[摘要] 本文通過對IPSec VPN的介紹,提出對服務質(zhì)量,網(wǎng)絡可靠性要求較低,對價格敏感,并且地點分散,人員分散,對線路的保密和可用性有一定要求的企業(yè)采用IPSec VPN進行組網(wǎng)的解決方案,并介紹了具體的設計方法和實現(xiàn)步驟。

　　[關(guān)鍵詞] IPSec VPN 網(wǎng)絡組建 虛擬專用網(wǎng)

　　[Abstract] Based on the description of IPSec VPN, this article points out the networking solutions with IPSec VPN for some enterprises which have certain requirements in quality of service, network reliability low price-sensitive, and locations scattered, dispersed staff, confidentiality and availability of line, and introduces the design and implementation of concrete steps.

　　[Keywords] IPSec VPN network creating a virtual private network

　　1 引言

　　隨著互聯(lián)網(wǎng)服務的廣泛應用和國家信息化建設的推進,越來越多的企業(yè)機構(gòu)都紛紛將自己的業(yè)務逐步遷移到互聯(lián)網(wǎng)上,以達到資源整合、資源共享,提高工作效率以及響應速度的目的。各個企業(yè)與他們的分支機構(gòu)之間聯(lián)系越來越緊密,需要把分布在全國的各個分支機構(gòu)或者辦事處通過廣域網(wǎng)連接起來,但是租用專線的費用是很多企業(yè)無法承受的,同時,在公用的數(shù)據(jù)網(wǎng)上傳輸數(shù)據(jù)信息并不是特別的安全。為了解決這兩個問題,可以考慮使用IPSec VPN技術(shù)。

　　2 IPSec VPN 技術(shù)介紹

　　IPSec是基于一種開放的網(wǎng)絡安全協(xié)議體系,該體系結(jié)構(gòu)包括認證頭協(xié)議(Authentication Header,簡稱為AH)、封裝安全負載協(xié)議(Encapsulating Security Payload,簡稱為ESP)、密鑰管理協(xié)議(Internet Key Exchange,簡稱為IKE)和用于網(wǎng)絡認證及加密的一些算法等。其規(guī)定了如何在對等體之間選擇安全協(xié)議、確定安全算法和密鑰交換,向上提供了訪問控制、數(shù)據(jù)源認證、數(shù)據(jù)加密等網(wǎng)絡安全服務。業(yè)務數(shù)據(jù)流通過IPSec加密,IPSec能夠提供服務器及客戶端的雙向身份認證,并且為IP及其上層業(yè)務數(shù)據(jù)提供安全加密保護,能夠支持數(shù)據(jù)加密(包括常見的DES、3DFS、AES加密算法),數(shù)據(jù)完整性驗證,數(shù)據(jù)身份驗證,以及防重放等功能,充分保證業(yè)務數(shù)據(jù)的安全性。IPSec VPN利用Internet構(gòu)建三層隧道VPN的方式,可以允許用戶以任意方式接入VPN,并且不受地理因素的限制。

　　同時,IPSec VPN技術(shù)可以隱藏公司內(nèi)部的網(wǎng)絡拓撲結(jié)構(gòu)圖,加密需要傳輸?shù)臄?shù)據(jù),從而做到即使傳輸?shù)臄?shù)據(jù)在公網(wǎng)上給其它用戶攔截到時,他們也不能通過IP包來獲取公司內(nèi)部的網(wǎng)絡IP地址及了解到內(nèi)部的網(wǎng)絡拓撲結(jié)構(gòu)圖,經(jīng)過加密的數(shù)據(jù),沒有專門的解密工具一般的用戶是不可能知道所傳輸?shù)臄?shù)據(jù)包的內(nèi)容。使用IPSec VPN的網(wǎng)絡拓撲圖如下圖所示:

　　3 IPSec VPN的設計

　　a、設備選擇:

　　路由器選用Cisco公司的2821路由器,總部路由器上連接Internet的模塊采用光纖模塊,分支機構(gòu)的Internet模塊根據(jù)實際情況定,但是要求具有Nat轉(zhuǎn)換功能。交換機采用Cisco的2960交換機。

　　用一臺Cisco路由器模擬互聯(lián)網(wǎng),在分支機構(gòu)的路由器上做動態(tài)NAT轉(zhuǎn)換,用于分支機構(gòu)的電腦接入到Internet。在總部路由器上做IPSec VPN的配置,用于各個分支機構(gòu)安全訪問服務器。服務器用于模擬企業(yè)的應用服務,而筆記本用于模擬分支機構(gòu)的用戶及其移動辦公的人員。