我们选择三层VPN隧道技术。IPSec只支持IP单播数据流。L2TP和GRE 都不支持数据加密和分组完整性。结合使用IPSec和L2TP/GRE时，提供IPSec的加密功能。具体流程见图3。

图3 IPSec VPN

　　加解密技术

　　为确保私有资料在传输过程中不被他人浏览、窃取或篡改，使用安全外壳(SSH)和S/MIME(安全/多用途internet邮件扩展)，具体如图4 所示。

图4 传输过程中的安全技术的使用

　　密钥管理技术

　　它的主要任务是保证在开放网络环境中安全地传输密钥而不被黑客窃取。

　　Internet密钥交换协议(IKE)用于通信双方协商和建立安全联盟，交换密钥。核心技术就是DH(Diffie Hellman)交换技术。阶段1建立ISAKMP SA，有主模式(MainMode)和激进模式(Aggressive Mode)两种。阶段2在阶段1的ISAKMP SA的保护下建立IPSec SA，称之为快速模式(QuickMode)。IPSec SA用于最终的IP数据安全传送。IKE 还包含有传送信息的信息交换(Informational Exchange)和建立新DH组的组交换(DH Group Exchange)。

　　使用者与设备身份认证技术

　　网络上的用户与设备都需要确定性的身份认证，包括：1.用户名密码方式(PAP)；2.数字证书签发中心所发出的符合X.509规范的标准数字证书；3.KE提供共享验证字(Pre-shared Key)、公钥加密验证、数字签名验证等验证方法。后两种方法通过对CA中心的支持来实现。

　　IPSec VPN配置(以锐捷产品为例)

　　配置步骤：1 .定义被保护的数据流；2.定义安全提议；3.定义安全策略或安全策略组；4.接口实施安全策略。

　　配置完成后，可以使用ping 来测试，并使用图5命令来查看状态。

图5 IPSec VPN配置的测试

　　(作者单位为云南工商学院信息工程学院)