虚拟专用网络VN

5虚拟专用网络（VPN）目前的网络状况窃听者公钥基础设施PKI！如何保证公司网络资源的安全?如何面对Internet通信的增加、新的应用服务和减少成本？如何共享和保护通过Internet,Extranets和

Intranets的信息?如何在合作伙伴之间布置一个灵活和模块化的解决方案？如何有效的管理这一切？谁能提供这一切满足未来的需要？用户面临的挑战传统远程通信连接方式企业总部外地分公司客户及供应商外地出差员工租用专用线路

T1，帧中继ISDN,ATM当地电信局专用网络的优点信息被保留“在文件夹里”远程站点可以立即交换信息远程用户没有隔离感专用网络的缺点成本太高，不经济超出预算，不现实

$$VPN应用VPN进行远程通信客户及供应商外地出差员工外地分公司企业总部InternetVPN隧道使用VPN解决方案的优势防止数据在公网传输中被窃听防止数据在公网传输中被篡改可以验证数据的真实来源成本低廉（相对于专线、长途拨号）应用灵活、可扩展性好本章提要VPN概述VPN关键技术实施VPN的价值§5.1VPN概述VPN(VirtualPrivateNetwork)虚拟专用网：针对传统的“企业专用网络”而言的，它是指在公共网络上通过隧道和/或加密技术，为企业所建立的逻辑上的专用网络。VPN以公用开放的网络(如Internet)作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络(PrivateNetwork)性能的网络服务技术。VPN定义§5.1VPN概概述述VPN依依靠靠ISP（（Internet服服务务提提供供商商））和和其其他他NSP（（网网络络服服务务提提供供商商）），，在Internet公公共共网网络络中中建建立立局局域域网网络络之之间间或或单单点点之之间间、、临时时的的、、专专用用的的、、安安全全的的、、稳稳定定的的数据据通通信信网网络络（隧隧道道））的技技术术VPN定定义义网络络资资源源的的专用用性性：即VPN网网络资资源（（如信信道和和带宽宽）在在企业业需要时时可被被企业业专门门使用用；不需要要时又又可被被其它它VPN用用户使使用，，企业用用户可可以获获得像像传统统专用用网一一样的的服务务质量量；网络的的安全性性：VPN用户户的信信息不不会流流出VPN的范范围之之外，，用户户信息受受到VPN网络络的保保护，，可以以实现现用户户信息息在公公共网网络传传输中隐蔽蔽性§5.1VPN概述述VPN可以以省去去专线线租用用费用用或者者长距距离电电话费费用，，大大大降低低成本本VPN可以以充分分利用用Internet公公网资资源，，快速速地建建立起起公司司的广广域连连接VPN定义义虚拟专专用网网基础础结构构§5.1VPN概述述VPN通过一一个私私有的的通道道来创创建一一个安安全的的私有有连接接，将将远程用用户、、公司司分支支机构构、公公司的的业务务伙伴伴等跟跟企业业网连接起起来，，形成成一个个扩展展的公公司企企业网网。在在该网网中的的主机机将不不会觉觉察到到公共共网络络的存存在，，仿佛佛所有有的主主机都都处于于一个个网络络之中中。主要目目的是是保护传传输数数据，是保保护从从信道道的一一个端端点到到另一一端点点传输输的信信息流流。信信道的的端点点之前前和之之后，，VPN不提供供任何何的数数据包包保护护。VPN目的的§5.1VPN概述述加密数数据。以保保证通通过公公网传传输的的信息息即使使被他人人截获获也不不会泄泄露。。信息验验证和和身份份识别别。保证证信息息的完完整性性、合合理性性，并并能鉴鉴别用用户的的身份份。提供访访问控控制。不同的的用户户有不不同的的访问问权限限。地址管管理。VPN方案案必须须能够够为用用户分分配专专用网网络上上的地地址并并确保保地址址的安安全性性。密钥管管理。。VPN方案案必须须能够够生成成并更更新客客户端端和服服务器器的加加密密密钥。。多协议议支持持。VPN方案案必须须支持持公共共因特特网络络上普普遍使使用的的基本本协议议，包包括IP、、IPX等等。VPN基本本功能能§5.1VPN概述述安全性性：隧道、、加密密、密密钥管管理、、数据据包认认证、、用户户认证证、访访问控控制可靠性性：硬件、、软件件、基基础网网络的的可靠靠性可管理理性：：记帐、、审核核、日日志的的管理理；是是否支支持集集中的的安全全控制制策略略可扩展展性：：是否考考虑采采用硬硬件加加速加加解密密速度度；支支持多多种类类型的的数据据流、、方便便增加加新的的节点点、支支持多多种类类型的的传输输媒介介VPN特性性§5.1VPN概述述可用性性：系统对对应用用尽量量透明明；对对终端端用户户来说说使用用方便便互操作作性：：尽量采采用标标准协协议，，与其其他供供应商商的设设备能能互通通服务质质量QoS：通过Internet连接的的VPN服务质质量很很大程程度取取决于于Internet的状况况;为企业业数据据提供供不同同等级级的服服务质质量保保证；；充分有有效地地利用用有限限的广广域网网资源源，为为重要要数据据提供供可靠靠的带带宽多协议议支持持VPN特性性§5.1VPN概述述VPN服务务器端端：能够接接收和和验证证VPN连连接请请求并并处理理数据据打包包和解解包工工作的的一台台计算算机或或设备备。VPN服务务器端端操作作系统统可以以是WindowsNT4.0／／Windows2000／WindowsXP／／Windows2003；相相关组组件为为系统统自带带；要求VPN服务务器已已经接接入Internet，，并且且拥有有一个个独立立的公公网IP。。VPN组成成§5.1VPN概述述VPN客户户端：能够发发起VPN连接接请求求并且且也可可以进进行数数据打打包和和解包包工作作的一一台计计算机机或设设备。。VPN客户户机端端操作作系统统可以以选择择Windows98／WindowsNT4.0／／Windows2000／WindowsXP／／Windows2003；相相关组组件为为系统统自带带；、要求VPN客户户机已已经接接入Internet。。VPN组成成§5.1VPN概述述VPN数据据通道道：一条建建立在在公用用网络络上的的数据据连接接。其实，，所谓谓的服服务器器端和和客户户端在在VPN连连接建建立之之后，，在通通信过过程中中扮演演的角角色是是一样样的，，区别别仅在在于连连接是是由谁谁发起起的而而已。。VPN组成成实例：：基于于windowsXP配置VPN服务器器与客客户端端§5.1VPN概述述VPN分类类按应用用范围围分：：内部网远程访问Internet合作伙伴分支机构虚拟私有网虚拟私有网虚拟私有网ExtranetVPNIntranetVPNAccessVPN§5.1VPN概述述AccessVPN又称为为拨号号VPN(即VPDN)，是是指企企业员员工或或企业业的小小分支支机构构通过过公网远远程拨拨号的方式式构筑筑的虚虚拟网网。用于实实现移移动用用户或或远程程办公公室安安全访访问企企业网网络.是个人计计算机机与企企业站站点之之间的的虚拟拟专用用网络络典型的的远程程访问问VPN是是用户户通过过本地地的信息服服务提提供商商(ISP)登录到到因特特网上上，并并在现现在的的办公公室和和公司司内部部网之之间建建立一一条加加密信信道。。VPN分类类：按按应用用VPN隧道对于外外出旅旅行的的员工工而言言，无无论他他们位位于何何处，，都可可访问问电子子邮件件、文文件和和内部部系统统，无无需使使用昂昂贵的的长途途电话话连接接拨号号服务务器在家工工作的的员工工可以以像在在企业业的办办公室室中工工作的的员工工一样样访问问网络络服务务，而而无需需使用用昂贵贵的租租用线线路。。企业内内部网网VPN服务器器可以以是机机构的的防火火墙或或单独独的VPN服务器器用户通通过本本地ISP拨号、、DSL线路或或调制制解调调器连连接到到Internet，并通通过Internet与公司司企业业站点点建立立一个个VPN。TCP/IP协议栈

用户计算机

VPN服务器

内部网络

VPN软件

其他Internet通信数据

内部网络

InternetVPN通道§5.1VPN概概述AccessVPN公司企业业的站点点需要用用户认证证AccessVPN可以让机机构限制制远程用用户能够够访问的的系统或或文件VPN分分类：按按应用§5.1VPN概概述IntranetVPN用于组建建跨地区区的企业业内部互互联网络络即企业的的总部与与分支机机构间通通过公网网构筑的的虚拟网网这种类型型的连接接带来的的风险最小小，因为公公司通常常认为他他们的分支机构构是可信信的，并将它它作为公司网络络的扩展展。内部网VPN的安全性取决于两两个VPN服务器之之间加密密和验证证手段上上。VPN分分类：按按应用§5.1VPN概概述IntranetVPNVPN分分类：按按应用企业内部部网络VPN通道远程局域域网§5.1VPN概概述ExtranetVPN用于企业业与客户户、合作作伙伴之之间建立立互联网网络。即企业间间发生收收购、兼兼并或企企业间建建立战略略联盟后后，使不不同企业业网通过过公网来来构筑的的虚拟网网。它能保证证包括TCP和UDP服务在内内的各种种应用服服务的安安全，如如Email、HTTP、FTP、RealAudio、数据库库的安全全以及一一些应用用程序如如Java、ActiveX的安全。。VPN分分类：按按应用§5.1VPN概概述ExtranetVPNVPN分分类：按按应用外部网服服务器VPN通道§5.1VPN概概述ExtranetVPN与IntranetVPNVPN分分类：按按应用跨Internet的站点到到站点的的VPN

VPN机构内部网络远程站点内部网络Internet主要站点防火墙远程站点防火墙§5.1VPN概概述ExtranetVPN与IntranetVPN启动连接接时，一一个站点点会试图图向另一一个站点点发送通通信数据据，在在两个VPN端端启动VPN两个端点点协商连连接参数数VPN两两端进行行认证可以作为为租用线线路的备备份VPN分分类：按按应用优点：节约成本本；性价比较较高；可以严格格限制对内内部网络络和计算算机系统统的访问问§5.2安全VPN的关关键技术术VPN主主要采用用以下四四项技术术来保证证安全：：隧道技术术加解密技技术密钥管理理技术使用者与与设备身身份认证证技术VPN安安全技术术§5.2安全VPN的关关键技术术VPN的的隧道协协议：隧道是在在公用IP网中中建立逻逻辑点到到点连接接的一种种方法，，是一个个叠加在IP网上上的传送送通道VPN中中的隧道道是由隧道协议议形成的实质上是是一种封装，将一种种协议（（协议X）封装装在另一一种协议议（协议议Y）中中传输，，从而实实现协议议X对公公用传输输网络(采用协协议Y)的透明性性VPN安安全技术术§5.2安全VPN的关关键技术术VPN的的隧道协协议：VPN使使用的隧隧道协议议主要有:第二层隧隧道协议议:PPTP、L2F、L2TP第三层隧隧道协议议：GRE、IPSECVPN安安全技术术§5.2安全VPN的关关键技术术VPN的的隧道协协议：无论何种种隧道协协议，其其数据包包格式都都是由乘客协议议、封装装协议和和传输协协议3部分组组成的。。下面我们们以L2TP为为例，如如下图所所示，看看一下隧隧道协议议的组成成。VPN安安全技术术用户要传传输的数数据，也也就是被被封装的的数据，包括IP、PPP、、SLIP等；用于建立立、保持持和拆卸卸隧道。包括L2F、、PPTP、L2TP、GRE等。乘客协议议被封装装之后应应用传输输协议§5.2安全VPN的关关键技术术第二层隧隧道协议议：第二层隧隧道协议议用于传传输第二二层网络络协议，，主要应应用于构构建AccessVPN。。第二层隧隧道协议议主要有有三种：：由CiscoNortel等公司司支持的的L2F协议，Cisco路由由器中支支持此协协议；Microsoft、、Ascend、3COM等等公司支支持的PPTP协议，，WindowsNT4.0以以上版本本中支持持此协议议；成为二层层隧道协协议工业业标准的的是由IETF起草并并由Microsoft、Ascend、、Cisco、、3COM等公公司参与与制定的的L2TP协议议，它结结合了上上述两个个协议的的优点。。VPN安全全技术术§5.2安全VPN的关关键技技术第二层层隧道道协议议：LTF(LayerTwoForwardingProtocol)L2F(二层转转发协协议)是由Cisco公司司提出出的隧隧道技技术,可以支支持多多种传传输协协议，如IP、、ATM、、帧中中继1)远端用用户通通过任何拨拨号方方式接入公公共IP网网络，，例如如，按按常规规方式式拨号号到ISP的NAS，建建立PPP连接接；2)NAS根据据用户户名等等信息息，发发起第第二重重连接接，通通向企企业的的本地地L2F网网关服服务器器，3)这个L2F服务务器把把数据据包解解包之之后发发送到到企业业内部部网上上在L2F中中，隧隧道的的配置置和建建立对对用户户是完完全透透明的的，L2F没有有确定定的客客户方方。VPN安全全技术术§5.2安全VPN的关关键技技术第二层层隧道道协议议：PPTP(PointtoPointTunnelingProtocol)点到点点隧道道协议议（PPTP））是由由PPTP论坛坛开发发的点到点点的安安全隧隧道协协议，为使使用电话上上网的用户户提供供安全全VPN业业务。。该协议议将PPP数据据包封封装在在IP数据据包内内通过过IP网络络（如如Internet或Intranet））进行行传送送。PPTP是是PPP协协议的的一种种扩展展，提提供了了在IP网网上建建立多多协议议的安安全VPN的通通信方方式，，远端端用户户能够够通过过任何何支持持PPTP的ISP访问问企业业的专专用网网络。。VPN安全全技术术§5.2安全VPN的关关键技技术第二层层隧道道协议议：PPTPPPTP协协议提供了了PPTP客户端和和PPTP服务器之之间的加密密通信。PPTP客客户端和服服务器进行行VPN通通信的前提提是二者之之间有连通且可可用的IP网络，也就是说说PPTP客户端必必须能够通通过IP网网络访问PPTP服服务器。windows中集集成了PPTPServer和Client，适合中中小企业支支持少量移移动工作者者如果有防火火墙的存在在或使用了了地址转换换，PPTP可能无无法工作VPN安全全技术§5.2安全VPN的关键技技术第二层隧道道协议：PPTPPPTP通通信时，客客户机和服服务器间有有2个通道道，一个通道是是PPTP服服务器的tcp1723端端口的控制连接：通过控制报文负责PPTP隧道的的建立、维维护和断开开；在创建基于于PPTP的VPN连接过程程中，使用用的认证机机制主要有有EAP、MS-CHAP、CHAP、SPAP和PAP。通过PPP协议的MPPE（MicrosoftPointtoPointEncryption，微微软点对点点加密技术术）进行加密，另一个通道道是传输GREPPP数据据包的IP隧道通过数据报文负责传输用用户的真正正数据。VPN安全全技术数据链路层报头IP报头GRE报头PPP报头数据链路层报尾加密PPP有效载荷用户的数据据可以是多多种协议，，比如IP数据包、IPX数据包或者者NetBEUI数据包。§5.2安全VPN的关键技技术第二层隧道道协议：PPTP与L2F相相比，PPTP把建建立隧道的的主动权交交给了用户户，但用户户需要在其其PC机上上配置PPTP，这这样不仅增增加了用户户的工作量量，而且造造成网络的的安全隐患患PPTP只只支持IP作为其传传输协议。。VPN安全全技术§5.2安全VPN的关键技技术第二层隧道道协议：L2TP（LayerTwoTunnelingProtocolL2TP(二层隧道协协议）结合合了L2F和PPTP的优点点，可以让让用户从客户端或或访问服务务器端发起VPN连接二层隧道协协议的工业业标准，并并得到众厂厂商的支持持支持IP、、X.25、帧中继继或ATM等作为传传输协议，，但目前仅仅定义了基基于IP网网络的L2TP。可可用于Internet和其他企业专专用Intranet中。VPN安全全技术§5.2安全VPN的关键技技术第二层隧道道协议：L2TP连接过程VPN安全全技术§5.2安全VPN的关键技技术第二层隧道道协议：L2TPL2TP通信时时，客户机机和服务器器间也有2个通道道，一个通道是是L2TP服服务器的udp端口的控制连接：通过控制报文负责隧道的的建立、维维护和断开开；在创建基于于L2TP的VPN连接过过程中，使使用的认证证机制主要要有EAP、MS-CHAP、CHAP、SPAP和PAP。通过IPSecESP进行加密密，另一个通道道是传输多层封装数据包的IP隧道通过数据报文负责传输用用户的真正正数据。VPN安全全技术§5.2安全VPN的关键技技术第三层隧道道协议：第三层隧道道协议用于于传输第三三层网络协协议，主要包括括：由Cisco和NetSmiths公公司支持的的GRE由IETF制定的新新一代Internet安全全标准IPSec协协议VPN安全全技术§5.2安全VPN的关键技技术第三层隧道道协议：GRE（GenericRoutingEncapsulation）GRE是通通用的路由由封装协议议，支持全全部的路由由协议用于在IP包中封装装任何协议议的数据包包，包括IP、IPX、NetBEUI、AppleTalk、、BanyanVINES、、DECnet等。。在GRE中中，乘客协协议就是上上面这些被被封装的协协议，封装装协协议议就就是是GRE，，传传输输协协议议就就是是IP。。GRE是一一种种通通用用的的封封装装形形式式。。VPN安安全全技技术术§5.2安全全VPN的的关关键键技技术术第三三层层隧隧道道协协议议：GRE（GenericRoutingEncapsulation））通过过GRE，，用用户户可可以以利利用用公公共共IP网网络络连连接接非非IP网网络络，使所所有有协协议议的的私私有有网网络络连连接接起起来来。。通过过GRE，，还还可可以以使使用用保保留留地地址址进进行行网网络络互互联联，，或或者者对对公公网网隐隐藏藏企企业业网网的的IP地地址址。。GRE只只提提供供封封装装，，不不提提供供加加密密，，对对路路由由器器的的性性能能影影响响较较小小，，设设备备档档次次要要求求相相对对较较低低。。VPN安安全全技技术术§5.2安全全VPN的的关关键键技技术术第三层层隧道道协议议：GRE（GenericRoutingEncapsulation））GREVPN适合合一些小型型点对对点的的网络络互联联、实时性性要求求不高高、要求求提供供地址空空间重重叠支支持的网络络环境境。VPN安全全技术术§5.2安全VPN的关关键技技术第三层层隧道道协议议：IPSecIPSec由IETF设设计的的作为为基于于IP通信信环境境（IPV4和和IPV6环境境）下一种种端到到端的的保证证数据据安全全的机机制IPSec协议议已经经成为为工业业标准准的网网络安安全协协议。。IPSec协议议提供供的安安全服服务包包括：：访问问控制制、无无连接接完整整性、、数据据源鉴鉴别、、重传传攻击击保护护、机机密性性、有有限的的流量量保密密等。。VPN安全全技术术§5.2安全VPN的关关键技技术第三层层隧道道协议议：IPSec提供了了大量量的安全全特性性：提供认认证，，加密密，数数据完完整性性和抗抗重放放保护护；加密密密钥的的安全全产生生和自自动更更新；；使用强强加密密算法法来保保证安安全性性；支持基基于证证书的的认证证；支持下下一代代加密密算法法和密密钥交交换协协议；；为L2TP和PPTP远远程接接入隧隧道协协议提提供安安全性性VPN安全全技术术§5.2安全VPN的关关键技技术第三层层隧道道协议议：IPSec直接传传输网网络协协议数数据包包IPSec不是是一个个单独独的协协议，，而是是一组组协议议，包包含两个安安全协协议和和一个个密钥钥管理理协议议VPN安全全技术IPSec数据包的格格式身份认证报报头——AH协议：提供数据源源身份认证证、数据完整性性保护、重重放攻击保保护功能负载安全封封装——ESP协议议：提供数据保保密、数据源身份份认证、数数据完整性性、重放攻攻击保护功功能因特网安全全关联和密密钥管理协协议——IKE：提供自动建建立安全关关联和管理理密钥的功功能；从而提供双方交交流时的共共享安全信信息§5.2安全VPN的关键技技术第三层隧道道协议：IPSecAH（认证证报头协议议）为IP数据据包提供如如下3种服服务：无连接的数数据完整性性验证：通过哈希希函数（如如MD5））产生的校校验来保证证数据源身份份认证：数据源身份份认证通过过在计算验验证码时加加入一个共共享密钥来来实现；防重放攻击击：AH报头中中的序列号号VPN安全全技术§5.2安全VPN的关键技技术第三层隧道道协议：IPSecESP（封装安全全有效载荷荷协议）除了AH已已有的3种种服务外，，还提供：数据包加密密：对一个IP包进行加加密，可以以是对整个个IP包，，也可以只只加密IP包的载荷荷部分，一一般用于客客户端计算算机；数据流加密密:一般用于支支持IPSec的路路由器，源源端路由器器并不关心心IP包的的内容，对对整个IP包进行加加密后传输输，目的端端路由器将将该包解密密后将原始始包继续转转发。VPN安全全技术§5.2安全VPN的关键技技术第三层隧道道协议：IPSecAH和ESP可以单单独使用，，也可以嵌嵌套使用。。通过这些些组合方式式，可以在在两台主机机、两台安安全网关（（防火墙和和路由器）），或者主主机与安全全网关之间间使用。VPN安全全技术§5.2安全VPN的关键技技术第三层隧道道协议：IPSecIKE(因特网密钥钥交换协议议)：协商AH和和ESP协协议所使用用的加密算法。IKE协议议负责密钥钥管理，定定义了通信信实体间进进行身份认认证、协商商加密算法法以及生成成共享的会会话密钥的的方法。IKE将密密钥协商的的结果保留留在安全联盟（SA）中中，供AH和ESP以后通信信时使用。。VPN安全全技术§5.2安全VPN的关键技技术第三层隧道道协议：IPSecSA(安全联盟)：两台IPSec计算机在在交换数数据之前前，必须须首先建建立某种种约定，，这种约约定，称称为“安安全联盟盟”或“安全关联联”。指双方需需要就如如何保护护信息、、交换信信息等公用的安安全设置置达成一致致，更重重要的是是，必须须有一种方方法，使那两两台计算算机安全全地交换换一套密密钥，以以便在它它们的连连接中使使用。一个安全全联盟描描述了两两个或者者多个实实体如何使用用安全服服务来实现安安全通信信。VPN安安全技术术§5.2安全VPN的关关键技术术第三层隧隧道协议议：IPSecSA(安全联盟盟)：AH和ESP都需要使使用SA，而IKE的主要功功能就是是SA的建立和和维护。。只要实实现AH和ESP都必须提提供对SA的支持。。VPN安安全技术术§5.2安全VPN的关关键技术术第三层隧隧道协议议：IPSecVPN安安全技术术解释域（（DOI）为使使用IKE进行行协商SA的协议统统一分配配标识符符。共享一个个DOI的协议议从一个个共同的的命名空空间中选选择安全全协议和变换、、共享密密码以及及交换协协议的标标识符等等§5.2安全VPN的关关键技术术第三层隧隧道协议议：IPSec工作作模式传输模式式只对IP数据包的的有效负负载进行行加密或或认证。。即为上层协协议提供供安全保保护，保保护的是是IP包包的有效效载荷(如TCP,UDP和ICMP)。通常情况况下传输输模式只只用于两台主机机之间的的安全通通信。VPN安安全技术术§5.2安全VPN的关关键技术术第三层隧隧道协议议：IPSec工作作模式隧道模式式对整个IP数据包进进行加密密或认证证。隧道模式式首先为为原始IP包增加AH或ESP字段段，然后后再在外外部增加加一个新的IP头。所有原原始的或或内部包包通过这这个隧道道从IP网的一一端传递递到另一一端，沿沿途的路路由器只只检查最最外面的的IP报报头，不不检查内内部原来来的IP报头。。隧道模式式通常用用在有至少一一端是安安全网关关的时候候，如防火墙墙和路由由器。使用隧道道模式后后，防火火墙后面面的主机机可以使使用内部部地址进进行通信信，而且且不需要要实现IPSec。VPN安安全技术术§5.2安全VPN的关关键技术术第三层隧隧道协议议：IPSec体系系结构模模型图VPN安安全技术术§5.2安全VPN的关关键技术术第四层隧隧道协议议：IPSec工作作模式隧道模式式对整个IP数据包进进行加密密或认证证。隧道模式式首先为为原始IP包增加AH或ESP字段段，然后后再在外外部增加加一个新的IP头。所有原原始的或或内部包包通过这这个隧道道从IP网的一一端传递递到另一一端，沿沿途的路路由器只只检查最最外面的的IP报报头，不不检查内内部原来来的IP报头。。隧道模式式通常用用在有至少一一端是安安全网关关的时候候，如防火墙墙和路由由器。使用隧道道模式后后，防火火墙后面面的主机机可以使使用内部部地址进进行通信信，而且且不需要要实现IPSec。VPN安安全技术术§5.2安全VPN的关关键技术术第四层隧隧道协议议：IPSec工作作模式隧道模式式对整个IP数据包进进行加密密或认证证。隧道模式式首先为为原始IP包增加AH或ESP字段段，然后后再在外外部增加加一个新的IP头。所有原原始的或或内部包包通过这这个隧道道从IP网的一一端传递递到另一一端，沿沿途的路路由器只只检查最最外面的的IP报报头，不不检查内内部原来来的IP报头。。隧道模式式通常用用在有至少一一端是安安全网关关的时候候，如防火墙墙和路由由器。使用隧道道模式后后，防火火墙后面面的主机机可以使使用内部部地址进进行通信信，而且且不需要要实现IPSec。VPN安安全技术术IPSECVPN功能1-数据机密密性保护护拨号服务器PSTN

Internet区域Internet边界路由器内部工作作子网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线SSN区域WWWMailDNS密文传输明文传输输明文传输输IPSECVPN功能2-数据完整整性保护护内部工作作子网管理子网一般子网内部WWW重点子网下属机构Internet原始数据据包对原始数数据包进进行Hash加密后的数据包摘要Hash摘要对原始数数据包进进行加密密加密后的的数据包包加密加密后的数据包摘要加密后的的数据包包摘要摘要解密原始数据据包Hash原始数据据包与原摘要要进行比比较，验验证数据据的完整整性IPSECVPN功能3-数据源身身份认证证内部工作作子网管理子网一般子网内部WWW重点子网下属机构Internet原始数据据包对原始数数据包进进行HashHash摘要加密摘要摘要取出DSS原始数据据包Hash原始数据据包两摘要相相比较私钥原始数据包DSSDSS将数字签签名附在在原始包包后面供供对方验验证签名名得到数字字签名原始数据包DSS原始数据包DSSDSS解密相等吗？？验证通过过IPSECVPN功能4-重放攻击击保护保留负载长度认证数据（完整性校验值ICV）变长序列号安全参数索引（SPI）下一头部填充（0~255字节）下一头部