可路由,vpn协议.docVIP

可路由,vpn协议 篇一：VPN技术及应用 引言 随着信息技术的迅猛发展，Internet的接入用户也越来越多．Internet是建立在TCP／IP协议基础上的开放的分组交换网，由于其在设计之初缺乏安全考虑，导致目前Internet的安全性能严重不足．网络上的IP数据包几乎都用明文传输，非常容易遭到窃听、篡改等，因此，如何实现高效、安全的通讯已成为用户日渐关心的问题．虚拟专用网(Virtual Private Network，简称VPN)为企业提供了一种集专网的安全性和公网的经济、方便于一体的有效解决方案，服务商也相继推出了基于VPN 的各种业务．在各种网络安全解决方案中，IETF于1998年推出的IPSec协议有独特的优势，它为IPv4和IPv6提供了可交互的基于加密的高质量的安全性．IPSee在IP层上提供访问控制、数据完整性、数据源认证和抗重放攻击等安全服务．可以说，IPSec安全体系结构是目前唯一可以在任何形式的网络通信中提供安全保护的协议，并且是最易于扩充、最完整的一种基础网络安全方案．鉴于此，有必要对基于IPSec协议的VPN技术做相关的探讨及研究． 1 VPN技术 1.1 VPN概念 VPN（Virtual Private Network）翻译成中文就是虚拟专用网络。它是在公共通信基础设施上构建的虚拟专用或私有网，可以被认为是一种从公共网络中隔离出来的网络。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或操作系统等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。 虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济 有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 1.2 VPN的产生背景 VPN的产生是伴随着企业全球化而进行的。随着Internet的商业化，大量的企业的内部网络与Internet相连，随着企业全球化的发展，不同地区企业内部的网络需要互联。以往传统的方式是通过租用专线实现的。出差在外的人员如果需要访问公司内部的网络，以往不得不采用长途拨号的方式连接到企业所在地的内部网。这些连接方式的价格非常昂贵，一般只有大型的企业可以承担。同 时造成网络的重复建设和投资。Internet的发展，推动了采用基于公网的虚拟专用网的发展，从而使跨地区的企业的不同部门之间，或者政府的不同部门之间通过公共网络实现互联成为可能，可以使企业节省大量的通信费用和资金，也可以使政府部门不重复建网。这些新的业务需求给公共网络的经营者提供了巨大的商业机会。但是，如何保证企业内部的数据通过公共网络传输的安全性和保密性，以及如何管理企业网在公共网络的不同节点，成为企业非常关注的问题。VPN采用专用的网络加密和通信协议，可以使企业在公共网络上建立虚拟的加密通道，构筑自己的安全的虚拟专网。企业的跨地区的部门或出差人员可以从远程经过公共网络，通过虚拟的加密通道与企业内部的网络连接，而公共网络上的用户则无法穿过虚拟通道访问企业的内部网络。 1.3 发展VPN的原因 主要有两个原因: (1) Ip地址匮乏,成本昂贵。 (2) 企业通过公网实现跨地域的系统互联必然面临安全问题。使用公用网络会导致机构间的传输信息容易被窃取,同时攻击者有可能通过公网对机构的内部网络实施攻击,因此,我们不能担保收到的IP数据报:来自原先要求的发送方( IP头内的源地址);包含的是发送方当初放在其中的原始数据;原始数据在传输中途未被其他人看过。因此需要在企业间建立安全的数据通道,该通道应具备以下的基本安全要素:提供数据起源地验证;完整性验证;数据内容的机密性;抗重播保护。而VPN就能有效解决这些安全问题。 1.4 VPN的技术原理 VPN是IETF支持的标准之一，它是第三层即IP层的加密。IPSec VPN不是某种特殊的加密算法或