古时盛唐长安
，朝廷官府（总部）与处所武侯（分支）互通谍报靠的是信使传书
，苦于谍报内容根基都是“明文”、市集走动频仍得不到安全保险
，因而“望楼传信（IPSec VPN）”应运而生
，对于要求传输要快、信息要加密、还必必要双向传递的用户而言
，可谓是解燃眉之急、纾朝廷之忧。

靖安司—总部大脑
靖安司就像是整个长安城的谍报局
，统管大唐明档密档
，朝中三省六部、一台九寺五监机密要件全数统一存储和治理在此处
，正如今天的企业总部信息中心
，蕴含OA、ERP、HR、CRM、财政等各类业务系统
，必要受到来自各地分支机构的实时接见、保险数据传输安全。

望楼—分支机构
长安城每三百步设一望楼
，望楼上有见识精准、经验丰硕的武侯
，在白日以旗语
，夜间以灯笼的方式
，使用《易经》中的八卦为约定隐语将新闻迅速传递至靖安司。这些望楼其事粪似各企业分支机构
，通过部署IPSec VPN加密隧路实现数据传输安全保险
，其中两个主题职能：一是认证头和谈（AH）
，在此和谈中
，对通常IP报头和数据有效负载进行哈希处置
，
；ざ缘忍逯涞氖萘
；二是提供加密安全和谈
，通过分歧算法共同封包安全和谈(ESP)实现对数据报文的加密。

总分部署“联系图”

数据报文在无
；さ耐缟洗淇赡芑崾艿礁骼喙セ鳌⒋鄹
， IPSec和谈能确保数据在无
；さ耐缰邪踩
，通过加密与验证等方式
，为IP数据包提供安全服务。我司全系列RSR路由器均支持IPSec VPN职能以及国密加密算法。

IPSec可提供的安全服务蕴含

数据加密：通过数据加密提供数据私密性
，由ESP和谈实现。

数据齐全性验证：通过数据齐全性验证确保数据在传输蹊径上未经过篡改
，由AH和谈、ESP和谈实现。

数据源验证：通过对数据源进行验证
，保障数据起源靠得住
，由AH和谈、ESP和谈实现。

预防数据沉放：通过回绝沉复的数据包预防恶意攻击
，由AH和谈、ESP和谈实现。

企业分支场景下的IPSec VPN组网

（一）点到点VPN场景：

重要用于企业总部与分支机构之间成立VPN隧路实现数据通讯
，支持IPSec静态隧路、GRE over IPSec隧路、L2TP over IPSec隧路。

• IPSec静态隧路：使用IPSec静态隧路组网时
  ，必要在每个IPSec隧路两端手动进行隧路配置
  ，无需动态协商。但随着加密点和隧路的增多
  ，对IPSec隧路的配置和守护难度也增长
  ，因而静态隧路技术通常利用在分支机构比力少的场景。
• GRE over IPSec隧路：提供在总部和分支之间传送广播、组播的业务
  ，宽泛合用于企业总部与分支机构间使用视频会议或动态路由和谈新闻等场景。

• L2TP over IPSec隧路：吓酌IPSec封装报文后再用L2TP封装
  ，通过L2TP实现用户验证和地址分配
  ，并利用IPSec保险安全性。

（二）点到多点VPN场景：

重要合用于企业总部到多个分支机构的VPN组网场景
，除了支持以上根基的GRE over IPSec隧路、L2TP over IPSec隧路组网方式以表
，在思考若干分支机构接入互联网接口通常都为动态获取IP地址
，无法配置大量的分支接入
，iSlot官方网站全系列RSR路由器还支持IPSec的动态接入、以及RSR接入系列路由器支持DMVPN技术
，不仅满足多分支接入、还可实现动态IP矫捷参与网络
，削减客户运维成本。

• IPSec动态隧路：IPSec动态隧路通常利用于分支节点较多的总分拓扑结构
  ，在中心点配置动态隧路接受各分支的IPSec VPN拨入。中心点配置单一、易于守护、可扩大性强。
• DMVPN技术：是一种高扩大的VPN技术
  ，它是一种VPN动态利用的模型
  ，蕴含了4种关键技术：MGRE、NHRP、IPSec、路由和谈
  ，MGRE由点到点的GRE技术衍生出来
  ，实现了点到多点的职能
  ，重要实现VPN隧路的职能
  ，NHRP和谈用于动态获取公网NBMA地址
  ，IPSec用于对GRE流量数据加密。路由和谈是通讯的基础
  ，是一种根基职能。

IPSec的加密算法

目前
，iSlot官方网站RSR全系列路由器支持常见DES、3DES、MD5、SHA等加密算法
，也积极响应国度对于信息网络安全的号召
，全系列产品支持《商用密码治理条例》中的国密SM1/2/3/4算法
，为客户提供更全面、靠得住的数据传输保险技术。

案例

湖北财政支付专网

方便蜂连锁门店

7-11连锁方便商店（海表）