您好!欢迎光临云杰通信官网,本公司专业提供企业网络优化、企业MPLS组网、SD-WAN加速上网等网络专线接入服务。
服务热线:13631779516

企业网络优化专家

智能网络互联综合解决方案

行业知识 NEWS

云杰通信助您了解行业,全方位掌握国际互联网最新资讯

您当前的位置:首页 > 资讯中心 > 行业知识

IPSEC组网技术简介

2021-05-17 17:15云杰小编阅读:90

IPSEC组网技术简介

随着Internet上商务活动的日益频繁,各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网,从而大大简化信息交流的途径,加快信息交换的速度。这些合作和联系是动态的,并依靠网络来维持和加强,于是各企业发现,这样的信息交流不但带来了网络的复杂性,还带来了管理和安全性的问题。由于Internet是一个全球性和开放性的、基于TCP/IP 技术的、不可管理的国际互联网络,因此,基于Internet的商务活动就面临非善意的信息威胁和安全隐患。还有一类用户,随着自身的发展壮大与跨国化,企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容也更为普遍。因此,用户的信息技术部门在连接分支机构方面也感到日益棘手,用户的需求直接导致虚拟专用网络(VPN)技术的出现,使通过公共网(如Internet)进行安全的数据传输成为可能[1]。VPN的组网协议很多,包括IPSec、PPTP、L2TP、SSL/SSH、MPLS等。IP安全(IPSec)协议是Internet工程任务组(IETF)建议的开放工业标准框架[2],目前已成为构建VPN的主流。

IPSec VPN技术

利用IPSec协议构建VPN是指:利用实现IPSec协议的安全网关(Security Gateway)充当边界路由器,完成安全的远程接入和在广域网上内部网络的专线互联等功能。

1.IPSec VPN技术简介

IPSec在网络层起作用,为无保护Internet上敏感数据的对等传输提供了各种安全保护措施,包括数据源地址验证、无连接数据的完整性验证、数据内容的机密性、抗重播保护、有限的数据流机密性保证等,这些服务是可选的。

IPSec主要采取了AH(Authentication Header)和ESP(Encapsulating Security Payload)对IP层数据包或上层协议进行保护。AH可以用来验证数据源地址、确保数据包的完整性以及防止相同数据包的不断重播;ESP不但能提供AH的所有功能,而且还可以提供对数据机密性的保护。AH和ESP是实现IPSec的两种基本方法,两者可以单独使用,也可联合使用,可以对不同的需要定义不同级别的安全保护。

IPSec提供两种操作模式:隧道模式,它对传经不安全的链路或Internet的专用IP内部数据包进行加密和封装(此种模式适于有NAT的环境)。传输模式,直接对IP负载加密(适于无NAT的环境),前一种模式应用更普遍[3]。

2. IPSec VPN的技术优势

(1) 为数据的安全传输提供了身份验证、完整性、机密性等措施,另外它的查验和安全性功能与它的密钥管理系统松散耦合。因此,如果未来的密钥管理系统发生变化时,IPSec的安全机制不需要进行修改。

(2) 端到端的IPSec VPN专线租费会比PVC专线的租费低很多。据估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%~45%。

(3) 远程接入IPSec VPN接入成本由于只考虑本地拨号和VPN隧道占用费,要比长途电话费用低很多。据估算,采用VPN则可以节约通信成本50%~80%。

3.IPSec VPN的技术不足

(1)在传输过程中其自身仍无法保证数据传输的质量,只是“best of effort”传送。

(2)由于数据经过了加、解密运算,对数据包的转发效率等网络性能会有些影响。

(3)在IPv4的网络组织中,需考虑与NAT冲突问题。

三 IPSec VPN业务部署模式

结合IPsec技术特点及传统电信业务运营方式,提出两种可运营的IPsec VPN业务模式。

1.端到端的IPSec VPN业务模式

采用IPSec技术充分利用已有丰富IP公网资源为用户提供端到端的、透明的安全虚拟专线,而它的价格要比PVC等专线便宜很多,这样为用户专网的组建提供了又一种可选的方案。

端到端的VPN虚拟业务增值业务模式从部署的规模上可分为两个级别:

(1)通信运营商级端到端的IP骨干网边缘VPN综合接入模式:为各行各业的用户提供各种链路的VPN专线业务。

(2)企业级的端到端模式:实现本企业总部与分支机构、商业客户、合作伙伴间VPN隧道,公司内部重要部门之间网络安全,在这里建议采用分级、分权、集中、统一、综合的IP VPN业务网络管理系统。

当IPSec用于VPN网关时,就可以建立虚拟专用网。在VPN网关的连内部网的一端是一个受保护的内部网络,另一端则是不安全的外部公共网络。两个这样的VPN网关建立起一个安全通道,数据就可以通过这个通道从一个本地的保护子网发送到一个远程的保护子网,这就形成了一条VPN。在这个VPN中,每一个具有IPSec的VPN网关都是一个网络聚合点,试图对VPN进行通信分析将会失败。目的是VPN的所有通信都经过网关上的SA来定义加密或认证的算法和密钥等参数,即从VPN的一个网关出来的数据包只要符合安全策略,就会用相应的SA来加密或认证(加上AH或ESP报头)。

在实际部署端到端的VPN专线时需要考虑到如下几个关键的技术问题:VPN网关与现有防火墙的位置关系;VPN与NAT共存的关系;VPN保护内部以太交换网络的方案。可以预见,IPSec VPN专线业务将是一项竞争潜力巨大的可运营的电信IP增值业务。其资费政策可以参考PVC业务的资费政策,比如取PVC的50%。

2.远程接入VPN Client业务模式

目前对于许多企业的内部网络资源员工只能在内部网络上时才可以访问,而当员工出差时就无法对其进行访问,针对这一现状提出了允许移动用户安全访问内部网络资源的远程VPN Client接入业务模式。移动用户采用VPN Clinet访问公司内部网,既允许远程拨号连接,又防止未授权访问和数据被截获、偷听。首先PPP拨号同当地ISP的NAS建立连接,然后启动VPN Client同公司的VPN网关的Untrusted端口进行初始化ISAKMP SA,当ISAKMP SA生成并通过认证后,VPN网关和Client初始化IKE模式配置;当Client获得来自网关的动态IP后,Client从网关装载IPsec SA,前提是Client与网关的数据加密算法必须一致。IPSec隧道协议,用户需要二次拨号。这种模式使得VPN非常灵活,使得用户将Internet作为了自己的私有网络。在用户接入之后,要对用户进行访问控制过滤,主要过滤内容为用户源、目的IP、目的端口号、TCP连接定制等。在对用户进行访问控制之后,要根据用户认证数据库内容对用户进行呼叫优先级定义,主要是解决大量用户接入带来的网络拥塞问题,在网络拥塞到一定程度之后,将只允许优先级较高的连接建立。但一旦连接建立之后将不再中断。对于远程VPN接入业务的资费方式可以根据用户采用的加密算法的强度、隧道建立时长、隧道流量等属性实施灵活的计费策略,如取长话费的50%。

3.IPsec VPN业务管理模式

VPN技术的大规模应用,必将对设备管理提出要求,设想一下,一个运营服务提供商需要同时管理分布在相距遥远的几百台、甚至上千台设备并保证相互之间的安全策略的一致性,若采用单机模式分散管理是不可想象的。VPN技术作为一种网络技术,应该继承现有的网络设备的管理模式,即分级集中管理。同时,由于VPN网关设备往往放置在用户一侧,那么也要给予用户一定的权限,这时必须采用分权管理机制,初期可以采用两级分权、集中、统一管理的VPN业务网络管理模式。


云杰通信与中国移动集团共同推出SD-WAN网络综合解决方案,助力企业信息化建设、数字化转型、以及全球化互联。SD-WAN方案可实现全球访问加速、SaaS访问加速、海外视频加速、海外分支组网,有效提升国际间沟通效率,助力中国企业开拓国际市场。服务热线:13631779516,欢迎来电咨询。

文章标题:《IPSEC组网技术简介》

作  者:云杰小编。本文部分资料来源于网络,转载目的在于传递更多信息及学习参考:https://www.gdyunjie.cn/showinfo-114-4461-0.html

主要业务
企业专线网络MPLS组网SD-WAN云专线
行业解决方案
跨境电商智能制造业互联网医疗国际教育
关于我们
公司简介服务支持商务合作联系我们
热门专题:mstp、mpls企业mpls国内mplsmpls企业专线广东mplsmstp/mplsmpls计费mpls费用mstp mpls欧洲mplssdwan上网企业组网外网跨国sdwan国际专用网企业国际网专线网络国际专线网络电信国际专线国际专线价格网络国际专线国际专线跨境网络专线国际数据专线访问国际网络国际网络专线国际互联网专线深港网络专线深港专线价格东莞国际上网微软云专线专线上云云专线端到端pon云专线混合云专线接入腾讯云专线云专线定义混合云专线电信云专线跨云专线混合云专线方案什么是云专线云服务器专线云专线是什么云专线支持云专线价格云专线接入联通云专线aws阿里云专线阿里云专线服务阿里云专线多少钱一年阿里云专线价格表阿里云专线申请阿里云专线服务器阿里云专线价格
Copyright @ 版权所有2012-2019 广东云杰通信有限公司 粤ICP备18062193号-2

在线咨询

在线咨询真诚为您提供专业解答服务

咨询热线

13631779516欢迎致电咨询

微信咨询

二维码微信扫一扫咨询
返回顶部