【正文】 IPSec進行保護處理，繼承了所有的IPSec的功能特點，例如私密性、合法性、防重放等。DVPN實現(xiàn)了身份認證功能，保證Client和DVPN Server的身份合法性。DVPN實現(xiàn)了對所有的控制報文的安全保護，對通過公有網絡傳輸?shù)乃矫艿淖詤f(xié)商報文和會話協(xié)商報文，都可以使用通用的加密算法（支持DES、3DES、AES算法）進行加密保護。Client接收到Redirect報文，得到對端Client的信息，會在Client之間建立一條新的直連的Session，后續(xù)Client之間的數(shù)據不需要通過DVPN Server進行轉發(fā)，可以通過直連的Session進行數(shù)據通信。如果Client訪問其他Client下面的私有網絡，首先通過DVPN Server進行數(shù)據轉發(fā)，完成網絡的訪問。DVPN域中一臺DVPN接入設備作為Server，其他的DVPN接入設備作為Client。 VPN服務器側可以考慮使用單臺設備，也可以考慮使用雙VPN服務器備份方案特點252。 IKE協(xié)商使用預共享密鑰的方式進行252。 使用L2TP+IPSEC完成用戶身份認證和報文加密252。部署要點252。L2TP收發(fā)雙方加封裝、解封裝處理以及由于封裝造成的數(shù)據量增加等因素的影響，這就導致使用L2TP會造成路由器數(shù)據轉發(fā)效率有一定程度的下降； 移動用戶IPSec VPN接入方式組網特點252。方案特點 252。252。 在LAC創(chuàng)建VT模擬用戶，配置地址、驗證方式、用戶名、密碼等信息；252。使用LAC同時作為客戶端，是在LAC上建立一個虛擬的PPP用戶，該用戶與LNS保持一個常連接。此時用戶與LAC的連接總是PPP連接。252。252。 GRE收發(fā)雙方加封裝、解封裝處理以及由于封裝造成的數(shù)據量增加等因素的影響，這就導致使用GRE會造成路由器數(shù)據轉發(fā)效率有一定程度的下降； L2TP over IPSec VPN方式組網特點：252。252。252。252。如果需要在企業(yè)網內統(tǒng)一規(guī)劃路由方案，GRE over IPSec的方式邏輯就比較清晰。252。 GRE的特點是可以承載多種協(xié)議，而IPSec只能承載IP協(xié)議。 兩端的VPN網關的Loopback接口之間建立GRE隧道，然后將IPSec策略應用到Wan接口上從而建立IPSec隧道，進行數(shù)據封裝、加密和傳輸；252。 VPN內部可以支持MPLS、IPX等非IP協(xié)議的網絡。 VPN內部需要建立統(tǒng)一的OSPF路由域。 GRE還支持由用戶選擇記錄Tunnel接口的識別關鍵字，和對封裝的報文進行端到端校驗；252。 不需要配置大量的靜態(tài)路由，配置簡單。建議使用IPSec over GRE的方式。 IPSec是基于策略的，GRE是基于路由的。 IPSec只適用于IP協(xié)議，所以對于企業(yè)網內非IP協(xié)議，不能使用。 GRE可以承載多種協(xié)議，擴展性強。 兩端的VPN網關的之間建立GRE隧道，然后將IPSec策略應用到GRE隧道接口上從而建立IPSec隧道，進行數(shù)據封裝、加密和傳輸；252。 VPN內部需要建立統(tǒng)一的OSPF路由域。 部分業(yè)務流量需要IPSec保護，另一部分業(yè)務流量不需要IPSec保護，僅需要GRE隧道完成VPN功能。252。 組網簡單，易于部署；252。同時，這樣也便于使用VPN Manager的配置管理功能。部署要點252。H3C secpath系列VPN網關強大的VPN處理性能，高端專用VPN網關通過專業(yè)的硬件加密處理器可以提供標準加密算法下350Mbps以上的加密吞吐量，百兆VPN網關通過專業(yè)的硬件加密處理器可以提供標準加密算法下60Mbps以上的加密吞吐量；VPN Server企業(yè)網絡OA應用服務器CAMS/Radius VPN ManagerMail服務器分支結構局域網VPN Client分支結構局域網VPN Client分支結構局域網VPN ClientADSLLANADSL IPSec VPN方式組網特點：252。VPN客戶端設備可以采用靜態(tài)或動態(tài)申請的IP地址和總部網關建立VPN鏈接。216。216。216。216。216。 設備選型，需要重點關心設備的VPN加密性能和轉發(fā)性能216。證書是有生命期的，在證書生成時指定，認證中心也可以在證書的有效期到來前吊銷證書，結束證書的生命期。PKI組成框圖其中，認證機構用于簽發(fā)并管理證書；注冊機構用于個人身份審核、證書廢除列表管理等；PKI存儲庫用于對證書和日志等信息進行存儲和管理，并提供一定的查詢功能；數(shù)字證書是PKI應用信任的基礎，是PKI系統(tǒng)的安全憑據。數(shù)據的機密性是指數(shù)據在傳輸過程中，不能被非授權者偷看；數(shù)據的完整性是指數(shù)據在傳輸過程中不能被非法篡改；數(shù)據的有效性是指數(shù)據不能被否認。PKI采用證書進行公鑰管理，通過第三方的可信任機構，把用戶的公鑰和用戶的其他標識信息捆綁在一起，以在網上驗證用戶的身份。這種方法通過數(shù)字證書對身份進行認證，安全級別很高，是目前最先進的身份認證方式。這種認證方式的優(yōu)點是簡單，但有一個嚴重的缺點就是驗證字作為明文字符串，很容易泄漏。目前有兩種方式：一種是域共享密鑰（preshared key）驗證方法，驗證字用來作為一個輸入產生密鑰，驗證字不同是不可能在雙方產生相同的密鑰的。 身份認證技術IPSec隧道建立的前提是雙方的身份的得到了認證，這就是所謂的身份驗證。IPSec SA用于最終的IP數(shù)據安全傳送。后兩種方法通過對CA（Certificate Authority）中心的支持來實現(xiàn)。 所以，DH交換技術可以保證雙方能夠安全地獲得公有信息，即使第三方截獲了雙方用于計算密鑰的所有交換數(shù)據，也不足以計算出真正的密鑰。其中的核心技術就是DH（Diffie Hellman）交換技術。IKE定義了通信雙方進行身份認證、協(xié)商加密算法以及生成共享的會話密鑰的方法。這時就要使用IKE自動地進行安全聯(lián)盟建立與密鑰交換的過程。通常在兩個端點之間存在四個安全聯(lián)盟，每個端點兩個，一個用于數(shù)據發(fā)送，一個用于數(shù)據接收。在兩個端點之間可以建立多個安全聯(lián)盟，并結合訪問控制列表（accesslist）， IPSec可以對不同的數(shù)據流實施不同的保護策略，達到不同的保護效果。使用IPSec，數(shù)據就可以在公網上安全傳輸，而不必擔心數(shù)據被監(jiān)視、修改或偽造。AH在IP包中的位置如圖5所示（隧道方式）：圖5 AH處理示意圖ESP將需要保護的用戶數(shù)據進行加密后再封裝到IP包中，ESP可以保證數(shù)據的完整性、真實性和私有性?？紤]到計算效率，AH沒有采用數(shù)字簽名，而是采用了安全哈希算法來對數(shù)據包進行保護。在隧道方式中，用戶的整個IP數(shù)據包被用來計算附加報頭，且被加密，附加報頭和加密用戶數(shù)據被封裝在一個新的IP數(shù)據包中；在傳輸方式中，只是傳輸層（如TCP、UDP、ICMP）數(shù)據被用來計算附加報頭，附加報頭和被加密的傳輸層數(shù)據被放置在原IP報頭后面。IPSec在轉發(fā)加密數(shù)據時產生新的AH和/或ESP附加報頭，用于保證IP數(shù)據包的安全性。IPSec在兩個端點之間通過建立安全聯(lián)盟（Security Association）進行數(shù)據傳輸。而且此實現(xiàn)不會對用戶、主機或其它Internet組件造成影響，用戶還可以選擇不同的硬件和軟件加密算法，而不會影響其它部分的實現(xiàn)。整個被封裝的報文具有下圖所示格式： 通過GRE傳輸報文形式IPSecIPSec（IP Security）是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據源驗證，以保證數(shù)據包在Internet網上傳輸時的私有性、完整性和真實性。 原始報文的協(xié)議被稱之為乘客協(xié)議，GRE被稱之為封裝協(xié)議，而負責轉發(fā)的IP 協(xié)議被稱之為傳遞（Delivery）協(xié)議或傳輸（Transport）協(xié)議。在GRE的處理中，很多協(xié)議的細微差異都被忽略，這使得GRE不限于某個特定的“X over Y”應用，而是一種最基本的封裝形式。三層隧道協(xié)議并非是一種很新的技術，早已出現(xiàn)的RFC 1701 Generic Routing Encapsulation（GRE）協(xié)議就是一個三層隧道協(xié)議，此外還有IETF的IPSec協(xié)議。其中L2TP結合了前兩個協(xié)議的優(yōu)點，具有更優(yōu)越的特性，得到了越來越多的組