在上一章中，我们回顾了在两个节点之间建立IPsec连接的基本协议和过程。现在让我们来看一下基本的IPsec VPN连接模式。IOS支持多种的IPsec实现，因而基本上所有的IPsec VPN都选用以下两种基本形式的其中一种来实现：Site-to-site和Client-to-site。

 
Site-to-site VPN

在上面的Site-to-site VPN配置中，每一个节点都被连接到分离的网络上，这些网络是由其他非安全或者公共网络所隔离。由于这些网络分区的安全要求，使得除非有部署VPN否则网络上的端节点是不能够互相交换数据。这种类型的VPN配置就是“封闭式”Site-to-site网络拓扑。相反，如果连接到网络分区的端节点之间可以自由地进行数据交换并且利用其它的网络来转发和接收数据。然而，这些数据交换是非安全的。因此IPsec可以用于保证部分或者所有的数据交换安全。这种类型的VPN配置就是所谓的“开放式” Site-to-site网络设计。这两者之间的关键之处在于，IPsec是使用网关来实现数据交换安全。同时，更重要的是，数据交换安全的实现与连接到安全网络的端节点的安全方式无关。

 
Client-to-site VPN

在Client-to-Site VPN网络拓扑中，“开放式”和“封闭式”的模型都是适用的。由IPsec网关隔离（或与之邻近）的节点之间的连接可能被或不被限制。在“开放式”的Client-to-Site网络拓扑中，在端节点与IPsec网关之间的网络通路是不安全的。而在“封闭式”的网络拓扑中，在端节点与网关之间的网络通路是安全的。但是，在客户端节点和IPsec网关相邻（或之后）的节点之间的数据交换只在连接到IPsec网关时才能进行。

在这两种网络拓扑中，客户端节点和IPsec网关的关系在体系结构上类似于传统PSTN远程访问拨号网络。端节点先建立一个到网关上的连接，然后两者作为IPsec节点进行通信。另外，网关提供给端节点一个IP身份，这个身份可以使客户端节点的IP能够与其他直接连接（通过VPN）和IPsec 网关相邻的端节点的网络访问。客户端节点和网关之间的通信是同由IPsec保证安全的。但是，其它客户端节点与IPsec网关相邻的节点之间的通信则不是安全的。

在开发IPsec解决方案时，我们要谨记一点：要用IPsec协议套件来保证IP通信安全。目前普遍将建立VPN看作是使用公共（非安全的）网络作为基板的私有（安全的）网络连接。但这并不是IPsec实现所唯一支持的。IPsec还可以用来加强私有网络风的安全性，这是通过使用许多与保证公共网络的数据传输安全相同的策略。这是我们必须牢记的检查公共网络上的不同IOS IPsec数据方法，它们都是从使用IKE开始配置路由器的ISAKMP策略的。