IPsec操作

在通過各種隧道和網關的過程中，會向數據包添加額外的標頭，在每次通過網關時，數據報都包含在新的標頭中。此標頭中包含安全參數索引(SPI)，SPI一個系統用于查看數據包的算法和密鑰，此系統中的有效負載也受到保護，因為將檢測到數據中的任何更改或錯誤，從而導致接收方丟棄數據包。

標頭應用于每個隧道的開頭，然后在每個隧道的末尾進行驗證和刪除，這種方法可以防止不必要的開銷累積。

IPSec VPN網關導入協議原因

導入IPSEC協議，原因有2個，一個是原來的TCP/IP體系中間，沒有包括基于安全的設計，任何人，只要能夠搭入線路，即可分析所有的通訊數據。

IPSEC引進了完整的安全機制，包括加密、認證和數據防篡改功能。另外一個原因，是因為Internet迅速發展，接入越來越方便，很多客戶希望能夠利用這種上網的帶寬，實現異地網絡的的互連通。

IPSEC協議通過包封裝技術，能夠利用Internet可路由的地址，封裝內部網絡的IP地址，實現異地網絡的互通。

IPSec VPN網關建立隧道

建立隧道說起來簡單，做起來不容易。如果兩個設備都有合法的公網IP，那么建立一個隧道是比較容易的。

如果一方在nat之后，那就比較麻煩了。一般通過內部的vpn節點發起一個udp連接，再封裝一次ipsec，送到對方，因為udp可以通過防火墻進行記憶，因此通過udp再封裝的ipsec 包，可以通過防火墻來回傳遞。

建立隧道以后，就確定隧道路由，即到哪里去，走哪個隧道。很多VPN隧道配置的時候，就定義了保護網絡，這樣，隧道路由就根據保護的網絡關系來決定。

但是這喪失了一定的靈活性。所有的ipsec VPN展開來講，實現的無非就是以上幾個要點，具體各家公司，各有各的做法。但是可以肯定，目前在市場銷售的VPN，肯定都已經解決了以上的問題。