[摘要] 本文通过对IPSec VPN的介绍,提出对服务质量,网络可靠性要求较低,对价格敏感,并且地点分散,人员分散,对线路的保密和可用性有一定要求的企业采用IPSec VPN进行组网的解决方案,并介绍了具体的设计方法和实现步骤。

　　[关键词] IPSec VPN 网络组建 虚拟专用网

　　[Abstract] Based on the description of IPSec VPN, this article points out the networking solutions with IPSec VPN for some enterprises which have certain requirements in quality of service, network reliability low price-sensitive, and locations scattered, dispersed staff, confidentiality and availability of line, and introduces the design and implementation of concrete steps.

　　[Keywords] IPSec VPN network creating a virtual private network

　　1 引言

　　随着互联网服务的广泛应用和国家信息化建设的推进,越来越多的企业机构都纷纷将自己的业务逐步迁移到互联网上,以达到资源整合、资源共享,提高工作效率以及响应速度的目的。各个企业与他们的分支机构之间联系越来越紧密,需要把分布在全国的各个分支机构或者办事处通过广域网连接起来,但是租用专线的费用是很多企业无法承受的,同时,在公用的数据网上传输数据信息并不是特别的安全。为了解决这两个问题,可以考虑使用IPSec VPN技术。

　　2 IPSec VPN 技术介绍

　　IPSec是基于一种开放的网络安全协议体系,该体系结构包括认证头协议(Authentication Header,简称为AH)、封装安全负载协议(Encapsulating Security Payload,简称为ESP)、密钥管理协议(Internet Key Exchange,简称为IKE)和用于网络认证及加密的一些算法等。其规定了如何在对等体之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。业务数据流通过IPSec加密,IPSec能够提供服务器及客户端的双向身份认证,并且为IP及其上层业务数据提供安全加密保护,能够支持数据加密(包括常见的DES、3DFS、AES加密算法),数据完整性验证,数据身份验证,以及防重放等功能,充分保证业务数据的安全性。IPSec VPN利用Internet构建三层隧道VPN的方式,可以允许用户以任意方式接入VPN,并且不受地理因素的限制。

　　同时,IPSec VPN技术可以隐藏公司内部的网络拓扑结构图,加密需要传输的数据,从而做到即使传输的数据在公网上给其它用户拦截到时,他们也不能通过IP包来获取公司内部的网络IP地址及了解到内部的网络拓扑结构图,经过加密的数据,没有专门的解密工具一般的用户是不可能知道所传输的数据包的内容。使用IPSec VPN的网络拓扑图如下图所示:

　　3 IPSec VPN的设计

　　a、设备选择:

　　路由器选用Cisco公司的2821路由器,总部路由器上连接Internet的模块采用光纤模块,分支机构的Internet模块根据实际情况定,但是要求具有Nat转换功能。交换机采用Cisco的2960交换机。

　　用一台Cisco路由器模拟互联网,在分支机构的路由器上做动态NAT转换,用于分支机构的电脑接入到Internet。在总部路由器上做IPSec VPN的配置,用于各个分支机构安全访问服务器。服务器用于模拟企业的应用服务,而笔记本用于模拟分支机构的用户及其移动办公的人员。

　　4 IPSec VPN 实现

　　(1)、基本配置

　　总部路由器R1配置:

　　ena

　　conf t

　　int fa0/0

　　ip add 10.0.1.254 255.255.255.0

　　no shut

　　exit

　　int fa0/1

　　ip add 125.66.2.2 255.255.255.0

　　no shut

　　exit

　　ip route 0.0.0.0 0.0.0.0 125.66.2.1

　　模拟互联网R2配置:

　　ena

　　conf t

　　int fa0/0

　　ip add 122.66.2.1 255.255.255.0

　　no shut

　　exit

　　int fa0/1

　　ip add 125.66.2.1 255.255.255.0

利用ipsec VPN构建中小型企业网络的设计与实现