徐昆良　吳蔓

摘要：該文詳細(xì)介紹了IPsec協(xié)議和VPN技術(shù)，結(jié)合云南某連鎖企業(yè)，設(shè)計(jì)并構(gòu)建了企業(yè)內(nèi)部虛擬專用網(wǎng)絡(luò)方案。該方案投入的成本低，安全性較高，是其他技術(shù)不可比擬的。

關(guān)鍵詞：IPsec VPN應(yīng)用 網(wǎng)絡(luò)方案

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）14-0052-02

Abstract：This paper introduces the IPsec protocol and VPN technology， combined with a chain enterprise in Yunnan， design and build the enterprise internal virtual private network scheme. The cost of the scheme is low， the security is higher， and it is incomparable to other technology.

Keywords：IPsec，VPN application，Network scheme

隨著經(jīng)濟(jì)的發(fā)展，企業(yè)規(guī)模逐漸變大，便出現(xiàn)了許多連鎖企業(yè)，企業(yè)內(nèi)部、企業(yè)間傳遞的信息比較多，如何保障通信的高效性和安全性是企業(yè)及其關(guān)注的問(wèn)題。企業(yè)內(nèi)部、企業(yè)伙伴如果使用公用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的傳輸，安全性較低，而如果使用運(yùn)營(yíng)商提供的專線進(jìn)行連接，就需要大量的物理光纖來(lái)鋪設(shè)網(wǎng)絡(luò)，開(kāi)銷比較大，而且企業(yè)分支機(jī)構(gòu)分布在不同的地理區(qū)域上，要鋪設(shè)光纖，實(shí)施是比較困難。

VPN作為解決網(wǎng)絡(luò)通信的安全性和在開(kāi)放的公用網(wǎng)絡(luò)中實(shí)現(xiàn)異地網(wǎng)絡(luò)之間的虛擬連接的技術(shù)，受到了許多企業(yè)的廣泛使用。特別是基于IPsec的VPN技術(shù)，解決了廣域網(wǎng)上存在的被竊聽(tīng)、被隨意修改、被冒充的風(fēng)險(xiǎn)等各種安全隱患。

1 IPsec概述

IPsec（IP Security）是一種框架協(xié)議，它是由IETF為制定的，能夠保證數(shù)據(jù)在Internet上安全保密進(jìn)行傳送，是三層隧道加密協(xié)議[1-3]。

IPsec把幾種安全技術(shù)結(jié)合到一起，包括驗(yàn)證頭（AH）、封裝安全載荷（ESP）、Internet安全關(guān)聯(lián)、密鑰管理協(xié)議ISAKMP的Internet IP安全解釋域（DOI）、ISAKMP、Internet密鑰交換協(xié)議等。如圖1所示，形成了一個(gè)較為完整的體系[4-5]。

它確保在IP網(wǎng)絡(luò)中傳輸?shù)腎P報(bào)文的安全，保證了IP報(bào)文的機(jī)密性、完整性以及源發(fā)性。同時(shí)，它的靈活性較好，成本較低。

2 虛擬專用網(wǎng)（VPN）原理

VPN（Virtual Private Network），虛擬專用網(wǎng)絡(luò)，是在公用網(wǎng)絡(luò)的基礎(chǔ)上建立起來(lái)的專用網(wǎng)絡(luò)，通過(guò)特殊的加密的通訊協(xié)議為Internet上位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專用的通訊線路，就好像是在X城市的總公司和Z城市的分公司之間架設(shè)了一條本公司才能用的專用網(wǎng)絡(luò)線路，但是它并不需要真正的鋪設(shè)光纜之類的物理線路。這種技術(shù)，是規(guī)劃企業(yè)網(wǎng)絡(luò)最好的選擇，能夠保證企業(yè)間進(jìn)行安全、快捷的通訊?；驹砣鐖D2所示，展示了VPN網(wǎng)絡(luò)的一般布局[6-11]。

3 VPN的應(yīng)用實(shí)例

以云南某連鎖企業(yè)內(nèi)部虛擬專用網(wǎng)絡(luò)VPN為例，構(gòu)建網(wǎng)絡(luò)，如圖3所示。

A為此企業(yè)總部的局域網(wǎng)，該企業(yè)總部在云南，B為該企業(yè)某一個(gè)分部的局域網(wǎng)，該分公司在北京，C為該企業(yè)的另一個(gè)分部局域網(wǎng)，該分部在四川，D也為該企業(yè)的一個(gè)分部局域網(wǎng)，該分部在上海。各網(wǎng)內(nèi)假定均使用私有的IP地址，假設(shè)內(nèi)部私有地址分配如下表所示。

4 結(jié)論

本文構(gòu)建了一個(gè)企業(yè)網(wǎng)絡(luò)，在模擬環(huán)境中實(shí)現(xiàn)了網(wǎng)絡(luò)通信，解決了企業(yè)間通信存在被竊聽(tīng)或是惡意竊取的問(wèn)題，優(yōu)化了網(wǎng)絡(luò)，為企業(yè)通信提供了一個(gè)安全、方便、低成本的網(wǎng)絡(luò)環(huán)境?？傮w來(lái)說(shuō)，基于IPsec協(xié)議的VPN技術(shù)對(duì)于企業(yè)來(lái)說(shuō)是一個(gè)不錯(cuò)的選擇。

參考文獻(xiàn)

[1]肖波.基于IPSec協(xié)議的安全聯(lián)盟設(shè)計(jì)及其應(yīng)用[D].重慶：重慶大學(xué)，2013.

[2]王妍.基于IPSec的VPN系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].成都：電子科技大學(xué)，2013.

[3]楊曉紅，杜學(xué)繪，曹利峰.基于隱式安全標(biāo)記的IPsec研究[J].計(jì)算機(jī)工程，2011，37（13）：109-112.

[4]羅偉潮.基于IPSec-VPN的數(shù)字證書(shū)認(rèn)證技術(shù)的研究與實(shí)現(xiàn)[D].廣州：華南理工大學(xué)，2013.

[5]李石磊.基于IPsec協(xié)議的VPN代理網(wǎng)關(guān)系統(tǒng)的研究與實(shí)現(xiàn)[D].山西：太原理工大學(xué)，2013.

[6]池卓軒.VPN 技術(shù)在企業(yè)應(yīng)用中的研究[D].廣州：華南理工大學(xué)，2011.

[7]高博，趙映紅.虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)應(yīng)用與實(shí)踐[J].水科學(xué)與工程技術(shù)，2014，03：93-96.

[8]金汗均等.VPN虛擬專用網(wǎng)絡(luò)安全實(shí)踐教程[M].北京：北京大學(xué)出版社，2010：74-89.

[9]王占京，張麗諾，雷波.VPN網(wǎng)絡(luò)技術(shù)與業(yè)務(wù)應(yīng)用[M].北京：國(guó)防工業(yè)出版社，2012：94-127.

[10]王麗娜，劉炎，何軍.基于IPSec和GRE的VPN實(shí)驗(yàn)仿真[J].實(shí)驗(yàn)室研究與探索，2013，32（09）：70-75.

[11]舒明磊，譚成翔，譚博.一種基于IKE協(xié)議的移動(dòng)VPN安全通信方案[J].計(jì)算機(jī)科學(xué)，2010，37（05）：84-86.