IPsecVPNipsec是iPsecurity的缩写，即IP安全性协议，他是为IP网络提供安全性服务的一个协议的集合，是一种开放标准的框架结构，工作在OSI七层的网络层，它不是一个单独的协议，它可以不使用附加的任何安全行为就可以为用户提供任何高于网络层的TCP/IP应用程序和数据的安全。主要提供如下的保护功能：1.加密用户数据，实现数据的私密性2.验证IP报文的完整性，使其在传输的路上不被非法篡改3.防止如重放攻击等行为4.即可以确保计算机到计算机的安全，也可以确保两个通信场点（IP子网到子网）的安全5.使用网络设备特点的安全性算法和秘钥交换的功能，以加强IP通信的安全性需求。6.它是一种VPN的实施方式。ipsec不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构。该体系结构包括认证头协议（AH）.封装安全负载协议（ESP）,密钥管理协议（IKE)和用于网络认证及加密的一些算法等。ipsec规定了如何在对等体之间选择安全协议，确定安全算法和秘钥交换，向上提供了访问控制，数据源认证，数据加密等网络安全服务。关于IPSEC的传输模式与隧道模式ipsec的传输模式：一般为OSI传输层，以及更上层提供安全保障。传输模式一般用于主机到主机的IPsec，或者是远程拨号型VPN的ipsec，在传输模式中，原始的IP头部没有得到保护，因为ipsec的头部插在原始IP头部的后面，所以原始的IP头部将始终暴漏在外，而传输层以及更上层的数据可以被传输模式所保护。注意：当使用传输模式的ipsec在穿越非安全的网络时，除了原始的IP地址以外，在数据包中的其他部分都是安全的。ipsec的隧道模式：它将包括原始IP头部在内的整个数据包都保护起来，它将产生一个新的隧道端点，然后使用这个隧道端点的地址来形成一个新的IP头部，在非安全网络中，只对这个新的IP头部可见，对原始IP头部和数据包都不可见。在这样的网络环境中，就会在路由器VPNA和VPNB的外部接口产生一个隧道端点，而他们的接口地址正式这个隧道端点的地址。也是形成IPsec隧道模式中的新IP头部。隧道模式一般应用于连接场到场的ipsec的VPN.理解VPN的机密性，完整性，认证<请参考理解加密、认证、DH算法文档>机密性是数据私密性。加密方法：DES<数据加密标准>:是一种应用很广泛的传统加密算法标准，一种对称式加密算法，DES使用一个56位的秘钥以及8位的奇偶校验位，产生最大64位的分组大小。3DES<三重数据加密标准>:它相当于是对每个数据块执行三次标准的DES加密算法，产生出现3DES加密算法的原因是，现代化计算机的运算能力越来越强，标准的DES加密的密钥长度变得更容易暴力破解。3des的设计用来提供一种相对增加DES的秘钥长度来避免暴力破解的可能性，他不是一种新型的加密算法，而是对DES的加强与扩展，3DES使用3条56位的密钥对数据执行3次加密，它的应用比DES更安全。AES<advancedencryptionstandard高级加密标准>:它被设计用于替代传统的标准加密算法的标准，AES加密数据块和密钥长度可以是128位，192位，256位中的任意一个。他的安全机制高于DES,3DES.数据完整性<dataintegrity>:它是用于确保被VPN传递的数据，在传输的过程中，没有被篡改，数据完整性本身并不提供数据机密性保障，数据完整性通常使用HASH算法来确保数据在传输过程中的安全性。简单描述HASH的一个过程把原始消息+共享安全秘钥放进HASH函数里面生成一个摘要值，然后把这个摘要值附加到原始的消息中，传送给目标，目标将收到的消息加上共享安全秘钥放进HASH函数里生成摘要值，如果生成的摘要值一样，说明数据在传输过程中没有被篡改过，验证就通过了。首先,HASH是一个不可逆的算法，这就好比把一个完整的水杯摔到地上，虽然地上产生了很多碎片，但是你不可能根据这些碎片重新还原成原始的杯子。在思科的IOS系统中，常使用两种HASH算法，HMAC-MD5和HMAC-SHA-1HMAC-MD5:使用128位共享安全秘钥。变长消息和128位共享安全秘钥组合在一起运行HMAC-MD5,它将输出一个128位的哈希值。该值被附加在原始消息的后面发往远端。HASH-SHA-1：使用160位共享安全秘钥。变长消息和160位共享安全秘钥组合一起运行HMAC-SHA-1,它将输出一个160位哈希值。该值被附加在原始消息的后面发往远端，HAMC-SHA-1安全性高于HMAC-MD5.数据源认证是指验证VPN的数据发送源，它由VPN的每个端点来完成，以确保与其通信的对端身份，值得注意的是数据源的验证是无法单独实现的，它必须依赖于数据完整性验证。IPsec的AH认证头部与ESP封装安全载荷IPsec是