ip VPN

IP VPN（虛擬專用網）是指通過共享的IP網路建立私有數據傳輸通道，將遠程的分支辦公室、商業夥伴、移動辦公人員等連線起來，提供端到端的服務質量（QoS）保證以及安全服務。隨著IP VPN的興起，用戶和運營商都將目光轉向了這種極具競爭力和市場前景的VPN。對用戶而言，IP VPN可以非常方便地替代租用線和傳統的ATM/幀中繼（FR）VPN來連線計算機或區域網路（LAN），同時還可以提供租用線的備份、冗餘和峰值負載分擔等，大大降低了成本費用；對服務提供商而言，IP VPN則是其未來數年內擴大業務範圍、保持競爭力和客戶忠誠度、降低成本和增加利潤的重要手段。

IP VPN需要通過一定的隧道機制實現，其目的是要保證VPN中分組的封裝方式及使用的地址與承載網路的封裝方式及使用編址無關。另外，隧道本身能夠提供一定的安全性，並且隧道機制還可以映射到IP網路的流量管理機制之中。

IP VPN本質上是對專用網通信的仿真，因此除了隧道協定外，其邏輯結構（如編址、拓撲、連通性、可達性和接入控制等）都與使用專和設施的傳統專用網部分或全部相同，也同樣考慮路由、轉發、QoS、業務管理和業務提供等問題。

IP VPN技術主要是通過隧道機制（Tunneling）來實現的，通常情況下VPN在鏈路層和網路層實現了隧道機制。在鏈路層支持隧道機制的有：PPTP（Point to Point Tunneling Protocol，點到點隧道協定）、L2TP（Layer 2 Tunneling Protocol，鏈路層隧道協定）、L2F（Layer 2 Forwarding，鏈路層轉發協定）。

點到點隧道協定

PPTP是一個第2層的協定，將PPP數據楨封裝在IP數據報內通過IP網路傳送。PPTP還可用於專用區域網路之間的連線。RFC草案“點對點隧道協定”對PPTP協定進行了說明和介紹。PPTP使用一個TCP連線對隧道進行維護，使用通用路由封裝（GRE）技術把數據封裝成PPP數據楨通過隧道傳送。可以對封裝PPP楨中的負載數據進行加密或壓縮。

GRE（通用路由協定封裝）規定了如何用一種網路協定去封裝另一種網路協定的方法。GRE的隧道由兩端的源IP位址和目的IP位址來定義，允許用戶使用IP包封裝IP、IPX和AppleTalk包，並支持各種路由協定，如RIP2、OSPF等。

GRE協定提出得比較早，也比較簡單，因此可以說已經比較成熟。

鏈路層隧道協定

L2TP（第二層隧道協定）定義了利用包交換方式的公共網路基礎設施（如IP網路、ATM和幀中繼網路）封裝鏈路層PPP（點到點協定）幀的方法。在L2TP（RFC266）中，被封裝的是鏈路層PPP協定，封裝協定由L2TP定義。承載協定首選網路層的IP協定，也可以採用鏈路層的ATM或幀中繼協定。L2TP可以支持多種撥號用戶協定，如IP、IPX和AppleTalk，還可以使用保留IP位址。

目前，L2TP及其相關標準（如認證與計費）已經比較成熟，並且客戶和運營商都已經可以組建基於L2TP的遠程接入VPN（Access VPN），因此國內外已經有不少運營商開展了此項業務。在實施的Access VPN中， 一般是運營商提供接入設備，客戶提供網關設備（客戶自己管理或委託給運營商）管理。Access VPN的主要吸引力在於委託網路任務的方式，ISP可以通過IP骨幹網把用戶數據從本地呈現點（POP）轉發到企業用戶網路中去，大幅度地節省企業客戶的費用。該服務主要面向分散的、具有一定移動性的用戶，為此類用戶遠程接入專用網路提供經濟的、可控制的並具有一定安全保證的手段。

IPSec是目前唯一一種能為任何形式的Internet通信提供安全保障的協定。此外，IPSec也允許提供逐個數據流或者逐個連線的安全，所以能實現非常細緻的安全控制。對於用戶來說，便可以對於不同的需要定義不同級別地安全保護（即不同保護強度的IPSec通道）。IPSec為網路數據傳輸提供了：

數據機密性

數據來源認證

抗重播

等安全服務，就使得數據在通過公共網路傳輸時，就不用擔心被監視、篡改和偽造。

IPSec是通過使用各種加密算法、驗證算法、封裝協定和一些特殊的安全保護機制來實現這些目的，而這些算法及其參數是保存在進行IPSec通信兩端的SA（Security Association，安全聯盟），當兩端的SA中的設定匹配時，兩端就可以進行IPSec通信了。IPSec使用的加密算法包括DES-56位、Triple-Des-168位和AES-128位；驗證算法採用的也是流行的HMAC-MD5和HMAC-SHA算法。

IPSec所採用的封裝協定是AH（Authentication Header，驗證頭）和ESP（Encapsulating Security Payload，封裝安全性有效負載）。 愛

ESP定義於RFC2406協定。它用於確保IP數據包的機密性（對第三方不可見）、數據的完整性以及對數據源地址的驗證，同時還具有抗重播的特性。具體來說，是在IP頭（以及任何IP選項）之後，在要保護的數據之前，插入一個新的報頭，即ESP頭。受保護的數據可以是一個上層協定數據，也可以是整個IP數據包，最後添加一個ESP尾。ESP本身是一個IP協定，它的協定號為50。這也就是說，ESP保護的IP數據包也可以是另外一個ESP數據包，形成了嵌套的安全保護.

ESP頭沒有加密保護，只採用了驗證保護，但ESP尾的一部分則進行的加密處理，這是因為ESP頭中包含了一些關於加/解密的信息。所以ESP頭自然就採用明文形式了。

AH定義於RFC2402中。該協定用於為IP數據包提供數據完整性、數據包源地址驗證和一些有限的抗重播服務，與ESP協定相比，AH不提供對通信數據的加密服務，同樣提供對數據的驗證服務，但能比ESP提供更加廣的數據驗證服務,它對整個IP數據包的內容都進行了數據完整性驗證處理。在SA中定義了用來負責數據完整性驗證的驗證算法（即散列算法，如AH-MD5-HMAC、AH-SHA-HMAC）來進行這項服務。

AH和ESP都提供了一些抗重播服務選項，但是否提供抗重播服務，則是由數據包的接收者來決定的。

HiPER系列VPN安全網關設計支持L2TP，PPTP和IPSec，支持和多種設備在Internet上建立VPN，隧道連線了兩個遠端區域網路，每個區域網路上的用戶都可以訪問另一個區域網路網上的資源：對方的設備可以使用如Windows 2000 伺服器，Cisco? PIX, 華為Quidway 等路由器，netscreen，fortigate設備等其他支持標準的VPN網路設備。

除了以上介紹的隧道技術以外，作為一個網關的IP VPN安全網關還有以下特點，如備份技術，流量控制技術，包過濾技術，網路地址轉換技術，抗擊打能力和網路監控和管理技術等。

根據上面所述的路由器安全特性設計的要求，利通系列VPN安全網關提供了各種網路安全解決方案，以適應不同的套用需求，包括：

製造型企業IP VPN組網

電子政務的VPN聯網

和Internet的安全互聯

通過Internet構建VPN

電子商務套用

教育系統校校通的套用