„Проектиране на корпоративна vpn мрежа

Тунелният режим е най-разпространен при VPN и широко използван в IPSec имплементациите. Той се използва главно за шлюзови услуги, защото енкапсулирането осигурява способността за предаване на няколко сесии чрез една точка. Това позволява VPN шлюз да деенкапсулира данните и да ги препрати към крайната вътрешна точка. Тунелният режим енкапсулира пакет, предназначен да комуникира в мрежа, и го енкапсулира в друг пакет за предаване към отдалечена мрежа. Този процес позволява протокол, който е възприет за входна и изходна точка, да пренася друг комуникационен протокол, който обикновено не би могъл да се препрати през мрежата. В тунелния режим целият оригинален пакет е енкапсулиран и кодиран, като са добавени нов IP хедър и хедър на удостоверителния протокол. Резултатът е нов пакет, който съдържа два IP хедъра. Вътрешният IP хедър се прилага към оригиналните дейтаграми, които се предават в мрежовия слой, като се енкапсулира в нов пакет. Новият пакет получава външен IP хедър, който съдържа информация, необходима за комуникирането във VPN.

Протоколът е описан в RFC 4303. ESP предоставя няколко услуги за сигурност - поверителност на данните, интегритет, удостоверяване на източника, услуги срещу повторни атаки (anti-replay) и ограничена поверителност на трафика. Разширяването на поверителността и интегритета на комуникацията са свързани с режима. В тунелен режим вътрешният IP хедър е добре защитен, докато външният не е. В транспортен режим няма вътрешен IP хедър, поради което защитата на мрежовия слой е ограничена. Наборът от предоставяните услуги зависи от избраните опции по време на установяването на Security Association (SA) и конкретната имплементация.

ESP осигурява поверителност посредством криптиране и интегритет на данните с удостоверяване. Използваните за ESP алгоритми се определят от атрибутите за създаване на SA. ESP сам по себе си не е управляван от специфични алгоритми, а представлява отворен стандарт за прилагане на различни такива (например: DES, 3DES, AES). Стандартът дефинира процедури и необходими действия за криптиращия процес, но не дефинира какво може и не може да бъде използвано за криптографската услуга. Прилагането на поверителност не е задължително, но ако е необходимо само удостоверяване, се използва протоколът АН. Въпреки че поверителността и удостоверяването са основните услуги, предоставяни от ESP, те не са задължителни. Една от двете обаче трябва да бъде използвана. Основната идея е да се използва ESP при необходимост от удостоверяване и криптиране, а AH – когато е необходимо разширено удостоверяване без криптиране.