通常，ESP可以作為IP的有效負載進行傳輸，這時IP的頭部指出下一個協議是ESP,而非TCP和qDP.由于采用了這種封裝形式，所以ESP可以使用舊有的網絡進行傳輸。

由于IPSec進行加密有兩種工作模式，則ESP協議有兩種工作模式：傳輸模式（TransportMode）和隧道模式（TunnelMode）。當ESP工作在傳輸模式時，采用當前的IP頭部：而在隧道模式時，對整個IP數據包進行加密作為ESP的有效負載，并在ESP頭部前增添以網關地址為源地址的新的丨P頭部，此時可以起到NAT的作用。

AH只涉及認證，不涉及加密。AH雖然在功能上和ESP有些重復，但AH除了可以對IP的有效負載進行認證外，還可以對IP頭部實施認證。而ESP的認證功能主要是面對IP的有效負載。為了提供最基本的功能并保證互操作性，AH必須包含對HMAC-SHA和HMAC-MD5（HMAC是-種SHA和MD5都支持的對稱式認證系統）的支持。

AH既可以單獨使用，也司？在隧道模式下，或者與ESP聯用。

IKE協議主要是對密鑰交換進行管理，它主要包括以下3個功能。

（1）對使用的協議、加密算法和密鑰進行協商。

（2）方便的密鑰交換機制（這可能需要周期性進行）。

（3）跟蹤對以上這些約定的實施。

IPSecVPN的應用有兩種基本類型：撥號VPN與專用VPN。

撥號VPN為移動用戶與遠程辦公者提供遠程內部網訪問。撥號VPN業務也稱為“公司撥號外包”方式。按照隧道建立的場所，撥號VPN分為兩種：在用戶PC上或在服務提供商的網絡訪問服務（NAS）上。

專用VPN有多種形式，其共同的要素是為用戶提供IP服務，一般采用安全設備或客戶端的路由器等設備在IP網絡上完成服務。通過在幀中繼或ATM網上安裝IP接口也可以提供IP服務。專用業務應用通過WAN將遠程辦公室與企業的內部網與外部網連接起來，這些業務的特點是多用戶與高速連接，為了提供完整的VPN業務，企業與服務提供商經常將專用VPN與遠程訪問方案結合起來。

返回目錄：通信工程師考試培訓互聯網技術重點匯總

編輯相關推薦：

初級通信工程師考試電信網概述匯總

2013年通信工程師考試學習在線輔導

通信考試終端與業務通信員工職業規范

通信專業實務互聯網技術數據通信基礎教程

互聯網技術考試局域網和城域網匯總

[1]  [2]