使用Ipsec-tools构建企业VPN

1.引言

    VPN (Virtual Private Network)即为“虚拟专用网络”。VPN被定义为通过一个公用网络(通常是因特网)，在两个私有网络之间，建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道，以便保证两个私有网络之间安全地在互联网上传送信息。VPN的类型通常有两种:一种为远程访问的VPN，需要拔号，适合于出差的用户与远程办公的用户通过拔号的方式，比如PPTP，来连接到公司总部，访问公司总部内的相关服务;另一种为站点到站点的VPN，适合于公司总部与公司分部之间或者公司与合作伙伴之间在互联网上来安全地传送信息。

    实现VPN的技术有第二层的PPTP，L2TP，L2F与第三层的GRE，IPSec等，常用于站点到站点的VPN协议为IPSecIPSec（IP Security)是IETF制定的为保证在Internet上传送数据的安全保密性能的三层隧道加密协议。IPSe。在IP层对IP报文提供安全服务。IPSec协议本身定义了如何在1P数据包中增加字段来保证IP包的完整性、私有性和真实性，以及如何加密数据包。使用IPsec，数据就可以安全地在公网上传输。

    实现IPSec的软件有很多，RHELS包含的ipsec-tools就可以实现，它是一个开放源码的软件，具有极高的安全性与稳定性。ipsec-tools有两个工具，分别为Setkey与Racoono Setkey为SAD与SPD的管理工具，Racoon则为IKE机制。

2.以Preshared Keys为验证模式下的隧道模式VPN实现

    下面通过一个实例介绍VPN的实现。某公司有北京总部与广州分部，现要求企业总部与广州分部之间所有的通讯都以IPSec的方法在互联网上传送。北京总部设有VPN主机，两块网卡，eth0接外网，其IP地址是10.0.0.1/8,eth1接内网，其IP地址是192.168.1.0/24。广州分部VPN主机也有两块网卡，eth0接外网，其IP地址是10.0.0.2/8,eth1接内网，其IP地址是192.168.2.0/24 0两台VPN主机上都安装了RHELS，并且安装了ipsec-tools工具。现通过ipsec-tools组件来实现以Preshared Keys为验证模式下的隧道模式VPN配置，保证企业通讯安全，配置步骤如下:

    (1)确保Client A与Client B两台主机的连通性;

    (2)确保VPN主机A与VPN主机B两台主机的防火墙己关闭:

    (3)在VPN主机A上配置IKE。修改其配置文件/etc/racoon/raccoon.conf，内容如下:

    path include "/etc/racoon";

    path presharedse key "/etc/racoon/psk.txt";

    remote 10.0.0.2

    {

    exchange- mode main;

      proposal

      {

    authentication- method pre- sharedes key;

    dh_group  modp1024;

    hash algorithm  shal;

    encryption algorithm  ides;

      lifetime time 1 hour;

      }

    }

    sainfo anonymous

    {

      lifetime time 1 hour;

    encryption algorithm ides;

    authentication algorithm hmac_ shal;

    compression一 algorithm deflate;

    }

    (4)设置预共享密钥，修改配置文件//etc/raccoon/psk.txt;

    10.0.0.2   ilikethxy

    (5)设置SPD，配置文件为/etc/raccoon/setkey.conf;

    flush;

    spdflush;

    spdadd  192.168.1.0/24 192.168.2.0/24 any -P out ipsecesp/tunnel/10.0.0.1一10.0.0.2/require;

    spdadd  192.168.2.0/24  192.168.1.0/24  any -P  in  ipsecesp/tunnel/10.0.0.2-10.0.0.1/require;

    (6)在另一台主机上也配置好IKE，预共享密钥与SPD;

    配置IKE与共享密钥文件里面只需要把10.0.0.2改成10.0.0.1即可，SPD文件里面把in改成out，把out改成in即可。

    (7)启动IKE;

    [root@Iocalhost~]#raccoon-f /etc/raccoon/racoon.conf

    (8)启动SPD;

    [root@localhost~]#setkey-f /etc/raccoon/racoon.conf

    (9)验证结果。

    启动Wireshark软件，然后在Client A中ping Client B，捕获VPN主机A上的10.0.0.1接口的数据包。

3.结束语

    由于IPSec是工作于网络层，即它可以对网络层上的协议都进行加密。因此，用Ipsec-tools来实现企业网络中间的VPN是一个不错的选择。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：使用Ipsec-tools构建企业VPN

本文网址：http://www.toberp.com/html/support/1112157987.html