Panabit Support Board!

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 5719|回复: 2

Panabit SD-WAN解决方案之IPsec

[复制链接]
发表于 2022-3-29 11:21:20 | 显示全部楼层 |阅读模式
在派网的SD-WAN解决方案中,其实有两种大的使用场景,一种是【关键数据加速场景】,此时使用的是派网自有的iWAN隧道技术。另一种是【多分支安全组网场景】,此时使用的是传统的IPsec隧道技术。

我印象里当年学VPN技术的时候,老师教了好多种,像什么L2F、PPTP、L2TP、ATMP、GRE、SSL、MPLS、IPsec等等。不过现在经常在市面上出现的,貌似只剩下了SSL、MPLS、IPsec的身影。

如果用TCP/IP模型去进行划分:

SSL VPN是应用层的VPN技术,主要应用在企业网络中,部署方式非常的简单,只需要总部的一台服务器和若干个终端电脑的客户端软件就可以使用了,虽然部署简单,但SSL在安全性上还是有保证的,尤其是在Web应用的保护上应用非常普遍。

MPLS是2.5层的VPN技术,主要应用在运营商网络中,接触过运营商传输网络的人会非常熟悉,三大运营商的城域网就是靠这个VPN连接起来的,有的时候IE认证的考试会考,但是如果不在运营商这个行业里,很难再接触到。

IPsec是3层的VPN技术,主要也是用在企业网络中,虽然它也具备和移动用户接入的能力,但是在实际中,更常见的应用场景是实现多分支企业各个节点之间的点对点互联,并实现数据的端到端保护。

今天我们重点讲一下IPsec VPN技术。


01 IPsec VPN简介
IPsec(IP Security)是IETF制定的一系列协议。IETF是个组织,中文名字叫互联网工程任务组(The Internet Engineering Task Force),是一个松散的、自律的、志愿的民间学术组织,成立于1985年底,其主要任务是负责互联网相关技术规范的研发和制定。

传统的IP路由转发,是无法实现数据安全保障的。IPsec VPN的出现,为 Internet 上传输的数据提供了高质量的、可互操作的、基于密码学的安全保护。特定的通信方之间在 IP 层通过加密与数据源认证等方式,来保证数据包在网络上传输的机密性(Confidentiality)、完整性(Data Integrity)、真实性(Data Authentication)和防重放(Anti-Replay)。


IPsec 协议由四部分组成,分别为:

  • AH(Authentication Header,认证头)协议
  • ESP(Encapsulating Security Payload,封装安全载荷)协议
  • IKE(Internet Key Exchange,因特网密钥交换)协议
  • 认证与加密算法

其中,AH 协议与 ESP 协议用于提供安全服务,IKE 协议用于密钥交换。

IPsec VPN一般分为两种工作模式,如下所示:

隧道(Tunnel)模式:隧道模式保护所有IP数据并封装新的IP头部,不使用原始IP头部进行路由。在IPsec头部前加入新的IP头,源目为IPsec Peer地址。并允许RFC 1918规定的地址(私有地址)参与VPN穿越互联网。

AH Tunnel mode:
tunnel1.png

ESP Tunnel mode:
tunnel2.png



传输(Transport)模式:传输模式保护原始IP头部后面的数据,在原始IP头和Payload间插入IPsec头部(ESP或AH)。典型应用为端到端的会话,并且要求原始IP头部全局可路由。

AH Transport mode:
trans1.png

ESP Transport mode:
trans2.png


总体来说,IPsec更加安全了。


02 IPsec VPN的应用场景
IPsec VPN一般用于局域网互连,如企业总部与分支机构之间的办公网互连。当 IPsec 隧道建立后,两地办公网内的计算机可以相互访问,安全地共享内网资源等。

topo.png


03 Panabit IPsec VPN的配置
在Panabit中,IPsec VPN 模块将作为“WAN 线路”,并结合“策略路由”,为符合 IPsec 安全策略的数据包提供加解密服务。配置界面如下图:

peizhi.png


其中,参数含义如下:

【网卡】表示要在哪条“WAN线路”上建立IPsec 隧道;

【本端 ID】与【对端 ID】作为IKE协商时进行身份认证的标识;

【DPD 检测频率】表示对“对端网关IP” 进行心跳检测的频率,当连续 5 次心跳检测失败时,表示到“对端网关IP” 的连接已经丢失,会重新发起 IKE协商。


现网中,Panabit IPsec VPN也经过了非常严格市场检测,可以和M厂、T厂、S厂、V厂、J厂、N厂、F厂等国内外主流安全产品对接,并且我们的隧道性能也可以达到和iWAN类似的水准,欢迎大家体验。



发表于 2022-5-17 14:47:22 | 显示全部楼层

iWan的客户端只有Win10的好用些 那么换个思路行不行

Wan线路里没有看到IPsec啊 只有专业版有吗 我是SMB版


 楼主| 发表于 2022-5-17 15:27:58 | 显示全部楼层
JamesZ 发表于 2022-5-17 14:47
Wan线路里没有看到IPsec啊 只有专业版有吗 我是SMB版

正式版本里IPsec还没有放进去,可以联系我们的技术要测试版本~
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|北京派网软件有限公司 ( ICP备案序号:京ICP备14008283号 )

GMT+8, 2024-11-21 18:25 , Processed in 0.124757 second(s), 19 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表