古時盛唐長安，朝廷官府（總部）與地方武侯（分支）互通情報靠的是信使傳書，苦于情報內容基本都是“明文”、市集走動頻繁得不到安全保障，于是“望樓傳信（IPSec VPN）”應運而生，對于要求傳輸要快、信息要加密、還必須要雙向傳遞的用戶而言，可謂是解燃眉之急、紓朝廷之憂。

靖安司—總部大腦
靖安司就像是整個長安城的情報局，統管大唐明檔密檔，朝中三省六部、一臺九寺五監機密要件全部統一存儲和管理在此處，正如今天的企業總部信息中心，包含OA、ERP、HR、CRM、財務等各種業務系統，需要受到來自各地分支機構的實時訪問、保障數據傳輸安全。

望樓—分支機構
長安城每三百步設一望樓，望樓上有目力精準、經驗豐富的武侯，在白天以旗語，夜間以燈籠的方式，使用《易經》中的八卦為約定暗語將消息迅速傳遞至靖安司。這些望樓其實類似各企業分支機構，通過部署IPSec VPN加密隧道實現數據傳輸安全保障，其中兩個核心功能：一是認證頭協議（AH），在此協議中，對普通IP報頭和數據有效負載進行哈希處理，保護對等體之間的數據流；二是提供加密安全協議，通過不同算法配合封包安全協議(ESP)實現對數據報文的加密。

總分部署“聯絡圖”

數據報文在無保護的網絡上傳輸可能會受到各種攻擊、篡改， IPSec協議能確保數據在無保護的網絡中安全傳輸，通過加密與驗證等方式，為IP數據包提供安全服務。我司全系列RSR路由器均支持IPSec VPN功能以及國密加密算法。

IPSec可提供的安全服務包括

數據加密：通過數據加密提供數據私密性，由ESP協議實現。

數據完整性驗證：通過數據完整性驗證確保數據在傳輸路徑上未經過篡改，由AH協議、ESP協議實現。

數據源驗證：通過對數據源進行驗證，保證數據來源可靠，由AH協議、ESP協議實現。

防止數據重放：通過拒絕重復的數據包防止惡意攻擊，由AH協議、ESP協議實現。

企業分支場景下的IPSec VPN組網

（一）點到點VPN場景：

主要用于企業總部與分支機構之間建立VPN隧道實現數據通信，支持IPSec靜態隧道、GRE over IPSec隧道、L2TP over IPSec隧道。

• IPSec靜態隧道：使用IPSec靜態隧道組網時，需要在每個IPSec隧道兩端手動進行隧道配置，無需動態協商。但隨著加密點和隧道的增多，對IPSec隧道的配置和維護難度也增加，因此靜態隧道技術一般應用在分支機構比較少的場景。
• GRE over IPSec隧道：提供在總部和分支之間傳送廣播、組播的業務，廣泛適用于企業總部與分支機構間使用視頻會議或動態路由協議消息等場景。

• L2TP over IPSec隧道：先用IPSec封裝報文后再用L2TP封裝，通過L2TP實現用戶驗證和地址分配，并利用IPSec保障安全性。

（二）點到多點VPN場景：

主要適用于企業總部到多個分支機構的VPN組網場景，除了支持以上基本的GRE over IPSec隧道、L2TP over IPSec隧道組網方式以外，在考慮若干分支機構接入互聯網接口一般都為動態獲取IP地址，無法配置大量的分支接入，銳捷全系列RSR路由器還支持IPSec的動態接入、以及RSR接入系列路由器支持DMVPN技術，不僅滿足多分支接入、還可實現動態IP靈活加入網絡，減少客戶運維成本。

• IPSec動態隧道：IPSec動態隧道一般應用于分支節點較多的總分拓撲結構，在中心點配置動態隧道接受各分支的IPSec VPN撥入。中心點配置簡單、易于維護、可擴展性強。
• DMVPN技術：是一種高擴展的VPN技術，它是一種VPN動態應用的模型，包含了4種關鍵技術：MGRE、NHRP、IPSec、路由協議，MGRE由點到點的GRE技術衍生出來，實現了點到多點的功能，主要完成VPN隧道的功能，NHRP協議用于動態獲取公網NBMA地址，IPSec用于對GRE流量數據加密。路由協議是通信的基礎，是一種基本功能。

IPSec的加密算法

目前，銳捷RSR全系列路由器支持常見DES、3DES、MD5、SHA等加密算法，也積極響應國家對于信息網絡安全的號召，全系列產品支持《商用密碼管理條例》中的國密SM1/2/3/4算法，為客戶提供更全面、可靠的數據傳輸保障技術。

案例

湖北財政支付專網

便利蜂連鎖門店

7-11連鎖便利商店（海外）