基于IPsec協(xié)議的VPN應(yīng)用研究

徐昆良　吳蔓

摘要：該文詳細介紹了IPsec協(xié)議和VPN技術(shù)，結(jié)合云南某連鎖企業(yè)，設(shè)計并構(gòu)建了企業(yè)內(nèi)部虛擬專用網(wǎng)絡(luò)方案。該方案投入的成本低，安全性較高，是其他技術(shù)不可比擬的。

關(guān)鍵詞：IPsec VPN應(yīng)用 網(wǎng)絡(luò)方案

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）14-0052-02

Abstract：This paper introduces the IPsec protocol and VPN technology， combined with a chain enterprise in Yunnan， design and build the enterprise internal virtual private network scheme. The cost of the scheme is low， the security is higher， and it is incomparable to other technology.

Keywords：IPsec，VPN application，Network scheme

隨著經(jīng)濟的發(fā)展，企業(yè)規(guī)模逐漸變大，便出現(xiàn)了許多連鎖企業(yè)，企業(yè)內(nèi)部、企業(yè)間傳遞的信息比較多，如何保障通信的高效性和安全性是企業(yè)及其關(guān)注的問題。企業(yè)內(nèi)部、企業(yè)伙伴如果使用公用網(wǎng)絡(luò)進行數(shù)據(jù)的傳輸，安全性較低，而如果使用運營商提供的專線進行連接，就需要大量的物理光纖來鋪設(shè)網(wǎng)絡(luò)，開銷比較大，而且企業(yè)分支機構(gòu)分布在不同的地理區(qū)域上，要鋪設(shè)光纖，實施是比較困難。

VPN作為解決網(wǎng)絡(luò)通信的安全性和在開放的公用網(wǎng)絡(luò)中實現(xiàn)異地網(wǎng)絡(luò)之間的虛擬連接的技術(shù)，受到了許多企業(yè)的廣泛使用。特別是基于IPsec的VPN技術(shù)，解決了廣域網(wǎng)上存在的被竊聽、被隨意修改、被冒充的風險等各種安全隱患。

1 IPsec概述

IPsec（IP Security）是一種框架協(xié)議，它是由IETF為制定的，能夠保證數(shù)據(jù)在Internet上安全保密進行傳送，是三層隧道加密協(xié)議[1-3]。

IPsec把幾種安全技術(shù)結(jié)合到一起，包括驗證頭（AH）、封裝安全載荷（ESP）、Internet安全關(guān)聯(lián)、密鑰管理協(xié)議ISAKMP的Internet IP安全解釋域（DOI）、ISAKMP、Internet密鑰交換協(xié)議等。如圖1所示，形成了一個較為完整的體系[4-5]。

它確保在IP網(wǎng)絡(luò)中傳輸?shù)腎P報文的安全，保證了IP報文的機密性、完整性以及源發(fā)性。同時，它的靈活性較好，成本較低。

2 虛擬專用網(wǎng)（VPN）原理

VPN（Virtual Private Network），虛擬專用網(wǎng)絡(luò)，是在公用網(wǎng)絡(luò)的基礎(chǔ)上建立起來的專用網(wǎng)絡(luò)，通過特殊的加密的通訊協(xié)議為Internet上位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專用的通訊線路，就好像是在X城市的總公司和Z城市的分公司之間架設(shè)了一條本公司才能用的專用網(wǎng)絡(luò)線路，但是它并不需要真正的鋪設(shè)光纜之類的物理線路。這種技術(shù)，是規(guī)劃企業(yè)網(wǎng)絡(luò)最好的選擇，能夠保證企業(yè)間進行安全、快捷的通訊。基本原理如圖2所示，展示了VPN網(wǎng)絡(luò)的一般布局[6-11]。

3 VPN的應(yīng)用實例

以云南某連鎖企業(yè)內(nèi)部虛擬專用網(wǎng)絡(luò)VPN為例，構(gòu)建網(wǎng)絡(luò)，如圖3所示。

A為此企業(yè)總部的局域網(wǎng)，該企業(yè)總部在云南，B為該企業(yè)某一個分部的局域網(wǎng)，該分公司在北京，C為該企業(yè)的另一個分部局域網(wǎng)，該分部在四川，D也為該企業(yè)的一個分部局域網(wǎng)，該分部在上海。各網(wǎng)內(nèi)假定均使用私有的IP地址，假設(shè)內(nèi)部私有地址分配如下表所示。

4 結(jié)論

本文構(gòu)建了一個企業(yè)網(wǎng)絡(luò)，在模擬環(huán)境中實現(xiàn)了網(wǎng)絡(luò)通信，解決了企業(yè)間通信存在被竊聽或是惡意竊取的問題，優(yōu)化了網(wǎng)絡(luò)，為企業(yè)通信提供了一個安全、方便、低成本的網(wǎng)絡(luò)環(huán)境?？傮w來說，基于IPsec協(xié)議的VPN技術(shù)對于企業(yè)來說是一個不錯的選擇。

參考文獻

[1]肖波.基于IPSec協(xié)議的安全聯(lián)盟設(shè)計及其應(yīng)用[D].重慶：重慶大學(xué)，2013.

[2]王妍.基于IPSec的VPN系統(tǒng)設(shè)計與實現(xiàn)[D].成都：電子科技大學(xué)，2013.

[3]楊曉紅，杜學(xué)繪，曹利峰.基于隱式安全標記的IPsec研究[J].計算機工程，2011，37（13）：109-112.

[4]羅偉潮.基于IPSec-VPN的數(shù)字證書認證技術(shù)的研究與實現(xiàn)[D].廣州：華南理工大學(xué)，2013.

[5]李石磊.基于IPsec協(xié)議的VPN代理網(wǎng)關(guān)系統(tǒng)的研究與實現(xiàn)[D].山西：太原理工大學(xué)，2013.

[6]池卓軒.VPN 技術(shù)在企業(yè)應(yīng)用中的研究[D].廣州：華南理工大學(xué)，2011.

[7]高博，趙映紅.虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)應(yīng)用與實踐[J].水科學(xué)與工程技術(shù)，2014，03：93-96.

[8]金汗均等.VPN虛擬專用網(wǎng)絡(luò)安全實踐教程[M].北京：北京大學(xué)出版社，2010：74-89.

[9]王占京，張麗諾，雷波.VPN網(wǎng)絡(luò)技術(shù)與業(yè)務(wù)應(yīng)用[M].北京：國防工業(yè)出版社，2012：94-127.

[10]王麗娜，劉炎，何軍.基于IPSec和GRE的VPN實驗仿真[J].實驗室研究與探索，2013，32（09）：70-75.

[11]舒明磊，譚成翔，譚博.一種基于IKE協(xié)議的移動VPN安全通信方案[J].計算機科學(xué)，2010，37（05）：84-86.