ipsec使用

IPsec（Internet Protocol Security）是为IP网络提供安全性的协议和服务的集合，它是VPN（Virtual Private Network，虚拟专用网）中常用的一种技术。 由于IP报文本身没有集成任何安全特性，IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec建立一条IPsec隧道，IP数据包通过IPsec隧道进行加密传输，有效保证了数据在不安全的网络环境如Internet中传输的安全性。

IPsec 主要由两个关键组件构成：AH（Authentication Header）和 ESP（Encapsulating Security Payload）。AH 负责数据包的完整性验证和防重放攻击，而 ESP 则提供了数据加密和可选的数据完整性验证功能。通过这两种机制的结合使用，IPsec 能够有效地保护数据免受窃听、篡改和伪造等威胁。

IPsec 的工作原理是通过对数据包进行封装，即在原始数据包的基础上添加额外的头部信息，从而实现对数据的保护。这一过程通常发生在网络层，也就是 OSI 模型中的第三层。当数据包离开发送端时，IPsec 会对数据进行加密处理，并添加必要的认证信息；而在接收端，IPsec 则负责解密数据并验证其完整性。

strongSwan，是一个完整的开源 IPsec VPN 解决方案，可以运行在 Linux、Windows 和 Mac OS X 上，此外，它还兼容基于 Android 和 iOS 的产品所支持的 IPsec 功能。

strongSwan 并不对 VPN 上的数据进行加密，而是由运行 strongSwan 的底层操作系统（比如 Linux）进行加密。strongSwan 负责使用网络密钥交换（internet key exchange, IKE）协议帮助同级协商用于对称加密的密钥。strongSwan 支持 IKEv1 和 IKEv2。IKE 允许对等体就加密所使用的加密参数达成一致，然后通过 Diffie-Hellman 密钥交换算法共同商定加密密钥。

strongSwan 在一个叫 pluto 的服务中实现了 IKEv1，而 IKEv2 则由一个叫 charon 的服务提供。

strongSwan 的主要配置文件是 /etc/ipsec.conf 和 /etc/ipsec.secrets 。