p> або UDP сокет між двома кінцевими системами (Хостами) всередині захищеного IP -каналу (тунелю), встановленого між проміжними системами (Маршрутизаторами) для забезпечення функціонування віртуальної приватної мережі.
IPSec реалізує ці три функції при допомогою двох незалежних механізмів: протокол Authentication Headers '(АН) для аутентифікації і протокол Encapsulation Security Payload ( ESP ) для шифрування частини даних IP -пакета. Ці два механізми можуть застосовуватися разом або окремо.
Механізм АН працює, обчислюючи контрольну суму всієї інформації заголовка TCP/IP і зашіфровивая контрольну суму за допомогою секретного ключа одержувача. Одержувач розшифровує контрольну суму за допомогою свого секретного ключа і потім звіряє заголовок з розшифрованої контрольною сумою. Якщо вичис-ленна контрольна сума відрізняється від контрольної суми заголовка, то в цьому випадку або не вдалася розшифровка через неправильне ключа, або заголовок був змінений при передачі. У будь-якому випадку пакет відкидається.
IPSec може діяти в одному з двох режимів: транспортному режимі ( transport mode ), який працює в точності як звичайний IP , за винятком того, що проводиться аутентифікація заголовків (АН) і вміст шифрується ( ESP ), або в тунельному режимі ( tunnel mode ), в якому IP -пакети цілком инкапсулируются всередину пакетів АН або ESP для забезпечення безпечного тунелю . Транспортний режим використовується для забезпечення безпечного або автентичного взаємодії через відкриті області IP між з'єднаними через Інтернет хостами в будь-яких цілях, в той час як тунельний режим використовується для створення безпечних каналів передачі даних між маршрутизаторами або іншими кінцевими точками мережі в цілях скріплення двох приватних мереж.
Тунельний режим. При звичайному Маршрутизовані з'єднанні хост передає IP -пакет своєму шлюзу за замовчуванням, який просуває пакет до тих пір, поки він не досягне шлюзу за замовчуванням одержувача, який потім передає його кінцевому хосту. Всі комп'ютери в з'єднанні повинні бути в одному відкритому адресному просторі.
В IP поверх IP , або IP / IP , шлюз за замовчуванням (або інший маршрутизатор по шляху проходження) отримує пакет і зауважує, що його маршрут для цього пакету задає тунель IP /
