1.引言

    VPN (Virtual Private Network)即為“虛擬專用網絡”。VPN被定義為通過一個公用網絡(通常是因特網)，在兩個私有網絡之間，建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定隧道，以便保證兩個私有網絡之間安全地在互聯網上傳送信息。VPN的類型通常有兩種:一種為遠程訪問的VPN，需要拔號，適合于出差的用戶與遠程辦公的用戶通過拔號的方式，比如PPTP，來連接到公司總部，訪問公司總部內的相關服務;另一種為站點到站點的VPN，適合于公司總部與公司分部之間或者公司與合作伙伴之間在互聯網上來安全地傳送信息。

    實現VPN的技術有第二層的PPTP，L2TP，L2F與第三層的GRE，IPSec等，常用于站點到站點的VPN協議為IPSecIPSec（IP Security)是IETF制定的為保證在Internet上傳送數據的安全保密性能的三層隧道加密協議。IPSe。在IP層對IP報文提供安全服務。IPSec協議本身定義了如何在1P數據包中增加字段來保證IP包的完整性、私有性和真實性，以及如何加密數據包。使用IPsec，數據就可以安全地在公網上傳輸。

    實現IPSec的軟件有很多，RHELS包含的ipsec-tools就可以實現，它是一個開放源碼的軟件，具有極高的安全性與穩定性。ipsec-tools有兩個工具，分別為Setkey與Racoono Setkey為SAD與SPD的管理工具，Racoon則為IKE機制。

2.以Preshared Keys為驗證模式下的隧道模式VPN實現

    下面通過一個實例介紹VPN的實現。某公司有北京總部與廣州分部，現要求企業總部與廣州分部之間所有的通訊都以IPSec的方法在互聯網上傳送。北京總部設有VPN主機，兩塊網卡，eth0接外網，其IP地址是10.0.0.1/8,eth1接內網，其IP地址是192.168.1.0/24。廣州分部VPN主機也有兩塊網卡，eth0接外網，其IP地址是10.0.0.2/8,eth1接內網，其IP地址是192.168.2.0/24 0兩臺VPN主機上都安裝了RHELS，并且安裝了ipsec-tools工具。現通過ipsec-tools組件來實現以Preshared Keys為驗證模式下的隧道模式VPN配置，保證企業通訊安全，配置步驟如下:

    (1)確保Client A與Client B兩臺主機的連通性;

    (2)確保VPN主機A與VPN主機B兩臺主機的防火墻己關閉:

    (3)在VPN主機A上配置IKE。修改其配置文件/etc/racoon/raccoon.conf，內容如下:

    path include "/etc/racoon";

    path presharedse key "/etc/racoon/psk.txt";

    remote 10.0.0.2

    {

    exchange- mode main;

      proposal

      {

    authentication- method pre- sharedes key;

    dh_group  modp1024;

    hash algorithm  shal;

    encryption algorithm  ides;

      lifetime time 1 hour;

      }

    }

    sainfo anonymous

    {

      lifetime time 1 hour;

    encryption algorithm ides;

    authentication algorithm hmac_ shal;

    compression一 algorithm deflate;

    }

    (4)設置預共享密鑰，修改配置文件//etc/raccoon/psk.txt;

    10.0.0.2   ilikethxy

    (5)設置SPD，配置文件為/etc/raccoon/setkey.conf;

    flush;

    spdflush;

    spdadd  192.168.1.0/24 192.168.2.0/24 any -P out ipsecesp/tunnel/10.0.0.1一10.0.0.2/require;

    spdadd  192.168.2.0/24  192.168.1.0/24  any -P  in  ipsecesp/tunnel/10.0.0.2-10.0.0.1/require;

    (6)在另一臺主機上也配置好IKE，預共享密鑰與SPD;

    配置IKE與共享密鑰文件里面只需要把10.0.0.2改成10.0.0.1即可，SPD文件里面把in改成out，把out改成in即可。

    (7)啟動IKE;

    [root@Iocalhost~]#raccoon-f /etc/raccoon/racoon.conf

    (8)啟動SPD;

    [root@localhost~]#setkey-f /etc/raccoon/racoon.conf

    (9)驗證結果。

    啟動Wireshark軟件，然后在Client A中ping Client B，捕獲VPN主機A上的10.0.0.1接口的數據包。

3.結束語

    由于IPSec是工作于網絡層，即它可以對網絡層上的協議都進行加密。因此，用Ipsec-tools來實現企業網絡中間的VPN是一個不錯的選擇。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：使用Ipsec-tools構建企業VPN

本文網址：http://www.guhuozai8.cn/html/support/1112157987.html