IPsec是專(zhuān)門(mén)用來(lái)解決IPv4 的一些基礎(chǔ)安全性問(wèn)題的。在本篇文章中，您將學(xué)習(xí)到Ipsec VPN的網(wǎng)絡(luò)拓?fù)洹?/p>

站點(diǎn)到站點(diǎn)的VPN配置

在站點(diǎn)到站點(diǎn)的VPN配置中，每一個(gè)節(jié)點(diǎn)都會(huì)連接到一個(gè)分散的網(wǎng)絡(luò)，這些網(wǎng)絡(luò)是由其他不安全或公開(kāi)的網(wǎng)絡(luò)分隔的。由于這些網(wǎng)絡(luò)片斷的不同安全性需求，除非使用了VPN，否則網(wǎng)絡(luò)的終端可能無(wú)法交換數(shù)據(jù)。這種類(lèi)型的VPN配置即是所謂的封閉的站點(diǎn)到站點(diǎn)網(wǎng)絡(luò)拓?fù)洹４送?，連接某個(gè)網(wǎng)段的終端之間可以利用其他網(wǎng)絡(luò)來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)從而實(shí)現(xiàn)互相之間的數(shù)據(jù)交換。但這種數(shù)據(jù)交換是不安全的。在這種網(wǎng)絡(luò)環(huán)境中，IPsec VPN可用于保證部分或全部此類(lèi)數(shù)據(jù)交換的安全。這種類(lèi)型的VPN配置即是所謂的開(kāi)放的站點(diǎn)到站點(diǎn)網(wǎng)絡(luò)設(shè)計(jì)。不管是哪一種網(wǎng)絡(luò)，關(guān)鍵點(diǎn)在于它們都使用網(wǎng)關(guān)實(shí)現(xiàn)了IPsec VPN來(lái)保證數(shù)據(jù)交換的安全。而且，更重要的是，數(shù)據(jù)交換安全性的實(shí)現(xiàn)是與連接網(wǎng)絡(luò)的終端安全性無(wú)關(guān)的。

客戶(hù)端到站點(diǎn)的VPN配置

開(kāi)放和封閉的模型同時(shí)適用于客戶(hù)端到站點(diǎn)拓?fù)浜驼军c(diǎn)到站點(diǎn)拓?fù)?。由IPsec網(wǎng)關(guān)分隔的（或其相鄰的）節(jié)點(diǎn)之間的連接可能會(huì)或不會(huì)受到限制。在一個(gè)開(kāi)放的客戶(hù)端到站點(diǎn)拓?fù)渲?，終端和IPsec網(wǎng)關(guān)之間的網(wǎng)絡(luò)路徑是安全的。而在一個(gè)封閉的客戶(hù)端到站點(diǎn)拓?fù)渲?，終端和網(wǎng)關(guān)之間的路徑也是安全的。但是客戶(hù)端節(jié)點(diǎn)與和IPsec網(wǎng)關(guān)相鄰的節(jié)點(diǎn)（如，網(wǎng)關(guān)后面的）之間的數(shù)據(jù)交換只有在建立與IPsec網(wǎng)關(guān)連接時(shí)才能夠進(jìn)行。

在兩種拓?fù)渲?，客?hù)端節(jié)點(diǎn)和IPsec網(wǎng)關(guān)的關(guān)系在結(jié)構(gòu)上與傳統(tǒng)的PSTN (public switched telephone networks)遠(yuǎn)程訪問(wèn)撥號(hào)網(wǎng)絡(luò)很相似。終端建立與網(wǎng)關(guān)的連接，然后它們作為IPsec節(jié)點(diǎn)進(jìn)行通信。此外，網(wǎng)關(guān)負(fù)責(zé)向終端提供一個(gè)IP身份，這使客戶(hù)端節(jié)點(diǎn)能夠和其他與IPsec網(wǎng)關(guān)直接連接（通過(guò)VPN）并和相鄰的終端實(shí)現(xiàn)IP網(wǎng)絡(luò)連接?？蛻?hù)端終端與網(wǎng)關(guān)之間的通信是由IPsec保證安全的。然而，客戶(hù)端終端和其他與IPsec網(wǎng)關(guān)相鄰的終端之間的通信則是不安全的。