Cisco路由器之IPSec 虚拟专用网（包括相关知识点以及配置实例）

博文大纲：

• 一、虚拟专用网相关概念
• 二、IPSec 虚拟专用网的基本概念
• 三、ISAKMP/IKE阶段1及阶段2的建立过程
• 四、IPSec 虚拟专用网的配置实现
• 五、总结

前言：由于“Virtual Private Network”（请看首字母，就知道是什么咯）是敏\感词汇，所以在博文中使用它的中文名字“虚拟专用网”来代替。

一、虚拟专用网相关概念。

1、虚拟专用网的定义

虚拟专用网就是在两个网络实体之间建立的一种受保护的连接，这两个实体可以通过点到点的链路直接相连，但通常情况下他们会相隔较远的距离。

对于定义中提到的“受保护”一词，可以从以下几个方面理解：

• 通过使用加密技术防止数据被窃听。
• 通过数据完整性验证防止数据被破坏、篡改。
• 通过认证机制实现通信方身份确认，来防止通信数据被截获和回放。
  此外，虚拟专用网技术还定义了以下功能：
• 何种流量需要被保护。
• 数据被保护的机制。
• 数据的封装过程。

实际生产环境中的虚拟专用网解决方案不一定包含上面所有功能，还要由具体的环境需求和实现方式决定，而且很多企业可能采用不止一种的虚拟专用网解决方案。

2、虚拟专用网的连接模式

虚拟专用网的连接模式有两种：传输模式和隧道模式。

（1）传输模式：

在整个虚拟专用网的传输过程中，IP包头并没有被封装进去，这就意味着从源端的数据始终使用原有的IP地址进行通信。而传输的实际数据载荷被封装在虚拟专用网报文中，对大多数虚拟专用网传输而言，虚拟专用网的报文封装过程就是数据的加密过程，因此，第三者无法破解数据内容，但却可以清晰的知道通信双方的地址信息。

由于传输模式封装结构相对简单，因此传输效率较高，多用于通信双方在同一个局域网内的情况。

（2）隧道模式：

隧道模式下，虚拟专用网设备将整个三层数据报文封装在虚拟专用网数据内，再为封装后的数据报文添加新的IP包头。由于在新IP包头中封装的是虚拟专用网设备的IP地址信息，所以当第三者截获数据后，不但无法了解实际载荷数据的内容，同时也无法知道实际通信双方的地址信息。数据包封装后如下：

由于隧道模式的虚拟专用网在安全性和灵活性方面具有很大的优势，在企业环境中应用非常广泛，如：总公司和分公司跨广域网的通信、移动用户在公网访问公司内部资源等。

3、虚拟专用网的类型

通常情况下，虚拟专用网的类型分为站点到站点虚拟专用网和远程访问虚拟专用网。

（1）站点到站点虚拟专用网：

站点到站点虚拟专用网就是通过隧道模式在虚拟专用网网关之间保护两个或更多的站点之间的流量，站点间的流量通常是指局域网之间（L2L）的通信流量。L2L虚拟专用网多用于总公司与分公司、分公司之间在公网上传输重要的业务数据，主要针对某个网段的流量可以使用虚拟专用网。

（2）远程访问虚拟专用网：

远程访问虚拟专用网通常用于单用户设备与虚拟专用网网关之间的通信连接，单用户设备一般为一台PC或小型办公网络等。远程访问虚拟专用网对安全性的要求较高，更适用于隧道模式。

要想实现隧道模式的通信，就需要给远程访问客户端分配两个IP地址：一个是它自己的网卡IP地址，另一个是内网地址，也就是说，远程客户端在虚拟专用网建立过程中同时充当虚拟专用网网关（使用本身的IP地址）和终端用户（使用内网地址）。

虚拟专用网技术涉及到的概念及算法太多，这里不啰嗦了。

关于虚拟专用网技术涉及到的理论方面知识如下，感兴趣的话可以自行查阅相关资料