AH（Authencation Header）协议：认证头

• --提供数据源认证，可以保证信息源的可靠性和数据的完整性，以及确保数据到达次序的完整性,并防止重放攻击
• --摘要算法采用Hash算法(单向Hash函数MD5和SHA1实现摘要和认证确保数据完整性)

ESP（Encapsulating Security Payload）协议： 封装安全有效负载

• --支持数据的保密性，使用DES,3DES,AES等加密算法
• --提供数据的完整性和可靠性，使用非对称密钥技术(使用MD5和SHA1实现摘要和认证确保数据完整性)

• 传输模式
• 隧道模式

AH与ESP均支持两种模式：传输模式和隧道模式

传输模式通常用于主机和主机之间，不改变原有的IP包头，主要是为上层协议提供保护,同时增加IP包载荷的保护

传输模式下AH和ESP处理后的IP头部不变,而隧道模式下的AH和ESP处理后需要新封装一个新的IP头.

隧道模式：通常用于私网与私网之间通过公网进行通信。

• 传输模式下AH和ESP处理后的IP头部不变
• 隧道模式下的AH和ESP处理后需要新封装一个新的IP头
• AH只做摘要,只能验证数据完整性和合法性
• ESP做摘要和加密,验证数据完整性和合法性,还能进行数据加密

IPSec VPN应用场景

站点到站点(site-to-site):又称为网关到网关,多个异地机构利用运营商网络建立IPSec隧道,将各自的内部网络联系起来

端到端(End-to-End):又称为PC到PC,即两个PC之间的通信由IPSec完成

端到站点(End-to-Site):两个PC之间的通信由网关和异地PC之间的IPSec会话完成

PPTP是一种用于让远程用户拨号连接到本地的ISP,是通过因特网安全访问内网资源的技术,它能将PPP帧封装成IP数据包，以便能够在基于IP的互联网上进行传输。PPTP 使用TCP连接创建、维护、终止隧道，并使用GRE (通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密、压缩或同时被加密与压缩。该协议是第2层隧道协议。

• PPTP协议是PPP协议的扩展
• 增强了PPP协议的认证、压缩和加密功能
• 增加了一个新的安全等级，并且可以通过因特网进行多协议通信。
• 可用于移动办公或个人用户与VPN服务器进行连接

PPTP协议将控制包和数据包分开，控制包采用TCP控制。

封装服务：使用一般路由封装（GRE）头文件和IP报头数据封装PPP帧加密服务：PPTP继承了PPP的认证和加密机制，采用Chap、EAP、PAP等认证，以及MPPE（微软点对点加密）机制。