【正文】 全聯(lián)盟可以通過手工配置的方式建立，但是當網(wǎng)絡中結(jié)點增多時，手工配置將非常困難，而且難以保證安全性。IPSec提供了兩個主機之間、兩個安全網(wǎng)關之間或主機和安全網(wǎng)關之間的數(shù)據(jù)保護。AH沒有對用戶數(shù)據(jù)進行加密。IPSec有隧道和傳輸兩種工作方式。IPSec提供以下幾種網(wǎng)絡安全服務：? 私有性 － ；? 完整性 － IPSec在目的地要驗證數(shù)據(jù)包，以保證該數(shù)據(jù)包在傳輸過程中沒有被修改；? 真實性 － IPSec端要驗證所有受IPSec保護的數(shù)據(jù)包；? 防重放 － IPSec防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會拒絕老的或重復的數(shù)據(jù)包，它通過報文的序列號實現(xiàn)。注意到在以上的流程中不用關心乘客協(xié)議的具體格式或內(nèi)容。GRE與IP in IP、IPX over IP等封裝形式很相似，但比他們更通用。 二層隧道協(xié)議二層隧道協(xié)議主要有三種：PPTP（Point to Point Tunneling Protocol，點對點隧道協(xié)議）、L2F（Layer 2 Forwarding，二層轉(zhuǎn)發(fā)協(xié)議）和L2TP（Layer 2 Tunneling Protocol，二層隧道協(xié)議）。 隧道技術對于構建VPN來說，網(wǎng)絡隧道(Tunneling)技術是個關鍵技術。Extranet VPN以其易于構建與管理為解決以上問題提供了有效的手段，其實現(xiàn)技術與Access VPN和Intranet VPN相同。 Extranet VPNExtranet VPN是指利用VPN將企業(yè)網(wǎng)延伸至合作伙伴與客戶。結(jié)合服務商提供的QoS機制，可以有效而且可靠地使用網(wǎng)絡資源，保證了網(wǎng)絡質(zhì)量。在接入服務器發(fā)起的VPN連接應用中，用戶通過本地號碼或免費號碼撥入ISP，然后ISP的NAS再發(fā)起一條隧道連接連到用戶的企業(yè)網(wǎng)。在Access VPN的應用中，利用了二層網(wǎng)絡隧道技術在公用網(wǎng)絡上建立VPN隧道（Tunnel）連接來傳輸私有網(wǎng)絡數(shù)據(jù)。并且企業(yè)開設VPN服務所需的設備很少，只需在資源共享處放置一臺VPN服務器就可以了。通過VPN，企業(yè)可以以明顯更低的成本連接它們的遠地辦事機構、出差工作人員以及業(yè)務合作伙伴，如圖1所示。 VPN定義利用公共網(wǎng)絡來構建的私人專用網(wǎng)絡稱為虛擬私有網(wǎng)絡（VPN，Virtual Private Network），用于構建VPN的公共網(wǎng)絡包括Internet、幀中繼、ATM等。IPSec VPN解決方案 華為3技術有限公司目錄1. 概述 3 VPN定義 3 VPN的類型 4 VPN的優(yōu)點 5 隧道技術 5 加密技術 8 身份認證技術 92. 建設方案 11 基本建設思路 11 組網(wǎng)方案 11 可靠性方案 173. IPSec VPN管理系統(tǒng) 21 輕松部署安全網(wǎng)絡 21 直觀展示VPN拓撲 22 全方位監(jiān)控網(wǎng)絡性能 22 快速定位網(wǎng)絡故障 24 BIMS分支智能管理系統(tǒng) 24附件:iNode客戶端軟件介紹 261. 概述隨著網(wǎng)絡，尤其是網(wǎng)絡經(jīng)濟的發(fā)展，企業(yè)日益擴張，客戶分布日益廣泛，合作伙伴日益增多，這種情況促使了企業(yè)的效益日益增長，另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷：傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點的專線連接方式已難以適應現(xiàn)代企業(yè)的需求。在公共網(wǎng)絡上組建的VPN象企業(yè)現(xiàn)有的私有網(wǎng)絡一樣提供安全性、可靠性和可管理性等。圖1 VPN應用示意圖由圖可知，企業(yè)內(nèi)部資源享用者只需連入本地ISP的POP（Point Of Presence，接入服務提供點），即可相互通信；而利用傳統(tǒng)的WAN組建技術，彼此之間要有專線相連才可以達到同樣的目的。 VPN的類型VPN分為三種類型：遠程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴展虛擬網(wǎng)（ExtranetVPN），這三種類型的 VPN分別與傳統(tǒng)的遠程訪問網(wǎng)絡、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關合作伙伴的企業(yè)網(wǎng)所構成的Extranet相對應。Access VPN的結(jié)構有兩種類型，一種是用戶發(fā)起（Clientinitiated）的VPN連接，另一種是接入服務器發(fā)起（NASinitiated）的VPN連接。在這種情況下，所建立的VPN連接對遠端用戶是透明的，構建VPN所需的協(xié)議及軟件均由ISP負責管理和維護?；贏TM或幀中繼的虛電路技術構建的VPN也可實現(xiàn)可靠的網(wǎng)絡質(zhì)量，但其不足是互聯(lián)區(qū)域有較大的局限性。在傳統(tǒng)的專線構建方式下，Extranet通過專線互聯(lián)實現(xiàn)，網(wǎng)絡管理與訪問控制需要維護，甚至還需要在Extranet的用戶側(cè)安裝兼容的網(wǎng)絡設備；雖然可以通過撥號方式構建Extranet，但此時需要為不同的Extranet用戶進行設置，而同樣降低不了復雜度。Extranet用戶對于Extranet VPN的訪問權限可以通過防火墻等手段來設置與管理。網(wǎng)絡隧道技術指的是利用一種網(wǎng)絡協(xié)議來傳輸另一種網(wǎng)絡協(xié)議，它主要利用網(wǎng)絡隧道協(xié)議來實現(xiàn)這種功能。其中L2TP結(jié)合了前兩個協(xié)議的優(yōu)點，具有更優(yōu)越的特性，得到了越來越多的組織和公司的支持，將是使用最廣泛的VPN二層隧道協(xié)議。在GRE的處理中，很多協(xié)議的細微差異都被忽略，這使得GRE不限于某個特定的“X over Y”應用，而是一種最基本的封裝形式。整個被封裝的報文具有下圖所示格式： 通過GRE傳輸報文形式IPSecIPSec（IP Security）是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私有性、完整性和真實性。IPSec在兩個端點之間通過建立安全聯(lián)盟（Security Association）進行數(shù)據(jù)傳輸。在隧道方式中，用戶的整個IP數(shù)據(jù)包被用來計算附加報頭，且被加密，附加報頭和加密用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)包中；在傳輸方式中，只是傳輸層（如TCP、UDP、ICMP）數(shù)據(jù)被用來計算附加報頭，附加報頭和被加密的傳輸層數(shù)據(jù)被放置在原IP報頭后面。AH在IP包中的位置如圖5所示（隧道方式）：圖5 AH處理示意圖ESP將需要保護的用戶數(shù)據(jù)進行加密后再封裝到IP包中，ESP可以保證數(shù)據(jù)的完整性、真實性和私有性。在兩個端點之間可以建立多個安全聯(lián)盟，并結(jié)合訪問控制列表（accesslist）， IPSec可以對不同的數(shù)據(jù)流實施不同的保護策略，達到不同的保護效果。這時就要使用IKE自動地進行安全聯(lián)盟建立與密鑰交換的過程。其中的核心技術就是DH（Diffie Hellman）交換技術。后兩種方法通過對CA（Certificate Authority）中心的支持來實現(xiàn)。 身份認證技術IPSec隧道建立的前提是雙方的身份的得到了認證，這就是所謂的身份驗證。這種認證方式的優(yōu)點是簡單，但有一個嚴重的缺點就是驗證字作為明文字符串，很容易泄漏。PKI采用證書進行公鑰管理，通過第三方的可信任機構，把用戶的公鑰和用戶的其他標識信息捆綁在一起，以在網(wǎng)上驗證用戶的身份。PKI組成框圖其中，認證機構用于簽發(fā)并管理證書；注冊機構用于個人身份審核、證書廢除列表管理等；PKI存儲庫用于對證書和日志等信息進行存儲和管理，并提供一定的查詢功能；數(shù)字證書是PKI應用信任的基礎，是PKI系統(tǒng)的安全憑據(jù)。 設備選型，需要重點關心設備的VPN加密性能和轉(zhuǎn)發(fā)性能216。216。216。VPN客戶端設備可以采用靜態(tài)或動態(tài)申請的IP地址和總部網(wǎng)關建立VPN鏈接。部署要點252。 組網(wǎng)簡單，易于部署；252。 部分業(yè)務流量需要IPSec保護，另一部分業(yè)務流量不需要IPSec保護，僅需要GRE隧道完成VPN功能。 兩端的VPN網(wǎng)關的之間建立GRE隧道，然后將IPSec策略應用到GRE隧道接口上從而建立IPSec隧道，進行數(shù)據(jù)封裝、加密和傳輸；252。 IPSec只適用于IP協(xié)議，所以對于企業(yè)網(wǎng)內(nèi)非IP協(xié)議，不能使用。建議使用IPSec over GRE的方式。 GRE還支持由用戶選擇記錄Tunnel接口的識別關鍵字，和對封裝的報文進行端到端校驗；252。 VPN內(nèi)部可以支持MPLS、IPX等非IP協(xié)議的網(wǎng)絡。 GRE的特點是可以承載多種協(xié)議，而IPSec只能承載IP協(xié)議。如果需要在企業(yè)網(wǎng)內(nèi)統(tǒng)一規(guī)劃路由方案，GRE over IPSec的方式邏輯就比