当前位置:首页最新动态官方新闻

后厂村网络设备的内卷发布时间:2021-10-25 15:59

中关村软件园是个神奇的地方

如果你手里有一个足够大的喇叭

站在后厂村路上大喊一声



在一个盒子里的那个设备叫——Panabit智能应用网关。过去我们介绍了太多的负载、流控、审计、认证、SD-WAN等功能,唯独没有介绍IPsec VPN。
 
在派网的SD-WAN解决方案中,其实有两种大的使用场景,一种是【关键数据加速场景】,此时使用的是派网自有的iWAN隧道技术。另一种是【多分支安全组网场景】,此时使用的是传统的IPsec隧道技术。
 
我印象里当年学VPN技术的时候,有个叫大刀水牛的老师(B站上可以搜索到这个人的教学视频)教了好多种,像什么L2F、PPTP、L2TP、ATMP、GRE、SSL、MPLS、IPsec等等。不过现在经常在市面上出现的,貌似只剩下了SSL、MPLS、IPsec的身影。
 
如果用TCP/IP模型去进行划分:
● SSL VPN是应用层的VPN技术,主要应用在企业网络中,部署方式非常的简单,只需要总部的一台服务器和若干个终端电脑的客户端软件就可以使用了,虽然部署简单,但SSL在安全性上还是有保证的,尤其是在Web应用的保护上应用非常普遍。
 
● MPLS是2.5层的VPN技术,主要应用在运营商网络中,接触过运营商传输网络的人会非常熟悉,三大运营商的城域网就是靠这个VPN连接起来的,有的时候IE认证的考试会考,但是如果不在运营商这个行业里,很难再接触到。
 
IPsec是3层的VPN技术,主要也是用在企业网络中,虽然它也具备和移动用户接入的能力,但是在实际中,更常见的应用场景是实现多分支企业各个节点之间的点对点互联,并实现数据的端到端保护。
 
今天我们重点讲一下IPsec VPN技术。
 

01
IPsec VPN简介

 
IPsec(IP Security)是IETF制定的一系列协议。IETF是个组织,中文名字叫互联网工程任务组(The Internet Engineering Task Force),是一个松散的、自律的、志愿的民间学术组织(牛吧,民间组织),成立于1985年底,其主要任务是负责互联网相关技术规范的研发和制定。
 
传统的IP路由转发,是无法实现数据安全保障的。IPsec VPN的出现,为 Internet 上传输的数据提供了高质量的、可互操作的、基于密码学的安全保护。特定的通信方之间在 IP 层通过加密与数据源认证等方式,来保证数据包在网络上传输的机密性(Confidentiality)、完整性(Data Integrity)、真实性(Data Authentication)和防重放(Anti-Replay)。
 
IPsec 协议由四部分组成,分别为:

  1. AH(Authentication Header,认证头)协议
  2. ESP(Encapsulating Security Payload,封装安全载荷)协议
  3. IKE(Internet Key Exchange,因特网密钥交换)协议
  4. 认证与加密算法
其中,AH 协议与 ESP 协议用于提供安全服务,IKE 协议用于密钥交换。
 
IPsec VPN一般分为两种工作模式,如下所示:
隧道(Tunnel)模式:隧道模式保护所有IP数据并封装新的IP头部,不使用原始IP头部进行路由。在IPsec头部前加入新的IP头,源目为IPsec Peer地址。并允许RFC 1918规定的地址(私有地址)参与VPN穿越互联网。
 AH Tunnel mode 
 ESP Tunnel mode 

 
传输(Transport)模式:传输模式保护原始IP头部后面的数据,在原始IP头和Payload间插入IPsec头部(ESP或AH)。典型应用为端到端的会话,并且要求原始IP头部全局可路由。
 
总体来说,IPsec更加安全了。

 AH Transport mode 

 ESP Transport mode 
 

02
IPsec VPN的应用场景

 
IPsec VPN一般用于局域网互连,如企业总部与分支机构之间的办公网互连。当 IPsec 隧道建立后,两地办公网内的计算机可以相互访问,安全地共享内网资源等。


 

03
Panabit IPsec VPN的配置

 
在Panabit中,IPsec VPN 模块将作为“WAN 线路”,并结合“策略路由”,为符合 IPsec 安全策略的数据包提供加解密服务。配置界面如下图:


 
其中,参数含义如下:

【网卡】表示要在哪条“WAN线路”上建立IPsec 隧道;

【本端 ID】与【对端 ID】作为IKE协商时进行身份认证的标识;

【DPD 检测频率】表示对“对端网关IP” 进行心跳检测的频率,当连续 5 次心跳检测失败时,表示到“对端网关IP” 的连接已经丢失,会重新发起 IKE协商。

现网中,Panabit IPsec VPN也经过了非常严格市场检测,可以和M厂、T厂、S厂、V厂、J厂、N厂、F厂等国内外主流安全产品对接,并且我们的隧道性能也可以达到和iWAN类似的水准,欢迎大家体验。




更多精彩:

WiFi 6不6,AP说了算