IP Security，IP安全

1、特点

L3的VPN

缺：不支持组播、配置复杂、延迟增加、资源消耗较多

优：具备访问控制、密码学四个维度、抗重放打击

2、组件

①安全协议

1）验证头技术（AH）

IP协议号51

提供数据完整性检查，身份验证，抗重放攻击

无法做数据的机密性

AH的完整性检查是对整个数据包做完整性检查（不适用于NAT场景）

报文：

2）封装安全载荷（ESP）

IP协议号50

提供数据的完整性，身份验证、抗重放攻击、数据的机密性

ESP的完整性检查是对载荷数据做完整性检查（没有对IP报文头做完整性检查）

报文：

ESP与AH的区别，为什么AH没有广泛运用？

AH不提供数据的机密性

数据包在传输的过程IP报文头的字段一定不变吗？

TTL、NAT（AH无法适用于NAT环境）

②封装模式：定义数据包再VPN中的封装结构

1）传输模式

格式：IPH+IPSec+DATA

没有产生新的IP报头，加密点与通信点在同一台设备上，采用传输模式

    端到端的保护

（内网IP是否可以在公网路由）

2）隧道模式

格式：IPH（公）+IPSec+IPH（私）+DATA

产生新的IP报头，加密点与通信点不在同一台设备上，采用隧道模式