IPsec是专门用来解决IPv4 的一些基础安全性问题的。为了解决这些问题，它实现了四个服务：数据传输加密、数据完整性验证、数据源认证和数据状态完整性。为了实现这些服务，IPsec VPN引入了许多协议。在本篇文章中，您将学习到实现IPsec安全性的协议。

　　IPsec VPN

　　IPsec VPN框架是一个IETF 标准套件，它能够在不安全的网络中实现安全的数据传输，如Internet。IPsec VPN提供了一些在网络层实现安全通信的协议，以及一个用于交换身份和安全性协议管理信息的机制。IPsec套件是专门用来解决IPv4 的一些基础安全性问题的。

　　为了解决这些漏洞，IETF已经开发了不同的协议标准定义。这些标准实现了以下四个基本服务：

　　数据传输加密：发起的主机能够在传输之前对数据包进行加密。

　　数据完整性验证：接收的主机能够验证每一个到达的数据包，保证所传输的原始数据已经成功接收。

　　数据源认证：发起的主机能够给数据包添加标记，这样接收者能够认证这些数据。

　　数据状态完整性：发起和接收的主机都能够给数据包添加标记，这样数据流的任何重复传输都可以被检测和拒绝（这就是所谓的抗重放）。

IPsec VPN简介

• IPsec VPN工作在OSI Layer 3。
• IPsec VPN能够在远程位置与企业网络之间实现一个安全通道。
• IPsec VPN需要使用安装在主机上的客户端和位于中央的硬件。
• 持续的IPsec VPN配置维护和帐号管理可能需要很大工作量。
• 用户拥有完整的内部网络功能。
• IPsec VPN的访问控制比较宽松。
• IPsec VPN专门对VoIP、多媒体和网络层传输进行了优化。

　　IPsec VPN使用了许多不同的安全性协议来实现这些服务。在底层，这些协议可以分成两类：数据包协议和服务协议。数据包协议用于实现数据安全性服务。这里有两种IPsec数据包协议：Authentication Header (AH)和Encapsulating Security Payload (ESP)。此外还有许多服务协议，但是其中最主要的一个是Internet Key Exchange protocol (IKE)。

　　下面是IPsec VPN实现中通常会使用的协议简要概述：

　　Authentication Header：AH定义在IETF RFC 2402，它支持IPsec数据验证、认证和完整性服务。它不支持数据加密。AH一般是单独实现的，但是它也可以与ESP一起实现。AH只有当我们需要保证交换数据双方安全时才会使用。

　　Encapsulating Security Payload：ESP定义在IETF RFC 2406，它支持IPsec数据加密、验证、认证和完整性服务。ESP可以单独实现，也可以与AH一起实现。AH头是预先设置在IP数据包的数据有效内容位置的，而ESP则将IP数据包的整个数据部分封装到一个头和尾上。

　　Internet Security Association and Key Management Protocol (ISAKMP)：这些协议提供了实现IPsec VPN服务协商的框架和过程。ISAKMP定义在IETF RFC 2408。IKE定义在IETF RFC 2409。ISAKMP定义了创建和删除认证密钥和安全关联（SA）的模式、语法和过程。IPsec节点会使用SA来跟踪不同IPsec节点之间协商的各个方面的安全性服务政策。

　　Internet Key Exchange：IKE是 Oakley密钥判定协议和SKEME密钥交换协议的混合物。IKE协议负责管理IPsec VPN节点的ISAKMP中的IPsec安全关联。IKE协议可以被ISAKMP使用； 但是它们并不相同。IKE是建立IPsec节点之间IPsec连接的机制。