网络千万条，安全第一条。随着网络规模和复杂度的提升，底层网络的传输安全显得非常重要。通信双方需要一个真正在IP层提供安全性的方法，保证发送和接收的数据是安全的，IPSec（Internet Protocol Security，互联网安全协议）做到了。
IPSec是一系列为IP网络提供完整安全性的协议和服务的集合，能为上层协议和应用提供透明的安全服务。所谓透明，就是在整个IPSec的工作过程中，用户是感知不到的。这就很nice了，既保证了用户的数据安全，又不给用户添麻烦。

AH协议

AH（Authentication Header，鉴别首部）指一段报文认证代码，在发送IP包之前，它已经被事先计算好。发送方用一个加密密钥算出AH，接收方用同一或另一密钥对之进行验证。
AH有两种工作模式：传输模式和隧道模式。
在传输模式中，AH位于IP包头后，上层协议包头（如TCP）前。
在隧道模式中，需要生成一个新的IP头，把AH和原来的整个IP包放到新IP包的载荷中。

ESP协议

ESP提供保密功能和可选择的鉴别服务，将需要保密的用户数据进行加密后再封装到一个新的IP包中。
ESP有两种模式：传输模式和隧道模式。
在传输模式中，ESP位于IP包头后，上层协议包头前。
在隧道模式中，相对于外层IP包头，也就是新IP包头，ESP的位置与在传输模式中相同。

加密和验证算法

数据机密是任何VPN网络的主要需求。当前加密和验证算法分为两类：对称算法和非对称算法。
对称算法基于数据的发送方和接收方拥有相同的密钥。发送方使用密钥加密数据，接收方使用相同的密钥解密数据。