【正文】 用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。但我們應(yīng)該注意，不同的網(wǎng)絡(luò)環(huán)境適合不同的協(xié)議，在選擇 VPN 產(chǎn)品時(shí)，應(yīng)該注意選擇。但是 L2TP 沒(méi)有任何加密措施，更多是和 IPSec 協(xié)議結(jié)合使用，提供隧道驗(yàn)證。在隧道模式下， IPSec 把 IPv4 數(shù)據(jù)包封裝在安全的 IP 幀中。由于所有支持 TCP／ IP 協(xié)議的主機(jī)進(jìn)行通信時(shí)，都要經(jīng)過(guò) IP 層的處理，所以提供了 IP 層的安全性就相當(dāng)于為整個(gè)網(wǎng)絡(luò)提供了安全通信的基礎(chǔ)。 IPSec基本工作原理 IPSec 的工作原理（如下圖所示）類似于包過(guò)濾防火墻，可以看作是對(duì)包過(guò)濾防火墻的一種擴(kuò)展。 IPSec 通過(guò)查詢 SPD（ Security P01icy Database 安全策略數(shù)據(jù)庫(kù)）決定對(duì)接收到的 IP數(shù)據(jù)包的處理。包過(guò)濾防火墻只能控制來(lái)自或去往某個(gè)站點(diǎn)的 IP 數(shù)據(jù)包的通 過(guò)，可以拒絕來(lái)自某個(gè)外部站點(diǎn)的 IP 數(shù)據(jù)包訪問(wèn)內(nèi)部某些站點(diǎn)，．也可以拒絕某個(gè)內(nèi)部站點(diǎn)方對(duì)某些外部網(wǎng)站的訪問(wèn)。但無(wú)論是進(jìn)行加密還是進(jìn)行認(rèn)證， IPSec都有兩種工作模式，一種是與其前一節(jié)提到的協(xié)議工作方式 類似的隧道模式，另一種是傳輸模式。此時(shí)，需要新產(chǎn)生一個(gè) IP頭部， IPSec 頭部被放在新產(chǎn)生的 IP 頭部和以前的 IP 數(shù)據(jù)包之間，從而組成一個(gè)新的 IP頭部。所謂安全關(guān)聯(lián)是指安全服務(wù)與它服務(wù)的載體之間的一個(gè) “連接 ”。當(dāng)雙方協(xié)商好使用的安全策略后，我們就說(shuō)雙方建立了一個(gè) SA。 1． ESP（ Encapsulating Secuity Fayload） ESP 協(xié)議主要用來(lái)處理對(duì) IP 數(shù)據(jù)包的加密，此外對(duì)認(rèn)證也提供某種程度的支持。頭部有兩個(gè)域：安全策略索引（ SPl）和序列號(hào)（ Sequencenumber）。加密數(shù)據(jù)部分除了包含原 IP 數(shù)據(jù)包的有效負(fù)載，填充域（用來(lái)保證加密數(shù)據(jù)部分滿足塊加密的長(zhǎng)度要求）包含其余部分在傳輸時(shí)都是加密過(guò)的。 前面已經(jīng)提到用 IPSec進(jìn)行加密是可以有兩種工作模式，意味著 ESP 協(xié)議有兩種工作模式：傳輸模式（ Transport Mode）和隧道模式（ TunnelMode）。 AH 雖然在功能上和 ESP有些重復(fù)，但 AH 除 了對(duì)可以對(duì) IP 的有效負(fù)載進(jìn)行認(rèn)證外，還可以對(duì) IP 頭部實(shí)施認(rèn)證。 3． IKE（ Inter Key Exchange） IKE 協(xié)議主要是對(duì)密鑰交換進(jìn)行管理，它主要包括三個(gè)功能： ? 對(duì)使用的協(xié)議、加密算法和密鑰進(jìn)行協(xié)商。 ? IPSec 的優(yōu)勢(shì) IPSec(IP Security)是 IETF IPSec 工作組為了在 IP 層提供通信安全而制訂的一整套協(xié)議標(biāo)準(zhǔn)， IPSec 的結(jié)構(gòu)文檔 RFC2401 定義了 IPSec 的基本結(jié)構(gòu)，所有具體的實(shí)施方案均建立在它的基礎(chǔ)之上。然而， VPN 需要的是網(wǎng)絡(luò)級(jí)的安全功能，這也正是 IPSec 所提供的。 ? IPSec 對(duì)終端用戶來(lái)說(shuō)是透明的，因此不必對(duì)用戶進(jìn)行安全機(jī)制的培訓(xùn)。 IPSec 通過(guò)兩種模式在應(yīng)用上提供更多的彈性：傳輸模式和隧道模式。 隧道模式通常當(dāng)通訊雙方中有任一方是關(guān)聯(lián)到多臺(tái)主機(jī)的網(wǎng)絡(luò)訪問(wèn)接入 裝置時(shí)使用。它的主要工作原理是：在內(nèi)部網(wǎng)絡(luò)中使用 IPv4 保留的私有地址對(duì)主機(jī)進(jìn)行地址分配，同時(shí)在 NAT 網(wǎng)關(guān)處將所有的內(nèi)部網(wǎng)絡(luò)地址以某種方式動(dòng)態(tài)映射為一個(gè)或多個(gè)因特網(wǎng)合法 IP 地址（通常為 NAT 網(wǎng)關(guān)的外網(wǎng)口地址）。這就是組建 VPN 網(wǎng)關(guān)最常見(jiàn)的 “IPSec與 NAT 協(xié)調(diào)工作 ”的問(wèn)題。華盾 VPN 的全系列產(chǎn)品（從網(wǎng)關(guān)到移動(dòng)客戶端軟件）都支持最新的 NATT 標(biāo)準(zhǔn)?？梢灾С侄喾N上網(wǎng)方式，如撥號(hào)、寬帶、 ISDN、 ADSL。 ? APN GW支持 ADSL ISDN DDN Dialup方式，靜態(tài) /動(dòng)態(tài) IP 接入。 ? 技術(shù)要點(diǎn) ? 協(xié)議： TCP/IP ? 基于 IPSec 國(guó)際標(biāo)準(zhǔn) ? 完善的路由功能 ? 完善的寬帶代理服務(wù)器。 產(chǎn)品配置情況 可支持最大連接數(shù) 單域 1024個(gè)、同一系統(tǒng)中無(wú)域數(shù)目的限制 VPN實(shí)現(xiàn)機(jī)制 硬件、軟件、應(yīng)用 可提供網(wǎng)絡(luò)接口 至少 2個(gè)以太網(wǎng)口， 1個(gè) console口， 1個(gè) 232口 操作系統(tǒng)平臺(tái) 基于 Linux的自主開發(fā)平臺(tái) 協(xié)議 VPN采用協(xié)議 IPSec/PPTP/GRE/ VPN可承載協(xié)議 IP IP壓縮 支持 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換） 支持 路由協(xié)議支持情況 靜態(tài)路由、 RIP等部分動(dòng)態(tài)路由協(xié)議 功能 硬件加速功能 硬件可選 V兩側(cè)是否需要獨(dú)立子網(wǎng) 需要 冗余與恢復(fù) 5000支持冗余備份 冗余與恢復(fù)對(duì)業(yè)務(wù)的影響 無(wú)影響 VPN網(wǎng)關(guān)支 持流量 支持 均衡 安全 安全策略 地址，端口，服務(wù)，時(shí)間，協(xié)議類型 安全機(jī)制 加密和認(rèn)證、標(biāo)準(zhǔn)的 IPSec和獨(dú)創(chuàng)的 Licenses認(rèn)證機(jī)制 認(rèn)證機(jī)制 Licenses認(rèn)證機(jī)制、 EAP 密匙管理協(xié)議 IKE IKE IKE Phase I 模式支持 支持 可 分 別 設(shè) 置 IKE 和IPSec特征 支持 IKE認(rèn)證支持情況 PreShared Key、 RSA硬件 Key認(rèn)證 認(rèn)證算法支持 MD59 SHA19 SHA225 SHA2512 加密算法支持 AES/128位加密算法、 3DES/16 SERPENT/12 BLOWFISH/12 TWOFISH/12硬件加密卡或第三方算法 加密、認(rèn)證方法不同于 IPSec 支持 PKI兼容情況 PKI 自動(dòng)協(xié)商功能 支持 支持 Inter訪問(wèn) 支持 日志 支持、可以查看網(wǎng)絡(luò)用戶的使用情況和系統(tǒng)日志 其他 網(wǎng)狀連接，通訊無(wú)中心瓶頸 客戶端 對(duì) PPTP的支持情況 支持 遠(yuǎn)程接入認(rèn)證方法 Licenses認(rèn)證本地用戶名和口令 客戶端軟件平臺(tái) Windows 2020/XP 客戶端支 持的協(xié)議 IP/IPX 管理 是否集中管理 集中管理 管理平臺(tái) 集中在 5000上 遠(yuǎn)端管理 Tel APNGW2020性能指標(biāo) 硬件配置 CY233/64M RAM/8M Flash 網(wǎng)絡(luò)接口卡 全雙工 10/100M自適應(yīng) 最大支持隧道數(shù)目 750個(gè) 加密算法與處理能力 加密算法名稱 加密算法處理速度 Kb/s NULL AES/128/MD5 3DES/168/MD5 SERPENT/128/MD5 BLOWFISH/128/MD5 TWOFISH/128/MD5 VPN協(xié)議 IPSec/PPTP/GRE 隧道支持協(xié)議 /UDP/FTP/SMTP/POP3等透明傳輸 輸入電壓 交流 110V240V 最大功率 40w 使用環(huán)境溫度 0~45 ℃ 使用環(huán)境濕度 5~95% 平均無(wú)故障時(shí)間 MTBF=28000小時(shí) 電氣標(biāo)準(zhǔn) FCC/CE APNGW2500性能指標(biāo) 標(biāo)準(zhǔn)配置 C500/64M可擴(kuò)展 512M RAM/8M Flash/1Flash擴(kuò)展口、 1硬件加密卡插槽 網(wǎng)絡(luò)接口卡 全雙工 10/100M自適應(yīng) 最大支持隧道數(shù)目 1024個(gè)每域 通道明文處理能力 70Mbps 硬件加密卡（低端） 3DES/MD5 處理能力 blowfish/MD5 處理能力 VPN協(xié)議 IPSec/PPTP/GRE 隧道支持協(xié)議 /UDP/FTP/SMTP/POP3等透明傳輸 輸入電壓 交流 110V240V 最大功率 100w 使用環(huán)境溫度 0~45 ℃ 使用環(huán)境濕度 5~95% 平均無(wú)故障時(shí)間 MTBF=38000小時(shí) 電氣標(biāo)準(zhǔn) FCC/CE APNGW5000性能指標(biāo) 標(biāo)準(zhǔn)配置 PIII800/128M可擴(kuò)展 512M RAM/32M Flash/支持外掛硬盤 網(wǎng)絡(luò)接口卡 全雙工 10/100M自適應(yīng) 最大支持隧道數(shù)目 1024個(gè)每域 最大支持虛擬域數(shù)目 沒(méi)有限制 通道明文處理能力 硬件加密卡（低端） 3DES/MD5 處理能力 blowfish/MD5 處理能力 VPN協(xié)議 IPSec/PPTP/GRE 隧道支持協(xié)議 /UDP/FTP/SMTP/POP3等透明傳輸 輸入電壓 交流 110V240V 最大功率 100w 使用環(huán)境溫度 0~45 ℃ 使用環(huán)境濕度 5~95% 平均無(wú)故障時(shí)間 MTBF=40000小時(shí) 電氣標(biāo)準(zhǔn) FCC/CE 第三章 APNGW 產(chǎn)品 的十大特點(diǎn) 基于與眾不同的獨(dú)特設(shè)計(jì)， APN GW 擁有很多獨(dú)創(chuàng)的優(yōu)點(diǎn)。從設(shè)計(jì)上每一次通訊都是通過(guò)加密傳輸 的。這是由于 APN GW 結(jié)構(gòu)設(shè)計(jì)的原理所決定的（刪 除此句）。他再購(gòu)買三臺(tái)設(shè)備之后，分別安裝在這三個(gè)地方，而原來(lái)的北京、上海、香港的設(shè)備不用做任何的設(shè)置，馬上就可以建立這六個(gè)點(diǎn)的通訊網(wǎng)絡(luò)。在原有網(wǎng)絡(luò)互聯(lián)比較復(fù)雜的情況下，項(xiàng)目能否實(shí)施的關(guān)鍵因素。對(duì)原來(lái)的網(wǎng)絡(luò)進(jìn)行互聯(lián)時(shí)，新加的設(shè)備和原來(lái)的設(shè)備都要重新設(shè)置。而且維護(hù)要有資深的工程師進(jìn)行維護(hù)，一旦出問(wèn)題會(huì)比較困難解決。 ? 節(jié)點(diǎn)可定義 用戶可以按照自己的網(wǎng)絡(luò)實(shí)際的情況整個(gè)系統(tǒng)可以形成網(wǎng)狀、星狀、任意形狀的網(wǎng)絡(luò)拓?fù)?。而且從技術(shù)上講，在每個(gè)設(shè)備上建立許多的隧道也會(huì)消耗較多的時(shí)間。穩(wěn)定的設(shè)計(jì)，嵌入式主板，集成 CPU/RAM/FLASH/LAN，開機(jī)即可使用，明確的 指示燈顯示設(shè)備狀態(tài)，直接開關(guān)電源即可使用，維護(hù)量極小。在推出市場(chǎng)以來(lái)，在全國(guó)各地和部分國(guó)外地區(qū)得以應(yīng)用。可以形成按照組織架構(gòu)形成的邏輯關(guān)系?？梢詾槊總€(gè)虛擬域定義它內(nèi)部的邏輯關(guān)系。只要有 Inter 的地方，就可以結(jié)合物流軟件實(shí)時(shí)運(yùn)行物流系統(tǒng)。 這必然存在以下的幾個(gè)問(wèn)題：采用專線方式，費(fèi)用將比較昂貴，初期投入對(duì)部分企業(yè)來(lái)說(shuō)已經(jīng)難以接受，但是每個(gè)月的線路租用費(fèi)用累計(jì)起來(lái)十分昂貴。還可以進(jìn)行遠(yuǎn)程維護(hù)、管理。移動(dòng)用戶可以采用移動(dòng)客戶端通過(guò) PPTP 協(xié)議接入到 APN 系統(tǒng)中。而且產(chǎn)品基于嵌入式設(shè)計(jì)，幾乎無(wú)需維護(hù)； 成功案例 ? 深圳市彩聯(lián)物流有限公司 ? 北京宅急送 ? 999 集團(tuán)、大通物流 ? 峰國(guó)際 運(yùn)通有限公司 ? 數(shù)據(jù)共享、 VOIP和視頻會(huì)議方案 適用客戶 可用于任何有分支機(jī)構(gòu)、分公司、分店的行業(yè)?；谝蛱鼐W(wǎng)的實(shí)時(shí)語(yǔ)音通信，是目前 Inter 技術(shù)應(yīng)用的一個(gè)重大發(fā)展 方向，通過(guò) IP 網(wǎng)絡(luò)，傳送商業(yè)質(zhì)量的話音 /傳真。 IP 電話的其基本原理是：通過(guò)語(yǔ)音壓縮算法對(duì)語(yǔ)音 數(shù)據(jù)進(jìn)行壓縮編碼處理，然后把這些語(yǔ)音數(shù)據(jù)按 TCP／ IP 標(biāo)準(zhǔn)進(jìn)行打包，經(jīng)過(guò) IP 網(wǎng)絡(luò)把數(shù)據(jù)包送至接收地，再把這些語(yǔ)音數(shù)據(jù)包串起來(lái)，經(jīng)過(guò)解碼解壓處理后，恢復(fù)成原來(lái)的語(yǔ)音信號(hào)，從而達(dá)到由互聯(lián)網(wǎng)傳送語(yǔ)音的目的。 具體使用舉例 以上圖為例，假設(shè)通話的雙方一邊在深圳，另外一邊香港， 就可以實(shí)現(xiàn)以下的功能。這時(shí)實(shí)際上是他撥打本地公司的電話然后通過(guò) Inter 就可以撥打異地的 B 先生的電話。 可以非常穩(wěn)定、流暢的運(yùn)行視頻會(huì)議系統(tǒng)。 一旦建立虛擬網(wǎng)絡(luò)，可以實(shí)現(xiàn)遠(yuǎn)程實(shí)時(shí)運(yùn)行財(cái)務(wù)軟件、 OA系統(tǒng)。 方案說(shuō)明 1. 采用 APN GW 產(chǎn)品；可以立即組建整個(gè)網(wǎng)絡(luò)平臺(tái)； 2. 整個(gè)過(guò)程中，現(xiàn)在的系統(tǒng)在硬件和網(wǎng)絡(luò)上幾乎無(wú)需改動(dòng)； 3. 可以支持登錄到遠(yuǎn)程的域控制器； 4. 直接使用 C/S 模式運(yùn)行，無(wú)需要做任何改動(dòng)； 5. 支持多種上網(wǎng)方式，無(wú)需專線。 備份應(yīng)用 方案說(shuō)明