IPsec是專門用來解決IPv4 的一些基礎(chǔ)安全性問題的。在本篇文章中，您將學(xué)習(xí)到Ipsec VPN的網(wǎng)絡(luò)拓?fù)洹?/p>

站點(diǎn)到站點(diǎn)的VPN配置

在站點(diǎn)到站點(diǎn)的VPN配置中，每一個(gè)節(jié)點(diǎn)都會連接到一個(gè)分散的網(wǎng)絡(luò)，這些網(wǎng)絡(luò)是由其他不安全或公開的網(wǎng)絡(luò)分隔的。由于這些網(wǎng)絡(luò)片斷的不同安全性需求，除非使用了VPN，否則網(wǎng)絡(luò)的終端可能無法交換數(shù)據(jù)。這種類型的VPN配置即是所謂的封閉的站點(diǎn)到站點(diǎn)網(wǎng)絡(luò)拓?fù)洹４送猓B接某個(gè)網(wǎng)段的終端之間可以利用其他網(wǎng)絡(luò)來轉(zhuǎn)發(fā)數(shù)據(jù)從而實(shí)現(xiàn)互相之間的數(shù)據(jù)交換。但這種數(shù)據(jù)交換是不安全的。在這種網(wǎng)絡(luò)環(huán)境中，IPsec VPN可用于保證部分或全部此類數(shù)據(jù)交換的安全。這種類型的VPN配置即是所謂的開放的站點(diǎn)到站點(diǎn)網(wǎng)絡(luò)設(shè)計(jì)。不管是哪一種網(wǎng)絡(luò)，關(guān)鍵點(diǎn)在于它們都使用網(wǎng)關(guān)實(shí)現(xiàn)了IPsec VPN來保證數(shù)據(jù)交換的安全。而且，更重要的是，數(shù)據(jù)交換安全性的實(shí)現(xiàn)是與連接網(wǎng)絡(luò)的終端安全性無關(guān)的。

客戶端到站點(diǎn)的VPN配置

開放和封閉的模型同時(shí)適用于客戶端到站點(diǎn)拓?fù)浜驼军c(diǎn)到站點(diǎn)拓?fù)洹Ｓ蒊Psec網(wǎng)關(guān)分隔的（或其相鄰的）節(jié)點(diǎn)之間的連接可能會或不會受到限制。在一個(gè)開放的客戶端到站點(diǎn)拓?fù)渲校K端和IPsec網(wǎng)關(guān)之間的網(wǎng)絡(luò)路徑是安全的。而在一個(gè)封閉的客戶端到站點(diǎn)拓?fù)渲校K端和網(wǎng)關(guān)之間的路徑也是安全的。但是客戶端節(jié)點(diǎn)與和IPsec網(wǎng)關(guān)相鄰的節(jié)點(diǎn)（如，網(wǎng)關(guān)后面的）之間的數(shù)據(jù)交換只有在建立與IPsec網(wǎng)關(guān)連接時(shí)才能夠進(jìn)行。

在兩種拓?fù)渲校蛻舳斯?jié)點(diǎn)和IPsec網(wǎng)關(guān)的關(guān)系在結(jié)構(gòu)上與傳統(tǒng)的PSTN (public switched telephone networks)遠(yuǎn)程訪問撥號網(wǎng)絡(luò)很相似。終端建立與網(wǎng)關(guān)的連接，然后它們作為IPsec節(jié)點(diǎn)進(jìn)行通信。此外，網(wǎng)關(guān)負(fù)責(zé)向終端提供一個(gè)IP身份，這使客戶端節(jié)點(diǎn)能夠和其他與IPsec網(wǎng)關(guān)直接連接（通過VPN）并和相鄰的終端實(shí)現(xiàn)IP網(wǎng)絡(luò)連接。客戶端終端與網(wǎng)關(guān)之間的通信是由IPsec保證安全的。然而，客戶端終端和其他與IPsec網(wǎng)關(guān)相鄰的終端之間的通信則是不安全的。