正的密鑰。在身份驗(yàn)證方面，IKE提供了共享驗(yàn)證字（Preshared Key）、公鑰加密驗(yàn)證、數(shù)字簽名驗(yàn)證等驗(yàn)證方法。后兩種方法通過對CA（Certificate Authority）中心的支持來實(shí)現(xiàn)。IKE密鑰交換分為兩個階段，其中階段1建立ISAKMP SA，有主模式（Main Mode）和激進(jìn)模式（Aggressive Mode）兩種；階段2在階段1 ISAKMP SA的保護(hù)下建立IPSec SA，稱之為快速模式（Quick Mode）。IPSec SA用于最終的IP數(shù)據(jù)安全傳送。另外，IKE還包含有傳送信息的信息交換（Informational Exchange）和建立新DH組的組交換（DH Group Exchange）。 身份認(rèn)證技術(shù)IPSec隧道建立的前提是雙方的身份的得到了認(rèn)證，這就是所謂的身份驗(yàn)證。身份驗(yàn)證確認(rèn)通信雙方的身份。目前有兩種方式：一種是域共享密鑰（preshared key）驗(yàn)證方法，驗(yàn)證字用來作為一個輸入產(chǎn)生密鑰，驗(yàn)證字不同是不可能在雙方產(chǎn)生相同的密鑰的。驗(yàn)證字是驗(yàn)證雙方身份的關(guān)鍵。這種認(rèn)證方式的優(yōu)點(diǎn)是簡單，但有一個嚴(yán)重的缺點(diǎn)就是驗(yàn)證字作為明文字符串，很容易泄漏。另一種是PKI(rsasignature)驗(yàn)證方法。這種方法通過數(shù)字證書對身份進(jìn)行認(rèn)證，安全級別很高，是目前最先進(jìn)的身份認(rèn)證方式。公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，簡稱PKI）是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全并負(fù)責(zé)驗(yàn)證數(shù)字證書持有者身份的一種體系，它是一套軟硬件系統(tǒng)和安全策略的集合，提供了一整套安全機(jī)制。PKI采用證書進(jìn)行公鑰管理，通過第三方的可信任機(jī)構(gòu)，把用戶的公鑰和用戶的其他標(biāo)識信息捆綁在一起，以在網(wǎng)上驗(yàn)證用戶的身份。PKI為用戶建立起一個安全的網(wǎng)絡(luò)運(yùn)行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下方便的使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性、有效性。數(shù)據(jù)的機(jī)密性是指數(shù)據(jù)在傳輸過程中，不能被非授權(quán)者偷看；數(shù)據(jù)的完整性是指數(shù)據(jù)在傳輸過程中不能被非法篡改；數(shù)據(jù)的有效性是指數(shù)據(jù)不能被否認(rèn)。一個PKI系統(tǒng)由公開密鑰密碼技術(shù)、證書認(rèn)證機(jī)構(gòu)、注冊機(jī)構(gòu)、數(shù)字證書和相應(yīng)的PKI存儲庫共同組成。PKI組成框圖其中，認(rèn)證機(jī)構(gòu)用于簽發(fā)并管理證書；注冊機(jī)構(gòu)用于個人身份審核、證書廢除列表管理等；PKI存儲庫用于對證書和日志等信息進(jìn)行存儲和管理，并提供一定的查詢功能；數(shù)字證書是PKI應(yīng)用信任的基礎(chǔ)，是PKI系統(tǒng)的安全憑據(jù)。數(shù)字證書又稱為公共密鑰證書PKC（Public Key Certificate），是基于公共密鑰技術(shù)發(fā)展起來的一種主要用于驗(yàn)證的技術(shù)，它是一個經(jīng)證書認(rèn)證中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件，可作為各類實(shí)體在網(wǎng)上進(jìn)行信息交流及商務(wù)活動的身份證明。證書是有生命期的，在證書生成時指定，認(rèn)證中心也可以在證書的有效期到來前吊銷證書，結(jié)束證書的生命期。2. 建設(shè)方案 基本建設(shè)思路在VPN接入網(wǎng)的建設(shè)過程中，需要從以下幾個方面來考慮：216。 設(shè)備選型，需要重點(diǎn)關(guān)心設(shè)備的VPN加密性能和轉(zhuǎn)發(fā)性能216。 支持客戶端各種接入手段及動態(tài)IP地址；企業(yè)總部采用固定IP地址，分支機(jī)構(gòu)可以選擇ADSL或者FE專線接入Internet。216。 網(wǎng)絡(luò)拓?fù)漕愋鸵訦ubSpoke為主，PartialMash方式下客戶端互訪流量通過Server轉(zhuǎn)發(fā)，此時流量不超過20％，否則會加重Server負(fù)擔(dān)，這種情況下，路由的設(shè)計(jì)是重點(diǎn)關(guān)注的問題。216。 IP SEC提供在IP層的加密認(rèn)證等安全服務(wù)。216。 IKE協(xié)商可以采用預(yù)共享密鑰的方式，也可以采用CA認(rèn)證的方式進(jìn)行。216。 在企業(yè)總部每2臺VPN Server 互為備份組作為VPN接入服務(wù)器, 如果用戶增加,可以通過增加服務(wù)器備份組的方法接入更多用戶。216。 網(wǎng)絡(luò)的部署監(jiān)控配置維護(hù)采用VPN MANAGER和BIMS配合進(jìn)行 組網(wǎng)方案VPN接入網(wǎng)關(guān)子系統(tǒng)部署：在總部局域網(wǎng)Internet邊界防火墻后面配置一臺專用的高性能的VPN網(wǎng)關(guān)，在分支機(jī)構(gòu)Internet邊界防火墻后面配置一臺專用VPN網(wǎng)關(guān)，由此兩端的VPN網(wǎng)關(guān)建立IPSec VPN隧道，進(jìn)行數(shù)據(jù)封裝、加密和傳輸。VPN客戶端設(shè)備可以采用靜態(tài)或動態(tài)申請的IP地址和總部網(wǎng)關(guān)建立VPN鏈接。根據(jù)其業(yè)務(wù)的需求，有必要的話，可以在分支節(jié)點(diǎn)用設(shè)備進(jìn)行冷備份。H3C secpath系列VPN網(wǎng)關(guān)強(qiáng)大的VPN處理性能，高端專用VPN網(wǎng)關(guān)通過專業(yè)的硬件加密處理器可