IPSec只是一个体系
IPSec VPN是利用IPSec加密的L3 VPN
IPSec可以实现访问控制,机密性,完整性,校验,数据源验证,拒绝重播报文等安全功能,IPSec引入多种验证算法,加密算法和密钥管理机制
但是IPSec有配置复杂,消耗资源大,延迟大,不支持组播等缺点

IPSec安全协议(封装方式):
AH/ESP
AH:
提供数据可靠性,但是不提供加密
AH使用IP协议号51
验证计算前,会把可变字段设置为0(TTL等)

ESP:
可提供加密
ESP使用IP协议号50
ESP是可以先加密后Hash

IPSec工作模式:
传输模式:提供端到端的保护
隧道模式:提供站点到站点的保护

密钥管理:
手工配置密钥
通过IKE协商密钥

IKE:
IKE是使用DH算法在公网上交换密钥,定时更新IPSec SA和密钥,实现完善的前向安全性
IKE允许IPSec提供抗重播服务(防止DOS攻击)
降低手工部署的复杂度
IKE使用UDP协议500端口

Site-to-site IPsec:
P1:
在对等体之间建立安全管理的连接(里面有没有数据通过)用于保护P2协商过程的协商包

ISAKMPSA协商以下信息:
认证方式(预共享秘钥还是数字证书)
加密算法(DES,3DES)
HMAC方式(MD5,SHA)
DH组
协商模式(主模式,主动模式)
SA生存期

P2:
当对等体之间有管理连接之后,协会是哪个用于构建安全数据连接的安全参数

IPSECSA协商一下信息:
封装技术(ESP,AH)
加密算法
HMAC方式(MD5,SHA)
传输的模式(隧道模式还是传输模式)
SA生存期

总结:P1阶段策略面向P2的协商包,P2阶段的策略面向最终的数据包