通信工程師考試培訓基于IPSec的VPN實現(xiàn)[2]

通常，ESP可以作為IP的有效負載進行傳輸，這時IP的頭部指出下一個協(xié)議是ESP,而非TCP和qDP.由于采用了這種封裝形式，所以ESP可以使用舊有的網(wǎng)絡進行傳輸。

由于IPSec進行加密有兩種工作模式，則ESP協(xié)議有兩種工作模式：傳輸模式（TransportMode）和隧道模式（TunnelMode）。當ESP工作在傳輸模式時，采用當前的IP頭部：而在隧道模式時，對整個IP數(shù)據(jù)包進行加密作為ESP的有效負載，并在ESP頭部前增添以網(wǎng)關地址為源地址的新的丨P頭部，此時可以起到NAT的作用。

AH只涉及認證，不涉及加密。AH雖然在功能上和ESP有些重復，但AH除了可以對IP的有效負載進行認證外，還可以對IP頭部實施認證。而ESP的認證功能主要是面對IP的有效負載。為了提供最基本的功能并保證互操作性，AH必須包含對HMAC-SHA和HMAC-MD5（HMAC是-種SHA和MD5都支持的對稱式認證系統(tǒng)）的支持。

AH既可以單獨使用，也司？在隧道模式下，或者與ESP聯(lián)用。

IKE協(xié)議主要是對密鑰交換進行管理，它主要包括以下3個功能。

（1）對使用的協(xié)議、加密算法和密鑰進行協(xié)商。

（2）方便的密鑰交換機制（這可能需要周期性進行）。

（3）跟蹤對以上這些約定的實施。

IPSecVPN的應用有兩種基本類型：撥號VPN與專用VPN。

撥號VPN為移動用戶與遠程辦公者提供遠程內(nèi)部網(wǎng)訪問。撥號VPN業(yè)務也稱為“公司撥號外包”方式。按照隧道建立的場所，撥號VPN分為兩種：在用戶PC上或在服務提供商的網(wǎng)絡訪問服務（NAS）上。

專用VPN有多種形式，其共同的要素是為用戶提供IP服務，一般采用安全設備或客戶端的路由器等設備在IP網(wǎng)絡上完成服務。通過在幀中繼或ATM網(wǎng)上安裝IP接口也可以提供IP服務。專用業(yè)務應用通過WAN將遠程辦公室與企業(yè)的內(nèi)部網(wǎng)與外部網(wǎng)連接起來，這些業(yè)務的特點是多用戶與高速連接，為了提供完整的VPN業(yè)務，企業(yè)與服務提供商經(jīng)常將專用VPN與遠程訪問方案結合起來。

返回目錄：通信工程師考試培訓互聯(lián)網(wǎng)技術重點匯總

編輯相關推薦：

初級通信工程師考試電信網(wǎng)概述匯總

2013年通信工程師考試學習在線輔導

通信考試終端與業(yè)務通信員工職業(yè)規(guī)范

通信專業(yè)實務互聯(lián)網(wǎng)技術數(shù)據(jù)通信基礎教程

互聯(lián)網(wǎng)技術考試局域網(wǎng)和城域網(wǎng)匯總

[1]  [2]