关于IPsec-VPN和SSL-VPN技术在广电渠道代理商系统应用中的分析对比

李　群　王来锁

1.2内蒙古广播电视网络集团有限公司　内蒙古　呼和浩特市　010010

关于IPsec-VPN和SSL-VPN技术在广电渠道代理商系统应用中的分析对比

李群1王来锁2

1.2内蒙古广播电视网络集团有限公司内蒙古呼和浩特市010010

本文对内蒙广电网络渠道合作伙伴管理系统利用IPsec-VPN和SSL-VPN两种技术，在使用体验和技术架构上进行分析对比。

广电渠道代理商系统IPsec-VPNSSL-VPN

内蒙古广播电视网络集团有限公司于2011年根据渠道代理商发展需要，搭建了IPsec-VPN系统，用于代理商通过互联网安全访问渠道代理系统（B/S架构），避免在当地铺设专线，降低运营成本。但近年来随着代理商规模的不断扩大，在IPsec-VPN使用过程中也存在一些比较棘手的问题，主要体现：在个别地区受到网络环境的差异影响，代理商无法正常使用IPsec-VPN、无法链接渠道代理商系统主页面、页面加载缓慢等，这些问题降低了代理商的收费效率，限制了广电代理商的发展速度，一定程度上影响了公司的美誉度。

针对代理商通过IE访问收费系统的业务特点，深入了解不同VPN接入方式，引进了SSLVPN方式连接渠道代理商系统，基本实现了安全、稳定、可移动的代理商模式，该套系统于2015年10月正式投入使用，弥补了IPsec-VPN的不足。本文通过对VPN的接入原理和连接方式的对比，分析在具体实施运用上的区别。

1　VPN的概念和分类

VPN是指虚拟专用网络，其主要功能是在INTERNET上建立专用通道，加密传输数据，以实现在公网上安全传输私有数据的目的。VPN可以通过服务器、硬件、软件等多种方式实现，按协议可分为IPsec-VPN和SSL-VPN两种。

2　IPsec-VPN协议运行机制

IPsec-VPN多用于“网—网”互联，属于网络层协议族，是将IP包封装在附件的IP包头中通过IP网络传输，通过网络层实现访问控制、数据来源验证和数据流分类加密等服务。其协议包括报文安全封装（ESP）和认证头（AH）两个安全协议。其中，安全封装协议（ESP）属封装安全负载协议，主要对IP报文提供加密。报文认证头协议（AH），主要提供数据来源验证，数据完整性认证等功能，具体IPsec帧格式见下表-1：

表1　IPsec帧格式

IPsec可以设置成两种运行模式：隧道模式和传输模式。在隧道模式下，它把IP数据包封装在安全的IP帧中；而传输模式是为了保护端到端的安全性，但不会隐藏路由信息。

一个IPsec隧道由一个隧道客户和隧道服务器组成，两端都配置使用IPsec隧道技术，采用协商加密机制。为实现在专用或公共IP网络上的安全传输，IPsec隧道模式使用安全方式封装和加密整个IP包，然后对加密的负载再次封装在IP包头内通过网络发送到隧道服务器端，隧道服务器对收到的数据包进行处理，去除IP包头，对内容进行解密之后，获得最初的负载IP包，负载IP包在经过正常处理之后被路由到目标网络的主机上。

IPsec隧道模式具有以下功能和局限：

1.只能支持IP数据流；

2.工作在IP栈的底层，应用程序和高层协议可以继承IPsec的行为；

3.需要在用户端配置硬件设备，并需要在用户端网络设置网络防火墙配置；

4.使用该模式需要较大的系统开销。

3　SSL-VPN协议运行机制

SSLVPN采用标准的安全套接层（SSL）对传输中的数据包进行加密，从应用层保护数据的安全性。利用TCP传输作用以及SSL对TCP会话保护，实现VPN业务，被保护的VPN业务可以通过TCP，UDP或纯IP方式加密传输。SSL-VPN有多个子协议组成，其中有两个主要的子协议是握手协议和记录协议，握手协议允许服务器和客户端在应用协议传输第一个数字字节前，彼此确认，协商加密算法和密码钥匙，记录协议则在数据传输期间利用握手协议生成的秘要加密和解密后来的交换数据。

SSL-VPN按使用场景实现情况，可以分为WEB代理，端口映射和IP连接三种：

1.SSL-VP-WEB代理，使用SSL-VP-WEB服务器把用户和服务器的连接HTTP转换成HTTPS，并对网站的URL地址进行转换。用户登录SSLVPN的web页面后，web代理一栏会有多个链接，用户在点击其中一个链接后，会新建一个浏览器窗口，链接形式也是以https://形式。SSLVPN服务器会完成代理工作，以内部地址向相应的服务器发起请求。在整个过程中，访问内部站点的IP始终是代理服务器，而非最终用户。申请一个公网地址，应用在SSL-VPNWEB代理服务器上，对内网站点统一接入，节省费用，保护内部服务器。

2.SSL-VPN端口映射，针对一些内部服务器并不是WEB站点的情况，例如FTP。需要通过SSL-VPN加载程序，在用户端产生多条host映射表，映射表一般采用回环地址，通过不同的回环地址对应不同FTP服务器实现访问。同样具有WEB代理统一接入，节省费用，保护内部服务器的优点，但由于SSL基于TCP协议，端口映射仅限于在TCP协议族。

3.SSL-VPNIP针对使用者访问内部服务器的任意协议、任意端口。用户登录SSL-VPN后，SSL-VPN服务器会自动加载客户端程序，给用户创建一个虚拟网卡，与服务器重新建立一个私有地址的新SSL链接，SSL-VPN服务器起到路由器、DNS作用，同时解密用户端发来的加密IP数据包。

4　两种VPN分析对比

由于两种VPN基于不同的网络层实现IP数据包的加密传输，所以在具体实施应用上也有所不同，具体有以下几方面：

1.IPsec以网络层为中心，用户端需要专门的硬件或软件客户端，而SSL-VPN以应用层为中心，不需要专门的硬件或软件客户端，可以通过IE或其他浏览器安装客户端，更加灵活机动；

2.IPsec-VPN适合两个固定的局域网之间搭建安全隧道，SSL-VPN更适合移动型单机访问总部固定主机服务，同时随着技术发展，目前SSLVPN支持的服务不仅局限在TCP协议还包括UDP等协议；

3.IPsec-VPN因基于网络层工作，不能限制相应IP或IP组的具体应用，不易于控制远端客户的权限和访问粒度大小。而SSL-VPN基于应用层工作，可以对用户的文件权限、访问资源、服务类型进行控制。

5　两种技术在广电渠道运营环境的比较

通过对两种VPN技术的分析，可以看出，SSL-VPN对代理商通过不同类型的互联网接入方式，访问广电业务系统具有优势。而对于IPsec-VPN在使用中，对代理商使用的网络环境要求更高，需要当地宽带运营商开放NAT穿越才能实现互联，在发展上存在限制。所以两套系统在具体实施过程中需要根据当地网络环境，和代理商的使用方式，选择使用。但随着移动互联网的发展，SSL-VPN的灵活机动性，能更好的适应社区体验式营销模式，对包括广电自营在内的销售团队，实现零距离营销创造了安全便利的条件，更适合我公司今后多元化业务的发展。

审稿人：周速飞内蒙古广播电视网络集团有限公司正高级工程师

责任编辑：王学敏

G206.2

A

2096-0751（2016）06-0021-02

李群内蒙古广播电视网络集团有限公司工程师王来顺内蒙古广播电视网络集团有限公司助理工程师