《长安十二时辰》中的IPSec VPN加密隧道传输

古时盛唐长安，朝廷官府（总部）与地方武侯（分支）互通情报靠的是信使传书，苦于情报内容基本都是“明文”、市集走动频繁得不到安全保障，于是“望楼传信（IPSec VPN）”应运而生，对于要求传输要快、信息要加密、还必须要双向传递的用户而言，可谓是解燃眉之急、纾朝廷之忧。

靖安司—总部大脑
靖安司就像是整个长安城的情报局，统管大唐明档密档，朝中三省六部、一台九寺五监机密要件全部统一存储和管理在此处，正如今天的企业总部信息中心，包含OA、ERP、HR、CRM、财务等各种业务系统，需要受到来自各地分支机构的实时访问、保障数据传输安全。

望楼—分支机构
长安城每三百步设一望楼，望楼上有目力精准、经验丰富的武侯，在白天以旗语，夜间以灯笼的方式，使用《易经》中的八卦为约定暗语将消息迅速传递至靖安司。这些望楼其实类似各企业分支机构，通过部署IPSec VPN加密隧道实现数据传输安全保障，其中两个核心功能：一是认证头协议（AH），在此协议中，对普通IP报头和数据有效负载进行哈希处理，保护对等体之间的数据流；二是提供加密安全协议，通过不同算法配合封包安全协议(ESP)实现对数据报文的加密。

总分部署“联络图”

数据报文在无保护的网络上传输可能会受到各种攻击、篡改， IPSec协议能确保数据在无保护的网络中安全传输，通过加密与验证等方式，为IP数据包提供安全服务。我司全系列RSR路由器均支持IPSec VPN功能以及国密加密算法。

IPSec可提供的安全服务包括

数据加密：通过数据加密提供数据私密性，由ESP协议实现。

数据完整性验证：通过数据完整性验证确保数据在传输路径上未经过篡改，由AH协议、ESP协议实现。

数据源验证：通过对数据源进行验证，保证数据来源可靠，由AH协议、ESP协议实现。

防止数据重放：通过拒绝重复的数据包防止恶意攻击，由AH协议、ESP协议实现。

企业分支场景下的IPSec VPN组网

（一）点到点VPN场景：

主要用于企业总部与分支机构之间建立VPN隧道实现数据通信，支持IPSec静态隧道、GRE over IPSec隧道、L2TP over IPSec隧道。

• IPSec静态隧道：使用IPSec静态隧道组网时，需要在每个IPSec隧道两端手动进行隧道配置，无需动态协商。但随着加密点和隧道的增多，对IPSec隧道的配置和维护难度也增加，因此静态隧道技术一般应用在分支机构比较少的场景。
• GRE over IPSec隧道：提供在总部和分支之间传送广播、组播的业务，广泛适用于企业总部与分支机构间使用视频会议或动态路由协议消息等场景。

• L2TP over IPSec隧道：先用IPSec封装报文后再用L2TP封装，通过L2TP实现用户验证和地址分配，并利用IPSec保障安全性。

（二）点到多点VPN场景：

主要适用于企业总部到多个分支机构的VPN组网场景，除了支持以上基本的GRE over IPSec隧道、L2TP over IPSec隧道组网方式以外，在考虑若干分支机构接入互联网接口一般都为动态获取IP地址，无法配置大量的分支接入，锐捷全系列RSR路由器还支持IPSec的动态接入、以及RSR接入系列路由器支持DMVPN技术，不仅满足多分支接入、还可实现动态IP灵活加入网络，减少客户运维成本。

• IPSec动态隧道：IPSec动态隧道一般应用于分支节点较多的总分拓扑结构，在中心点配置动态隧道接受各分支的IPSec VPN拨入。中心点配置简单、易于维护、可扩展性强。
• DMVPN技术：是一种高扩展的VPN技术，它是一种VPN动态应用的模型，包含了4种关键技术：MGRE、NHRP、IPSec、路由协议，MGRE由点到点的GRE技术衍生出来，实现了点到多点的功能，主要完成VPN隧道的功能，NHRP协议用于动态获取公网NBMA地址，IPSec用于对GRE流量数据加密。路由协议是通信的基础，是一种基本功能。

IPSec的加密算法

目前，锐捷RSR全系列路由器支持常见DES、3DES、MD5、SHA等加密算法，也积极响应国家对于信息网络安全的号召，全系列产品支持《商用密码管理条例》中的国密SM1/2/3/4算法，为客户提供更全面、可靠的数据传输保障技术。

案例

湖北财政支付专网

便利蜂连锁门店

7-11连锁便利商店（海外）