IPSecVPN是目前VPN技术中使用率较高的一种技术，同时提供VPN和信息加密两项技术，这一期就来介绍一下IPSec VPN的基本原理。
一、IPSec VPN是什么？      
IPSecVPN指采用IPSec协议来实现远程接入的一种VPN技术，IPSec协议是将基于密码技术的安全机制引入IP协议中，实现网络层的通信安全。
IPSec协议通俗讲解
打个比方，现在你非常紧急需要一份重要机密文件，但是你出差在外，没办法第一时间获取这份文件。可能你首先想到的是让同事拍照发给你，但这显然是不安全的，极有可能导致文件信息的泄露，让同事发快递给你？从时效和保密性方面考虑也是不可取。如何安全快捷地得到这个文件。这个时候IPSecVPN就派上大用场。它通过本地机密，然后在公共网络建立一条专用网络，发送到你的设备上进行解密，最后安全准确地发送到你手上。

图1 IPSec VPN应用场景

IPSecVPN主要也是利用Internet构建VPN的，用户可以任意方式（如专线接入方式、PPPo E拨号接入方式，甚至传统的Modem、ISDN拨号方式）接入Internet，且不受地理因素的限制。所以，IPSecVPN不仅适用于移动办公员工、商业伙伴接入，也适用于企业分支机构之间站点到站点（Site-to-Site）的互连互通。
IPSec的功能——加密(encrypt)
在传输文件的过程中，机密机制通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被窃听。那么，如果机密数据在传输过程中被篡改。我们对虚假的数据进行处理，岂不是浪费了更多的时间和资源。这就涉及IPSec的另一个功能——认证。
IPSec的功能——认证（authentication）
认证机制使IP通信的数据接受方能够确认数据发送方的真实身份以及数据在传输过程中是否遭窜改。保证了数据的真实性。
IPSec的功能——密钥管理和交换
为了实现认证和加密，还需要有秘钥管理和交换的功能。
二、Ipsec的工作模式
介绍完IPSec的应用场景和功能，再来看一下IPSec提供的两种封装模式（传输Transport模式和隧道Tunnel模式）

图2 IPSecVPN传输模式

计算机PC1与计算机PC2之间的IPSec协议保护通信流量，这个过程可使用传输模式，也可以使用隧道模式

 

图3 IPSecVPN隧道模式

计算机PC3与网关之间的通信只能采用隧道模式，特别地，计算机网关与网关之间的通信也只能使用IPSec隧道模式来保证通信流量
从这两张图的对比可以看出：
1.  隧道模式可以适用于任何场景
2.  传输模式只能适合PC到PC的场景
为了使大家有个更直观的了解，我们看看下图，分析一下为何在Site-to-Site场景中只能使用隧道模式：

图4 IPSec传输模式适用场景分析
 

如上图所示，如果发起方内网PC发往响应方内网PC的流量满足网关的兴趣流匹配条件，发起方使用传输模式进行封装：
①　IPSec 会话建立在发起方192.168.1.1、响应方10.1.1.1两个网关之间
②　源地址，目标地址都是私有地址，因为私网路由问题，该数据包在互联网中被丢弃
③　假设数据包成功穿过了互联网，因为目的地址不是104.1.1.2的网关，所以网关并不进行解密，而是直接转发给内网的计算机，响应方10.1.1.1因为没有进行IPSec协商，所以密文数据无法解密而被响应方丢弃。
由此可见，在Site-to-Site情况下不能使用传输模式。隧道模式的虚拟专用网在安全性和灵活性方面具有很大的优势，因而在企业环境中应用非常广泛。传输模式封装结构相对简单，因此传输速率较高，多用于通信双方在同一局域网内的情况。