ipsec ***方式:

ipsec只能工作在IP层,它的乘客协议和承载协议都必须是IP协议。它是一种隧道协议,封装在乘客协议和承载协议之间。
使用ipsec方式配置×××时只需要边缘的两端路由器支持ipsec即可。mpls ×××需要所有P,PE路由器都支持mpls协议。不过,mpls ×××能实现动态隧道技术。这个就太牛逼了。。

使用HASH运算保证数据的完整性。如:MD5,SHA
使用DH(对称密钥交换)算法安全的交换密钥。如:DH1,DH2
使用加密算法加密链路上传输的数据。如:DES,3DES,AES

IPSec安全协议是一个协议簇,包含ESP协议(安全载荷协议)和AH协议。ESP能实现数据加密和摘要。AH只能实现摘要。
真正封装在包中的隧道协议就这两种。
ESP和AH协议在与NAT一起使用时,会产生错误。不过实际应用中,既然使用了IPSec ×××,那么就不需要公有地址了,也就不需要NAT了。如果要让ESP/AH与NAT兼容,需要开启穿越模式。
就如同包不能使用TCP/IP路由一样,IPSec也不能作为隧道协议封装在包中,它是一个协议簇!

端到端IPSec ×××建立过程:
1.建立IKE(internet key exchange)安全通道,通过协商IKE安全参数来建立。参数有:加密算法,Hash算法,DH算法,身份认证方法与存活时间。这5个参数合起来就是IKE policy。建立IKE安全通道的实质就是两端协商一个一致的IKE policy
2.协商IPSec 安全参数。就是变换集(transform-set) 参数有:加密算法,Hash算法,安全协议,封装模式和存活时间。

按配置来看,IKE就是isakmp,isakmp协商两端的IKE参数来建立一个安全的通道。
而IPSec参数就是变换集transform-set ,他被使用在加密映射表中,从而对感兴趣的数据进行加密。被称作变换集是因为它可以隔一段时间变换一种加密方式,使×××更安全。