数据报文在无保护的网络上传输可能会受到各种攻击、篡改， IPSec协议能确保数据在无保护的网络中安全传输，通过加密与验证等方式，为IP数据包提供安全服务。

IPSec提供的安全服务包括:

数据加密: 通过数据加密提供数据隐私, 由ESP协议实现.

数据完整性验证:数据完整性验证确保数据不会在传输路径上改变,并通过AH协议和ESP协议实现。

数据源验证: 通过AH协议和ESP协议实现的数据源的可靠性验证.

防止数据迁移:通过拒绝 AH 和 ESP 协议实现的重复数据包来防止恶意攻击。

IPSec网络场景

点到点：

主要用于企业总部与分支机构之间建立隧道实现数据通信，支持IPSec静态隧道、GRE over IPSec隧道、L2TP over IPSec隧道。

IPSec静态隧道:在使用 IPSec静态隧道群网络时,你需要手动配置每个IPsec隧道的两端隧道,无需动态协商。但随着加密点和隧道的增加,IPSec隧道的配置和维护也增加了难度,因此, 静态隧道技术一般应用于分支机构的较小场景.

GRE(英语:GRE over IPSec Tunnel):提供总部和分支之间广播和团体广播服务,广泛适用于视频会议或企业总部和分支之间动态路由协议消息等场景。

L2TP over IPSec隧道：先用IPSec封装报文后再用L2TP封装，通过L2TP实现用户验证和地址分配，并利用IPSec保障安全性。

点到多点：

主要适用于企业总部,适用于多个分支机构网络场景,除了支持以上基本的GRE over IPSec隧道、L2TP over IPSec隧道组网方式以外，在考虑几个分支的互联网访问时, IP地址一般是动态获取的。无法配置大量的分支输入,敏捷全系列RSR路由器还支持 IPSec动态输入,RSR输入系列路由器支持DM技术,不仅满足多个分支的访问,而且实现动态IP灵活性连接网络,减少客户运维成本。

IPSec动态隧道：IPSec动态隧道一般应用于分支节点较多的总分拓扑结构，在中心点配置动态隧道接受各分支的IPSec 拨入。中心点配置简单、易于维护、可扩展性强。

DM技术:是一种高扩展技术,这是一个动态的应用程序模型,它包含四个关键技术: MGRE 、 NHRP 、 IPSec 和路由协议。MGRE是基于点到点GRE技术,实现了点到点的功能,主要完成隧道的功能,NHRP协议用于动态获取公共网络NBMA地址,IPSec用于加密GRE流量数据.路由协议是通信的基础,是一种基本功能。

本文由 在线网速测试 整理编辑，转载请注明出处，原文链接：https://www.wangsu123.cn/news/30767.html。