Openswan和freeswan的区别？

电脑连互联网~

有可能,先杀毒
快速拨号上网有技巧
信息瞬息万变的今天，学习和使用因特网已经成为社会的时尚，越来越多的人开始加入了这个行列。而目前绝大多数中国网民都是通过电话拨号的方式接入因特网的，所以我们在拨号过程中遇到这样或那样的问题是在所难免的，例如拨号时经常断线，拨号时调制解调器没有声音或者拨号过程中等待的时间很长等等。为了解决上面出现的问题，不少“大侠”们可以说没有少动脑筋，他们潜心“修炼”得来的加速秘籍确实给众位初学者带来了精神和物质上的收效。同样在这里，为了能使我们初学者提高上网登录速度，笔者也把自己在平时阅读的或者实践中用到的有关拨号网络的小技巧罗列下来，也算是为初级拨号用户作点小贡献吧。
1.删除掉不使用的协议
如果你使用单个计算机来上网的话，一般只需要一个TCP/IP协议就可以了。所以我们完全可以把除TCP/IP协议之外的所有协议都删除掉，这样不但能提高机器启动的速度还可以提高拨号的成功率。具体操作方法是打开拨号网络参数设置对话框，然后选中除TCP/IP协议之外的协议再单击“删除”就可以了。但不要误删拨号网络适配器。
2.删除无用的虚拟专用网络VPN
系统虚拟专用网络适配器VPN一般是为访问企业网而设计的，对于一般用户基本上没有什么实用价值，而且它还是影响登录速度的原因之一，因此我们可以毫不犹豫地将其删除。操作步骤是：在拨号网络参数设置窗口中，选择“配置”标签，并从中选择“拨号网络适配器#2（VPN）”和“TCP/IP→拨号网络适配器#2（VPN）”，然后再点击“删除”按钮，就可以把指定的虚拟专用网络设备删除掉了。
3.改变“主网络登录”选项
“Microsoft友好登录”是系统的默认设置，但它同样延误了登录时间。改变上述默认设置的方法是在“网络”对话窗口中的“主网络登录”下拉列表框中选择“Microsoft网络用户”，再单击“确定”。如果在“主网络登录”中没有此项选择，可以通过添加客户来增加选项。
4.设置电话占线时重拨
拨号时遇到占线是常有的事情，而拨号时占线同样让用户付出时间代价。对此我们应对拨号占线做出选择。首先双击“我的电脑”图标，在随后打开的窗口中选择“拨号网络”，接着选择“连接”选项（如找不到请将“拨号网络”文件夹窗口最大化），接下来再选“设置”标签，然后在“重拨”区域的选项中做出你的选择。
5.关闭侦错模式
在“调制解调器”设置对话框的“连接”选项卡中，单击“高级”按钮，在“附加设置”文本框中键入“%C0”以关闭Modem的侦错模式，提高其速度。但该选项要求必须使用原厂商的Modem驱动程序，否则修改值无效。
6.让拨号窗口自动连接
每次拨号上网时，系统都会弹出拨号窗口提示用户输入合适的口令，因而影响了登录时间。如果用户在家中上网或者在自己认为是安全的地方上网，就可以在“连接到”窗口中选中“保存口令”或“自动连接”对话框，这样用户就不必在每次登录时重新输入口令，并等待确认过程，从而提高登录速度。
7.给系统端口设置合理的参数值
端口值设定太小会导致通信缓慢，从而降低上网速度，所以我们有必要给系统端口设置合理的参数值，设置时必须打开“系统属性”对话框，并从中找到“端口”)设置对话框。
接着再按照以下步骤检查每个COM端口。进入“端口设置”，将“波特率”的数值改为57600或115200。大多数Modem都设置在COM1或者2端口上。将这一设置改到最大值。同时在端口设置对话框中，请将Data Bits（数据位数）设为8，将Parity（奇偶校验）设为None，将Stop Bits（停止位）设为1，将Flow Control（流量控制）设为“硬件”。 接着再单击“高级”按钮，将里面所有的值都设为最大。如果出现问题，那就尝试着降低一些，或者选择“恢复为默认值”。另外，如果Modem使用的是COM3或COM4端口，则需要打开系统配置文件Win.ini进行设置。方法是：使用“记事本”打开Windows文件夹下的Win.ini，找到[Ports]节，将COM3:（或COM4:）=9600,n,8,1,x修改为115200,n,8,1,p。其中，最后一个参数为“x”时代表软件流控制（Software Flow Control），为“p”时则表示使用硬件流控制（RTS/CTS），为“”（空白）时则代表无流控制。
8.关闭安全检查设置项
拨号连接前系统默认的是要检查Internet上有无他人访问你的共享文件夹，为此也需要耽误一定的时间。为了节省这一部分时间，我们关闭该选项的方法是从“控制面板”中调出“Internet”对话窗口，在“连接”标签下去掉“在拨号前进行系统安全性检查”的钩号。
9.调整线路状态
如果电话线路质量不好，经常断线，也会严重影响拨号上网的速度。其具体解决办法是：单击“开始→设置→控制面板→调制解调器”，从Modem中选择“属性/连接页面/高级选项”，在附加设置中填入“S10=50”和“S25=200”，其中前者可以强制Modem在载波暂时丢失时保持5秒钟的连接状态，而后者则可以强制Modem在DTR（Data Terminal Ready数据终端就绪）信号瞬时无效时保持2秒的连接状态，从而可以避免线路传输质量不良时Modem发生断线故障。
10.通过选项减少上网连接时间
在缺省状态下，Windows 98需要激活对于拨号用户来说毫无用处的大量选项。默认设置中的“登录网络”，迫使系统寻找“Microsoft Windows网络”，找不到，连接就会超时；此外它还将无用的协议捆绑到拨号适配器上。要改变上述造成浪费连接时间的设置，关闭一些选项，即在弹出的对话框中，点击“服务器类型”选项卡，在“高级选项”区域，选掉“登录网络”前的钩号，在“所允许的网络协议”区域，只保留“TCP/IP”选项，再点击“确定”。
11.通过注册表来优化网络
微软并没有将Windows的拨号网络做最优化设置，它的网络参数缺省值是针对以太网来设定的，数据包、接收窗口等的大小都不太适合拨号上网方式，导致调制解调器不能发挥自己最大的潜能。所以我们还能够发掘这一部分的潜力为我们的网络再加速！因此，通过在注册表中重新优化设置，可以获得更好的访问速度。这种提速不仅对浏览网络有用，同时还影响到下载、收发邮件等操作，因为它是从充分利用硬件资源的角度入手，具体操作步骤如下：
在Window9X的桌面中选择开始按钮，并用鼠标单击运行命令，在弹出的对话框中填入REGEDIT（注册表编辑器）命令，单击确定后在注册表编辑器中依次展开以下键值：“/HKEY_ LOCAL_ MACHINE/Enum/Root/Net/000?”，并找到包含DeviceDesc字串，其值为“拨号网络适配器”的键，进入其子键bindings，记下其中的串值MSTCP\000?。
接着再依次展开键值“/HKEY_ LOCAL_ MACHINE/Enum/NetWork/MSTCP/000?”（?为上面找到的MSTCP\000?中的最后一个数字），同时找到Driver字串，记下其值NetTrans\000?。
然后在键值“/HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Class/NetTrans/000?”中（?为上面找到的NetTrans\000?中的最后一个数字）增加串值：MaxMTU=576 (Window9X 缺省值为1500字节，最大值为65535字节)，其中MaxMTU指的是最大的TCP/IP传输单元。应用程序把要传输的数据分割为较小的分组进行传输，标准的分组大小应为576字节。如果MaxMTU大于576，传输时则需要重新分组，降低了传输效率。Window9X的缺省值为1500，这是以太网上的标准的分组大小，如果不是通过以太网再接入INTERNET，则应改为576。
同样地在键值“/HKEY_ LOCAL_ MACHINE/System/CurrentControlSet/Services/Vxd/MSTCP”中增加以下串值 ：DefaultRcvWindow=5120 （Window9X缺省值为8192字节，最大值为65535字节）。其实DefaultRcvWindow就是接收这些数据的缓冲区，其大小应为512字节的整数倍。如DefaultRcvWindow太大的话，一个分组出错将导致整个缓冲区中的分组被丢弃并重发，增加了不必要的损失；如DefaultRcvWindow太小的话，缓冲区的大小低于到达的分组数据，将导致分组阻塞，降低了速度。最好是512字节的4～12倍，视Modem的最大速度而定。一般14.4K的Modem为2048字节、28.8K的Modem为4096字节、33.6K的Modem为6144字节、56K的Modem为8192字节。标准的TCP/IP分组大小是576字节，减去分组中固定为40字节大小的地址信息及24字节的其它信息，最多还包含512字节的数据。
DefaultTTL=255（Window9X缺省值为32，最大值为255），其中DefaultTTL表示TCP/IP分组的存活时间。为防止TCP/IP分组在INTERNET中被无限复制，分组中固定为40字节大小的信息区中包含了分组的存活信息。如果分组在INTERNET中的传输时间超过了分组的存活时间，分组将在传输中途被丢弃，加大分组的存活时间值可使分组在拥挤不堪的INTERNET中传输到更远的目的地。
NameSrvQueryTimeout=3000（Window9X缺省值为750毫秒，最大值为65535毫秒），NameSrvQueryTimeout是代表域名服务器超时计数。如果在计数值的时间内没有收到域名服务器的回应，则该域名服务器没有收到本机的请求。本机的请求将重发或作超时错误处理。适当调高其值可增大连接成功率。
12.交互使用多个不同ISP的拨号连接
拨号时一时难以拨通的情况时有发生，如果用户建立了几个不同ISP的拨号连接，就可以迅速从“连接到”的下拉列表中选择另外一个ISP拨号连接，这样用户就可以减少等待的时间。如果用户使用的是Windows NT操作系统，还可以实现交替选择拨号号码的功能。当主要拨号号码拨不通时，要快速点击“候选”按钮，选择ISP给用户提供的另外号码拨通上网。在Windows 98中也可以使用多个拨号号码，但使用过程比较繁，每次需要使用“添加新连接向导”来实现。
大家在拨号前按照上述的技巧，把有关拨号网络的参数设置调试好，然后再拨号试试，看看使用技巧前后的效果是否发生变化。如果此时还没有什么大的变化，可能是TCP/IP协议本身出了问题，这时只有重新安装TCP/IP协议了，不过在重新安装TCP/IP协议之前一定要把以前版本的那个彻底删掉！最后，笔者希望上面的小技巧能让大家的拨号速度上一个新台阶。

不是，计算机是硬件电脑的称呼，互联网是将计算机网络互相联接在一起，在这基础上发展出覆盖全世界的全球性互联网络称互联网，即是互相连接一起的网络结构。

　　openswan采用的是ipsec技术实现的VPN，由于在IP层实现，效率高，历史悠久，网上相关的配置文章也多，稳定。可以实现p2p,p2net,net2net.
　　openvpn采用SSL技术实现，由于主要工作在应用层，效率低，如果单位流量比较大，还是不要用这个了。另个他采用了SSL技术，也不是我们通常所说的SSL VPN。

　　目前市场上比较流行的硬件VPN都是采用的ipsec技术。所以选择第一种对你以后更换硬件有帮助。
　　基本上来说，市场上的硬件VPN产品很少采用openvpn这样的技术的。

　　IPSEC工作原理
　　--------------------------------------------------------------------------------

　　虚拟专网是指在公共网络中建立专用网络，数据通过安全的“管道”在公共网络中传播。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后网络服务的重点项目。因此必须充分认识虚拟专网的技术特点，建立完善的服务体系。 VPN工作原理
　　目前建造虚拟专网的国际标准有IPSEC（RFC 1825-1829）和L2TP（草案draft-ietf-pppext-l2tp-10）。其中L2TP是虚拟专用拨号网络协议，是IETF根据各厂家协议（包括微软公司的PPTP、Cisco的L2F）进行起草的，目前尚处于草案阶段。IPSEC是一系列基于IP网络（包括Intranet、Extranet和Internet）的，由IETF正式定制的开放性IP安全标准，是虚拟专网的基础，已经相当成熟可靠。L2TP协议草案中规定它（L2TP标准）必须以IPSEC为安全基础（见draft-ietf-pppext-l2tp-security-01）。因此，阐述VPN的工作原理，主要是分析IPSEC的工作原理。
　　IPSEC提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数。
　　认证——作用是可以确定所接受的数据与所发送的数据是一致的，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的。
　　数据完整——作用是保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
　　机密性——作用是使相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容。
　　在IPSEC由三个基本要素来提供以上三种保护形式：认证协议头（AH）、安全加载封装（ESP）和互联网密匙管理协议（IKMP）。认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。
　　认证协议头（AH）是在所有数据包头加入一个密码。正如整个名称所示，AH通过一个只有密匙持有人才知道的“数字签名”来对用户进行认证。这个签名是数据包通过特别的算法得出的独特结果；AH还能维持数据的完整性，因为在传输过程中无论多小的变化被加载，数据包头的数字签名都能把它检测出来。不过由于AH不能加密数据包所加载的内容，因而它不保证任何的机密性。两个最普遍的AH标准是MD5和SHA-1，MD5使用最高到128位的密匙，而SHA-1通过最高到160位密匙提供更强的保护。
　　安全加载封装（ESP）通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性，这样可以避免其他用户通过监听来打开信息交换的内容，因为只有受信任的用户拥有密匙打开内容。ESP也能提供认证和维持数据的完整性。最主要的ESP标准是数据加密标准（DES），DES最高支持56位的密匙，而3DES使用三套密匙加密，那就相当于使用最高到168位的密匙。由于ESP实际上加密所有的数据，因而它比AH需要更多的处理时间，从而导致性能下降。
　　密匙管理包括密匙确定和密匙分发两个方面，最多需要四个密匙：AH和ESP各两个发送和接收密匙。密匙本身是一个二进制字符串，通常用十六进制表示，例如，一个56位的密匙可以表示为5F39DA752E0C25B4。注意全部长度总共是64位，包括了8位的奇偶校验。56位的密匙（DES）足够满足大多数商业应用了。密匙管理包括手工和自动两种方式，手工管理系统在有限的安全需要可以工作得很好，而自动管理系统能满足其他所有的应用要求。
　　使用手工管理系统，密匙由管理站点确定然后分发到所有的远程用户。真实的密匙可以用随机数字生成器或简单的任意拼凑计算出来，每一个密匙可以根据集团的安全政策进行修改。 使用自动管理系统，可以动态地确定和分发密匙，显然和名称一样，是自动的。自动管理系统具有一个中央控制点，集中的密匙管理者可以令自己更加安全，最大限度的发挥IPSEC的效用。
　　IPSEC的实现方式
　　IPSEC的一个最基本的优点是它可以在共享网络访问设备，甚至是所有的主机和服务器上完全实现，这很大程度避免了升级任何网络相关资源的需要。在客户端，IPSEC架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM的PC机和工作站。而ESP通过两种模式在应用上提供更多的弹性：传送模式和隧道模式。
　　IPSEC Packet 可以在压缩原始IP地址和数据的隧道模式使用
　　传送模式通常当ESP在一台主机（客户机或服务勤）上实现时使用，传送模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。
　　隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用，隧道模式处理整个IP数据包——包括全部TCP/IP或UDP/IP头和数据，它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。

　　虚拟专网的加密算法说明
　　--------------------------------------------------------------------------------

　　一、IPSec认证
　　IPSec认证包头（AH）是一个用于提供IP数据报完整性和认证的机制。完整性保证数据报不被无意的或恶意的方式改变，而认证则验证数据的来源（主机、用户、网络等）。AH本身其实并不支持任何形式的加密，它不能保护通过Internet发送的数据的可信性。AH只是在加密的出口、进口或使用受到当地政府限制的情况下可以提高全球Intenret的安全性。当全部功能实现后，它将通过认证IP包并且减少基于IP欺骗的攻击机率来提供更好的安全服务。AH使用的包头放在标准的IPv4和IPv6包头和下一个高层协议帧（如TCP、UDP、I CMP等）之间。
　　AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。一个消息文摘就是一个特定的单向数据函数，它能够创建数据报的唯一的数字指纹。消息文摘算法的输出结果放到AH包头的认证数据（Authentication_Data）区。消息文摘5算法（MD5）是一个单向数学函数。当应用到分组数据中时，它将整个数据分割成若干个128比特的信息分组。每个128比特为一组的信息是大分组数据的压缩或摘要的表示。当以这种方式使用时，MD5只提供数字的完整性服务。一个消息文摘在被发送之前和数据被接收到以后都可以根据一组数据计算出来。如果两次计算出来的文摘值是一样的，那么分组数据在传输过程中就没有被改变。这样就防止了无意或恶意的窜改。在使用HMAC－MD5认证过的数据交换中，发送者使用以前交换过的密钥来首次计算数据报的64比特分组的MD5文摘。从一系列的16比特中计算出来的文摘值被累加成一个值，然后放到AH包头的认证数据区，随后数据报被发送给接收者。接收者也必须知道密钥值，以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配。如果计算出的和接收到的文摘值相等，那么数据报在发送过程中就没有被改变，而且可以相信是由只知道秘密密钥的另一方发送的。
　　二、IPSec加密
　　封包安全协议（ESP）包头提供IP数据报的完整性和可信性服务ESP协议是设计以两种模式工作的：隧道（Tunneling）模式和传输（Transport）模式。两者的区别在于IP数据报的ESP负载部分的内容不同。在隧道模式中，整个IP数据报都在ESP负载中进行封装和加密。当这完成以后，真正的IP源地址和目的地址都可以被隐藏为Internet发送的普通数据。这种模式的一种典型用法就是在防火墙－防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。在传输模式中，只有更高层协议帧（TCP、UDP、ICMP等）被放到加密后的IP数据报的ESP负载部分。在这种模式中，源和目的IP地址以及所有的IP包头域都是不加密发送的。
　　IPSec要求在所有的ESP实现中使用一个通用的缺省算法即DES－CBC算法。美国数据加密标准（DES）是一个现在使用得非常普遍的加密算法。它最早是在由美国政府公布的，最初是用于商业应用。到现在所有DES专利的保护期都已经到期了，因此全球都有它的免费实现。IPSec ESP标准要求所有的ESP实现支持密码分组链方式（CBC）的DES作为缺省的算法。DES－CBC通过对组成一个完整的IP数据包（隧道模式）或下一个更高的层协议帧（传输模式）的8比特数据分组中加入一个数据函数来工作。DES－CBC用8比特一组的加密数据（密文）来代替8比特一组的未加密数据（明文）。一个随机的、8比特的初始化向量（IV）被用来加密第一个明文分组，以保证即使在明文信息开头相同时也能保证加密信息的随机性。DES－CBC主要是使用一个由通信各方共享的相同的密钥。正因为如此，它被认为是一个对称的密码算法。接收方只有使用由发送者用来加密数据的密钥才能对加密数据进行解密。因此，DES－CBC算法的有效性依赖于秘密密钥的安全，ESP使用的DES－CBC的密钥长度是56比特。

　　基于IPSec的VPN技术原理于实现

　　摘要：本文描述了VPN技术的基本原理以及IPSec规范，在此基础上介绍了VPN技术的实现方法和几种典型应用方案。最后，作者对VPN技术的推广与应用提出了自己的看法。

　　1．引言

　　1998年被称作“电子商务年”，而1999年则将是“政府上网年”。的确，Intemet作为具有世界范围连通性的“第四媒体”，已经成为一个具有无限商机的场所。如何利用Intemet来开展商务活动，是目前各个企业讨论的热门话题。但将Internet实际运用到商业中，还存在一些亟待解决的问题，其中最重要的两个问题是服务质量问题和安全问题。服务质量问题在有关厂商和ISP的努力下正在逐步得以解决，而VPN技术的产生为解决安全问题提供了一条有效途径。

　　所谓VPN(VirtualPrivate Network，虚拟私有网络)是指将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网，这里的公用网主要指Interet。为了保障信息在Internet上传输的安全性，VPN技术采用了认证、存取控制、机密性、数据完整性等措施，，以保证了信息在传输中不被偷看、篡改、复制。由于使用Internet进行传输相对于租用专线来说，费用极为低廉，所以VPN的出现使企业通过Internet既安全又经济地传输私有的机密信息成为可能。

　　VPN技术除了可以节省费用外，还具有其它特点：

　　●伸缩性椂能够随着网络的扩张，很灵活的加以扩展。当增加新的用户或子网时，只需修改已有网络软件配置，在新增客户机或网关上安装相应软件并接人Internet后，新的VPN即可工作。

　　●灵活性枣除了能够方便地将新的子网扩充到企业的网络外，由于Intemet的全球连通性，VPN可以使企业随时安全地将信息存取到全球的商贸伙伴和顾客。

　　●易于管理枣用专线将企业的各个子网连接起来时，随着子网数量的增加，需要的专线数以几何级数增长。而使用VPN时Internet的作用类似一个HUB，只需要将各个子网接入Internet即可，不需要进行各个线路的管理。

　　VPN既可以用于构建企业的Intranet，也可以用于构建Extranet。随着全球电子商务热的兴起，VPN应用必将越来越广泛。据Infonetics Reseach的预测，VPN的市场分额将从今天的两亿美元增长到2001年时的119亿美元，其中VPN产品的销售收入就要占其中的十分之一。

　　2．基于IPSec规范的VPN技术

　　1)IPSec协议简介

　　IPSec(1P Security)产生于IPv6的制定之中，用于提供IP层的安全性。由于所有支持TCP／IP协议的主机进行通信时，都要经过IP层的处理，所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛，所以后来在IPSec的制定中也增添了对IPv4的支持。

　　最初的一组有关IPSec标准由IETF在1995年制定，但由于其中存在一些未解决的问题，从1997年开始IETF又开展了新一轮的IPSec的制定工作，截止至1998年11月份主要协议已经基本制定完成。不过这组新的协议仍然存在一些问题，预计在不久的将来IETF又会进行下一轮IPSec的修订工作。

　　2)IPSec基本工作原理

　　IPSec的工作原理(如图l所示)类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。 这里的处理工作只有两种：丢弃或转发。

　　图1 IPSec工作原理示意图

　　IPSec通过查询SPD(Security P01icy Database安全策略数据库)决定对接收到的IP数据包的处理。但是IPSec不同于包过滤防火墙的是，对IP数据包的处理方法除了丢弃，直接转发(绕过IPSec)外，还有一种，即进行IPSec处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。

　　进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过，可以拒绝来自某个外部站点的IP数据包访问内部某些站点，．也可以拒绝某个内部站点方对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取，也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后，才能保证在外部网络传输的数据包的机密性，真实性，完整性，通过Internet进新安全的通信才成为可能。

　　IPSec既可以只对IP数据包进行加密，或只进行认证，也可以同时实施二者。但无论是进行加密还是进行认证，IPSec都有两种工作模式，一种是与其前一节提到的协议工作方式类似的隧道模式，另一种是传输模式。

　　传输模式，如图2所示，只对IP数据包的有效负载进行加密或认证。此时，继续使用以前的IP头部，只对IP头部的部分域进行修改，而IPSec协议头部插入到IP头部和传输层头部之间。

　　图2 传输模式示意图

　　隧道模式，如图3所示，对整个IP数据色进行加密或认证。此时，需要新产生一个IP头部，IPSec头部被放在新产生的IP头部和以前的IP数据包之间，从而组成一个新的IP头部。

　　图3隧道模式示意图

　　3)IPSec中的三个主要协议

　　前面已经提到IPSec主要功能为加密和认证，为了进行加密和认证IPSec还需要有密钥的管理和交换的功能，以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由AH，ESP和IKE三个协议规定。为了介绍这三个协议，需要先引人一个非常重要的术语枣SA(Securlty Association安全关联)。所谓安全关联是指安全服务与它服务的载体之间的一个“连接”。AH和ESP都需要使用SA，而IKE的主要功能就是SA的建立和维护。只要实现AH和ESP都必须提供对SA的支持。

　　通信双方如果要用IPSec建立一条安全的传输通路，需要事先协商好将要采用的安全策略，包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后，我们就说双方建立了一个SA。SA就是能向其上的数据传输提供某种IPSec安全保障的一个简单连接，可以由AH或ESP提供。当给定了一个SA，就确定了IPSec要执行的处理，如加密，认证等。SA可以进行两种方式的组合，分别为传输临近和嵌套隧道。

　　1)ESP(Encapsulating Secuity Fayload)

　　ESP协议主要用来处理对IP数据包的加密，此外对认证也提供某种程度的支持。ESP是与具体的加密算法相独立的，几乎可以支持各种对称密钥加密算法，例如DES，TripleDES，RC5等。为了保证各种IPSec实现间的互操作性，目前ESP必须提供对56位DES算法的支持。

　　ESP协议数据单元格式三个部分组成，除了头部、加密数据部分外，在实施认证时还包含一个可选尾部。头部有两个域：安全策略索引(SPl)和序列号(Sequencenumber)。使用ESP进行安全通信之前，通信双方需要先协商好一组将要采用的加密策略，包括使用的算法、密钥以及密钥的有效期等。“安全策略索引”使用来标识发送方是使用哪组加密策略来处理IP数据包的，当接收方看到了这个序号就知道了对收到的IP数据包应该如何处理。“序列号”用来区分使用同一组加密策略的不同数据包。加密数据部分除了包含原IP数据包的有效负载，填充域(用来保证加密数据部分满足块加密的长度要求)包含其余部分在传输时都是加密过的。其中“下一个头部(Next Header)”用来指出有效负载部分使用的协议，可能是传输层协议(TCP或UDP)，也可能还是IPSec协议(ESP或AH)。

　　通常，ESP可以作为IP的有效负载进行传输，这JFIP的头UKB指出下广个协议是ESP，而非TCP和UDP。由于采用了这种封装形式，所以ESP可以使用旧有的网络进行传输。

　　前面已经提到用IPSec进行加密是可以有两种工作模式，意味着ESP协议有两种工作模式：传输模式(Transport Mode)和隧道模式(TunnelMode)。当ESP工作在传输模式时，采用当前的IP头部。而在隧道模式时，侍整个IP数据包进行加密作为ESP的有效负载，并在ESP头部前增添以网关地址为源地址的新的IP头部，此时可以起到NAT的作用。

　　2)AH(Authentication Header)

　　AH只涉及到认证，不涉及到加密。AH虽然在功能上和ESP有些重复，但AH除了对可以对IP的有效负载进行认证外，还可以对IP头部实施认证。主要是处理数据对，可以对IP头部进行认证，而ESP的认证功能主要是面对IP的有效负载。为了提供最基本的功能并保证互操作性，AH必须包含对HMAC?/FONT>SHA和HMAC?/FONT>MD5(HMAC是一种SHA和MD5都支持的对称式认证系统)的支持。

　　AH既可以单独使用，也可在隧道模式下，或和ESP联用。

　　3)IKE(Internet Key Exchange)

　　IKE协议主要是对密钥交换进行管理，它主要包括三个功能：

　　●对使用的协议、加密算法和密钥进行协商。

　　●方便的密钥交换机制(这可能需要周期性的进行)。

　　●跟踪对以上这些约定的实施。

　　3．VPN系统的设计

　　如图4所示，VPN的实现包含管理模块、密钥分配和生成模块、身份认证模块、数据加密／解密模块、数据分组封装／分解模块和加密函数库几部分组成。

　　管理模块负责整个系统的配置和管理。由管理模块来决定采取何种传输模式，对哪些IP数据包进行加密／解密。由于对IP数据包进行加密需要消耗系统资源，增大网络延迟，因此对两个安全网关之间所有的IP数据包提供VPN服务是不现实的。网络管理员可以通过管理模块来指定对哪些IP数据包进行加密。Intranet内部用户也可以通过Telnet协议传送的专用命令，指定VPN系统对自已的IP数据包提供加密服务。

　　密钥管理模块负责完成身份认证和数据加密所需的密钥生成和分配。其中密钥的生成采取随机生成的方式。各安全网关之间密钥的分配采取手工分配的方式， 通过非网络传输的其它安全通信方式完成密钥在各安全网关之间的传送。各安全网关的密钥存贮在密数据库中，支持以IP地址为关键字的快速查询获取。

　　身份认证模块对IP数据包完成数字签名的运算。整个数字签名的过程如图5所示：

　　图5 数字签名

　　首先，发送方对数据进行哈希运算h＝H(m)，然后 用通信密钥k对h进行加密得到签名Signature＝{ h} key。发送方将签名附在明文之后，一起传送给接收方。 接收方收到数据后，首先用密钥k对签名进行解密得到 h，并将其与H(m)进行比较，如果二者一致，则表明数据是完整的。数字签名在保证数据完整性的同时，也起到了身份认证的作用，因为只有在有密钥的情况之下，才能对数据进行正确的签名。

　　数据加密/解密模块完成对IP数据包的加密和解密操作。可选的加密算法有IDEA算法和DES算法。前者在用软件方式实现时可以获得较快的加密速度。为了 进一步提高系统效率，可以采用专用硬件的方式实现数据的加密和解密，这时采用DES算法能得到较快的加密速度。随着当前计算机运算能力的提高，DES算法的安 全性开始受到挑战，对于安全性要求更高的网络数据，数据加密/解密模块可以提供TriPle DES加密服务。

　　数据分组的封装/分解模块实现对IP数据分组进行安全封装或分解。当从安全网关发送IP数据分组时，数据分组封装/分解模块为IP数据分组附加上身份认

　　证头AH和安全数据封装头ESP。当安全网关接收到IP 数据分组时，数据分组封装/分解模块对AH和ESP进行协议分析，并根据包头信息进行身份验证和数据解密。

　　加密函数库为上述模块提供统一的加密服务。加密 函数库设计的一条基本原则是通过一个统一的函数接口界面与上述模块进行通信。这样可以根据实际的需

　　要，在挂接加密算法和加密强度不同的函数库时，其它模块不需作出改动。

　　4．几种典型的VPN应用方案

　　VPN的应用有两种基本类型：拨号式VPN与专用式VPN。

　　拨号VPN为移动用户与远程办公者提供远程内部网访问，这种形式的VPN是当前最流行的形式。拨号VPN业务也称为“公司拨号外包”方式。按照隧道建立的场所，拨号VPN分为两种：在用户PC机上或在服务提供商的网络访问服务器(NAS)上。

　　专用VPN有多种形式，其共同的要素是为用户提供IP服务，一般采用安全设备或客户端的路由器等设备在IP网络上完成服务。通过在帧中继或ATM网上安装IP接口也可以提供IP服务。专用业务应用通过WAN将远程办公室与企业的内部网与外部网连接起来，这些业务的特点是多用户与高速连接，为提供完整的VPN业务，企业与服务提供商经常将专用VPN与远程访问方案结合起来。

　　目前刚出现一种VPN知觉的网络，服务提供商将很快推出一系列新产品，专门用于提供商在向企业提供专用增值服务时对扩展性与灵活性的需求。

　　5．结束语

　　总之，VPN是一项综合性的网络新技术，即使在网络高度发达的美国也才推出不久，但是已显示出强大的生命力，Cisco、3Com、Ascend等公司已推出了各自的产品。但是VPN产品能否被广泛接受主要取决于以下两点：一是VPN方案能否以线路速度进行加密，否则将会产生瓶颈；二是能否调度和引导VPN的数据流到网络上的不同管理域。

　　在中国，由于网络基础设施还比较落后，计算机应用水平也不高，因此目前对VPN技术的需求还不高，大多数厂商还处在徘徊观望阶段，但是随着国民经济信息化进程的加快，特别是政府上网、电子商务的推动，VPN技术将会大有用武之地。

openswan采用的是ipsec技术实现的VPN，由于在IP层实现，效率高，历史悠久，网上相关的配置文章也多，稳定。可以实现p2p,p2net,net2net. openvpn采用SSL技术实现，由于主要工作在应用层，效率低，如果单位流量比较大，还是不要用这个了。
另个他采用了SSL技术，也不是我们通常所说的SSL VPN。 目前市场上比较流行的硬件VPN都是采用的ipsec技术。所以选择第一种对你以后更换硬件有帮助。 基本上来说，市场上的硬件VPN产品很少采用openvpn这样的技术的。

---

武威市13225722276： Openswan和freeswan的区别? - ？
一苗贺普：openswan采用的是ipsec技术实现的VPN,由于在IP层实现,效率高,历史悠久,网上相关的配置文章也多,稳定.可以实现p2p,p2net,net2net. openvpn采用SSL技术实现,由于主要工作在应...

武威市13225722276： CentOS 6安装Openswan问题求助 - ？
一苗贺普： IPSEC的安装,看如下:连接互联网我,,用YUM下载 安装相应 ipsec 套件工具和基础软件环境#yum -y install gmp gmp-devel gawk flex bison 配置环境变量#sysctl -a | egrep ＂ipv4.*(accept|send)_redirects＂ | awk -F ＂=＂ '{print $1＂= 0＂}' 执...

武威市13225722276： 如何在Ubuntu下配置L2TP VPN - ？
一苗贺普： 安装软件包sudo apt-get install xl2tpd openswan pppIPSec / Openswan打开 /etc/ipsec.conf 文件,做如下配置:config setup nat_traversal=yes virtual_private=%v4:10.0

武威市13225722276： 安装openswan后怎么去掉x.509证书 - ？
一苗贺普： 创建私钥 openssl genrsa -out root/root-key.pem 1024//创建证书请求 openssl req -new -out root/root-req.csr -key root/root-key.pem//自签署根证书 openssl x509 -req -in root/root-req.csr -out root/root-cert.pem -signkey root/root-key.pem -days 3650//将根证书导出

武威市13225722276： [求助]ipsec newhostkey 没有响应？
一苗贺普： 回复 1# googleboy 最近在做openswan 也出现了和楼主同样的问题,看来是个巨坑.在耗费了2个小时,查遍了官网及国外论坛,终于找到解决办法如下:rm /dev/randomln -s /dev/urandom /dev/random通过官网openswan开发者给出的解释分析如下:大致情况是:openswan在使用系统的/dev/random取随机数时,取不到足够的值,这时候取值的进程会一直等待直到得到足够的random值.所以造成了此命令无响应的问题.解决办法就是使用urandom来代替random希望可以帮助后来的同学,少走些弯路.

武威市13225722276： openswan 加入国密算法 要修改Linux 内核么? - ？
一苗贺普： 这个貌似使用的是内核的加密算法,如果想添加,应该是修改协议栈,添加新的消息发送和接收函数.问题太高深,我不会弄.

武威市13225722276： 有谁知道Linux系统怎样宽带拨号上网?？
一苗贺普： ubuntu中的设置,你可以参考一下打开终端,输入sudo pppoeconf 然后删掉出现的usrername,填上你的帐户,回车,再填上你的密码,回车,下面基本不用看,回车回车回车,ok!立即能上网了!1.ADSL在ubuntu 下拨号用ADSL拨号上网,...

武威市13225722276： Linux系统安全工具列表有哪些? ？
一苗贺普： 没事向大家说说Linux系统安全工具,应该有人想知道Linux系统安全之类的知识,假... NFS◆Anti-sniff:反嗅探工具,检查网络中是否有嗅探器◆Freeswan:在 linux 实现 ...

武威市13225722276： VPN是什么? - ？
一苗贺普： VPN是一种中转服务,当我们的电脑接入VPN后,我们的对外公网IP就会发生改变,没错,就会变成VPN服务器的公网IP,我们请求或者接受任何数据都会通过这个VPN服务器,然后在传到我们的电脑上.