4、IPsec VPN(internet protrol security visual private net)ip地址安全虚拟专用网络

IPSec是IETF（Internet Engineering Task Force，Internet工程任务组）的IPSec小组建立的一组IP安全协议集。IPSec定义了在网际层使用的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。
VPN作为一项成熟的技术，广泛应用于组织总部和分支机构之间的组网互联，其利用组织已有的互联网出口，虚拟出一条“专线”，将组织的分支机构和总部连接起来，组成一个大的局域网。
IPSEC协议通过包封装技术，能够利用Internet可路由的地址，封装内部网络的IP地址，实现异地网络的互通。
包封装协议


假定小孩不能收接信件，小张写好一封信，封皮写上 "小张-->小李", 然后给他爸爸，老张写一个信封，写上“老张-->老李”，把前面的那封信套在里面，发给老李，老李收到信以后，打开，发现这封信是给儿子的，就转给小李了。小李回信也一样，通过他父亲的名义发回给小张；这里一共产生2个信封。
把信封的收发人改成Internet上的IP地址，把信件的内容改成IP的数据，这个模型就是IPsec的包封装模型。小张小李就是内部私网的IP主机，他们的老爸就是VPN网关，本来不能通讯的两个异地的局域网，通过出口处的IP地址封装，就可以实现局域网对局域网的通讯。VPN是为了方便外网访问内网。
理想的组网方式，当然是全路由方式，任意节点之间可达，但是iPv4（70%的ip地址被美国占用）地址现在已不能满足全网路由，vpn包封装是对ipv4的补充。
通信安全：
1、获取交换信息（加密）
2、伪造交换信息（防篡改）
3、伪造发送接收人（身份验证）
VPN隧道：在两个vpn节点之间建立的一个虚拟链路通道。两个设备内部的网络，能够通过这个虚拟的数据链路到达对方。与此相关的信息是两个VPN节点的IP地址，隧道名称、双方的密钥。
找到对方vpn节点设备，如果对方是动态IP地址，那么必须能够通过一种有效途径能够及时发现对方IP地址的变化。按照通讯模型，就是老李老张如果经常搬家的话，必须有一个有效的机制，能够及时发现老李老张地址的变化。
如果两个设备都是合法的公网IP，那么建立一个隧道是比较容易的。
常见的IPSEC VPN 类型有 站到站（site to site 或者是LAN TO LAN）、easy VPN（远程访问VPN）、DMVPN（动态多点VPN）、GET VPN
（Group Encrypted Transport(GET) VPN ）等。