【正文】 端要驗證所有受IPSec保護的數(shù)據(jù)包；? 防重放 － IPSec防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會拒絕老的或重復的數(shù)據(jù)包，它通過報文的序列號實現(xiàn)。安全聯(lián)盟定義了數(shù)據(jù)保護中使用的協(xié)議和算法以及安全聯(lián)盟的有效時間等屬性。IPSec有隧道和傳輸兩種工作方式。AH報頭用以保證數(shù)據(jù)包的完整性和真實性，防止黑客截斷數(shù)據(jù)包或向網(wǎng)絡中插入偽造的數(shù)據(jù)包。AH沒有對用戶數(shù)據(jù)進行加密。ESP頭在IP包中的位置如下（隧道方式）：圖6 ESP處理示意圖AH和ESP可以單獨使用，也可以同時使用。IPSec提供了兩個主機之間、兩個安全網(wǎng)關(guān)之間或主機和安全網(wǎng)關(guān)之間的數(shù)據(jù)保護。安全聯(lián)盟是有方向性的（單向）。IPSec的安全聯(lián)盟可以通過手工配置的方式建立，但是當網(wǎng)絡中結(jié)點增多時，手工配置將非常困難，而且難以保證安全性。 加密技術(shù)Internet密鑰交換協(xié)議（IKE）用于通信雙方協(xié)商和建立安全聯(lián)盟，交換密鑰。IKE的精髓在于它永遠不在不安全的網(wǎng)絡上直接傳送密鑰，而是通過一系列數(shù)據(jù)的交換，通信雙方最終計算出共享的密鑰。DH交換基于公開的信息計算私有信息，數(shù)學上已經(jīng)證明，破解DH交換的計算復雜度非常高從而是不可實現(xiàn)的。在身份驗證方面，IKE提供了共享驗證字（Preshared Key）、公鑰加密驗證、數(shù)字簽名驗證等驗證方法。IKE密鑰交換分為兩個階段，其中階段1建立ISAKMP SA，有主模式（Main Mode）和激進模式（Aggressive Mode）兩種；階段2在階段1 ISAKMP SA的保護下建立IPSec SA，稱之為快速模式（Quick Mode）。另外，IKE還包含有傳送信息的信息交換（Informational Exchange）和建立新DH組的組交換（DH Group Exchange）。身份驗證確認通信雙方的身份。驗證字是驗證雙方身份的關(guān)鍵。另一種是PKI(rsasignature)驗證方法。公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，簡稱PKI）是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全并負責驗證數(shù)字證書持有者身份的一種體系，它是一套軟硬件系統(tǒng)和安全策略的集合，提供了一整套安全機制。PKI為用戶建立起一個安全的網(wǎng)絡運行環(huán)境，使用戶可以在多種應用環(huán)境下方便的使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)上數(shù)據(jù)的機密性、完整性、有效性。一個PKI系統(tǒng)由公開密鑰密碼技術(shù)、證書認證機構(gòu)、注冊機構(gòu)、數(shù)字證書和相應的PKI存儲庫共同組成。數(shù)字證書又稱為公共密鑰證書PKC（Public Key Certificate），是基于公共密鑰技術(shù)發(fā)展起來的一種主要用于驗證的技術(shù)，它是一個經(jīng)證書認證中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件，可作為各類實體在網(wǎng)上進行信息交流及商務活動的身份證明。2. 建設(shè)方案 基本建設(shè)思路在VPN接入網(wǎng)的建設(shè)過程中，需要從以下幾個方面來考慮：216。 支持客戶端各種接入手段及動態(tài)IP地址；企業(yè)總部采用固定IP地址，分支機構(gòu)可以選擇ADSL或者FE專線接入Internet。 網(wǎng)絡拓撲類型以HubSpoke為主，PartialMash方式下客戶端互訪流量通過Server轉(zhuǎn)發(fā)，此時流量不超過20％，否則會加重Server負擔，這種情況下，路由的設(shè)計是重點關(guān)注的問題。 IP SEC提供在IP層的加密認證等安全服務。 IKE協(xié)商可以采用預共享密鑰的方式，也可以采用CA認證的方式進行。 在企業(yè)總部每2臺VPN Server 互為備份組作為VPN接入服務器, 如果用戶增加,可以通過增加服務器備份組的方法接入更多用戶。 網(wǎng)絡的部署監(jiān)控配置維護采用VPN MANAGER和BIMS配合進行 組網(wǎng)方案VPN接入網(wǎng)關(guān)子系統(tǒng)部署：在總部局域網(wǎng)Internet邊界防火墻后面配置一臺專用的高性能的VPN網(wǎng)關(guān)，在分支機構(gòu)Internet邊界防火墻后面配置一臺專用VPN網(wǎng)關(guān)，由此兩端的VPN網(wǎng)關(guān)建立IPSec VPN隧道，進行數(shù)據(jù)封裝、加密和傳輸。根據(jù)其業(yè)務的需求，有必要的話，可以在分支節(jié)點用設(shè)備進行冷備份。 VPN客戶端設(shè)備相對來說比較簡單。 VPN客戶端可以使用動態(tài)地址接入服務器，但為了防止客戶端IPSec配置泄露造成的安全隱患，建議VPN客戶端口采用靜態(tài)地址。方案特點 252。 由于IPSec不能承載路由協(xié)議，需要在分支結(jié)構(gòu)和園區(qū)網(wǎng)配置大量的靜態(tài)路由。 單純的IPSec封裝，對于帶寬資源消耗較??； IPSec over GRE VPN方式組網(wǎng)特點：252。252。部署要點252。 在GRE隧道接口上使能OSPF；方案特點 252。252。252。如果企業(yè)網(wǎng)內(nèi)部分流量需要IPSec保護，而另一部分不需要。252。252。 GRE收發(fā)雙方加封裝、解封裝處理以及由于封裝造成的數(shù)據(jù)量增加等因素的影響，這就導致使用GRE會造成路由器一定的負擔； GRE over IPSec VPN方式組網(wǎng)特點：252。252。部署要點252。 在GRE隧道接口上使能OSPF；方案特點 252。如果企業(yè)網(wǎng)內(nèi)有IPX、MPLS等應用，建議可以先借用GRE承載非IP協(xié)議，然后才能使用IPSec保護GRE報文。 GRE是基于路由的，而IPSec是基于策略。因為IPSec的策略是針對GRE隧道的，而GRE隧道是基于路由的，所以整個VPN內(nèi)的路由是統(tǒng)一的。 對業(yè)務流量，諸如路由協(xié)議、語音、視頻等數(shù)據(jù)先進行GRE封裝，然后再對封裝后的報文進行IPSec的加密處理。 不必配置大量的靜態(tài)路由，配置簡單。 GRE還支持由用戶選擇記錄Tunnel接口的識別關(guān)鍵字，和對封裝的報文進行端到端校驗；252。 IPSec隧道保護RouterA和RouterB之間的公網(wǎng)鏈路。 對于分支設(shè)備的安全要求較高，在IPSec認證之外，還需要對分支設(shè)備進行L2TP的認證。 通常情況下，L2TP的客戶端是撥號連接到LAC的用戶主機。如果使用LAC同時作為客戶端，那么用戶與LAC之間的連接就不受限于PPP連接，而只要是一個IP連接就可以了，這樣LAC能夠?qū)⒂脩舻腎P報文轉(zhuǎn)發(fā)到LNS。其它所有實際用戶的IP報文都是通過此虛擬用戶轉(zhuǎn)發(fā)給LNS的；部署方式252。 分支設(shè)備的用戶端不能由LNS分配地址，必須由用戶手工配置地址，而且需要保證與LNS的VT地址在同一網(wǎng)段，否則OSPF路由不同互通。 如果沒有部署OSPF等動態(tài)路由協(xié)議，必須在LAC上需要配置一條靜態(tài)路由，將VPN內(nèi)的流量指向VT接口。 中心網(wǎng)關(guān)可以對分支設(shè)備進行認證和計費，提高系統(tǒng)安全性。 移動用戶靈活接入，安全認證、數(shù)據(jù)保護。 通過客戶端軟件iNode多鏈路形式接入企業(yè)內(nèi)部VPN252。 認證方式可以采用Sec key252。 對于L2TP用戶認證計費采用遠端Radius（CAMS）進行252。 靈活、安全 動態(tài)VPN（DVPN）接入方式DVPN采用了Client和Server的方式，Client設(shè)備（DVPN應用中，作為Client接入DVPN域的設(shè)備）需要在DVPN Server設(shè)備（DVPN應用中，作為Server接入DVPN域的設(shè)備）進行注冊。Client在DVPN Server注冊成功后，會與其建立Session（會話隧道），通過Session完成Client的私有網(wǎng)絡和DVPN Server的私有網(wǎng)絡的互聯(lián)，Client成功加入到一個DVPN域；Sever會保存所有登錄到DVPN域中的Client信息。DVPN Server進行數(shù)據(jù)轉(zhuǎn)發(fā)時，如果Client之間可以建立Session，可以使用Redirect（重定向）報文把目的端信息發(fā)送給發(fā)起端。所以一臺合法的Client設(shè)備只需要有DVPN Server設(shè)備的信息就能夠加入到DVPN域，可以和域中其它的Client設(shè)備自動建立會話隧道，實現(xiàn)私有網(wǎng)絡的直接互聯(lián)，而不需要通過DVPN Server進行轉(zhuǎn)發(fā)。對于需要DVPN進行轉(zhuǎn)發(fā)的私有網(wǎng)絡的數(shù)據(jù)報文，通過IPSec進行加密處理以后，再通過DVPN進行轉(zhuǎn)發(fā)，保證了所有的轉(zhuǎn)發(fā)數(shù)據(jù)都通過IPSec進行保護處理。在Client向DVPN Server進行注冊過程中，Client可以根據(jù)配置需要對DVPN Server的身份使用presharedkey進行驗證，保證Client接入一個合法的DVPN Server；DVPN Server可以根據(jù)需要使用AAA對需要接入到DV