ＩＰＳｅｃ隧道网关协议在阳泉教育城域网的应用.docVIP

ＩＰＳｅｃ隧道网关协议在阳泉教育城域网的应用 　　摘要：本文在比较目前常用的VPN技术的特点的基础上，介绍了在公共数据网络上应用IPSec隧道网关协议技术来实现相同教育部门之间的Internet互联的方法，并给出了IPSec隧道网关协议技术在教育城域网中的实现。 　　关键词：IPSec；VPN；虚拟专网；城域网 　　中图分类号：G642 文献标识码：A 　　文章编号：1672-5913(2007)18-0153-04 　　 　　1引言 　　 　　随着因特网的发展和宽带业务的增长，企业、政府利用因特网这个公用平台不受区域限制地建立自己的私有网络成为可能。然而，这种廉价便捷的组网方案同时也带来了安全性的问题。因为企业和政府部门的很多业务都通过因特网来进行，每天都有大量的数据通过网络传递；然而，由于历史原因，基于IP技术的因特网是不安全的，IP包本身并不继承任何安全特性，容易伪造出IP包的地址、修改其内容、重播以前的包以及在传输途中拦截并查看包的内容。 　　因此，必须有一种技术，既能利用因特网上传输信息的便利性和经济性 (相对于租用专线) ，又能保证信息传输过程中的安全性。在此背景下，VPN技术应运而生。VPN即虚拟专用网，指信息在公共网上的传输过程中必须对数据加密，接收方和发送方通过在公共网上建立一个虚拟的安全隧道来传输信息。 　　 　　2VPN技术的特点 　　 　　2.1VPN的优点 　　对于服务提供商来说，通过向用户提供VPN这种增值服务ISP可以与企业建立更加紧密的长期合作关系，同时充分利用现有网络资源提高业务量。 　　而对于用户而言，利用因特网组建私有网，可以将大笔的专线费用缩减为少量的市话费用和因特网费用。据报道，局域网互联费用可降低20-40%，而远程接入费用更可减少60~80%，这无疑是非常有吸引力的。VPN大大降低了网络复杂度，VPN用户的网络地址可以由企业内部进行统一分配。VPN组网的灵活方便等特性简化了企业的网络管理。另外，在VPN应用中，通过远端用户验证以及隧道数据加密等技术，保证了通过公用网络传输的私有数据的安全性。 　　2.2VPN的分类 　　VPN按使用技术的不同可分为：IPSec-VPN、MPLS-VPN、PPTP-VPN等；按其功能分可以分为：远程访问虚拟网Access，VPN、企业内部虚拟网Intranet VPN、企业扩展虚拟网Extranet VPN。 　　2.3MPLS VPN 　　MPLS VPN是一种基于MPLS (Multi protocol Label Switching，多协议标记交换) 技术的IP-VPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络 (IPVPN) ，可用来构造宽带的因特网、内部网，既满足灵活的业务需求，同时能够满足用户对信息传输安全性、实时性、宽频带、方便性的需要。 　　中国电信和中国网通在各自的宽带互联网上推出了基于多协议标记交换 (MPLS) 技术的IP-VPN业务，使得MPLSVPH的发展势头愈加强劲． 　　2.4IPSec技术 　　IPSec (Internet Protocol Security) 是因特网安全协议的简称，是因特网工程任务组 (IETF)开发的，它主要定义了IP数据包格式和相关基础结构，旨在为网络通信提供端到端的身份验证、完整性、反重播和保密性，它主要通过使用基于加密的保护服务、安全协议与动态密钥管理来实现。 　　(1) IPSec安全协议 　　IPSec使用AH和ESP两个协议为每个IP数据包提供安全保护，包括身份验证、完整性和机密性。AH可用来保证数据的完整性，提供反重播保护，并且确保主机的身份验证。ESP除了提供和AH相似的功能外，还提供了数据机密性保护。但AH和ESP协议均不提供实施安全功能的实际的加密算法，而是利用现有工业标准中的加密算法和身份验证算法。 　　IPSec协议既可保护一个完整的IP分组，又可以用来保护IPSec载荷中的上层协议。IPSec采用了两种模式来提供这两方面的保护：隧道模式和传输模式；AH和ESP协议均可用于这两种模式。 　　 　　1) IPSec传输模式用于实现q0对端安全通信，即源主机和目的主机之间实现完整的端对端通信保护。传输模式通过AH或ESP报头对IP有效荷载提供保护。 　　2) IPSec隧道模式用于实现路由器、网关之间的安全通信。隧道模式通过AH或ESP提供对整个IP数据包的保护。使用隧道模式时，将通过AH或ESP报头与其他IP报头来封装整个IP数据包。外部IP报头的IP地址是隧道的终点，封装的IP报头的IP地址是最终源地址与目标地址。 　　IPSec隧