一、IPSec和SSL VPN

兩種網(wǎng)絡(luò)安全協(xié)議（包）都可以起到 VPN（虛擬專用網(wǎng)絡(luò)的作用）。
實(shí)際上這兩種安全協(xié)議要做到機(jī)密性保護(hù)就需要建立連接，而 VPN的核心也是連接。

區(qū)別：

• IPSec：
  網(wǎng)絡(luò)層，可以利用傳輸層的UDP協(xié)議，可以添加新的IP頭部。
  但是必須處理可靠性和分片的問題，增加了它的復(fù)雜性和處理開銷。

• SSL：
  建立在TCP協(xié)議的基礎(chǔ)上，實(shí)現(xiàn)端口到端口（應(yīng)用到應(yīng)用）之間的安全傳輸。
  可依賴TCP來管理可靠性和分片。
  無法使用UDP。

二、TLS：

暫略。

三、IPSEC：

互聯(lián)網(wǎng)安全協(xié)議（英語：Internet Protocol Security，縮寫：IPsec）是一個(gè)協(xié)議包，透過對(duì)IP協(xié)議的分組進(jìn)行加密和認(rèn)證來保護(hù)IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議族（一些相互關(guān)聯(lián)的協(xié)議的集合）。
IPsec主要由以下協(xié)議組成：一、認(rèn)證頭（AH），為IP數(shù)據(jù)報(bào)提供無連接數(shù)據(jù)完整性、消息認(rèn)證以及防重放攻擊保護(hù)；二、封裝安全載荷（ESP），提供機(jī)密性、數(shù)據(jù)源認(rèn)證、無連接完整性、防重放和有限的傳輸流（traffic-flow）機(jī)密性；三、安全關(guān)聯(lián)（SA），提供算法和數(shù)據(jù)包，提供AH、ESP操作所需的參數(shù)。
注：AH和ESP屬于同一層的協(xié)議，目前AH用的很少，ESP比較常見。

RFC

rfc5406-Guidelines for Specifying the Use of IPsec Version 2
rfc6071- IP Security (IPsec) and Internet Key Exchange (IKE) Document Roadmap

IKE

IKE是一個(gè)混合協(xié)議，由三個(gè)協(xié)議組成。

• SKEME決定了KE的密鑰交換方式，KE主要使用DH來實(shí)現(xiàn)密鑰交換。
• Oakley決定了 IPSec的框架設(shè)計(jì)，讓 IPSec能夠支持更多的協(xié)議。
• ISAKMP是IKE的本質(zhì)協(xié)議，它決定了IKE協(xié)商包的封裝格式，交換過程和模式切換。ISAKMP是IKE的核心協(xié)議，所以我們經(jīng)常會(huì)把IKE與 SAKMP這兩個(gè)術(shù)語互換使用。
  在配置 PSec vPn的時(shí)候，主要配置內(nèi)容也是 SAKMP另外， SKEME和 Oakley沒有仼何相關(guān)的配置內(nèi)容，因此很多網(wǎng)絡(luò)技術(shù)人員常常會(huì)認(rèn)為IKE和ISAKMP是相同的概念。
  
  ipsec組成
  
  
  isakmp在ike中的位置

端口500/4500

知乎：vowfi中IPSEC port 500、4500端口解釋

NAT穿越

rfc：https://tools.ietf.org/html/rfc3948

IPSec VPN的NAT穿越(NAT-T)原理

ikev1和ikev2

todo