2007年国际信息处理联合会（InternationalFederationforInformationProcessing）网络和并行计算国际会议 在IPv6中建立基于Openswan的IPsecVPN 刘廉郜文美 计算机科学与技术学院，大连海事大学 HYPERLINK"mailto:stove_001@sina.com"stove_001@sina.com 摘要：本文通过研究和分析IPsecVPN的优点和特征，指出了其在IPv4网络环境下的主要问题和不足。在对IPv6的网络以及其数据的封装进行了深入的分析之后，本文将深入的探讨在IPv6网络下建立基于IPsecVPN的具体的可能性和措施。在这之后本文将阐述基于Openswan的IPv6模式的支持框架和模块。通过重新编译Linux2.6的系统内核，并向内核中添加NETKEY的支持模块，安装Openswan程序，并完成对Openswan的配置，这样一个能在纯粹的IPv6网络环境下正确运行的基于IPsec的VPN就搭建好了。最后，我们将对其进行功能和性能的测试。 简介 时下，随着互联网的快速发展，网络的安全问题变得越来越严峻，也引起了人们广泛的关注。不过，可以提供端到端安全连接的虚拟专用网络(VPN)给我们带来了福音。有很多的协议可以用来实现VPN，而在这些协议当中，IPsec是能提供最强大的安全的最好方式，而且它已经得到了广泛的应用。然而即便如此，现实还是存在美中不足，实际的情况是：大部分的VPN是基于IPv4实现的，对于IPv4来说，由于设计当中天生就存在着缺陷，也使得目前在IPv4上实现的VPN也存在这先天的不足，比如说：网络传输的开销过大，缺乏好的质量服务（服务质量QualityOfService），网络地址转换穿越的问题，以及其他一些相关问题等等。不过存在问题的同时总是存在着解决方案，正是由于IPv6具有以下的一些优势，使得IPv6可以很好的解决上述存在的问题，这些优势包括：路由器的速度将大大的加快，IPsec的实施将会很容易，可以获得良好的服务品质，网络地址将会变得足够，也正是因此使得网络地址转换的问题将会不复存在。关于在IPv6下的实现IPsec的研究已经进行的很广泛了，目前更先进的技术包括KAME计划，USAGI计划，Openswan计划，和strongSwan计划。在本篇论文当中，我们将通过使用开源软件：Openswan来在IPv6网络环境中建立一个基于IPsec的VPN。 什么是IPsecVPN？ 虚拟专用网络（VPN）是一个建立在互联网当中的虚拟网络，通过使用这个虚拟的网络，可以在两个终端之间使用加密等手段为我们提供安全的连接。VPN的连通性，服务质量和保密性和真实的专用网络其实可以认为是一样的。 在实际中存在有三种类型的VPN，用户可以通过分析自己的实际情况来选择应该使用哪种方式，这三种VPN的形式为：远程访问虚拟专用网，企业内部虚拟网，以及企业扩展虚拟网。 有很多种协议可以用来实现VPN，根据相应的供应商不同，其开发的产品也是不同的。不过不管怎么说，在实际应用当中的VPN产品应该包括以下全部的基本特征，这些特征包括：安全保证、服务品质、可扩展性和灵活性，较强的管理能力等等。 IP层协议安全（IPsec）结构在标准文献RFC2401中有着很详细的描述。IPsec主要包括一个IP包进程模块和一个密钥交换模块。IPsec的包处理模块是基于IPsec安全策略（SP）和安全连接（SA）的。安全策略是用来识别一个数据包是应该处理，忽略，还是应该丢弃的，而安全连接的相关信息则存放在IPsec的安全连接数据库当中。在IP层协议安全结构中，有两种工作模式，分别是：传输模式以及隧道模式，传说模式可以用来建立端对端的连接，而隧道模式则可以用来建立网络对网络的连接。 在IPsec当中定义了两种数据包的格式，分别是：AH和ESP。AH可以用来验证IP数据包的完整性和可靠性，而ESP除了可以用来验证可靠性和完整性之外，还可以用来验证数据包机密性。 IPsecVPN已经应用于实际的使用当中很多年了，关于这方面的技术可以说也相对成熟一些了。而且，相对于其他协议实现VPN的方式来说，IPsecVPN可以提供最好的安全性保障。 使用IPsec可以允许我们很方便的从一个网络连接到另一个网络，并在两个网络之间建立一条安全的网络通道，对于在不同地点的企业之间的通讯，IPsecVPN是最好的解决方案。 为什么我们需要在IPv6下建立VPN 随着互联网的发展，基于IPv4的网络的问题和不足越来越多地呈现在了我们面前。这些存在的问题主要包括：有限的地址空间，低效率的路由选择，缺乏保证的服务质量，较差的安全性，复杂的配置，糟糕的移动性等等。随着网络的不断发展，这些问题越来越成为一种羁绊