IPSec（InternetProtocolSecurity）是IETF（InternetEngineeringTaskForce）制定的一组开放的网络安全协议。它并不是一个单独的协议，而是一系列为IP网络提供安全性的协议和服务的集合，包括认证头AH（AuthenticationHeader）和封装安全载荷ESP（EncapsulatingSecurityPayload）两个安全协议、密钥交换和用于验证及加密的一些算法等。通过这一些协议，在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发，实现保护数据的安全性。

  随着网络发展，企业直接通过Internet进行互联，IP协议没考虑安全性，但是Internet上有大量的不可靠用户和网络设备，所以用户业务数据要穿越这些未知网络就没办法保证数据的安全性，数据易被伪造、篡改或窃取。因此，迫切地需要一种兼容IP协议的通用的网络安全方案。未解决以上问题，IPSec（InternetProtocolSecurity）应运而生。IPSec是对IP的安全性补充，其工作在IP层，为IP网络通信提供透明的安全服务。

  设备在收到报文后，一般会将报文的五元组等信息和IPsec策略进行匹配来判断报文是否要通过IPsec隧道传输，一定要通过IPsec隧道传输的流量被称为“感兴趣流”。

  SA是通信双方对某些协商要素的约定，只有建立了SA才能进行安全的数据传输。识别出感兴趣流后，本端网络设备会向对端网络设备发起SA协商。在这一阶段，通信双方建立IKESA，然后在IKESA的基础上协商建立IPsecSA。

  IPsecSA建立成功后，双方就能够最终靠IPsec隧道传输数据。IPsec为了能够更好的保证数据传输的安全性，在这一阶段一定要通过AH或ESP协议对数据来进行加密和验证。

  通常情况下，通信双方之间的会话老化即代表通信双方数据交换已完成，因此为了节约系统资源，通信双方之间的隧道在空闲时间达到一定值后会自动删除。

  数据加密：发送方对数据来进行加密，以密文的形式在Internet上传送，接收方对接收的加密数据来进行解密后处理或直接转发。

  抗重放：接收方拒绝旧的或重复的数据包，防止恶意用户通过重复发送捕获到的数据包所进行的攻击。

  对于设备能否支持IPSec协议在各种场景的部署，以及设备对各种场景的流量转发能否达标显得很重要，信而泰的2-3层BigTao测试平台和层DarYu测试平台和DarPeng2000E平台的ALPS测试平台能进行IPSec的IKEv1、IKEv2、IKEGM测试。

  1、信而泰ALPS测试平台支持IPSec的IKE协议两个国际标准版本IKEv1和IKEv2，以及国家标准化管理委员会提出由国家密码管理局批准的我国自主制定的IPSec行业标准——《GM-T0022-2014IPsecVPN技术规范》即IKEv1.1。

  IPsec拓扑模式支持SiteToSite（两个局域网之间通过VPN隧道建立连）和RemoteAccess（客户端与企业内网之间通过VPN隧道建立连接）。

  本例使用测试仪上的Port1（作为多个分支机构模拟的多个防火墙来和DUT的G0/0/1端口建立IPSec隧道）和Port2（作为DUT的G0/0/2端口后的网络，模拟DUT后的总部）。