在RHEL下如何使用VPN?
解决方法:
RHEL用户在RHEL平台上可以有多个方法来实现VPN解决方案,但是RHEL本身支持两种实现VPN连接的方法。
注:除了VPN,还可以使用OpenSSH在两个节点之间建立加密隧道来实现加密通信,这个方式是telnet,rsh和其他远程主机通信方式,但是它不满足公司分支之间实现加密通信的要求。
RHEL中集成的两个解决方案分别是:CIPE(Crypto IP Encapsulation)和IPsec(Internet Protocol Security)。
CIPE
CIPE是一个面向Linux开发的VPN实现,CIPE使用封装在UDP中的加密的IP包。CIPE 使用加密的 IP 分组,这些分组被封装或“包围”在数据报(UDP)分组中。CIPE 分组被给以目标头信息,并使用默认的 CIPE 加密机制来加密。这些数据包通过UDP来传输,传输是通过CIPDE的虚拟网络设备(cipcbx)来发送到对端。
CIPE是一个很好的VPN实现,这是因为:
- RHEL默认包含对CIPE的支持,所以如果RHEL作为边缘服务器(例如防火墙/网关),这样客户就可以通过它来访问intranet,RHEL还包含CIPE内置的加密算法。
- CIPE支持标准的Blowfish或者IDEA加密算法,取决于所处国家的加密输出法律限制,可以选择使用默认的Blowfish来加密所有通信。
- 因为CIPE是纯软件的,所以任何RHEL系统都可以作为CIPE网关,而无须购买昂贵的VPN硬件来实现VPN解决方案。
- CIPE项目社区非常活跃,与iptables支持的非常好。
- CIPE配置全部基于文本文件,允许管理员非常容易的远程配置自己的CIPE服务器和客户。而且支持通过网管工具来进行配置。
IPsec
RHEL支持通过互联网在远程主机和内部网络建立加密通道的协议,这个被称为IPsec的协议可以连接主机到主机或者网络到网络的。RHEL的IPsec实现使用IKE(互联网密钥交换)标准,它是由IETF定义的一个实现双向认证和加密标准。
RHEL的IPsec实现使用IKE来在主机之间共享密钥,racoon服务程序来处理IKE密钥分发和交换。