【正文】 在使用INode軟件的NAT穿越功能時，需要網(wǎng)管側(cè)設(shè)備也支持NAT穿越。如圖所示，用戶在訪問VPN隧道內(nèi)部資源的同時，可以訪問internet資源。INode軟件支持對VPN隧道對端多個網(wǎng)段的訪問。相對于局域網(wǎng)用戶，特別的，INode軟件能夠讓撥號用戶使用IPSEC/IKE加密。第二，INode軟件支持IPSEC/IKE加密。系統(tǒng)管理員配置VPN網(wǎng)關(guān)的時候，為了實現(xiàn)較高的安全性，需要配置復(fù)雜的安全策略。設(shè)備和管理中心采用協(xié)議進(jìn)行通信的優(yōu)勢在于其可穿透絕大多數(shù)的防火墻，而且協(xié)議簡單、易擴(kuò)展。BIMS（Branch Intelligent Management System）就是要解決上述問題，實現(xiàn)對動態(tài)獲取IP地址的設(shè)備或位于NAT網(wǎng)關(guān)后面的分支網(wǎng)點設(shè)備的集中、有效的監(jiān)控和管理，尤其在對業(yè)務(wù)應(yīng)用基本相同、數(shù)量龐大并且分布廣泛的網(wǎng)絡(luò)終端設(shè)備進(jìn)行管理時，BIMS會極大提高管理的效率，大大節(jié)約管理成本。配置向?qū)蛴脩籼峁┝舜罅砍Ｓ玫娜笔∨渲?，幫助初級用戶快速配置IPSec VPN業(yè)務(wù)。如果超過timeout定時器設(shè)定的超時時間仍然未收到正確的應(yīng)答報文，DPD記錄失敗事件1次。在路由器與VRRP備份組的虛地址之間建立ISAKMP SA的應(yīng)用方案中，DPD功能保證了VRRP備份組中主備切換時安全隧道能夠迅速自動恢復(fù)。一旦其中一個VRRP組發(fā)生切換，另一個方向的VRRP能發(fā)起同步切換。于是，網(wǎng)絡(luò)內(nèi)的主機(jī)就通過這個虛擬的路由器來與其它網(wǎng)絡(luò)進(jìn)行通信。 雙機(jī)備份雙機(jī)備份是通過VRRP實現(xiàn)的。DVPN還實現(xiàn)了策略的統(tǒng)一管理和多域支持。DVPN Server進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)時，如果Client之間可以建立Session，可以使用Redirect（重定向）報文把目的端信息發(fā)送給發(fā)起端。 認(rèn)證方式可以采用Sec key252。 如果沒有部署OSPF等動態(tài)路由協(xié)議，必須在LAC上需要配置一條靜態(tài)路由，將VPN內(nèi)的流量指向VT接口。 通常情況下，L2TP的客戶端是撥號連接到LAC的用戶主機(jī)。 不必配置大量的靜態(tài)路由，配置簡單。如果企業(yè)網(wǎng)內(nèi)有IPX、MPLS等應(yīng)用，建議可以先借用GRE承載非IP協(xié)議，然后才能使用IPSec保護(hù)GRE報文。 GRE收發(fā)雙方加封裝、解封裝處理以及由于封裝造成的數(shù)據(jù)量增加等因素的影響，這就導(dǎo)致使用GRE會造成路由器一定的負(fù)擔(dān)； GRE over IPSec VPN方式組網(wǎng)特點：252。252。252。 VPN客戶端可以使用動態(tài)地址接入服務(wù)器，但為了防止客戶端IPSec配置泄露造成的安全隱患，建議VPN客戶端口采用靜態(tài)地址。 在企業(yè)總部每2臺VPN Server 互為備份組作為VPN接入服務(wù)器, 如果用戶增加,可以通過增加服務(wù)器備份組的方法接入更多用戶。 支持客戶端各種接入手段及動態(tài)IP地址；企業(yè)總部采用固定IP地址，分支機(jī)構(gòu)可以選擇ADSL或者FE專線接入Internet。PKI為用戶建立起一個安全的網(wǎng)絡(luò)運行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下方便的使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性、有效性。身份驗證確認(rèn)通信雙方的身份。DH交換基于公開的信息計算私有信息，數(shù)學(xué)上已經(jīng)證明，破解DH交換的計算復(fù)雜度非常高從而是不可實現(xiàn)的。安全聯(lián)盟是有方向性的（單向）。AH報頭用以保證數(shù)據(jù)包的完整性和真實性，防止黑客截斷數(shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包。IPSec通過AH （Authentication Header）和ESP （Encapsulating Security Payload）這兩個安全協(xié)議來實現(xiàn)。應(yīng)用L2TP構(gòu)建的典型VPN服務(wù)的結(jié)構(gòu)如下圖所示：典型撥號VPN業(yè)務(wù)示意圖 三層隧道協(xié)議用于傳輸三層網(wǎng)絡(luò)協(xié)議的隧道協(xié)議叫三層隧道協(xié)議。 VPN的優(yōu)點利用公用網(wǎng)絡(luò)構(gòu)建VPN是個新型的網(wǎng)絡(luò)概念，對于企業(yè)而言，利用Internet組建私有網(wǎng)，將大筆的專線費用縮減為少量的市話費用和Internet費用。而另一方面，基于Internet構(gòu)建VPN是最為經(jīng)濟(jì)的方式，但服務(wù)質(zhì)量難以保證。用戶發(fā)起的VPN連接指的是以下這種情況：首先，遠(yuǎn)程用戶通過服務(wù)提供點（POP）撥入Internet，接著，用戶通過網(wǎng)絡(luò)隧道協(xié)議與企業(yè)網(wǎng)建立一條的隧道（可加密）連接從而訪問企業(yè)網(wǎng)內(nèi)部資源。虛擬網(wǎng)組成后，出差員工和外地客戶只需擁有本地ISP的上網(wǎng)權(quán)限就可以訪問企業(yè)內(nèi)部資源； 如果接入服務(wù)器的用戶身份認(rèn)證服務(wù)器支持漫游的話，甚至不必?fù)碛斜镜豂SP的上網(wǎng)權(quán)限。于是企業(yè)對于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求，主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面。對于廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過遠(yuǎn)程撥號連接來實現(xiàn)的，而VPN是利用服務(wù)提供商所提供的公共網(wǎng)絡(luò)來實現(xiàn)遠(yuǎn)程的廣域連接。對于出差流動員工、遠(yuǎn)程辦公人員和遠(yuǎn)程小辦公室，Access VPN通過公用網(wǎng)絡(luò)與企業(yè)的Intranet和Extranet建立私有的網(wǎng)絡(luò)連接。利用IP網(wǎng)絡(luò)構(gòu)建VPN的實質(zhì)是通過公用網(wǎng)在各個路由器之間建立VPN安全隧道來傳輸用戶的私有網(wǎng)絡(luò)數(shù)據(jù)，用于構(gòu)建這種VPN連接的隧道技術(shù)有IPSec、GRE等。 因此，諸多的企業(yè)常常是放棄構(gòu)建Extranet，結(jié)果使得企業(yè)間的商業(yè)交易程序復(fù)雜化，商業(yè)效率被迫降低?，F(xiàn)有兩種類型的隧道協(xié)議：一種是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建Access VPN和Extranet VPN；另一種是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建Intranet VPN和Extranet VPN。 原始報文的協(xié)議被稱之為乘客協(xié)議，GRE被稱之為封裝協(xié)議，而負(fù)責(zé)轉(zhuǎn)發(fā)的IP 協(xié)議被稱之為傳遞（Delivery）協(xié)議或傳輸（Transport）協(xié)議。IPSec在轉(zhuǎn)發(fā)加密數(shù)據(jù)時產(chǎn)生新的AH和/或ESP附加報頭，用于保證IP數(shù)據(jù)包的安全性。使用IPSec，數(shù)據(jù)就可以在公網(wǎng)上安全傳輸，而不必?fù)?dān)心數(shù)據(jù)被監(jiān)視、修改或偽造。IKE定義了通信雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會話密鑰的方法。IPSec SA用于最終的IP數(shù)據(jù)安全傳送。這種方法通過數(shù)字證書對身份進(jìn)行認(rèn)證，安全級別很高，是目前最先進(jìn)的身份認(rèn)證方式。證書是有生命期的，在證書生成時指定，認(rèn)證中心也可以在證書的有效期到來前吊銷證書，結(jié)束證書的生命期。216。H3C secpath系列VPN網(wǎng)關(guān)強(qiáng)大的VPN處理性能，高端專用VPN網(wǎng)關(guān)通過專業(yè)的硬件加密處理器可以提供標(biāo)準(zhǔn)加密算法下350Mbps以上的加密吞吐量，百兆VPN網(wǎng)關(guān)通過專業(yè)的硬件加密處理器可以提供標(biāo)準(zhǔn)加密算法下60Mbps以上的加密吞吐量；VPN Server企業(yè)網(wǎng)絡(luò)OA應(yīng)用服務(wù)器CAMS/Radius VPN ManagerMail服務(wù)器分支結(jié)構(gòu)局域網(wǎng)VPN Client分支結(jié)構(gòu)局域網(wǎng)VPN Client分支結(jié)構(gòu)局域網(wǎng)VPN ClientADSLLANADSL IPSec VPN方式組網(wǎng)特點：252。252。 GRE可以承載多種協(xié)議，擴(kuò)展性強(qiáng)。 不需要配置大量的靜態(tài)路由，配置簡單。 兩端的VPN網(wǎng)關(guān)的Loopback接口之間建立GRE隧道，然后將IPSec策略應(yīng)用到Wan接口上從而建立IPSec隧道，進(jìn)行數(shù)據(jù)封裝、加密和傳輸；252。252。252。 在LAC創(chuàng)建VT模擬用戶，配置地址、驗證方式、用戶名、密碼等信息；252。部署要點252。DVPN域中一臺DVPN接入設(shè)備作為Server，其他的DVPN接入設(shè)備作為Client。DVPN實現(xiàn)了身份認(rèn)證功能，保證Client和DVPN Server的身份合法性。 可靠性方案H3C IPSec VPN高可靠性設(shè)計的核心理念就是增大網(wǎng)絡(luò)冗余性的同時做到負(fù)載分擔(dān)。我們結(jié)合下圖來看一下VRRP的實現(xiàn)原理。在網(wǎng)絡(luò)出現(xiàn)異常時，如何保證業(yè)務(wù)流量能夠盡快恢復(fù)？網(wǎng)關(guān)快速切換，這一切換由VRRP實現(xiàn)。IPSec DPD（IPSec Dead Peer Detection ondemand）為按需型IPSec/IKE安全隧道對端狀態(tài)探測功能。l intervaltime：觸發(fā)DPD查詢的間隔時間，該時間指明隔多久沒有收到對端IPSec報文時觸發(fā)DPD查詢。3. IPSec VPN管理系統(tǒng)IPSec VPN的命令行配置非常復(fù)雜，需要大量的培訓(xùn)工作，同時日常的維護(hù)管理工作也極為繁重。為了減少配置操作，IPSec VPN網(wǎng)絡(luò)配置以網(wǎng)絡(luò)域為