网络运维​|VPN之IPSec的介绍

从打破鸡蛋这个故事中我们能学到什么

大多数管理者的困境

作为一名专业的教练，我经常会被问到：

教练，我的团队沟通不畅该怎么办？

教练，我的团队执行力不强要如何处理？

教练，我的团队里没有人才可用要如何做呢？

教练，我的团队士气很低怎样激励他们呢？

教练，我的团队经常达不成目标能给些建议吗？

教练，我的团队没有凝聚力有什么好的方法吗？

教练，我的团队没有能量，我要怎么给他们赋能呢？

……

教练与企业管理者的对话：

每当这个时候，我都会问这些企业的负责人，

一个鸡蛋如果从外给予压力，最终会怎什么呢？

他们有的说，会形成碎鸡蛋，也有人说，打破了可以做成炒鸡蛋，还有人说，可以用鸡蛋清敷在脸上做面膜，人类的想象力总是让人出乎意料……

我又问到，

那如果从里面给到动力，最后破壳而出，又会发生什么呢？

所有人的回答几乎都是一样的，一只有着生命力的小鸡.

我又问了一个问题，

我说假如你可以让你的员工具备破壳而出的生命力，你觉得企业会发生什么呢？

他们说，那简直太棒了，每个人都能自发地去做事，而且带着激情和动力，整个企业一定朝气蓬勃，充满斗志，但是，教练，我怎么做才能让他们具备这样的生命力呢？

我说，这是一个好问题，你觉得母鸡是怎么做的呢？

他们说，母鸡每天都会坐在鸡蛋上，哪都不去玩，全身心投入，给到鸡蛋持续的关怀和温度，并且坚持21天，直到小鸡可以从蛋壳中走出来.

那母鸡孵化小鸡这个过程给到你什么启发呢？

他们说，我也需要给到自己团队这样的关怀和支持，用心去孵化他们内在的动力，帮助他们释放出潜能，为他们创造适合他们成长的环境和土壤，以及给予更多的阳光和水，我相信他们一定能由内而外的活出有能量的状态，到那时无论什么困难和挑战都会迎刃而解.

每个人都是自己生命中的天才

他们分享完我就直接鼓掌，我一直都认为，每个人都是自己生命中的天才，而且我也是这样去践行的，无论是多大的企业家，还是最普通的员工都可以活出自己内在的智慧，并且解决生命中的困境.

马斯洛也曾说过类似的话，他说“人并不是被浇铸或塑造成人的，而是依靠自身实现潜能的，环境对人的成长象土壤、阳光和水对于植物一样，只能促进潜能的现实化。”

生命生长需要时间

无论是打破一个鸡蛋，还是一花一世界，万物皆具潜能，只是我们只盯在相上，只盯在结果上，却没有为结果投入更多的时间和耐心，即使我们今天看到的太阳的光芒，也不是今天太阳发出来的.

根据科学家的计算，从太阳发出光到地球需要8分20秒左右的时间，这就意味着，当我们生命中出现了至暗时刻，不用着急，也不用慌张，因为太阳光在路上，给它一点时间，至暗终会迎来光明.

以下文章由IT外包服务商北京艾锑无限科技发展公司整理

网络运维|VPN之IPSec的介绍

作为一个网络运维人员，了解VPN及使用是必备的技能，然而IPSec又是VPN中的一种，这篇文章就是关于IPSec方面的一些内容。

起源

随着Internet的发展，越来越多的企业直接通过Internet进行互联，但由于IP协议未考虑安全性，而且Internet上有大量的不可靠用户和网络设备，所以用户业务数据要穿越这些未知网络，根本无法保证数据的安全性，数据易被伪造、篡改或窃取。因此，迫切需要一种兼容IP协议的通用的网络安全解决方案。

为了解决上述问题，IPSec（Internet Protocol Security）应运而生。IPSec是对IP的安全性补充，其工作在IP层，为IP网络通信提供透明的安全服务。

定义

IPSec是IETF（Internet Engineering Task Force）制定的一组开放的网络安全协议。它并不是一个单独的协议，而是一系列为IP网络提供安全性的协议和服务的集合，包括认证头AH（Authentication Header）和封装安全载荷ESP（Encapsulating Security Payload）两个安全协议、密钥交换和用于验证及加密的一些算法等。

通过这些协议，在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发，实现保护数据的安全性。

受益

IPSec通过加密与验证等方式，从以下几个方面保障了用户业务数据在Internet中的安全传输：

·         数据来源验证：接收方验证发送方身份是否合法。

·         数据加密：发送方对数据进行加密，以密文的形式在Internet上传送，接收方对接收的加密数据进行解密后处理或直接转发。

·         数据完整性：接收方对接收的数据进行验证，以判定报文是否被篡改。

·         抗重放：接收方拒绝旧的或重复的数据包，防止恶意用户通过重复发送捕获到的数据包所进行的攻击。

IPSec应用场景

业务描述

稳定可靠的路由是网络通信的基础。OSPFv3协议是一种应用广泛的路由协议，因此对于OSPFv3路由协议的安全保护是非常重要的。但OSPFv3协议本身没有定义任何认证机制，这样OSPFv3协议报文在网络中进行传输的时候很容易被拦截、修改或者仿冒，从而破坏OSPFv3的邻接关系，造成网络中断。

为了实现对OSPFv3协议报文的认证，RFC定义了IPSec机制对OSPFv3协议报文进行认证的方法。通过在携带OSPFv3协议报文的IPv6报文中插入AH头部或者ESP头部，为OSPFv3协议报文提供了数据源认证和数据完整性检验功能，从而有效的预防因OSPFv3协议报文被修改或仿冒而造成邻接关系断开和网络中断。

组网描述

如图2-15所示，SwitchA和SwitchB之间运行OSPFv3协议，透过一段公共网络为主机A和主机B提供一条可达路由。为了防止SwitchA和SwitchB之间的路由受到网络中攻击者的窥探和仿冒，可以采用IPSec对SwitchA和SwitchB之间的OSPFv3路由协议报文进行数据源认证和数据完整性检验。

图2-15 IPSec在OSPFv3网络中的应用组网图 
                                              

部署特性

IPSec安全功能可以部署在OSPFv3进程、区域或者接口上。

OSPFv3支持在每条链路上配置多个不同的实例，不同的实例通过OSPFv3报文头的实例标识（instance-id）字段来区分。但是IPSec协议报文头中不支持这个字段，因此，同一接口下的所有OSPFv3实例都使用相同的安全联盟。

如图2-15所示，在设备的所有接口都部署IPSec认证功能，这样就可以保证只有通过IPSec认证的设备才能建立邻居关系。对于认证失败的报文或者IPSec两端认证方式不匹配的报文都会被丢弃。

通过Efficient VPN实现多分支安全接入

如图2-16所示，大量的分支机构接入总部时，用户通过网管系统（NMS）管理交换机，现用户希望NMS与分支之间的通信进行安全保护。

此时，用户可以部署Efficient VPN。其不仅实现了网络安全部署，而且将复杂配置集中在总部网关上、各个分支网关的配置尽量简单的方法，将管理员从IPSec VPN复杂的配置和维护中解脱出来，实现了配置的简化，提高了可维护性。

图2-16 Efficient VPN组网应用