IPsec操作

IPsec有两种操作模式：传输模式和隧道模式。在传输模式下运行时，源主机和目标主机必须直接执行所有加密操作，加密数据通过使用L2TP(第2层隧道协议)创建的单个隧道发送，数据(密文)由源主机创建，并由目标主机检索，这种操作模式建立了端到端的安全性。

在隧道模式下运行时，除源和目标主机外，特殊网关还会执行加密处理。在这里，许多隧道在网关之间串联创建，建立了网关到网关的安全性。使用这些模式中的任何一种时，重要的是为所有网关提供验证数据包是否真实的能力以及在两端验证数据包的能力，必须丢弃任何无效的数据包。

IPsec的一个重要部分是安全关联(SA)，SA使用AH和ESP中携带的SPI编号来指示哪个SA用于数据包，还包括IP目标地址以指示端点：这可以是防火墙，路由器或用户。

安全关联数据库(SAD)用于存储所有使用的SA，SAD使用安全策略来指示路由器应该对数据包执行的操作，三个例子包括完全丢弃数据包，仅丢弃SA，或替换不同的SA。正在使用的所有安全策略都存储在安全策略数据库中。

IPSec VPN网关安全接入与安全防护无缝结合

IPSec VPN网关在MAC层提供基于MAC地址的过滤控制能力，同时支持对各种二层协议的过滤功能；在网络层和传输层提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤，并进行完整的协议状态分析；

在应用层通过深度内容检测机制，可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制；从而形成了立体的访问控制机制，实现了安全控制。

IPSec VPN网关建立隧道

建立隧道说起来简单，做起来不容易。如果两个设备都有合法的公网IP，那么建立一个隧道是比较容易的。

如果一方在nat之后，那就比较麻烦了。一般通过内部的vpn节点发起一个udp连接，再封装一次ipsec，送到对方，因为udp可以通过防火墙进行记忆，因此通过udp再封装的ipsec 包，可以通过防火墙来回传递。

建立隧道以后，就确定隧道路由，即到哪里去，走哪个隧道。很多VPN隧道配置的时候，就定义了保护网络，这样，隧道路由就根据保护的网络关系来决定。

但是这丧失了一定的灵活性。所有的ipsec VPN展开来讲，实现的无非就是以上几个要点，具体各家公司，各有各的做法。但是可以肯定，目前在市场销售的VPN，肯定都已经解决了以上的问题。