IPSEC在企業網中的應用（一）

本篇主要講解關於×××中有關IPSEC的相關理論知識：

一、          ××× 簡介

伴隨企業和公司的不斷擴張，員工出差日趨頻繁，駐外機構及客戶羣分佈日益分散，合作伙伴日益增多，越來越多的現代企業迫切需要利用公共Internet 資源來進行促銷、銷售、售後服務、培訓、合作及其它諮詢活動，這爲××× 的應用奠定了廣闊市場。

×××（Virtual Private Network，虛擬私有網）是近年來隨着Internet 的廣泛應用而迅速發展起來的一種新技術，實現在公用網絡上構建私人專用網絡。“虛擬”主要指這種網絡是一種邏輯上的網絡。

 1. ××× 的特點                                                   

（1）、××× 有別於傳統網絡，它並不實際存在，而是利用現有公共網絡，通過資源配置而成的虛擬網絡，是一種邏輯上的網絡。

（2）、××× 只爲特定的企業或用戶羣體所專用。從××× 用戶角度看來，使用×××與傳統專網沒有區別。××× 作爲私有專網，一方面與底層承載網絡之間保持資源獨立性，即在一般情況下，××× 資源不會被承載網絡中的其它××× 或非該××× 用戶的網絡成員所使用；另一方面，××× 提供足夠安全性，確保×××內部信息不受外部的侵擾。

（3）、 ××× 不是一種簡單的高層業務。該業務建立專網用戶之間的網絡互聯，包括建立××× 內部的網絡拓撲、路由計算、成員的加入與退出等，因此××× 技術就比各種普通的點對點的應用機制要複雜得多。

 2. ××× 的優勢

（1）、在遠端用戶、駐外機構、合作伙伴、供應商與公司總部之間建立可靠的安全連接，保證數據傳輸的安全性。這一優勢對於實現電子商務或金融網絡與通訊網絡的融合將有特別重要的意義。

（2）、利用公共網絡進行信息通訊，一方面使企業以明顯更低的成本連接遠地辦事機構、出差人員和業務夥伴，另一方面極大的提高了網絡的資源利用率，有助於增加ISP（Internet Service Provider，Internet 服務提供商）的收益。

（3）、只需要通過軟件配置就可以增加、刪除 ××× 用戶，無需改動硬件設施。這使得××× 的應用具有很大靈活性。

（4）、支持駐外 ××× 用戶在任何時間、任何地點的移動接入，這將滿足不斷增長的移動業務需求。

（5）、構建具有服務質量保證的 ×××（如MPLS ×××），可爲××× 用戶提供不同等級的服務質量保證，通過收取不同的業務使用費用可獲得超額利潤。

二、××× 的分類

 1. 按運營模式劃分

   (1) CPE-based ×××

   (2) Network-based ×××（NBIP-×××）

2. 按隧道所屬的層次劃分

   根據是在 OSI 模型的第二層還是第三層實現隧道，隧道協議分爲第二層隧道協議和

第三層隧道協議。

(1) 第二層隧道協議

第二層隧道協議是將整個 PPP 幀封裝在內部隧道中。現有的第二層隧道協議有：（以下內容參考RFC）

l PPTP（Point-to-Point Tunneling Protocol）：點到點隧道協議。

l L2F（Layer 2 Forwarding）協議：二層轉發協議。

l L2TP（Layer 2 Tunneling Protocol）：二層隧道協議。

(2) 第三層隧道協議

第三層隧道協議的起點與終點均在 ISP 內，PPP 會話終止在NAS 處，隧道內只攜帶第三層報文。現有的第三層隧道協議主要有：

l GRE（Generic Routing Encapsulation）協議：這是通用路由封裝協議，用於實現任意一種網絡層協議在另一種網絡層協議上的封裝。

l IPSec（IP Security）協議：IPSec 協議不是一個單獨的協議，它給出了IP 網絡上數據安全的一整套體系結構。包括AH（Authentication Header）、ESP（Encapsulating Security Payload）、IKE（Internet Key Exchange）等協議。

GRE 和IPSec 主要用於實現專線××× 業務

(3) 第二、三層隧道協議之間的異同

3. 按業務用途劃分

 (1) Intranet ×××（企業內部虛擬專網）

 (2) Access ×××（遠程訪問虛擬專網）

 (3) Extranet ×××（擴展的企業內部虛擬專網）

4. 按組網模型劃分

 (1) 虛擬租用線（VLL）

(2) 虛擬專用撥號網絡（VPDN）

 (3) 虛擬專用LAN 網段（VPLS）業務

 (4) 虛擬專用路由網（VPRN）業務

 

三、          IPSec 協議簡介

IPSec 是一系列網絡安全協議的總稱，它是由IETF（Internet Engineering TaskForce，Internet 工程任務組）開發的，可爲通訊雙方提供訪問控制、無連接的完整性、數據來源認證、反重放、加密以及對數據流分類加密等服務。

IPSec 是網絡層的安全機制。通過對網絡層包信息的保護，上層應用程序即使沒有實現安全性，也能夠自動從網絡層提供的安全性中獲益。這打消了人們對×××（Virtual Private Network，虛擬專用網絡）安全性的顧慮，使得××× 得以廣泛應用。

IPSec 的配置包括：

l 創建加密訪問控制列表

l 定義安全提議

l 選擇加密算法與認證算法

l 創建安全策略

l 在接口上應用安全策略組

加密卡實現 IPSec 的配置包括：

l 創建加密訪問控制列表

l 配置加密卡

l 使能 VRP 主體軟件備份

l 定義安全提議

l 選擇加密算法與認證算法

l 創建安全策略

l 在接口上應用安全策略組

創建安全策略分爲：手工創建和用IKE創建安全策略聯盟

 

接下來的博客將分別來做ipsec手工配置安全策略、IKE動態獲得、野蠻模式下的ipsec安全策略隧道通信的相關實驗。請看博文“IPSEC在企業網中的應用（二）、（三）、（四）”。

 

更多內容請參考本人上傳的附件“×××相關知識”