网络接入

IPSec驱动程序 　　IPSec驱动程序负责监视、筛选和保护IP通信。它负责监视所有出入站IP数据包，并将每个 IP 数据包与作为 IP 策略一部分的 IP 筛选器相匹配。一旦匹配成功，IPSec驱动程序通知IKE开始安全协商。下图为IPSec驱动程序服务示意图。 图八 IPSec驱动程序服务 　　在安全协商（相关内容见：IPSec基础（四）Interne

针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（AccessVPN）、企业内部虚拟网（IntranetVPN）和企业扩展虚拟网（ExtranetVPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。■AccessVPNAccessVPN，通过一个拥有与专用网络相同策略的

IPSec结合密码保护服务、安全协议组和动态密钥管理三者来实现上述两个目标，不仅能为企业局域网与拨号用户、域、网站、远程站点以及Extranet之间的通信提供强有力且灵活的保护，而且还能用来筛选特定数据流。 IPSec基于一种端对端的安全模式。这种模式有一个基本前提假设，就是假定数据通信的传输媒介是不安全的，因此通信

一、安全特性 　　IPSec的安全特性主要有： 　　 ·不可否认性 \"不可否认性\"可以证实消息发送方是唯一可能的发送者，发送者不能否认发送过消息。\"不可否认性\"是采用公钥技术的一个特征，当使用公钥技术时，发送方用私钥产生一个数字签名随消息一起发送，接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才

互联网的广泛应用，企业分支机构的联网应用也越来越多。但是，租用专线的费用是很多中小企业无法承受的。通过使用本文中介绍的VPN技术，可以轻易构建企业之间的联网应用。 VPN，全称“虚拟专用网”。这是相对于实际的专有网络而言的。实际的专有网络比如银行，政府机构，大型企业等等。通过租用专有的线路进行互联。而VPN是

数据传输阶段　　　　一旦完成上述4阶段的协商，PPP就开始在连接对等双方之间转发数据。每个被传送的数据报都被封装在PPP包头内，该包头将会在到达接收方之后被去除。如果在阶段1选择使用数据压缩并且在阶段4完成了协商，数据将会在被传送之间进行压缩。类似的，如果如果已经选择使用数据加密并完成了协商，数据（或被压缩

VPN隧道有多种方式，包括L2TP、IPSEC、PPTP、GRE、SSL隧道，其中IPSEC 协议是VPN隧道中安全加密功能最完整的产品之一，我们了解的包含全部5个隧道方式的厂商有CISCO、JUNIPER、SAFENET、CYLAN等公司的产品，其中的VPN功能几乎包涵了所有当前构建三层VPN的方式和协议，都是符合IETF标准建立的，和同类VPN或防火墙产品结合使

证书　　使用对称加密时，发送和接收方都使用共享的加密密钥。必须在进行加密通讯之前，完成密钥的分布。使用非对称加密时，发送方使用一个专用密钥加密信息或数字签名，接收方使用公用密钥解密信息。公用密钥可以自由分布给任何需要接收加密信息或数字签名信息的一方，发送方只要保证专用密钥的安全性即可。　　为保证公用

应用层VPN能够远程安全访问多种应用和网络资源，这项技术正在引起人们的注意。与运行在第三层(网络层)基于IPSec的VPN所不同的是，应用层VPN运行在第七层(应用层)并且提供了对应用数据的可见性，使网管员能够对远程访问实施安全政策。 　　　　　　应用层VPN的核心是应用层代理。应用层代理能够保护位于防火墙之后的专用网络

作为企业网络平台的一种有效的延伸，远程访问接入技术一直在我们的网络应用中扮演着非常重要的角色。但远程接入既需要跨越地域局限，又需要具有灵活性，还需要有足够的带宽。VPN正好在这方面可以发挥作用。 　　　　顾名思义，远程访问技术首先解决的问题就是地域的局限。用户不再需要处于企业局域网络平台覆盖范围之内，通

虚 拟 专 用 网（VPN） 是 由 在 公 用 网 上 提 供 安 全 路 径 的 一 些 路 由 器 及 防 火 墙 组 成， 但 下 一 代VPN 的 概 念 有 所 不 同， 它 还 包 括 网 络 设 计 策 略。 为 此， 下 一 代 的VPN 要 求 设 计 师 不 仅 要 仔 细 研 究VPN 的 每 一 个 技 术 细 节， 而 且 要 有 宏 观 意 识。 　　　　目 录 服

VPN发展趋势 　　在国外，Internet已成为全社会的信息基础设施，企业端应用也大都基于IP，在Internet上构筑应用系统已成为必然趋势，因此基于IP的VPN业务获得了极大的增长空间。Infornetics Research公司预言，在2001年，全球VPN市场将达到120亿美元。据预测，到2004年，北美的VPN业务收入将增至88亿美元。 　　　　在中国

IPSec（IP Security）和网络地址转换NAT（Net Address Translation）应用已经十分广泛了，但是要使它们运行在一起，却不是一件容易的事。 从IP技术的角度来看，NAT对IP的低层进行了修改，对IP是一种“背叛”；而从应用的角度来看，网络管理人员必须要处理网络地址的问题，NAT使用户可以采取多种方式把自己的网络和主机对外

一般来说，企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制，所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接，不同分支机构之间的资源共享；又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.因此，最低限度，一个成功的VPN方案应当能够满足以下所有

不仅拥有以太网架构的全部益处，而且同传统的以太网相比，具有更好的可扩展性、可靠性及QoS等能力，这个超以太网一级的就是VPLS（虚拟专用局域网服务）。VPLS集以太网和MPLS的优点于一体，使用户从中受益。VPLS为何而生　　二十多年来，以太网交换技术一直统治着局域网，同时IP路由技术统治着运营商网络。在这一时期，以太

VPN的基本要求　　一般来说，企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制，所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接，不同分支机构之间的资源共享；又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.因此，最低限度，一个成功的VPN方案应

虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源。 　　与使用专线拨打长途或（1800）电话连接企业的网络接入服务器（NAS）不同，虚拟专用网络用户首先拨通本地ISP的NAS，然后VPN软件利用与本地ISP建立的连接在拨号用户和企业VPN服务器之间创建一个跨越Internet或其它公共互联网络的虚拟专用网络。通过Inter

■ VPN的基本要求　　一般来说，企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制，所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接，不同分支机构之间的资源共享；又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.因此，最低限度，一个成功的VPN方案

安全套接层虚拟专网（SSL VPN）及其大幅度增强最终用户的远程接入、端点安全性和外联网应用的潜力所激起的热潮一直在持续升温。对于希望扩展可管理业务以增加收入来源的运营商来说，SSL VPN是最优秀的方案，它可同时支持面向远程接入的IP网络连接级业务以及应用层的新业务 如外联网和灾难恢复等业务。过去612个月间，亚太

IPSec 首先需要指出的是，IPSec和TCP/IP筛选是不同的东西，大家不要混淆了。TCP/IP筛选的功能十分有限，远不如IPSec灵活和强大。下面就说说如何在命令行下控制IPSec。 XP系统用ipseccmd，2000下用ipsecpol。遗憾的是，它们都不是系统自带的。ipseccmd在xp系统安装盘的 SUPPORT\TOOLS\SUPPORT.CAB 中，ipsecpol在2000 Resour