关键字：

    VPN：虚拟专用网
    IKE：Internet密钥交换
    KMC：密钥管理中心
    CA： Certification Authority
    RA： 注册机构
    LDAP： Lightweight Directory Access Protocol

    我们在前面讲到了在政务专网中构建VPN的方式，采用MPLS是一种比较好的选择，但是如果某些机关单位对数据机密要求较高的话，MPLS则不能保证。这是因为MPLS技术只是通过多路由表和标签策略达到子网隔离的目的，但在传输网络上传输的是明文。在这个方面，IPSec技术是更好的一种选择。

    IPSec技术通过加密算法、密钥交换算法、认证算法等实现机密性数据隧道，在政务专网当中传输的是密文，在被加密单位以外的转发设备都不能获知其中的具体内容。

    1.IPSec VPN的解决

    电子政务主干网络的通用结构如下（以Cisco设备的架构为例）：
       上图是典型的电子政务骨干网络示意图，省级直属单位通过城域网络高速汇接到中心的6500交换机，地市同样采用城域汇接到当地的汇聚交换机。

    VPN隧道的建立需要从各单位中心的接入节点开始，延伸到单位的分支机构的接入节点，这样保证在这个各单位共享的网络上进行密文的传输，从而实现私有的隧道。建立后的网络结构如下：
  
    如上图，在每个需要进行VPN专网建设的单位接入点配置一台VPN网关（可以采用迈普公司的MpSecVPN3020），该网关负责隧道的建立、数据在隧道中的传输、外部网络的防火等工作。迈普VPN网关采用端到端的VPN技术，每一个网关可以同时处理多个VPN连接，也就是说，对于某一个特定的单位，不管是中心还是边缘，只需要配置一台网关就可以实现整个网络的任意VPN隧道链路的建立和通信，当然，具体的隧道建立通过策略的配置实现。隧道建立后，每一个由单位内部网络到骨干承载网络的数据包都会经过128位的加密处理，在承载网络中以密文的形式出现，外部网络无法了解其数据的真正内容。

通过以上的网络构建，在真正意义上实现以下的网络隧道：
 
    在建立隧道通信的同时，迈普VPN网关还可以通过"基于状态检测的包过滤"机制提供防火功能，防止外部网络的攻击，实现防火加密一体化的解决策略。

    2.流量工程
    IPSec协议本身不提供流量工程的服务，对于多个省直单位的共享，需要在骨干和汇聚网络部分配置QoS服务，为各单位提供带宽控制的服务。

    通常需要4个方面的同步控制，实现带宽约定、阻塞避免、资源预留的综合服务性能。

    HSRP资源预留

    在骨干网络中配置相应的资源预留协议，在各单位数据经过的节点上申请QoS服务资源，它可以动态的申请资源，在路由路径改变后进行调整。

    CBWFQ基于类的加权公平队列

    队列管理的机制有很多种，比如PQ、CQ 等。在政务网络中，采用CBWFQ排队机制相对来说是优于其他排队机制的，这样可以按照不同的接入单位进行相应的分类别的队列管理，对不同的数据按照不同的优先级进行带宽分配。

    WRED加权随机早期检测

    WRED是为了降低网络的丢包率而进行流量控制的有效手段，通过随即的丢弃策略，防止多队列的同时拥塞。

    CAR约定访问速率

    可以把政务的主干网络看成是为接入政府单位提供服务的运营商，因此，这个运营商可以采用令牌桶等技术实现CAR的控制，提供对用户的优质带宽服务支撑。

    3 VPN管理

    VPN隧道的各项参数是由VPN网关进行统一管理的，这些参数在隧道建立的初期由IKE进行确立，具体来说，这些参数包括密钥、认证信息、隧道方式、地址对应表等等，管理的集中问题体现在各个网关在网络中的合法性身份管理方面。因此，需要采用统一的管理中心实现。

    迈普KMC系统是这样一套管理机构，该机构主要由CA、RA、LDAP等构成，为每个设备提供一个合法的证书和注册机构，每个设备接入到网络中时，都要进行注册操作。注册以后，KMC系统将为该设备发放一个合法的证书，做为认证凭证。

    在VPN隧道建立的初期，数据传输发起方和目标方相互协商通信密钥，同时交互证书进行认证，认证通过后，双方确立一系列的隧道参数，建立"安全联盟"，隧道就被安全的、唯一标识的建立了。

    采用KMC的好处是，统一的进行认证的管理，减少烦琐的人为操作管理。