[摘要] 本文通過(guò)對(duì)IPSec VPN的介紹,提出對(duì)服務(wù)質(zhì)量,網(wǎng)絡(luò)可靠性要求較低,對(duì)價(jià)格敏感,并且地點(diǎn)分散,人員分散,對(duì)線路的保密和可用性有一定要求的企業(yè)采用IPSec VPN進(jìn)行組網(wǎng)的解決方案,并介紹了具體的設(shè)計(jì)方法和實(shí)現(xiàn)步驟。

　　[關(guān)鍵詞] IPSec VPN 網(wǎng)絡(luò)組建 虛擬專(zhuān)用網(wǎng)

　　[Abstract] Based on the description of IPSec VPN, this article points out the networking solutions with IPSec VPN for some enterprises which have certain requirements in quality of service, network reliability low price-sensitive, and locations scattered, dispersed staff, confidentiality and availability of line, and introduces the design and implementation of concrete steps.

　　[Keywords] IPSec VPN network creating a virtual private network

　　1 引言

　　隨著互聯(lián)網(wǎng)服務(wù)的廣泛應(yīng)用和國(guó)家信息化建設(shè)的推進(jìn),越來(lái)越多的企業(yè)機(jī)構(gòu)都紛紛將自己的業(yè)務(wù)逐步遷移到互聯(lián)網(wǎng)上,以達(dá)到資源整合、資源共享,提高工作效率以及響應(yīng)速度的目的。各個(gè)企業(yè)與他們的分支機(jī)構(gòu)之間聯(lián)系越來(lái)越緊密,需要把分布在全國(guó)的各個(gè)分支機(jī)構(gòu)或者辦事處通過(guò)廣域網(wǎng)連接起來(lái),但是租用專(zhuān)線的費(fèi)用是很多企業(yè)無(wú)法承受的,同時(shí),在公用的數(shù)據(jù)網(wǎng)上傳輸數(shù)據(jù)信息并不是特別的安全。為了解決這兩個(gè)問(wèn)題,可以考慮使用IPSec VPN技術(shù)。

　　2 IPSec VPN 技術(shù)介紹

　　IPSec是基于一種開(kāi)放的網(wǎng)絡(luò)安全協(xié)議體系,該體系結(jié)構(gòu)包括認(rèn)證頭協(xié)議(Authentication Header,簡(jiǎn)稱(chēng)為AH)、封裝安全負(fù)載協(xié)議(Encapsulating Security Payload,簡(jiǎn)稱(chēng)為ESP)、密鑰管理協(xié)議(Internet Key Exchange,簡(jiǎn)稱(chēng)為IKE)和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。其規(guī)定了如何在對(duì)等體之間選擇安全協(xié)議、確定安全算法和密鑰交換,向上提供了訪問(wèn)控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。業(yè)務(wù)數(shù)據(jù)流通過(guò)IPSec加密,IPSec能夠提供服務(wù)器及客戶端的雙向身份認(rèn)證,并且為IP及其上層業(yè)務(wù)數(shù)據(jù)提供安全加密保護(hù),能夠支持?jǐn)?shù)據(jù)加密(包括常見(jiàn)的DES、3DFS、AES加密算法),數(shù)據(jù)完整性驗(yàn)證,數(shù)據(jù)身份驗(yàn)證,以及防重放等功能,充分保證業(yè)務(wù)數(shù)據(jù)的安全性。IPSec VPN利用Internet構(gòu)建三層隧道VPN的方式,可以允許用戶以任意方式接入VPN,并且不受地理因素的限制。

　　同時(shí),IPSec VPN技術(shù)可以隱藏公司內(nèi)部的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖,加密需要傳輸?shù)臄?shù)據(jù),從而做到即使傳輸?shù)臄?shù)據(jù)在公網(wǎng)上給其它用戶攔截到時(shí),他們也不能通過(guò)IP包來(lái)獲取公司內(nèi)部的網(wǎng)絡(luò)IP地址及了解到內(nèi)部的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖,經(jīng)過(guò)加密的數(shù)據(jù),沒(méi)有專(zhuān)門(mén)的解密工具一般的用戶是不可能知道所傳輸?shù)臄?shù)據(jù)包的內(nèi)容。使用IPSec VPN的網(wǎng)絡(luò)拓?fù)鋱D如下圖所示:

　　3 IPSec VPN的設(shè)計(jì)

　　a、設(shè)備選擇:

　　路由器選用Cisco公司的2821路由器,總部路由器上連接Internet的模塊采用光纖模塊,分支機(jī)構(gòu)的Internet模塊根據(jù)實(shí)際情況定,但是要求具有Nat轉(zhuǎn)換功能。交換機(jī)采用Cisco的2960交換機(jī)。

　　用一臺(tái)Cisco路由器模擬互聯(lián)網(wǎng),在分支機(jī)構(gòu)的路由器上做動(dòng)態(tài)NAT轉(zhuǎn)換,用于分支機(jī)構(gòu)的電腦接入到Internet。在總部路由器上做IPSec VPN的配置,用于各個(gè)分支機(jī)構(gòu)安全訪問(wèn)服務(wù)器。服務(wù)器用于模擬企業(yè)的應(yīng)用服務(wù),而筆記本用于模擬分支機(jī)構(gòu)的用戶及其移動(dòng)辦公的人員。