在簡述IPsec在組網(wǎng)中的應(yīng)用前，我們先來了解一下VPN是什么。近年來，隨著Internet的快速增長，Internet的傳輸速率越來越高，接入費用日益降低，這使得越來越多的企業(yè)開始采用Internet作為企業(yè)內(nèi)聯(lián)網(wǎng)的傳輸平臺，特別是在一些跨地區(qū)跨國性的大中企業(yè)里正得到廣泛應(yīng)用。VPN技術(shù)為Intranet、Extranet的建設(shè)，同時亦為電子商務(wù)的發(fā)展提供了有力的技術(shù)支撐，并向傳統(tǒng)的DDN專線甚至幀中繼網(wǎng)提出了嚴峻的挑戰(zhàn)。
 
VPN的定義非常廣泛，因此，目前市場上出現(xiàn)了很多的VPN產(chǎn)品，實現(xiàn)VPN的方法也有很多種。但就計算機網(wǎng)絡(luò)來說，其實現(xiàn)VPN所選用的層次，可以有網(wǎng)絡(luò)層VPN、數(shù)據(jù)鏈路層VPN等。網(wǎng)絡(luò)層VPN多采用IP協(xié)議，而數(shù)據(jù)鏈路層VPN則由ATM或幀中繼虛電路來實現(xiàn)。隨著技術(shù)的發(fā)展，通過IP層實現(xiàn)VPN已成為目前業(yè)界主流。

IP層VPN的實現(xiàn)方法包括: 控制路由選擇、隧道和網(wǎng)絡(luò)層封裝等。

所謂控制路由選擇也就是路由過濾，通過控制路由的傳遞，來限制對內(nèi)部信息的訪問。這種方法實際上屬于訪問控制一類，并由此實現(xiàn)公共網(wǎng)絡(luò)上的專有服務(wù)。

隧道技術(shù)在VPN的實現(xiàn)上得到了比較廣泛的應(yīng)用。首先，一個IP隧道可以調(diào)整為多種形式的有效負載。遠程用戶能夠透明地撥號上網(wǎng)來訪問企業(yè)的IP、IPX或AppleTalk網(wǎng)絡(luò)。第二，隧道能夠同時調(diào)整多個用戶或多個不同形式的有效負載。這可以利用封裝技術(shù)來實現(xiàn)。第三，使用隧道技術(shù)訪問企業(yè)內(nèi)聯(lián)網(wǎng)時，企業(yè)內(nèi)聯(lián)網(wǎng)不會向Internet報告它的IP網(wǎng)絡(luò)地址。

目前，伴隨技術(shù)的發(fā)展，網(wǎng)絡(luò)層封裝正在成為VPN實現(xiàn)技術(shù)的主流。其事實標準IPsec已由IETF在1998年正式制定發(fā)布，并成為了開放性IP安全標準，是當前實現(xiàn)VPN的基礎(chǔ)，已經(jīng)相當成熟可靠。

那么IPsec是什么呢？

實際上IPsec是一整套協(xié)議包而不只是一個單獨的協(xié)議， 這一點對于我們認識IPSec是很重要的。IPsec協(xié)議把多種安全技術(shù)集合到一起，從而建立起一個安全、可靠的隧道。在IPsec安全體系結(jié)構(gòu)中包括了3個最基本的協(xié)議：AH（Authentication Header）協(xié)議為IP包提供信息源驗證和完整性保證；ESP（Encapsulating Security Payload）協(xié)議提供加密保證；密鑰管理協(xié)議（ISAKMP）提供雙方交流時的共享安全信息。ESP和AH協(xié)議都有相關(guān)的一系列支持文件，規(guī)定了加密和認證的算法。

IPsec有什么作用？IPsec的實現(xiàn)機制又是怎么樣的呢？我們下一篇繼續(xù)。

田鑫，專業(yè)的企業(yè)組網(wǎng)服務(wù)商，致力于為企業(yè)提供企業(yè)組網(wǎng)（SD-WAN、MPLS、云互聯(lián)），業(yè)務(wù)云化、數(shù)據(jù)中心、網(wǎng)絡(luò)安全、行業(yè)IT解決方案等相關(guān)服務(wù)。