IPSec VPN網關(guan)建立隧道

建立隧道說(shuo)起來(lai)簡單，VPN 網關，做起來(lai)不容易。如果兩(liang)個設(she)備(bei)都有合法的(de)(de)公網IP，VPN 網關報(bao)價，那么建立一個隧道是比較容易的(de)(de)。

如果一方在(zai)nat之后，那就比較麻煩了。一般通(tong)過(guo)(guo)(guo)內(nei)部的(de)vpn節點(dian)發起(qi)一個udp連接，再(zai)封裝(zhuang)一次ipsec，送到對方，因(yin)為(wei)udp可以(yi)通(tong)過(guo)(guo)(guo)防火墻(qiang)進行記(ji)憶，因(yin)此通(tong)過(guo)(guo)(guo)udp再(zai)封裝(zhuang)的(de)ipsec 包(bao)，可以(yi)通(tong)過(guo)(guo)(guo)防火墻(qiang)來回傳遞(di)。

建立隧(sui)道以后，就確定隧(sui)道路由，即(ji)到哪(na)里去，走哪(na)個隧(sui)道。很多VPN隧(sui)道配置的(de)時候，VPN 網關供應(ying)，就定義了保護(hu)網絡，這樣，隧(sui)道路由就根據保護(hu)的(de)網絡關系來決定。

但是(shi)這喪失(shi)了(le)一定(ding)的靈活性。所有的ipsec VPN展開來(lai)講，實現的無非就是(shi)以上幾個要點(dian)，具(ju)體各(ge)家公司(si)，VPN 網關公司(si)，各(ge)有各(ge)的做法。但是(shi)可(ke)以肯(ken)定(ding)，目前在市(shi)場銷(xiao)售的VPN，肯(ken)定(ding)都(dou)已(yi)經解決(jue)了(le)以上的問題。

IPsec操作

IPsec中需要兩種類型的數(shu)據包編碼(DPE)：身份驗(yan)證標頭(AH)和封裝安全(quan)負載(ESP)DPE。這些(xie)編碼為數(shu)據提(ti)(ti)供網絡級安全(quan)性，AH提(ti)(ti)供數(shu)據包的真實性和完(wan)整性，通過(guo)密(mi)鑰散列函數(shu)(也稱為MAC(消息驗(yan)證代碼))可以進行(xing)驗(yan)證，此標題還禁止修改，并可選擇(ze)提(ti)(ti)供反(fan)重(zhong)放安全(quan)性。

AH可以在多個主(zhu)機(ji)，多個網關或多個主(zhu)機(ji)和網關之間(jian)建立安(an)全性，所有這些(xie)都實(shi)現了AH ，ESP標(biao)頭提供加密(mi)，數(shu)據封裝和數(shu)據機(ji)密(mi)性。通(tong)過(guo)對(dui)稱密(mi)鑰(yao)提供數(shu)據機(ji)密(mi)性。

什么是IPsec?

IPsec(IP安全(quan)性)是一套協議，旨(zhi)在確保IP網(wang)絡上(shang)數據(ju)通(tong)信的完整性，機(ji)密性和身份驗證。雖然IPsec標準的靈活性已引起(qi)商業市場的興趣，但由(you)于其復雜性，導致識(shi)別協議存在若(ruo)干問題，與其他(ta)安全(quan)系統一樣(yang)，維護不良很容易(yi)導致關鍵系統故障(zhang)。

IPsec可用(yong)(yong)于(yu)三個不同(tong)的安(an)全(quan)(quan)域：虛擬(ni)網絡、應用(yong)(yong)程序級安(an)全(quan)(quan)性和路(lu)由(you)安(an)全(quan)(quan)性。目前，IPsec主要用(yong)(yong)于(yu)VPN，當(dang)在(zai)應用(yong)(yong)程序級安(an)全(quan)(quan)性或路(lu)由(you)安(an)全(quan)(quan)性中使(shi)用(yong)(yong)時(shi)，IPsec不是一(yi)個完整的解決方案，必須與其他安(an)全(quan)(quan)措施結(jie)合才能(neng)發揮其有效作用(yong)(yong)。