IPsec封装的是IP层数据,或IP因此,上层协议载荷可以认

IPsec封装的是IP层数据，或IP因此，上层协议载荷可以认为是一种构造L3方案（第三层方案）技术。其最大的特点是为数据传输过程提供机密性、完整性保护和数据源验证，以确保承载在公共网络中的方案的安全性和可靠性。同时，由于协议头不多，硬件加密卡也可以加速IPsec另外，报文的处理效率有了很大的提高IKE协商过程可以提供相对完整的用户身份认证，使其正确IPsec有效控制用户访问，进一步保证网络安全。

IPsec支持两个协议标准，识别第一个(Authenticaion Header，AH)安全有效的包装载荷(Encapsulation Security Payload，ESP)：

AH可证明数据的起源(数据源认证)，保证数据的完整性，防止同一数据包重播(抗重放攻击)；

ESP除上述安全服务外，还可以提供更多的安全服务AH除了可以提供的安全服务外，还可以提供数据机密性，保证数据包在传输过程中不被非法识别；

AH与ESP数据完整性服务的区别在于，AH验证范围还包括数据包的外部IP头。

IPSec协议包装模式：

传输模式：IPSec头被插入到IP头后但在所有传输层协议之前，或所有其他协议IPSec协议之前。

隧道模式：IPSec头插在原始IP在头之前，再生成一个新的报文头AH或ESP之前。

IPSec安全协议-AH

提供数据源验证(真实性)、完整性验证和抗重放

不支持加密算法

IPSec安全协议-ESP

提供数据真实性、数据完整性、抗重放性和数据机密性

支持加密算法

IKE在IPSec协议的作用

IKE有一套自我保护机制，可以在不安全的网络上安全分发钥匙，验证身份，建立IPSec安全联盟。