初始 PPP 有效载荷如 IP 数据报、IPX 数据报或 NetBEUI 帧等经过加密后,添加 PPP 报头,封装形成 PPP 帧。PPP 帧再进一步添加 GRE 报头,经过第二层封装形成 GRE 报文;第三层封装添加 IP 报头。IP 报头包含数据包源端及目的端 IP 地址。数据链路层封装是 IP 数据报多层封装的的最后一层,依据不同的外发物理网络再添加相应的数据链路层报头和报尾。
工作模式:
IPSec 有两种工作方式:隧道模式和传输模式。在隧道方式中,整个用户的 IP 数据包被用来计算 ESP 包头,整个 IP 包被加密并和 ESP 包头一起被封装在一个新的 IP 包内。这样当数据在 Internet 上传送时,真正的源地址和目的地址被隐藏起来。在传输模式中,只有高层协议(TCP、UDP、ICMP 等)及数据进行加密。在这种模式下,源地址、目的地址以及所有 IP 包头的内容都不加密。
由于对称密钥存在着许多问题,密钥传递时容易泄密。网络通信时如果网内用户采用同样的密钥,就失去了保密的意义。但如果任意两个用户通信时都使用互不相同的密钥,N 个人就要使用 N ×(N -1)/2 个密钥,密钥量太大,在实际使用中无法实现,所以在 IPSec 中使用非对称密钥技术,将加密和解密的密钥分开,并且不可能从其中一个推导出另外一个。 采用非对称密钥技术后,每一个用户都有一对选定的密钥,一个由用户自己保存,一个可以公开得到。它的好处在于密钥分配简单,由于加密和解密的密钥互不相同并且无法互相推导,所以加密的密钥可以分发给各个用户,而解密密钥由用户自己保存。这样以来,密钥保 存量少,N 个用户通信最多只需保存 N 对密钥,便于管理,可以满足不同用户间通信的私密性,完成数字签名和数字鉴别。目前有许多种非对称密钥算法,其中有的适用于密钥分配, 有的适用于数字签名。
IPSec 中的 AH 和 ESP 实际上只是加密的使用者,IETF 制定了 IKE 用于通信双方进行身份认证、协商加密算法和散列算法、生成公钥。