毕业设计（论文）-基于IPSEC的VPN设计与实现.doc

基于IPSec的VPN设计与实现 摘要： VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。本文讨论基于IPSec协议的VPN，并且能从容地满足中、小型企业的日常需求。经过对中、小型企业特别是小型企业应用VPN的实际需要的调查研究之后，决定以最经济而有效的方式实现中、小型企业VPN的配置。最终以某大型连锁超市为例，进行VPN组网实验。关键词： 虚拟专用网 安全传输 Design and Implementation of VPN Based on IPSecAbstract: VPN is the expansion of enterprise network, it can help by remote users, the company branches, commercial partners and suppliers with the company's internal network linking the establishment of credible security, And to guarantee the security of data transmission. VPN can be used for the growing global mobile users Internet access, in order to achieve a secure connection; corporate Web site can be used to achieve secure communications between the virtual private lines, for cost-effective to connect users to business partners and the safety of the Virtual Private Network Net. In this paper, based on the agreement IPSec VPN, and can easily meet the medium and small enterprises of the daily demand. After the medium and small enterprises, especially small businesses VPN application of the actual needs of the investigation and study, to determine the most economic and effective way to achieve medium and small enterprises VPN configuration.Key Word: Virtual Private Network security transmission目录第一章绪论11.1网络与信息安全11.2本课题的研究背景11.3论文主要内容3第二章虚拟专用网（VPN）技术42.1 VPN概念42.1.1 VPN的接入方式42.1.2基于IP的VPN52.2 VPN关键技术62.2.1隧道技术62.2.2加解密技术72.2.3密钥管理技术72.2.4使用者与设备身份认证技术82.3小结8第三章IPSec协议103.1 IP安全性概要103.2 IPSec概述103.2.1 IPSec基本思想103.2.2 IPSec结构体系113.2.3 IPSec工作模式133.3安全关联SA153.4三个基本协议153.5 IPSec的工作原理163.6小结17第4章IPSEC VPN实现模型的设计184.1 超市VPN设计184.2 VPN的 功能204.3 VPN 服务器配置214.4 小结24致 谢2425第一章绪论1.1网络与信息安全因特网发展至今，它提供的浩瀚资源不断给世界带来惊喜，聚集全球各行业精英共同创新成为可能。然而，九九年春节期间YaHoo被黑，电子商务的热门站点eBay，E-Trade，Amazon等的相继挂彩，无疑给沉浸于无限网络资源的人们敲响了警钟-网络世界并非风平浪静！资源共享是支撑因特网风行全球的应用之一。公共网络的无序性、不可控性却决定了网络资源在开放共享的同时有可能遭受更改、删除等威胁。然而，彻底将所有资源保护起来不与人共享并不现实。因此有必要在共享与安全之间找到一个合适解决方案，把所有不安全因素尽量排除于真正需要共享者之外，在不受威胁的前提下实现真正的资源共享。与公共网络相比，传统专用网在物理上独立，可提供较好的安全保障。以往的专用网都是通过租用或专用线路实现组网，通过在物理连接上的独立性来确保安全。但传统专用网的不足之处为造价较高，专用线路利用率低，对于不同的应用还必须分别提供一套线路实现，同一用户针对不同应用必须连接到不同的专用网，造成不必要的浪费。此外传统专用网最大的缺陷在于与外界互连互通性差，自我闭塞的连接方式不适合现在信息交流日益增大的需求。VPN（Virtual Private Network，虚拟专用网络）技术将物理上分布在不同地点的网络通过公用骨干网联接成为逻辑上的虚拟专用子网。为了保障信息在公用网络上传输的安全性，VPN技术采用了认证、存取控制、机密性、数据完整性等措施。由于利用公用网络传输，费用比租用专线要低得多，所以VPN的出现使企业通过公用网既安全又经济地传输私有的机密信息成为可能。1.2本课题的研究背景Internet是一个开放性体系，它以不可思议的发展速度改变着传统的通信方式，将越来越多的国家、地域、团体和个人连接到了一个公用的网络上，为他们提供了最经济方便和快捷的服务。不同地域的局域网互连不再依赖于传统的建设专网或者租用专线的方法，也不再需要自己进行铺设线路和维护管理工作，并且只需支付少量的费用就可以利用Internet实现网络互联，避免了重复性建设造成的资源、人力、财力浪费。但是，当Internet以最大的包容性接受所有连接的时候，安全问题也日渐凸现出来。Internet设计的初衷是为了一些不同地方的科学家和研究者可以迅速方便的交流和共享研究成果和资源，并没有考虑到安全问题，而且它的最初设计者们恐怕也没有预计到Internet在今天有这么大的普及范围和影响力。但也正随着越来越多的任何团体加入到Internet中，它也为一些别有意图的人提供了一个更隐蔽的犯罪场合或炫耀技能的舞台，而且有相当一部分人的行为严重威胁了公众的利益，也影响了Internet在某些领域的深入使用，因此迫切需要一种能够很好地解决Internet安全性的技术或方法。虚拟专用网(VPN)正是提供这样一种集专网的安全性和公网的经济、方便于一体的有效解决方案。无论是从市场的角度还是从研究的角度，研究VPN的系统构建都是非常有意义的。以TCPIP为基础的Internet具有很好的健壮性，可以在非常恶劣的环境下保持连通性，因此，只要解决了安全性问题，我们完全可以利用Internet提供的公用基础设施建设虚拟专网，或者是提供一条安全的后备通道。VPN实际上是利用公共网络基础设施，在链路层或网络层上基于配置或隧道技术的网络虚拟连接技术的逻辑安全子网。从安全的角度上看，这种子网上的网络信息资源和用户资源受到众多的安全威胁。首先，TCP/IP协议最初设计的应用环境是美国国防系统的内部网络，是可信网络，在设计TCP/IP通信协议时并未考虑安全要求，当其推广应用到Internet时，基于TCP/IP协议的因特网体系就存在着致命的安全隐患；其次，网络的物理暴露性使攻击者可以通过传输介质和集散点进行信息截取；再次，网络的虚拟性使非法用户可能冒充合法者侵入子网访问信息资源。从根本上说，这些威胁利用了在公共物理网络基础设施上传输数据的公开性和传输信道的暴露性。所以，就安全子网本身而言并不安全，如果能找到一种实现VPN的方法，即能保证传输数据的不可理解性，又能保证传输通道的隐秘性，同时对传输的数据具有完整性校研机制，这样的VPN才是安全的。大多数的VPN，当作为网关(gateway)运行时，亦能按照VPN的策略配置对IP包进行过滤，或者将包传递给专门的防火墙设备或软件处理，此时，VPN也能实现防火墙功能。VPN之间的数据交换是通过建立隧道来实现的，根据VPN的下层协议一IPSec的规定，当两台VPN建立隧道时，会使用各自的证书、私钥进行密钥交换(IKE)，以保障通讯安全。1.3论文主要内容本论文主要由四部分内容组成。第一章是绪论，主要介绍了网络与信息安全和该课题研究的背景。第二章，简要介绍了VPN技术，其中比较了多种实现VPN的方式，VPN的关键技术。并对各种技术进行了具体的解释。 第三章介绍了IPSec技术、概念、体系、工作模式、三大协议、工作原理。第四章主要是某超市的VPN组网方案。第二章虚拟专用网（VPN）技术2.1 VPN概念V Virtual；虚拟的，不用真正的铺设线路；P Private；私有的，安全的；N Network；网络的，互联互通。顾名思义，VPN即虚拟专有网络。它不是真正的物理线路，但能够实现专有网络功能。这里说的虚拟专有网络VPN技术，就是利用Internet技术来组建企业自己的专有网络，实现异地组网，本地通信效果。VPN利用隧道加密技术，利用公用网络上建立专用的数据通信网络，实现企事业单位任何两个授权端点间的连接。虚拟专用网络解决了传统专网组建中需要的费时、费钱、端对端的物理链接，而是利用Internet公网的物理链路资源，动态组成，使用户实现“不花钱的专网”效果。用户只需购买VPN设备和软件产品，向企业所在地的网络服务提供商支付一定Internet接入费用，节约租用专线的费用，即可实现不同地域的客户联系，还大大节省长途通信费用。2.1.1 VPN的接入方式典型VPN接入方式有两种：拨号方式和局域网方式，如图2-1所示。其中局域网方式主要利用公用Internet的物理网络资源，此外也可利用与Internet互联且由ISP（因特网服务提供者）提供的具有非连接特征的网络（如IP网，X.25网等）的物理资源；拨号方式则常常利用公用电话网（PSTN）和窄带综合业务数字网（N-ISDN）的物理资源。图2.1 VPN的两种接入方式2.1.2基于IP的VPN可用于构建VPN的公共网络包括Internet、帧中继、ATM等，VPN以这些公用开放的网络作为基本传输媒介，通过上层协议附加多种技术，向最终用户提供类似专用网络性能的网络服务。基于ATM（Asynchronous Transfer Mode）或FR（Frame Relay）的虚电路技术构建的VPN也可实现可靠的网络质量，但其不足之处在于互联区域有较大局限性。另外，基于ATM的VPN主要用于构建骨干网，基于FR的VPN多用于接入服务，FR-VPN在欧洲国家应用很广，国内由于不能提供一个足够作为公共数据网使用的FR，因此少有使用。近来MPLS（多协议标记交换技术）采用集成模型，将IP技术与下层技术结合起来，它是一种较为理想的骨干IP网络技术。MPLS VPN是目前MPLS技术在ISP网络中很流行的一种应用。鉴于IP应用的广泛性和军内网络实际情况，本论文主要围绕基于IP的VPN展开研究。图2-2为IP-VPN示意图。 图2-2 基于IP的VPN示意图IETF草案对基于IP的VPN定义为“使用IP机制仿真出一个私有的广域网”，是通过私有的“隧道（Tunnel）”技术在公共数据网络上仿真一条点到点的专线技术。现在大多数IP-VPN的解决方案均集中于建立IP隧道（IP Channeling）。用户敏感数据包在进入隧道之前被封装加密，在隧道出口处被相应设备解密拆装并发往目的地址。IP隧道的建立，不但具有空间的特征，也具有时间的特征。从空间上说，隧道终止不再向前延伸是出于安全原因，一般终止于企业内部网防火墙之外，或内、外防火墙之间的非军事区（DMZ）；从时间上说，其生成和终止具有“按需建立、用完取消”的特征，而且IP隧道的路径选择从总体上说是随机的，因此IP隧道的生成通常不需占用预定的通信信道，其网络服务费用自然要比租用DDN专线的资费低得多。因特网是开放的、公用的、不设防的。而在因特网上建立的IP-VPN却是专用的，它按照一定的规则规定用户的访问权限，对访问者进行鉴别和过滤，并通过多种协议提供用户身份鉴定，保证数据完整性，以及公证、加密、授权等安全服务。2.2 VPN关键技术在公共IP网上建设虚拟专用网进行数据通信，需要满足通信安全的需要。这些安全需求主要有以下三类，认证。（确认信息源，即确认和你正在通信的人的身份）、信息保密性和数据完整性、提供访问控制。不同的用户对不同的企业内部资源有不同的访问权限。只有建立能满足上述的三个安全需要的IP虚拟专用网，才是算是真正的安全虚拟专用网。正确配置的安全虚拟专用网使用了强大的加密技术，它对内部用户看来是一个独立的、使用专用线路连接的LAN或WAN。安全虚拟专用网和传统专用网络之间的主要差异是真正的安全性(并不仅仅是专用)、灵活性、可伸缩性和低成本。由于企业网络中传输的是私有信息，VPN虚拟专网中用户对数据的安全性都比较关心，安全问题是VPN技术的核心问题。目前组建VPN虚拟专网主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication），保证企业员工安全访问公司内部网络中资源。2.2.1隧道技术隧道技术是VPN实现采用的主要技术。隧道能实现多协议封装，在无连接的IP网上提供点到点的逻辑通道，在安全性要求较高的场合，应用加密隧道可以进一步保护数据的私有性，使数据在网上传送而不被非法窥视与篡改。隧道是由隧道协议形成的，这与流行的各种网络是依靠相应的网络协议完成通信毫无二致。隧道协议分为第二层隧道和第三层隧道，由传输封装形成的数据包的协议决定。第二层隧道协议主要有三种：PPTP（Point to Point Tunneling Protocol，点对点隧道协议），L2F（Layer 2 Forwarding，第二层转发协议）和L2TP（Layer 2 Tunneling Protocol，第二层隧道协议）。第三层隧道协议也并非一种新技术，早先的通用路由封装协议（GRE，Generic Routing Encapsulation）就是一个第三层隧道协议，此外还有IPSec（IP Security）和虚拟隧道协议（VTP，Virtual Tunneling Protocol）。2.2.2加解密技术数据加密的基本过程就是对原来的文件或数据，按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，密文代码只能在输入相应的密钥之后才能显示出来内容。通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有的加密技术，如数据加密算法(Data Encryption Standard，DES)，Triple-DES（三重DES）等。加密后的数据包即使在传输过程中被窃取，非法获得者也只能看到一堆乱码，必须拥有相应的密钥（Encryption key）才能破译。而要破译密钥的话，其所需的设备和时间则需视加密技术和密钥长度而定。如使用56位加密的DES，现在的普通PC计算，需要几十年才能破译；而使用112位的Triple-DES加密技术目前则被视为不可破译。2.2.3密钥管理技术如果窃取数据包者不能获得密钥。那只能采用穷举法破译，这在目前加密技术严密情况下几乎不可能。密钥管理技术的主要任务是如何在公用数据网上安全的传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种：SKIP技术由Sun公司开发，主要是利用Diffie - Hellmail演算法则，在网络上传输密钥的一种技术。而在ISAKMP技术中，双方都有两把密钥，分别用于公用、私用场合。目前ISAKMP/OAKLEY技术逐渐整合于IPv6协议中，成为IPv6的安全标准之一。在数据加密和密钥管理方面，VPN采用微软的点对点加密算法 MPPE协议和网际安全协议IPSec机制，对数据进行加密。并采用公、私密钥对的方法，对密钥进行管理。其中MPPE算法是Windows 95、98、XP和NT4.0终端，可以在全球任何地方进行安全通信。MPPE加密确保了数据的安全传输，并具有最小的公共密钥开销。以上的身份验证和加密手段，由远程VPN服务器强制执行。对于采用拨号方式建立VPN的连接，VPN连接可以实现双重数据加密，使网络数据传输更安全。2.2.4使用者与设备身份认证技术 公用网络上有众多的使用者和设备，如何正确地辨认合法的使用者与设备，使只有授权的本单位人员才能与设备互通，构成一个安全的VPN，并让未授权者无法进入系统，这就是使用者与设备身份确认技术要解决的问题。辨认合法使用者方法很多，最常使用的是使用者名称与密码卡片式两段认证方式。设备认证则需依赖由电子证书核发单位（Certificate Authority）颁发X.509电子证书。通信双方将此证书对比后，如果正确，双方才开始交换数据。在用户身份验证安全技术方面，VPN通过使用点到点协议(PPP)用户级身份验证的方法来进行验证，这些验证方法包括密码身份验证协议（PAP）、质询握手身份验证协议（CHAP）、Shiva密码身份验证协议（SPAP）、Microsoft质询握手身份验证协议（MS-CHAP）和可选的可扩展身份验证协议（EAP）。2.3小结综上所述，VPN技术为网络的安全打开一扇全新的窗口，利用其可以更好地解决网络对安全的需求。VPN有多种实现方案，隧道方案是应用最广泛的。通过对各种隧道协议的比较研究可以看出，实现VPN技术也对隧道协议提出 了较高的要求，现有的任何一种隧道协议都不能完全解决其中的所有问题。由于网络自身对安全的特别关注，相比较而言，IPSec隧道技术强大的加密认证算法更符合网络需求。IPSec是因特网上唯一的VPN实施标准，它不仅适用于现有的IPv4，在IPv6中也可应用。单纯的加密并不能实现VPN，单纯的访问控制（如防火墙、名录服务系统）也不能构成真正意义上的VPN。IPSec工作在IP栈的底层，从而使应用程序和高层协议可以继承IPSec提供的加密服务。尽管IPSec在功能上还存在一些局限性，如只能支持IP数据流等。不过IPSec技术与PPTP技术的结合可以实现多协议支持，因此它仍不失为目前VPN的最佳解决方案之一。第三章IPSec协议3.1 IP安全性概要IP协议是TCP/IP中最重要的协议之一，提供无连接的数据包传输机制，其主要功能有：寻址、路由选择、分段和组装。传送层把报文分成若干个数据报，每个数据包在网关中进行路由选择，穿越一个个物理网络从源主机到达目标主机。在传输过程中数据包可能被分成若干小段，以满足物理网络中最大传输单元长度的要求，每一小段都当作一个独立的数据包被传输，其中只有第一个数据报含有TCP层的端口信息。在包过滤防火墙中根据数据包的端口号检查是否合法，这样后续数据包可以不经检查而直接通过。攻击者若发送一系列有意设置的数据包，以非法端口号为数据的后续数据包覆盖前面的具有合法端口号的数据包，那么该路由器防火墙上的过滤规则被旁路，从而攻击者便达到了进攻目的。IP级安全问题涉及到三个功能领域：认证、保密和密钥管理。IAB为了杜绝这些攻击手段，将认证和加密作为下一代IP（即IPv6）中必不可少的安全特征。幸运的是，IPv4也可以实现这些安全特征。IPSec（Internet Protocol Security）细则首先于1995年在互联网标准草案中颁布。迄今为止，IETF的IPSec工作组已经为这一协议组定义了12个RFC（注释请求），。这些RFC文件对IPSec的方方面面都进行了定义，其中包括体系结构、密钥管理、基本协议等。3.2 IPSec概述3.2.1 IPSec基本思想IPSec的基本思想就是在IP层提供安全功能（包括认证和加密）。尽管在TCP/IP体系结构的任何层次都可以实现认证和加密，但至今许多安全协议都是在IP层之上实现的，如PGP（Pretty Good Privacy）加密和认证邮件信息，SSH（Security Share）认证远程登录并且对会话过程进行加密以及SSL（Security Socket Layer）在Socket层实现安全功能等等。另外还有一些安全技术工作在IP层以下，如通信链路层加密和在物理层对网络中传送的所有数据由指定硬件加密。然而，在IP层实现数据通信安全具有更多优点。IPSec就是在IP层实现数据通信安全服务的一种较新技术。高层的安全技术仅仅保护某一类或某一种高层应用，如PGP保护邮件服务；底层的安全技术则不加区分地保护传输媒介中的所有信息，如传输媒介两端的加密盒，它对许多有固定格式的控制信息，如路由报文、应答确认报文也一律加密。而IPSec仅保护IP层之上的任何高层协议中的用户数据，它对IP层及IP层以下的控制报文不加保护，即保护了需要保护的私有信息，如图3-1所示。此外，IPSec还能够在不可信的网络上创建安全隧道，通过隧道连接构成虚拟专用网。 OSI参考模型 用户加密 表示层会话层运输层 网络层物理层 实施加密策略于网络层 线路加密 图3-1 IPSec在网络层实现加密使用IPSec在IP层提供安全服务使得系统可以灵活选择所需要的安全协议，确定该服务所用的算法，并提供安全服务所需的密钥管理。3.2.2 IPSec结构体系IPSec的结构文档（或基本架构文档）RFC 2401，定义了IPSec的基本结构，所有具体的实施方案均建立在它的基础之上。它定义了IPSec提供的安全服务；它们如何使用以及在哪里使用；数据包如何构建及处理；如何根据需求选择IPSec处理等等。IPSec的目标就是使期望得到安全的用户能够使用基于密码学的安全机制，这样的机制能同时适用与IPv4和IPv6，算法独立且有利于根据需求选择实现不同安全策略。对上述特征的支持在IPv6中是强制的，在IPv4中是可选的。在这两种情况下，都是采用在主IP报头后面连续扩展报头的方法实现的。IPSec发展规划定义IPSec各组件之间的交互关系，如图3-2所示。IPSec体系结构（RFC2401）封装安全载荷ESP（RFC 2406）鉴别首部AH（RFC 2402）加密算法（RFC 2405，2451等）鉴别算法（RFC 2403 2404等）解释域（DOI） （RFC 2407）密钥管理（RFC 2409 2408） 图3-2：IPSec协议构架图在IPSec协议套中，除RFC 2401外，还有RFC 2402，RFC 2405，RFC 2409等。其中RFC 2402定义了使用AH进行认证的报文包格式和一般性问题；RFC 2405定义了使用ESP协议进行包加密的报文包格式和一般性问题，以及提供可选的且细密度不同于AH的认证；加密算法描述将各种不同加密算法用于ESP的文档；认证算法则描述将各种不同加密算法用于AH以及ESP认证选项的文档。IPSec提供的各项服务，如访问控制、连接完整性、数据源认证、数据包抗重播、保密性以及有限信息流保密性等等，都是通过AH和ESP来实现的。表3-1是通过AH和ESP实现以上各项服务的一个比较。此外，RFC 2409描述了密钥管理模式。密钥既可手工生成，也可由IKE（Internet密钥交换）生成。IKE并不仅仅限于IPSec的密钥协商，Internet上有许许多多要求安全服务（比如保障数据完整性）的协议，亦可用IKE来协商14密钥，以便保护它们的数据。其中一个例子是OSPF（Open Shortest Path First，开放最短路由优先）路由协议。IKE的载荷格式是通用的，它可为任何一种协议协商密钥，这是通过将IKE协商的参数同协议本身分别实现的。协商的参数被归于一个单独的文档内，名为IPSec解释域。表3-1 AH与ESP比较AHESP（仅加密）ESP（加密+认证）访问控制连接完整性数据源认证抗重播保密性有限保密性 3.2.3 IPSec工作模式1、传输模式: 传输模式保护的是IP载荷。IPV4 中，载荷指位于IP包头之后的数据。IPV6 中，载荷指IP包头和任何存在的IPV6扩展包头(目的地址选项除外)之后的数据，而且地址选项是可以和载荷数据一起受到保护的。采用传输模式时，原IP数据包的包头之后的数据会发生改变，通过增加AH或ESP字段来提供安全性，但原IP包头不变。只提供主机间端到端的安全保障，不能提供路由级安全性。以传输模式工作的ESP协议可对IP载荷进行加密并可选的鉴别，提供保密性和完整性服务。以传输模式工作的AH协议可对IP载荷和IP包头的一部分选项进行鉴别，从而提供数据完整性和一部分信息源鉴别服务。 2、隧道模式 :隧道模式保护的是整个IP包，将原数据包用一个新的数据包封装，还要加上一个新的包头。原数据包头叫内部包头，新增加包头叫外部包头，内部包头由原主机创建，外部包头由提供安全设备添加。一般数据包的始发点或目的点不是安全终点的情况下，需要在隧道模式下使用IPSec。隧道模式下的IPSec还支持嵌套方式，即可对隧道化的数据包再进行隧道化处理，嵌套很难构造。安全保护服务以端到端的形式，那么传输模式比隧道模式要好，传输模式不会添加额外的IP包头。由构建方式所决定，对传送模式所保护的数据包而言，其通信终点必个加密的终点，从某种角度来说，传送模式提供的安全属于端到端保护，两个主机之间的通信，即终端本身必须具备IPSec处理能力。IPSec隧道持一个或多个“隧道”，也就是隧道存在于两个主机之间，在两个安全设安全网关）之间或是图3-3： 传输模式和隧道模式的比较在一个安全网关与一个主机之间。IPSec在隧道模式构建IPSec虚拟专用网，在安全网关处实现IPSec处理，达到通过不可靠网络实现互连的目的。在这种情况下，通信终点便是由受保护的内部IP头指定即真实目的地址，而加密终点则是那些由外部IP头指定的地点，即安全址，它将真实目的地址隐藏起来。在IPSec处理结束的时候，安全网关剥离IP包，再将那个包转发到最终目的地。参见图3-4。 图3-4： IPSec隧道模式建立VPN3.3安全关联SA安全关联SA是指由IPSec提供安全服务的数据流的发送者到接收者的一个单向逻辑关系，用来表示IPSec如何为SA所承载的数据通信提供安全服务。其方式是使用AH或ESP之一，一个SA不能同时使用AH和ESP两种保护措施。 SA决定两个主机间通信的安全特征。SA是单向定义的，即仅朝一个方向定义的安全服务，所以一个通信实体间的双向通信需要两个SA，每个方向一个。 一个SA是由三个参数来惟一标识的：1）安全参数索引SPI。分配给该SA的32位标识符，其位置在AH和ESP的首部，作用是使接收实体在收到数据时能够确定在哪个SA下进行处理，只具有本地意义。2）目的IP地址。即SA中接收实体的IP地址，该地址可以是终端用户系统地址，也可以是防火墙或安全网关等网络设备的地址。它同时决定了方向。目前只允许单播地址。3）安全协议标识符。说明SA使用的协议是AH协议还是ESP协议。 3.4三个基本协议IPSec是一个协议套件，主要由三个基本协议组成。IPSec的处理正是由这三个协议同SA这个重要概念共同完成。而且，它们之间的相互作用组成了整个IPSec的实施。1）ESP（Encapsulating Security Payload），叫做封装安全有效负载。2）AH(Authentication Header，认证头)验证头是另一种IPSec协议。3）IKE (Internet 密钥交换协议)属于ISAKMP框架的一种实例。3.5 IPSec的工作原理IPSec的工作原理（如图3-8所示）类似于包过滤防火墙，可以看作对包过滤防火墙的一种扩展。IPSec通过查询SPD来决定对接收到的IP数据包的处理，但不同于包过滤防火墙的是，IPSec对IP数据包的处理方法除了丢弃、直接传送（绕过IPSec）外，还存在一种选择，即进行IPSec处理。正是这新增加的处理方法提供了比包过滤防火墙更强的网络安全性。 图3-5：IPSec工作原理示意图IPSec处理主要分为外出和进入处理，AH和ESP处理是这两对处理的变体。虽然不同组件的接口仍保持不变，但输入和输出之间的数据包处理是不同的。协议处理可分成SPD处理，SA处理，头和转码处理。对AH和ESP两者来说，SPD和SA处理过程都是一样的。AH和ESP之间，转码和头处理不相同。3.6小结本章对IPSec进行了全面的剖析，其中包括三个重要协议AH、ESP、IKE及SA等重要概念，同时还详细地阐述了IPSec对IP数据包的进入、外出处理过程。IPSec协议于TCP/IP的网络层对数据包实施加密，利用AH协议提供认证，ESP协议提供加密和可选的、不用粒度的认证来解决IP级安全问题。IPSec的传输方式和隧道方式使用户可根据需求灵活应用。随着因特网和TCP/IP技术遍及全球，利用IPSec的隧道协议成为构建VPN较好解决方案之一。第4章IPSEC VPN实现模型的设计不管是具体选择什么实现方式，IPSec基本协议应该具有如下能力：能够在一个外出报文添加一个或多个IPSec头，可以添加在IP层和上层数据之间（传送模式），也可以添加在IP层外并另外封装一个新的IP头。能够处理隧道模式的IPSec包，并向IP转发解封的IP包。能够处理传送模式的IPSec包，再根据IPSec包内装载的传送载荷，把它们传送到恰当的传送层。4.1 超市VPN设计在新一代的市场环境下，超市、便利店的生命力也逐渐强大起来。作为一种新型的市场形态，在物流、采购等形态逐渐成熟的带动下，连锁机构经营能力日渐显现出来，连锁网络的便利性和集中经营形成的价格优势，使连锁机构比传统机构更具吸引力。在连锁超市、便利店这种流动数据量极大的经营方式下，要实现连销的优势，就必须要做好总部与分店间信息数据的管理，但是，现在很多连锁超市的分店众多且都分布在不同的地区，要做到互动的信息化，就要在其间建立一个强大的信息系统平台，这就需要依靠网络传送来达成了。这时，总部与分店间更紧密的即时联系及互动显得尤为重要。由于国内网络环境还不是很完善，网络应用也不是很成熟，以旧的拨号联机方式进行连接仍然会受到网络安全、传输速度无法保证化、应用实施难等问题的困扰。如果以增加专线的形式来解决问题，其投入与维护成本相对较高，对分点极多的连锁企业来说，著实难以负担。我们可以看到，连锁超市、便利店业态迫切需要一种新的联机方式，来实现网点间的互联互动。作为大型连锁超市，其经营中所涉及的信息是多方面的，超市本身已安装了超市信息管理系统，完整介入了连锁超市的整个管理，不仅采集数据，而且分析数据，为管理大规模的连锁超市提供了相当好的信息系统平台，可实现商品管理、卖场管理、供应商管理等操作。在这种庞大的信息系统的带动下，总部要及时掌握各分店公司的销售情况和配送中心的库存情况，子公司也要及时了解总部的调价信息、库存和配送情况等，并需要上传大量销售、财务等方面的数据及报表。而旧有的拨号方式已不能满足连锁超市总部与分店间的传输需要了，但亦不希望要为此负上高昂的专线费用，因此，超市提出了各分店和总公司能互相通信，具稳定性、安全性，可保证时时联机的网络需求。超市VPN组网方案网络拓扑图如图41所示。图4-1 超市VPN组网网络拓扑图总部中心端：由于超市属连锁性质,