通信工程师考试培训基于IPSec的VPN实现[2]

通常，ESP可以作为IP的有效负载进行传输，这时IP的头部指出下一个协议是ESP,而非TCP和qDP.由于采用了这种封装形式，所以ESP可以使用旧有的网络进行传输。

由于IPSec进行加密有两种工作模式，则ESP协议有两种工作模式：传输模式（TransportMode）和隧道模式（TunnelMode）。当ESP工作在传输模式时，采用当前的IP头部：而在隧道模式时，对整个IP数据包进行加密作为ESP的有效负载，并在ESP头部前增添以网关地址为源地址的新的丨P头部，此时可以起到NAT的作用。

AH只涉及认证，不涉及加密。AH虽然在功能上和ESP有些重复，但AH除了可以对IP的有效负载进行认证外，还可以对IP头部实施认证。而ESP的认证功能主要是面对IP的有效负载。为了提供最基本的功能并保证互操作性，AH必须包含对HMAC-SHA和HMAC-MD5（HMAC是-种SHA和MD5都支持的对称式认证系统）的支持。

AH既可以单独使用，也司？在隧道模式下，或者与ESP联用。

IKE协议主要是对密钥交换进行管理，它主要包括以下3个功能。

（1）对使用的协议、加密算法和密钥进行协商。

（2）方便的密钥交换机制（这可能需要周期性进行）。

（3）跟踪对以上这些约定的实施。

IPSecVPN的应用有两种基本类型：拨号VPN与专用VPN。

拨号VPN为移动用户与远程办公者提供远程内部网访问。拨号VPN业务也称为“公司拨号外包”方式。按照隧道建立的场所，拨号VPN分为两种：在用户PC上或在服务提供商的网络访问服务（NAS）上。

专用VPN有多种形式，其共同的要素是为用户提供IP服务，一般采用安全设备或客户端的路由器等设备在IP网络上完成服务。通过在帧中继或ATM网上安装IP接口也可以提供IP服务。专用业务应用通过WAN将远程办公室与企业的内部网与外部网连接起来，这些业务的特点是多用户与高速连接，为了提供完整的VPN业务，企业与服务提供商经常将专用VPN与远程访问方案结合起来。

返回目录：通信工程师考试培训互联网技术重点汇总

编辑相关推荐：

初级通信工程师考试电信网概述汇总

2013年通信工程师考试学习在线辅导

通信考试终端与业务通信员工职业规范

通信专业实务互联网技术数据通信基础教程

互联网技术考试局域网和城域网汇总

[1]  [2]