IPSec VPN的应用场景

IPSecVPN有三种应用场景：

1．Site-to-Site(网站到网站或网关到网关):比如互联网三个不同的地方分布了三个弯曲评论的机构，每个机构都使用一个商业试点网关相互建立VPN隧道，企业内网(若干)PC）通过这些网关建立间的数据IPSec隧道实现安全互联。

2．End-to-End(端到端或PC到PC）：两个PC两种通信方式PC之间的IPSec会话保护，而不是网关。

3．End-to-Site(端到站点或PC到网关)：两个PC之间的通信由网关和异地PC之间的IPSec进行保护。

VPN只是IPSec应用方法，IPSec其实是IPSecurity简称，其目的是为IP提供高安全特性，VPN实现这一安全特性的解决方案。IPSec框架结构由两种协议组成：

1．AH协议（AuthenticationHeader，使用少):可同时提供数据完整性确认、数据源确认、防重放等安全特性；AH摘要算法常用(单向)Hash函数）MD5和SHA实现这一特性。

2．ESP协议（EncapsulatedSecurityPayload，广泛使用):可同时提供数据完整性确认、数据加密、防重放等安全特性；ESP通常使用DES、3DES、AES实现数据加密和使用等加密算法MD5或SHA实现数据完整性。

为何AH少用？AH不能提供数据加密，所有数据在传输过程中明确传输ESP提供数据加密；其次AH因为提供数据源确认(源)IP地址一旦改变，AH验证失败)，无法穿越NAT。当然，IPSec在极端的情况下可以同时使用AH和ESP实现最完整的安全特性，但这种方案极其罕见。