IPSec VPN網關VPN節點(dian)

一個(ge)VPN節點，可能是(shi)(shi)一臺VPN網關，也可能是(shi)(shi)一個(ge)客戶端軟件。在VPN組網中間(jian)，屬于組網的一個(ge)通(tong)訊(xun)節點。它應該能夠連接(jie) Internet，IPSec VPN，有可能是(shi)(shi)直接(jie)連接(jie)，比如adsl、電話撥號等(deng)(deng)等(deng)(deng)，也可能是(shi)(shi)通(tong)過nat方式，例(li)如：小區(qu)寬帶、cdma上網、鐵通(tong)線路等(deng)(deng)等(deng)(deng)。VPN隧道：在兩個(ge)vpn節點之間(jian)建立的一個(ge)虛擬鏈路通(tong)道。

兩(liang)個設備內部的(de)網絡(luo)，能夠通過(guo)這個虛擬的(de)數據鏈路到(dao)達對(dui)方。與(yu)此相關的(de)信息是當時兩(liang)個VPN節點(dian)的(de)IP地(di)址，隧道(dao)名稱(cheng)、雙方的(de)密鑰。

IPsec的缺點

在某些情況下，不可以進行(xing)直(zhi)接的端(duan)到端(duan)通信(即傳(chuan)輸模式(shi))。舉一(yi)個(ge)簡單示例，其中H1和H2是一(yi)個(ge)直(zhi)接隧(sui)道(dao)上的兩個(ge)主機，H1使用防火墻稱為FW1。

在大型分布式系統或(huo)域(yu)間環境中，IPSec VPN報價，多樣化的(de)區域(yu)安全策略實施可能會(hui)給端到端通信(xin)帶來(lai)嚴(yan)重的(de)問題。在上面的(de)示例中，假設FW1需要檢(jian)查(cha)流量內(nei)容以進行檢(jian)測，并(bing)且在FW1設置策略以拒絕(jue)所有(you)加密(mi)流量以強(qiang)制執行其內(nei)容檢(jian)查(cha)要求。

然而(er)(er)，H1和(he)H2構建直接隧道而(er)(er)不了解防火墻及其策略規則(ze)的存在(zai)。因(yin)此，所(suo)有(you)流量將被FW1丟棄，該場景顯示每個策略滿(man)足其相應的要求，而(er)(er)所(suo)有(you)策略一起可(ke)能導致沖突。

IPSec VPN網關建立隧道

建(jian)立(li)隧道說起來簡單，做起來不容(rong)易。如果兩個設備都(dou)有合(he)法的公網IP，那么(me)建(jian)立(li)一個隧道是比較容(rong)易的。

如果一方在nat之后，那(nei)就比較麻煩了。一般(ban)通過(guo)內部的vpn節點發起一個udp連接，再封裝(zhuang)一次(ci)ipsec，送到對方，因為(wei)udp可以通過(guo)防(fang)火墻進(jin)行記(ji)憶，因此通過(guo)udp再封裝(zhuang)的ipsec 包，可以通過(guo)防(fang)火墻來回傳(chuan)遞。

建立隧道(dao)(dao)(dao)以后，就(jiu)確(que)定隧道(dao)(dao)(dao)路(lu)由(you)，即到哪里去，走哪個(ge)隧道(dao)(dao)(dao)。很多VPN隧道(dao)(dao)(dao)配(pei)置(zhi)的(de)時(shi)候(hou)，IPSec VPN哪家好，就(jiu)定義了(le)保護(hu)網絡，這樣，隧道(dao)(dao)(dao)路(lu)由(you)就(jiu)根據保護(hu)的(de)網絡關系來決定。

但(dan)(dan)是這喪失了(le)一定(ding)的(de)(de)靈活性。所(suo)有的(de)(de)ipsec VPN展開來(lai)講，實現的(de)(de)無非就是以(yi)(yi)上(shang)幾(ji)個要點，具體各家公司，IPSec VPN供應(ying)，各有各的(de)(de)做法。但(dan)(dan)是可以(yi)(yi)肯定(ding)，目前(qian)在市(shi)場銷(xiao)售的(de)(de)VPN，肯定(ding)都已經解決了(le)以(yi)(yi)上(shang)的(de)(de)問題(ti)。