IPSecVPN的不足及解决方案

最早出现的具有加密功能的VPN是IPSec VPN。虽然IPSec VPN简单高效，但在实现远程接入时存在以下一些弱点：网络的互联性不好、客户端使用和维护困难、访问权限管理粒度较粗。

这种VPN采用IPSec协议在Internet上建立加密隧道，由于实现起来简单高效，所以应用得比较广泛。但是随着应用的不断深入，IPSec VPN也暴露出了一些问题：

1.网络互联性不好

IPSec协议对所传输的IP报文首先进行加密，然后再增加一个新的IP头，其目的地址和源地址分别是目的网关和本地网关的IP地址。新增IP头的后面就是加密的数据。如果传输的是TCP报文，则报文的目的端口号和源端口号都被封装在加密数据中，无法被途中的网络设备所识别。

在实际组网应用中，这个特点容易导致如下问题：

（1）IPSec报文无法通过NAT（地址转换）进行正常的传输 网络设备一般采用PAT（PortAddress translation）模式实现地址转换功能。进行PAT操作时，需要修改报文的源IP地址和源端口号。在对IPSec报文进行这一操作时，就会把IPSec报文IP头后面的加密数据破坏，从而造成接收方解密失败，中断IPSec报文的传输。虽然后来产生了NAT穿越的解决方案，可以实现对IPSec报文进行正常的地址转换而加密报文却不受到影响，但是目前网络上仍有很多IPSec VPN网关并不支持此项功能，从而导致IPSec报文在通过NAT时仍经常出现问题。

（2）IPSec报文经常被防火墙过滤掉 因为防火墙一般主要监控TCP／UDP报文的传输，出于安全性考虑，对其他种类报文的传输通常都会限制。所以防火墙一般不会为IPSec报文的通行进行特殊的配置。这就导致IPSec VPN的使用会受到网络出口处防火墙配置的影响。如果一个用户想在酒店里使用IPSec VPN连接远程网络，则需要酒店网络出口处的防火墙允许IPSec报文通过。这给IPSec VPN的网络互联性带来了很大的不确定性。(www.xing528.com)

2.客户端维护和使用困难

目前越来越多的用户通过VPN进行移动办公或家庭办公。在这种场合，IPSec VPN需要在用户的计算机上预先安装一个VPN客户端，并进行相应的配置。以后升级客户端的版本时，需要给每台计算机重新安装配置一遍。所以安装和维护VPN客户端对于VPN网络的管理者来说是一件比较麻烦的事。另一方面，目前计算机中使用的操作系统种类很多，有Windows，Linux，Mac等；而同一种操作系统也有不同种类的版本，不同版本的操作系统提供相应客户端软件，这不但会导致VPN客户端的稳定性不高，也增加了VPN客户端的维护工作。

3.访问权限管理粒度较粗

在通过远程接入访问网络内部的时候，由于用户身在异地，其身份的真实性不能得到保证。

另外，远程计算机也不受内网管理系统的控制，其安全性也不能得到保证。这使得远程接入的使用给内部网络的安全性带来了一定的威胁。所以VPN网关应该对远程用户的访问权限进行细粒度的控制，以防网络入侵发生时整个内网受到大范围的破坏。IPSec VPN可以实现本地主机与远程网络之间IP层的互联，VPN连接建立后，用户就可以访问远程内部网络中的任何联网设备了。IPSec VPN处理的是IP层报文，应用层的数据对IPSec VPN是不可见的，所以IPSec VPN无法实施对应用层协议的细粒度控制。