加密和认证方案。IPSec能为IPv4/IPv6网络提供能共同操作/使用的、高品质的、基于加密的安全机制。

提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。

2.SSL用公钥加密通过SSL连接传输的数据来工作。SSL是一种高层安全协议，建立在应用层上。

SSL VPN使用SSL协议和代理为终端用户提供HrrP、客户机/服务器和共享的文件资源的访问认证和访问安全SSL VPN传递用户层的认证。确保只有通过安全策略认证的用户可以访问指定的资源。

3.MPLS是一个可以在多种第二层媒质上进行标记交换的网络技术。

不论什么格式的数据均可以第三层的路由在网络的边缘实施，而在MPLS的网络核心采用第二层交换，

因此可以用一句话概括MPLS的特点：“边缘路由，核心交换”

IPsec基本概念 源于IPv6 网络层加密

IPsec框架

加密 ：DES、3DES、AES、RSA

HASH ：SHA-1、md5 封装方式：ESP、AH

认证方式：Pre-key,数字证书

| IP | IPSEC Header | TCP | FTP | Date | ----------------- | 加密 两种模型

L2L/Remote Access 两种模式

tunnel/Transport

Tunnel :通信点不等于加密点 | NIP | ESP/AH | IP | DATA |

Transport :通信点=加密点 | IP | ESP/AH | DATA |

L2L/Remote Access用Tunnel封装模式

Pc--Pc和GRE over IPsec用Transport封装模式

SA（安全关联） 构成IPsec的基础

SA是两个通信实体经协商建立起来的一种协定。 它决定了用来保护数据包的IPsec

协议（ESP/AH）、转码方式（加密/Hash）、密钥、密钥有效时间

SADB（SA数据库）

SA是单向的与协议相关的

SPD（安全策略数据库） 丢弃，绕过，应用

IPsec的组成部分 ESP（封装安全负载） AH（认证头部） IKE（网络密钥交换） ESP

协议号：50

私密性，数据完整性，源认证，抵御重放攻击 | IP | ESP header | TCP | Data | ESP auth | ------------加密---- ---------验证-------------

ESP包结构（tunnel mode）

IP header

SPI--------------------------- sequence number | --IV | 加 | IP header | 认证 密 | TCP header | | Date | --Pad+pad length+next header---- Authentication data

明文=SPI（在SADB中找到相应策略）+序列号（防重放） ESP auth=Hmac（96bit）