搜索
IPSEC和token组网方案的粗浅理解组网描述如下图:INTERNET网token服务器TokenTokenCISCO1921CISCO1921CISCO1921IPSEC协议IPSEC协议IPSEC协议组网方案中,在客户公司设置固定的IP地址,并把HQ的IPSecVPN网关的地址设置为这个固定的IP地址。在其他的分支机构或者下联用户,可以是使用动态IP地址的方式来连接到互联网。在这种工作方式下,企业HQ总部和各个分支机构、下联用户组成一个星型网络。所有的通信数据都经过加密后,在总部的IPSecVPN网关上进行转发,从而实现通信的安全性。同时,HQ总部设置token认证服务器,当用户接入IPSEC网后,用于动态token的密码认证。1.1.1MPLSMPLS(Multi-ProtocolLabelSwitching)多协议标签交换是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由、转发和交换等能力。更特殊的是,它具有管理各种不同形式通信流的机制。MPLS独立于第二和第三层协议,诸如ATM和IP。它提供了一种方式,将IP地址映射为简单的具有固定长度的标签,用于不同的包转发和包交换技术。它是现有路由和交换协议的接口,如IP、ATM、帧中继、资源预留协议(RSVP)、开放最短路径优先(OSPF)等等。基于MPLS的VPN就是通过LSP将私有网络的不同分支联结起来,形成一个统一的网络。基于MPLS的VPN还支持对不同VPN间的互通控制。CE(CustomerEdge)是用户边缘设备,可以是路由器,也可以是交换机或主机。PE(ProviderEdge)是服务商边缘路由器,位于骨干网络。在骨干网络中,还存在P(Provider),是服务提供商网络中的骨干路由器,不与CE直接相连。P设备只需要具备基本MPLS转发能力,可以将其配置为M-BGP的反射器,不维护VPN信息1.1.2IPsecIPSec是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与Internet的攻击。在通信中,只有发送方和接收方才是唯一必须了解IPSec保护的计算机。IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通,同时,原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。IPSec基于端对端的安全模式,在源IP和目标IP地址之间建立信任和安全性。考虑认为IP地址本身没有必要具有标识,但IP地址后面的系统必须有一个通过身份验证程序验证过的标识。只有发送和接收的计算机需要知道通讯是安全的。每台计算机都假定进行通讯的媒体不安全,因此在各自的终端上实施安全设置。可满足高性能电路需求,节省客户网络设备组网成本。1.1.3路由器设备配置汇聚点设备产品型号:1921-k9Flash内存:512MB控制端口:1个扩展插槽:2个转发率:15Mpps