IPsec及在VPN组网中的应用

　　 VPN与IPsec

　　 1. VPN概述

　　 近年来，随着Internet的快速增长，Internet的传输速率越来越高，接入费用日益降低，这使得越来越多的企业开始采用Internet作为企业内联网的传输平台，特别是在一些跨地区跨国性的大中企业里正得到广泛应用。VPN技术为Intranet、Extranet的建设，同时亦为电子商务的发展提供了有力的技术支撑，并向传统的DDN专线甚至帧中继网提出了严峻的挑战。

　　 2. VPN的实现方法

　　 VPN的定义非常广泛，因此，目前市场上出现了很多的VPN产品，实现VPN的方法也有很多种。但就计算机网络来说，其实现VPN所选用的层次，可以有网络层VPN、数据链路层VPN等。网络层VPN多采用IP协议，而数据链路层VPN则由ATM或帧中继虚电路来实现。随着技术的发展，通过IP层实现VPN已成为目前业界主流。

　　 IP层VPN的实现方法包括: 控制路由选择、隧道和网络层封装等。

　　 所谓控制路由选择也就是路由过滤，通过控制路由的传递，来限制对内部信息的访问。这种方法实际上属于访问控制一类，并由此实现公共网络上的专有服务。

　　 隧道技术在VPN的实现上得到了比较广泛的应用。首先，一个IP隧道可以调整为多种形式的有效负载。远程用户能够透明地拨号上网来访问企业的IP、IPX或AppleTalk网络。第二，隧道能够同时调整多个用户或多个不同形式的有效负载。这可以利用封装技术来实现。第三，使用隧道技术访问企业内联网时，企业内联网不会向Internet报告它的IP网络地址。

　　 目前，伴随技术的发展，网络层封装正在成为VPN实现技术的主流。其事实标准IPsec已由IETF在1998年正式制定发布，并成为了开放性IP安全标准，是当前实现VPN的基础，已经相当成熟可靠。

　　 IPsec标准概述