IPsec VPN的安全保障

VPN的商业优势非常吸引人，许多公司都开始制定自己的战略，利用互联网作为他们主要的传输媒介，甚至包括商业秘密数据的传输。北电网络提供的 Contivity 解决方案不仅使客户可以建立各种类型的VPN，而且还可以把这些VPN集成到未来的融合话音和数据的网络中。在北电网络看来， VPN将发展成为高速、安全的网络，它将在公共互联网上安全融合所有业务，包括数据、话音和视频业务。

IPsec VPN的功效

当企业借助互联网进行商业活动时，必须采取特殊的保护措施，以保证重要信息在公共互联网上传输时不会被泄露，而IPsec VPN就是最好的选择。IPsec 有效地保证了数据的私密性(Confidentially)、完整性(Integrity)、鉴权(Authentication)和可查性(Non-Repudiation) ，IPsec 分两种工作模式：隧道模式、传输模式，这两种模式分别使用在不同的工作环境，当主机与主机之间安全通信时一般采用传输模式，当许多主机通过IPsec VPN网关建立隧道安全通信时，则采用隧道模式。企业网可以采用IPsec VPN 取代传统的专线方式进行远程点的连接已成为必然趋势，但是一直以来IPsec VPN 网络的设计都存在着两个最大的问题：一是动态路由选择（SRT）；二是网络地址转换(NAT)。

动态路由选择

SRT是一种软件构架，是所有Contivity IP业务的基础。它在设计上将安全性内置到所有Contivity操作组件中，可提供以下优势。

安全路由选择 SRT支持IPsec隧道上的动态路由。传统的路由器以及许多VPN/防火墙设备经常需要为每组IP地址对提供单独的加密隧道或只允许在这些隧道上实现静态路由，为此必须人工配置子网地址。Contivity符合IPsec标准，能够将“虚拟IP接口”映射到IPsec隧道。当通过隧道传输IP业务时，Contivity的动态路径避免了额外的状态处理和数据包开销（每个数据包多达24个字节）。SRT的设计见图1：

图1 SRT的设计

安全接入所有与Contivity的连接或通过Contivity的设备，不管是隧道化或非隧道化连接，都可被安全化。

安全策略 SRT允许每个用户、用户组或分支办公室分别使用各自的安全性配置文件设置。不管是运行在隧道化还是非隧道化连接上，都以同样的方式应用鉴权和接入权限。

安全管理 Contivity的设计中没有“后门”，因为“后门”可能危害设备或管理接口。通过安全加密隧道进行配置是Contivity接口支持的唯一模式，在该接口中内置了广泛的拒绝服务（DoS）保护。

Contivity构建于北电网络安全路由技术（SRT）框架之上，SRT集成了Contivity的主要功能组件，如管理、接入、路由和策略，在这些设备上构建了一个坚固的安全架构。即使是在同一个设备上运行多种IP业务，它也可提供扩展性和较高的性能。

SRT同时还能实现秘钥功能，如安全IPsec隧道上的动态路由（RIP/OSPF）、VPN、防火墙和路由业务的公共用户安全策略，以及在需要时增加新的IP设备而不影响总体性能。

北电网络安全路由技术使正在升级网络的企业，能够通过以下几方面来降低安装成本：将VPN集成到现有路由器中，升级软件以便通过安全协议来处理话务；为每个设备添加加密卡;支持和实施上述网络升级。相关停机时间的缩短、培训、厂房设施和功耗要求的降低还使企业能够降低运营成本。

网络地址转换

IPsec VPN和网络地址转换NAT（Net Address Translation）应用已经十分广泛了，但是要使它们运行在一起，却不是一件容易的事。由于 IPsec VPN协议架构本身以及缺乏支持IPsec 的NAT设备，当IPsec和NAT在一起运行时就会出现很多问题。因此，要解决两者共存的问题，就必须对IPsec和NAT有一定的了解。

NAT 有两种类型：静态NAT(ONE-TO-ONE NAT)，动态NAT(MANY-TO-ONE，MANY-TO-MANY)，其中静态NAT允许数据主动进出网络，而动态NAT只允许数据主动流出网络，出网时把源地址转换为合法地址，进网时则把目标地址转换为原来的内部地址，以达到与公网互通的目的。

IPsec 的许多特性阻止了NAT的运行，如IKE 必需保证源UDP端口与目的UDP端口一致，此特性阻止了PAT(MANY-TO-ONE)的运行，IPsec AH 方式不允许改变任何IP地址，以满足认证功能与完整性功能，因此阻止了任何类型NAT的运行，ESP 传输模式下NAT设备无法修改TCP CHECKSUM，因此也无法运行NAT。这些限制严重阻碍了IPsec VPN的普及，无法把IPsec推向网络边缘。北电网络Contivity解决方案成功解决了该问题，让IPsec VPN 走向网络边缘成为可能，见下图。