第一章、VPN：虚拟专用网

由于ip地址短缺，机构能申请到的 IP 地址往往小于所拥有的主机数。但是，并不是机构内部所有的主机都要接入互联网。那么这些主机就可以自行分配『地址，称为本地地址。RFC 定了专门的地址范国以供机构内部形成专用网，解决地址重用问题。

RFC 1918 指明了一些专用地址(privat2e address)。

这些地址只能用于一个机构的内部通信，而不能用于和因特网上的主机通信。换言之，专用地址

只能用作本地地址而不能用作全球地址。在因特网中的所有路由器，对目的地址是专用地址的数据报一律不进行转发。

（1）10.0.0.0 到10.255.255.255（或记为 10.0.0.0/8,它又称为 24 位块）

（2） 172.16.0.0 到172.31.255.255(或记为172.16.0.0/12，它叉称为 20 位块）

（3）192.168.0.0 到 192.168.255.255 （或记为192.168.0.0/16，它叉称为 16位块）

假定某个机构在两个相隔较远的场所建立了专用网A和B，其网络地址分别为专用地址 10.1.0.0和 10.2.0.0。现在这两个场所需要通过公用的因特网构成一个 VPN。

显然，每一个场所至少要有一个路由器具有合法的全球ip地址。

数据报从 R1 传送到R2 可能要经过因特网中的很多个网络和路由器。但从逻辑上看，在R1到R2 之间好像是一条直通的点对点链路，

由场所A和B的内部网络所构成的虚拟专用网VPN 又称为内联网(intranet 或 intranet VPN,即内联网 VPN)，表示场所A 和 B都属于同一个机机构。

有时一个机构的VPN 需要有某些外部机构 （通常就是合作伙伴）参加进来。这样的 VPN 就称为外联网(cxtranet 或extranet VPN，即外联网 VPN)。

第二章、网络层安全协议

Isec 协议 （I 安全(Security)协议）在Isec 协议族中有两个最主要的协议：

鉴别首部AH (Authentication Header协议和封装安全有效载荷 ESP (Encapsulation Security Payload)协议。

使用 IPsec 协议的IP数据报称为IPsec 数据报，它可以在两个主机之间、两个路由器之间或在一个主机和一个路由器之间发送。

在发送 Isec 数据报之前，在源实体和目的实体之问必须创建一条网络层的逻辑连接，即安全关联SA (Security Association)。

Isec数据报有以下两种不同的工作方式。

第一种工作方式是运输方式(transport mode)。运输方式是在整个运输层报文段的后面和前面分别添加一些控制字段，构成 IPsec数据报。这种方式把整个运输层报文段都保护起来，因此很适合于主机到主机之问的安全传送，但这需要使用 Psec的主机都运行 Isec 协议。

第二种工作方式是隧道方式(tunnel mode)。隧道方式是在一个I数据报的后面和前面分别添加一些控制字段，构成Isec数据报。显然，这需要在 Psee数据报所经过的所有路由器都运行 Isec 协议。IPSee 的隧道方式常用来实现虛拟专用网 VPN。路由器R1 必须维护这条安全关联SA 的状态信息，

包括：

（1） 一个32位的连接标识符，称为安全参数索引SPI (Security Parameter Index).

（2）SA的源点（即路由器 R1 的『地址）和终点(即路由器 R2 的IP地址）。

（3）所使用的加密类型 （例如，DES)。

（4）加密的密钥。

（5）完整性检查的类型 （例如，使用报文摘要 MDS的报文鉴别码 MAC)。

（6）鉴别使用的密钥。