IPSEC组网技术简介

由于互联网上日益频繁，企业开始允许其业务伙伴和供应商访问企业的局域网，从而大大简化了信息交流的方式，加快了信息交流的速度。这些合作和联系是动态的，依靠网络来维护和加强，所以企业发现这种信息交流不仅带来了网络的复杂性，也带来了管理和安全的问题。由于互联网是一个基于TCP/IP技术的全球性、开放性、无法管理的国际互联网，因此基于互联网的商业活动面临着非善意的信息威胁和安全隐患。另一类用户，随着自身的发展壮大和跨国化，企业的分支机构不仅越来越多，而且互不兼容的网络基础设施也越来越普遍。因此，用户的信息技术部门越来越难以连接分支机构，用户的需求直接导致虚拟专用网络(VPN)技术的出现，使得通过互联网(如互联网)进行安全数据传输成为可能[1]。VPN的组网协议很多，包括互联网、PPTP、L2TP、SH、MPLS等。互联网安全(互联网)协议是互联网工程任务组(互联网)建议的主流。互联网建议[2]。互联网协议已经成为VPSETF的主流。

IPSecVPN技术

利用IPSec协议构建VPN是指利用实现IPSec协议的安全网关(SecurityGateway)作为边界路由器，完成广域网上安全远程接入和专线互联。

1.IPSec VPN技术简介

IPSec在网络层中发挥作用，为无保护互联网上敏感数据的对等传输提供各种安全保护措施，包括数据源地址验证、无连接数据完整性验证、数据内容机密性、抗重播保护、有限数据流机密性保证等。

IPSec主要采用AH(AuthenticationHeader)和ESP(Encapsulating)保护IP层数据包或上层协议。AH可以用来验证数据源地址，保证数据包的完整性，防止同一个数据包不断重播；ESP不仅可以提供AH的所有功能，还可以保护数据机密性。AH和ESP是实现IPSec的两种基本方法，可以单独使用，也可以联合使用，可以根据不同的需求定义不同级别的安全保护。

IPSec提供了两种操作模式：隧道模式，它对传经不安全的链路或互联网的专用IP内部数据包进行加密和封装(这种模式适用于NAT环境)。在传输模式下，IP负载直接加密(适用于无NAT环境)，前一种模式应用更为广泛[3]。

2.IPSecVPN的技术优势

(1)为数据的安全传输提供身份验证、完整性、机密性等措施。此外，其检查和安全功能与其密钥管理系统松散耦合。因此，如果未来密钥管理系统发生变化，IPSec的安全机制无需修改。

(2)端到端的IPSecVPN专线租费会比PVC专线低很多。据估计，如果企业放弃租赁专线，采用VPN，整个网络的成本可以节省21%~45%。

(3)远程接入IPSecVPN的接入成本远低于长途电话，因为只考虑本地拨号和VPN隧道的占用成本。据估计，使用VPN可以节省50%~80%的通信成本。

3.IPSecVPN技术不足

(1)在传输过程中，它仍然不能保证数据传输的质量，只能传输bestofffort。

(2)由于数据经过加解密操作，会对数据包转发效率等网络性能产生一定的影响。

(3)在IPv4的网络组织中，需要考虑与NAT的冲突。

三大IPSecVPN业务部署模式

结合IPsec技术特点和传统电信业务运营模式，提出了两种可运营的IPsec VPN业务模式。

1.端到端的IPSecVPN业务模式

采用IPSec技术充分利用已有丰富IP公网资源为用户提供端到端的、透明的安全虚拟专线，而它的价格要比PVC等专线便宜很多，这样为用户专网的组建提供了又一种可选的方案。

从部署规模来看，端到端VPN虚拟业务增值业务模式可分为两个层次：

(1)通信运营商端到端IP骨干网边缘VPN综合接入模式:为各行各业用户提供VPN专线业务。

(2)企业级端到端模式:实现企业总部与分公司、商业客户、合作伙伴之间的VPN隧道，实现公司内部重要部门之间的网络安全。建议采用分级、分权、集中、统一、全面的IPVPN业务网络管理系统。

当IPSec用于VPN网关时，可以建立虚拟专用网络。VPN网关连接内部网的一端是受保护的内部网络，另一端是不安全的外部公共网络。两个这样的VPN网关建立了一个安全通道，数据可以通过这个通道从当地的保护子网发送到远程的保护子网，从而形成VPN。在这个VPN中，每个带IPSec的VPN网关都是一个网络聚合点，试图对VPN进行通信分析会失败。目的是VPN的所有通信都通过网关上的SA定义加密或认证的算法、密钥等参数，即从VPN的一个网关出来的数据包只要符合安全策略，就会用相应的SA加密或认证(加AH或ESP报头)。

在实际部署端到端VPN专线时，需要考虑以下关键技术问题:VPN网关与现有防火墙的位置关系；VPN与NAT共存的关系；VPN保护内部以太交换网络的方案。可以预见，IPSecVPN专线业务将是一项具有巨大竞争潜力的可运营电信IP增值业务。其资费政策可以参考PVC业务的资费政策，如PVC的50%。

2.远程接入VPNClient业务模式

目前很多企业的内部网络资源员工只能在内部网络上访问，员工出差时无法访问。针对这种情况，提出了允许移动用户安全访问内部网络资源的远程VPNClient接入商业模式。移动用户使用VPNClinet访问公司内部网络，不仅允许远程拨号连接，还防止未经授权的访问和数据被截获和窃听。首先，PPP拨号与当地ISP的NAS建立连接，然后启动VPNClient与公司VPN网关的Untrusted端口进行ISAKMPSA初始化。当ISAKMPSA生成并通过认证时，VPN网关和Client初始化IKE模式配置；当Client获得来自网关的动态IP时，Client从网关中装载IPsechSA，前提是Client与网关的数据加密算法必须一致。IPSec隧道协议，用户需要二次拨号。这种模式使得VPN非常灵活，使用户能够将互联网作为自己的私有网络。用户访问控制过滤后，需要对用户进行访问控制过滤。主要过滤内容为用户源、目的IP、目的端口号、TCP连接定制等。用户访问控制后，用户应根据用户认证数据库的内容进行呼叫优先级定义，主要解决大量用户访问带来的网络拥塞问题。网络拥塞到一定程度后，只允许优先级较高的连接建立。但是一旦连接建立，就不会中断。对于远程VPN接入业务，可以根据用户使用的加密算法的强度、隧道建设时间、隧道流量等属性实施灵活的计费策略，如取长话费的50%。

3.IPsec VPN业务管理模式

VPN技术的大规模应用必然会对设备管理提出要求。想象一下，一个运营服务提供商需要同时管理分布在几百台甚至几千台相距甚远的设备，并保证其安全策略的一致性。如果采用单机模式分散管理，是不可想象的。VPN技术作为一种网络技术，应该继承现有网络设备的管理模式，即分级集中管理。同时，由于VPN网关设备往往放置在用户一侧，需要给用户一定的权限。此时，必须采用分权管理机制，初期可以采用两级分权、集中统一管理的VPN业务网络管理模式。

微云网络&网络综合解决方案提供商帮助企业信息化建设、数字化转型和全球互联网。SD-WAN方案可以加速全球访问、SaaS访问、海外视频和海外分支网络，有效提高国际沟通效率，帮助中国企业开拓国际市场…热线：400-028-9798，欢迎来电咨询。