اين پروتكل براي اين منظور طراحي شده كه بتواند بسته(Packet) ‌هاي اطلاعاتي TCP/IP را توسط كليد عمومي رمز كند تا در طول مسير، امكان استفاده غير مجاز از آنها وجود نداشته باشدIP Security . ياIPSec  رشته‌اي از پروتكلهاست كه براي ايجاد VPN  مورد استفاده قرار مي‌گيرند.

مطابق با تعريف IETF (Internet Engineering Task Force)  پروتكل IPSec  به اين شكل تعريف مي‌شود:
يك پروتكل امنيتي در لايه شبكه توليد خواهد شد تا خدمات امنيتي رمزنگاري را تامين كند. خدماتي كه به‌صورت منطقي به پشتيباني تركيبي از تاييد هويت، جامعيت، كنترل دسترسي و محرمانگي بپردازد.

در بيشتر سناريوهاي مورد استفاده، IPSec به شما امكان مي‌دهد تا يك تونل رمزشده را بين دو شبكه خصوصي ايجاد كنيد.

همچنين امكان تاييد هويت دو سر تونل را نيز براي شما فراهم مي‌آورد. اما IPSec تنها به ترافيك مبتني بر IP اجازه بسته‌بندي و رمزنگاري مي‌دهد و درصورتي كه ترافيك غير از IP نيز در شبكه وجود داشته باشد، بايد از پروتكل ديگري مانندGRE  در كنار IPSec استفاده كردIPSec . به استانداردي براي ساخت VPN تبديل شده است. بسياري از فروشندگان تجهيزات شبكه، IPSec را پياده‌سازي كرده‌اند و لذا امكان كار با انواع مختلف تجهيزات از شركت‌هاي مختلف، IPSec را به يك انتخاب خوب براي ساخت VPN مبدل كرده است.

انواع IPSec VPN

شيوه‌هاي مختلفي براي دسته‌بندي IPSec VPN وجود دارد اما از نظر طراحي، IPSec براي حل دو مساله مورد استفاده قرار مي‌گيرد:

1- اتصال يكپارچه دو شبكه خصوصي و ايجاد يك شبكه مجازي خصوصي‌

2- توسعه يك شبكه خصوصي براي دسترسي كاربران از راه دور به آن شبكه به‌عنوان بخشي از شبكه امن.

بر همين اساس، IPSec VPN ها را نيز مي‌توان به دو دسته اصلي تقسيم كرد:

1- پياده‌سازيLAN-to-LAN IPSec

اين عبارت معمولا براي توصيف يك تونل IPSec بين دو شبكه محلي به‌كار مي‌رود. در اين حالت دو شبكه محلي با كمك تونل IPSec و از طريق يك شبكه عمومي با هم ارتباط برقرار مي‌كنند به‌گونه‌اي كه كاربران هر شبكه محلي به منابع شبكه محلي ديگر، به‌عنوان عضوي از آن شبكه، دسترسي دارندIPSec . به شما امكان مي‌دهد كه تعريف كنيد چه داده‌اي و چگونه بايد رمزنگاري شود.

2- پياده‌سازيRemote-Access Client IPSec

اين نوع ازVPNها زماني ايجاد مي‌شوند كه يك كاربر از راه دور و با استفاده ازIPSec client  نصب شده بر روي رايانه‌اش، به يك روترIPSec يا Access server  متصل مي‌شود.

معمولا اين رايانه‌هاي دسترسي از راه دور به يك شبكه عمومي يا اينترنت و با كمك روشDialup  يا روش‌هاي مشابه متصل مي‌شوند. زماني كه اين رايانه به اينترنت يا شبكه عمومي متصل مي‌شود، IPSec‌ client  موجود بر روي آن مي‌تواند يك تونل رمز شده را روي شبكه عمومي ايجاد كند كه مقصد آن يك دستگاه پايانيIPSec ، مانند يك روتر، كه بر لبه شبكه خصوصي مورد نظر كه كاربر قصد ورود به آن را دارد، باشد. در روش اول تعداد پايانه هايIPSec محدود است اما با كمك روش دوم مي‌توان تعداد پايانه‌ها را به ده‌ها هزار رسانيد كه براي پياده سازي‌هاي بزرگ مناسب است.

ساختارIPSec

IPSec براي ايجاد يك بستر امن يكپارچه، سه پروتكل را با هم تركيب مي‌كند:

1- پروتكل مبادله كليد اينترنتي Internet Key Exchange)  يا(IKE

اين پروتكل مسوول تبادل مشخصه‌هاي تونل IPSec بين دو طرف است. وظايف اين پروتكل عبارتند از:

– طي كردن پارامترهاي پروتكل‌

– مبادله كليدهاي عمومي‌

– تاييد هويت هر دو طرف‌

– مديريت كليدها پس از مبادله‌

IKE مشكل پياده‌سازي‌هاي دستي و غيرقابل تغيير IPSec را با خودكار كردن كل پردازه مبادله كليد حل مي‌كند. اين امر يكي از نيازهاي حياتي IPSec است IKE . خود از سه پروتكل تشكيل مي‌شود:

SKEME: مكانيزمي را براي استفاده از رمزنگاري كليد عمومي در جهت تاييد هويت تامين مي‌كند.

Oakley :مكانيزم مبتني بر حالتي را براي رسيدن به يك كليد رمزنگاري، بين دو پايانه IPSec تامين مي‌كند.

ISAKMP :معماري تبادل پيغام را شامل قالب بسته‌ها و حالت گذار تعريف مي‌كند.

IKE به‌عنوان استاندارد 2409 RFCتعريف شده است. با وجودي كه  IKE  كارايي و عملكرد خوبي را براي IPSec تامين مي‌كند، اما برخي كمبودها در ساختار آن باعث شده است تا پياده‌سازي آن مشكل باشد، لذا سعي شده است تا تغييراتي در آن اعمال شود و استاندارد جديدي ارايه شود كه 2 IKE v نام خواهد داشت.

2-پروتكل Encapsulating SecurityPayload ياESP

اين پروتكل امكان رمزنگاري، تاييد هويت و تامين امنيت داده را فراهم مي‌كند.

3- پروتكل سرآيند تاييد هويت(Authentication Header)  ياAH)

اين پروتكل براي تاييد هويت و تامين امنيت داده به‌كار مي‌رود.