1、ipsec是框架,不是协议。
2、SA:包含身份验证、加密密钥、算法、密钥生命周期,源IP等信息,告诉设备如何处理数据包
3、SPI:追踪不同的SA,识别多个vpn通道所用的SA
4、ICV:ipsec针对数据包的不同部分生成校验值,互相对比防篡改,致使AH协议与NAT协议冲突(AH不加密且会认证整个数据包,即用整个数据包来生成ICV,NAT后IP变了,ICV也对比不上),因此AH协议不能用于NAT环境。用ESP可以,因为ESP把网络层部分也加密并生成ICV,NAT变了IP头但不会影响到ICV(隧道模式下)。
5、ISAKMP:是个密钥交换的体系结构,IKE基于ISAKMP
