1.引言

    VPN (Virtual Private Network)即為“虛擬專用網(wǎng)絡(luò)”。VPN被定義為通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))，在兩個私有網(wǎng)絡(luò)之間，建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定隧道，以便保證兩個私有網(wǎng)絡(luò)之間安全地在互聯(lián)網(wǎng)上傳送信息。VPN的類型通常有兩種:一種為遠(yuǎn)程訪問的VPN，需要拔號，適合于出差的用戶與遠(yuǎn)程辦公的用戶通過拔號的方式，比如PPTP，來連接到公司總部，訪問公司總部內(nèi)的相關(guān)服務(wù);另一種為站點到站點的VPN，適合于公司總部與公司分部之間或者公司與合作伙伴之間在互聯(lián)網(wǎng)上來安全地傳送信息。

    實現(xiàn)VPN的技術(shù)有第二層的PPTP，L2TP，L2F與第三層的GRE，IPSec等，常用于站點到站點的VPN協(xié)議為IPSecIPSec（IP Security)是IETF制定的為保證在Internet上傳送數(shù)據(jù)的安全保密性能的三層隧道加密協(xié)議。IPSe。在IP層對IP報文提供安全服務(wù)。IPSec協(xié)議本身定義了如何在1P數(shù)據(jù)包中增加字段來保證IP包的完整性、私有性和真實性，以及如何加密數(shù)據(jù)包。使用IPsec，數(shù)據(jù)就可以安全地在公網(wǎng)上傳輸。

    實現(xiàn)IPSec的軟件有很多，RHELS包含的ipsec-tools就可以實現(xiàn)，它是一個開放源碼的軟件，具有極高的安全性與穩(wěn)定性。ipsec-tools有兩個工具，分別為Setkey與Racoono Setkey為SAD與SPD的管理工具，Racoon則為IKE機制。

2.以Preshared Keys為驗證模式下的隧道模式VPN實現(xiàn)

    下面通過一個實例介紹VPN的實現(xiàn)。某公司有北京總部與廣州分部，現(xiàn)要求企業(yè)總部與廣州分部之間所有的通訊都以IPSec的方法在互聯(lián)網(wǎng)上傳送。北京總部設(shè)有VPN主機，兩塊網(wǎng)卡，eth0接外網(wǎng)，其IP地址是10.0.0.1/8,eth1接內(nèi)網(wǎng)，其IP地址是192.168.1.0/24。廣州分部VPN主機也有兩塊網(wǎng)卡，eth0接外網(wǎng)，其IP地址是10.0.0.2/8,eth1接內(nèi)網(wǎng)，其IP地址是192.168.2.0/24 0兩臺VPN主機上都安裝了RHELS，并且安裝了ipsec-tools工具�，F(xiàn)通過ipsec-tools組件來實現(xiàn)以Preshared Keys為驗證模式下的隧道模式VPN配置，保證企業(yè)通訊安全，配置步驟如下:

    (1)確保Client A與Client B兩臺主機的連通性;

    (2)確保VPN主機A與VPN主機B兩臺主機的防火墻己關(guān)閉:

    (3)在VPN主機A上配置IKE。修改其配置文件/etc/racoon/raccoon.conf，內(nèi)容如下:

    path include "/etc/racoon";

    path presharedse key "/etc/racoon/psk.txt";

    remote 10.0.0.2

    {

    exchange- mode main;

      proposal

      {

    authentication- method pre- sharedes key;

    dh_group  modp1024;

    hash algorithm  shal;

    encryption algorithm  ides;

      lifetime time 1 hour;

      }

    }

    sainfo anonymous

    {

      lifetime time 1 hour;

    encryption algorithm ides;

    authentication algorithm hmac_ shal;

    compression一 algorithm deflate;

    }

    (4)設(shè)置預(yù)共享密鑰，修改配置文件//etc/raccoon/psk.txt;

    10.0.0.2   ilikethxy

    (5)設(shè)置SPD，配置文件為/etc/raccoon/setkey.conf;

    flush;

    spdflush;

    spdadd  192.168.1.0/24 192.168.2.0/24 any -P out ipsecesp/tunnel/10.0.0.1一10.0.0.2/require;

    spdadd  192.168.2.0/24  192.168.1.0/24  any -P  in  ipsecesp/tunnel/10.0.0.2-10.0.0.1/require;

    (6)在另一臺主機上也配置好IKE，預(yù)共享密鑰與SPD;

    配置IKE與共享密鑰文件里面只需要把10.0.0.2改成10.0.0.1即可，SPD文件里面把in改成out，把out改成in即可。

    (7)啟動IKE;

    [root@Iocalhost~]#raccoon-f /etc/raccoon/racoon.conf

    (8)啟動SPD;

    [root@localhost~]#setkey-f /etc/raccoon/racoon.conf

    (9)驗證結(jié)果。

    啟動Wireshark軟件，然后在Client A中ping Client B，捕獲VPN主機A上的10.0.0.1接口的數(shù)據(jù)包。

3.結(jié)束語

    由于IPSec是工作于網(wǎng)絡(luò)層，即它可以對網(wǎng)絡(luò)層上的協(xié)議都進行加密。因此，用Ipsec-tools來實現(xiàn)企業(yè)網(wǎng)絡(luò)中間的VPN是一個不錯的選擇。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：使用Ipsec-tools構(gòu)建企業(yè)VPN

本文網(wǎng)址：http://www.oesoe.com/html/support/1112157987.html