试述IPSec的工作原理及IPSec VPN的构成.
IPSec工作原理:
⑴IPSec通过查询安全策略数据库决定对接收到的数据包采取丢弃、直接转发和IPSec处理(IPSec处理表示对IP数据包进行加密和认证).
⑵采用传输模式时,IPSec只对IP数据包的净荷进行加密或认证,此时封装数据包继续使用原来的IP头部,只对IP头部的部分域进行修改,而IPSec协议头部插入到原IP头部和传输层头部之间.
⑶采用隧道模式时,IPSec对整个IP数据包进行加密或认证,此时需要产生一个新的IP头,IPSec头被放在新产生的IP头和原IP数据包之间,从而组成一个新的IP头.
⑷IPSec VPN的构成包括:管理模块、密钥分配和生成模块、身份认证模块、数据加/解密模块、数据分组封装/分解模块、加密函数库
