IPv6安全网络的架构(图)_2_1

    内部网络保密

    图3所示的内部主机和互联网上其他主机进行通信时，通过配置ipsec网关来保证内部网络的安全。由于ipsec作为ipv6扩展报头不能被中间路由器而只能被目的节点解析处理，因此，ipsec网关可以通过ipsec隧道的方式实现，或者通过ipv6扩展头中提供的路由头和逐跳选项头并结合应用层网关技术来实现。其中后者实现方式更加灵活，有利于提供完善的内部网络安全，但是比较复杂。

   ipsec安全隧道实现vpn

    如图4所示，在路由器之间建立ipsec安全隧道，构成安全的vpn，是最常用的安全网络组建方式。作为ipsec网关的路由器实际上就是ipsec隧道的终点和起点。为了满足转发性能的要求，需要专用的加密板卡。

    隧道嵌套提供多重安全保护

    如图5所示，通过隧道嵌套的方式可以获得多重的安全保护。

    配置了ipsec的主机hostc通过安全隧道接入到配置了ipsec网关的路由器zxr10t128a。该路由器作为外部隧道的终结点将外部隧道封装剥除，这时嵌套的内部安全隧道构成了对内部网络的安全隔离。zxr10 gar b作为内部隧道的终结点，使得host c最终接入到部门服务器host d中。

    确保高性能转发的安全加密硬件

    大量使用ipsec在提高网络安全的同时，不可避免地导致路由器转发性能和处理性能的劣化。

    为了消除这些影响，通常使用asic（专用集成电路）实现加密处理，或者通过网络处理器来实现加密处理和转发。以中兴通讯的高端路由器为例，对报文的加密和转发使用专门的网络数据加密接口板，该板由安全处理器和cpld（可编程逻辑器件）构成主要处理单元。其中，安全处理器完成所要求的ipsec功能，包括对数据进行加/解密、认证、数字签名等；支持des（数据加密标准）、3des、aes（先进加密标准）等通用加密算法；支持md5 （messagedigestalgorithm5）、sha（secure hash algorithm）等散列算法；支持rsa（rivest shamir adleman）签名。性能达到ipsec加密速度（以3des+md5/sha1计）不低于200mbit/s，签名速度不低于60次/s。