1.VPN概述

近年來，隨著Internet的快速增長以及網絡經濟的發展，企業網的應用也不斷發展，范圍也不斷擴大，企業網已經從一個單一的本地網絡發展到跨地區跨城市甚至是跨國家的網絡。在這 種情況下，傳統網絡固定的專線連接方式已經很難適應現代企業的需求。因此企業對于自身網絡的建設提出了更高的要求，主要表現在網絡的靈活性、安全性、經濟性、擴展性等方面。VPN技術的出現，使得企業能夠在公用通信網絡中靈活、安全地進行數據交換，顯著節省使用專用網絡的長途費用，降低公司建設自己的廣域網（WAN）的成本，而且同時實現信息資源的充分利用。

上海博達數據通信有限公司作為國內著名的數據網絡產品制造商，其開發研制的博達BDCOM系列路由器在安全、網絡優化以及管理等方面對VPN均給予了強大的支持。

2．博達BDCOM系列路由器的VPN技術

BDCOM系列路由器所采用的VPN技術主要包括：
隧道技術
GRE
ipSec
密鑰交換技術

2.1 隧道技術

對于構建VPN而言，網絡隧道（Tunneling）技術是一項關鍵技術，指的是利用一種網絡協議來傳輸另一種網絡協議，它主要利用網絡隧道協議來實現這種功能。
現有的兩種類型隧道協議：第二層隧道協議，用于傳輸二層網絡協議；第三層隧道協議，用于傳輸第三層網絡協議，第三層隧道協議主要包括GRE(GRE, Generic Routing Encapsulation,RFC1701)協議和IETF的IPSec協議。

我們將結合BDCOM系列路由器著重說明第三層隧道協議的技術及應用

2.2  GRE

基本路由封裝GRE（Generic Routing Encapsulation）是對某些網絡層協議（如IP和IPX）的數據進行封裝，使這些被封裝的數據報能夠在另外一個網絡層協議中傳輸。GRE是VPN的第三層隧道協議，在協議層之間采用了Tunnel（隧道）的技術。

Tunnel是一個虛擬的點對點的連接，它提供了一條通路使封裝的數據報能夠在這個通路上傳輸，并且在一個Tunnel的兩端進行數據報的封裝與解封裝過程。當路由器接受到一個需要封裝和路由的原始數據報文（Payload），這個報文首先被GRE封裝成GRE報文，接著被封裝在IP協議中，然后完全由IP層負責此報文的轉發。
GRE主要能提供以下幾種服務：

多協議、多業務本地網通過單一骨干網傳輸；
擴大了包含步跳數限制協議（RIP）的應用范圍；
將不能連續的子網連接起來，組建VPN 。
 
2.3 IPSec

IPSec(IP Security)不是單一的協議或算法，它是一系列加密實現中使用的加密標準的集合。它實現第三層的安全，與任何上層應用和傳輸層無關。IPSec通過AH(Authentication Header)和ESP(Encapsulation Security Payload)這兩個安全協議來實現，并且不會對用戶、主機或其他組件造成影響

 IPSec提供了下列網絡安全性服務，而這些服務是可選的。通常，本地安全策略將規定使用下列這些服務的一種或多種：

數據機密性 —— IPSec發送方在通過網絡傳輸IP包前對包進行加密。

數據完整性 —— IPSec接收方對發送方發送來的包進行認證，以確保數據在傳輸過程中沒有被篡改。

數據來源認證 —— IPSec接收方對IPSec包的源地址進行認證。這項服務基于數據完整性服務。

反重播 —— 一種安全性服務，使得接收者可以拒絕接受過時包或包拷貝，以保護自己不被攻擊。IPSec用一個序列號來提供這一可選服務，以配合數據認證的使用。

IPSec的實現采取了一套專門的方案，把安全服務/密鑰與要保護的通信數據聯系到一起，同時也將遠端通信實體和這些受IPSec保護的通信數據聯系到一起，這樣的一種保護方案我們稱之為安全聯盟（SA, Security Association）。安全聯盟定義了數據保護中使用的協議和算法以及有效時間等屬性。

IPSec在轉發加密數據時產生新的驗證頭AH和/或ESP附加報頭，用于保證IP數據包的安全性。IPSec有隧道和傳輸兩種工作方式。在隧道方式中，用戶的整個IP數據包被用來計算附加報頭并且被加密，附加報頭和加密用戶數據被封裝在一個新的IP數據包中；在傳輸方式中，只是傳輸層（如TCP,UDP）數據被用來計算附加報頭，附加報頭和被加密的傳輸層數據被放置在IP報頭后面。

ESP（Encapsulating Security Payload），封裝安全性有效負載。定義于RFC2406協議。它用于確保IP數據包的機密性（對第三方不可見）、數據的完整性以及對數據源地址的驗證，同時還具有抗重播的特性。

新版本的ESP同時提供了數據的加密保護和數據完整性驗證機制，在SA中定義了兩套算法 —— 用來確保數據機密性的加/解密的加密算法（如ESP-DES、ESP-3DES），和用來負責數據完整性驗證的驗證算法（即散列算法，如ESP-md5-HMAC、ESP-SHA-HMAC），同時我們還可以定義ESP-NULL的加密算法，選擇該算法則意味著不對數據進行加密處理，顯然在這種情況下，我們必須選擇一種散列算法，否則是毫無任何意義的SA。

如上圖所示，ESP頭沒有加密保護，只采用了驗證保護，但ESP尾的一部分則進行的加密處理，這是因為ESP頭中包含了一些關于加/解密的信息。所以ESP頭自然就采用明文形式了。

ESP是一個通用的、易于擴展的安全協議，它提供了一些抗重播服務，至于是否提供抗重播服務，則是由數據包的接收者來決定的。

AH（Authentication Header），驗證頭。定義于RFC2402中。該協議用于為IP數據包提供數據完整性、數據包源地址驗證和一些有限的抗重播服務，與ESP協議相比，AH不提供對通信數據的加密服務，同樣提供對數據的驗證服務，但能比ESP提供更加廣的數據驗證服務，如圖所示：

它對整個IP數據包的內容都進行了數據完整性驗證處理。在SA中定義了用來負責數據完整性驗證的驗證算法（即散列算法，如ESP-MD5-HMAC、ESP-SHA-HMAC）來為它進行服務。和ESP類似，AH也提供了一些抗重播服務，同樣，是否提供抗重播服務，則是由數據包的接收者來決定的。

使用IPSec，數據就可以在公網上安全地傳輸，它提供了兩個主機之間、兩個安全網關之間以及主機和安全網關之間的數據保護。

IPSec的安全聯盟可以通過手工配置的方式建立，但當網絡中的節點增多時，手工配置將非常困難。這時候就要使用IKE自動地進行安全聯盟建立與密鑰交換的過程。

2.4 密鑰交換技術

ISAKMP（Internet Security Association and Key Management PRotocol），Internet安全聯盟及密鑰管理協議。ISAKMP定義了通信的雙方如何溝通，如何構建彼此間用以溝通的消息，還定義了保障通信安全所需的狀態變換。ISAKMP提供了對對方的身份進行驗證的方法、密鑰交換時如何交互信息的方法以及對安全服務進行協商的方法。

IKE（The Internet Key Exchange），Internet 密鑰交換。ISAKMP本身沒有定義具體的密鑰交換技術，而在IPSec中，采用了IKE來作為密鑰交換的工具。IKE利用ISAKMP語言來定義密鑰交換，由此來對安全服務進行協商。

 IKE使用了兩個階段的的ISAKMP，第一階段建立ISAKMP-SA，或稱為IKE-SA，第二階段利用這個既定的安全聯盟，為IPSec協商具體的安全聯盟。

IKE定義了兩個第一階段的協商（Main Mode－主模式和Aggressive Mode—野蠻模式），第一階段協商的目的是建立一個ISAKMP/IKE安全聯盟（IKE-SA），為第二階段的協商提供一個保密和驗證無誤的安全通信信道。

除此之外，IKE還定義了一個第二階段的協商（Quick Mode—快速模式）。這一階段的協商用的最終目的是建立一個安全聯盟（IPSec -SA），生成驗證過的密鑰，為雙方的IPSec通信提供機密性、數據完整性以及數據源地址驗證等安全服務。

3.應用實例
 
BDCOM系列路由器通過構建VPN的方案1。[如下圖]

BDCOM系列路由器通過構建VPN的方案2。[如圖2]

隨著業務的拓展和規模的擴大，越來越多的企業需要在全國乃至世界范圍內建立各種辦事處，分支機構，分公司等等，傳統的連接方式一般是租用專線，但隨著機構的不斷增加，網絡結構趨于復雜，費用昂貴。

BDCOM系列路由器提供的方案具有以下功能：
外出人員可以通過PSTN接入企業內部網絡
外出人員可以通過PSTN接入任一遠地辦事機構
遠地的辦事機構可以通過路由器和企業內部網絡建立安全通道
若干遠地辦事機構可以相互建立安全連接
利用VPN特性可以在Internet上組建企業自身的網絡。在Internet線路保證網絡互聯性的基礎上，利用隧道、加密等VPN特性可以確保信息在整個網絡上面安全地傳輸。

4．總結

BDCOM系列路由器支持多種VPN技術，包括隧道技術、IPSec、密鑰交換技術等，并還將發展和支持越來越多的先進技術，以實現對VPN更好的支持，更加充分的發揮VPN技術的優勢，為用戶提供性能更高、功能更強解決方案。