網絡千萬條，安全第一條。隨著網絡規模和復雜度的提升，底層網絡的傳輸安全顯得非常重要。通信雙方需要一個真正在IP層提供安全性的方法，保證發送和接收的數據是安全的，IPSec(Internet Protocol Security，互聯網安全協議)做到了。

IPSec是一系列為IP網絡提供完整安全性的協議和服務的集合，能為上層協議和應用提供透明的安全服務。所謂透明，就是在整個IPSec的工作過程中，用戶是感知不到的。這就很nice了，既保證了用戶的數據安全，又不給用戶添麻煩。

IPSec是一組IP安全協議的集合，是一個體系結構，由AH和ESP協議、加密和認證算法、密鑰管理和安全協商組成。

IPSec為通信兩端設備提供安全通道，設備可以是主機、路由器或防火墻等。

AH協議?

AH(Authentication Header，鑒別首部)指一段報文認證代碼，在發送IP包之前，它已經被事先計算好。發送方用一個加密密鑰算出AH，接收方用同一或另一密鑰對之進行驗證。

AH有兩種工作模式：傳輸模式和隧道模式。

在傳輸模式中，AH位于IP包頭后，上層協議包頭(如TCP)前。

在隧道模式中，需要生成一個新的IP頭，把AH和原來的整個IP包放到新IP包的載荷中。

ESP協議

ESP提供保密功能和可選擇的鑒別服務，將需要保密的用戶數據進行加密后再封裝到一個新的IP包中。

ESP有兩種模式：傳輸模式和隧道模式。

在傳輸模式中，ESP位于IP包頭后，上層協議包頭前。

在隧道模式中，相對于外層IP包頭，也就是新IP包頭，ESP的位置與在傳輸模式中相同。

加密和驗證算法

數據機密是任何VPN網絡的主要需求。當前加密和驗證算法分為兩類：對稱算法和非對稱算法。

對稱算法基于數據的發送方和接收方擁有相同的密鑰。發送方使用密鑰加密數據，接收方使用相同的密鑰解密數據。

非對稱算法又稱為公共密鑰算法，加密和解密使用不同的密鑰。加密的密鑰稱為公共密鑰，可以公開。加密后的數據，只有用私有密鑰才可以解密，私有密鑰是保密的。任何人擁有接收方的公共密鑰都可以加密數據，但該數據只能由接收方持有的私有密鑰才能解密。

安全協商和密鑰管理

在使用AH或ESP前，先要在主機間建立一條網絡層的邏輯連接。此邏輯連接就叫做安全協商—英文是SA( SECURITY ASSOCIATION )。安全協商SA可以手工建立，也可以使用IKE協議建立。SA是一個單向連接，如需進行雙向的安全通信則需要建立兩個SA。

SA共有兩種類型：IKE(Internet Key Exchange，自動密鑰管理協議)/ISAKMP SA和IPSec SA。

IKE或ISAKMP SA為控制流量服務，例如為IKE協議的交互信息，協商加密和認證的算法。

IPSec SA為需要保護的實際數據流量協商加密算法。具體哪些數據需要保護，則由相關策略決定。

IPSec默認的自動密鑰管理協議是IKE。建立和維護ISAKMP SA和IPSec SA是IKE協議的主要任務。

IKE協議用了兩個階段分別建立ISAKMP SA和IPSec SA。

第一階段：通信雙方彼此間建立了一個已通過身份認證和安全保護的通道，即建立一個ISAKMP SA。

第二階段：用在第一階段建立的安全隧道上，為IPSec 協商安全服務，即為IPSec協商具體的SA，建立用于最終的IP 數據安全傳輸的IPSec SA。