部分隧道可以混合使用，如GRE Over IPSec隧道。

身份认证、数据加密和认证技术可以有效保证VPN网络与数据的安全性：

▫身份认证：可用于部署了远程接入VPN的场景，VPN网关对用户的身份进行认证，保证接入网络的都是合法用户而非恶意用户。也可以用于VPN网关之间对对方身份的认证。 

▫数据加密：将明文通过加密变成密文，使得数据即使被黑客截获，黑客也无法获取其中的信息。 

▫数据验证：通过数据验证技术对报文的完整性和真伪进行检查，丢弃被伪造和被篡改的报文。

IPSec（IP Security） VPN一般部署在企业出口设备之间，通过加密与验证等方式，实现了数据来源验证、数据加密、数据完整性保证和抗重放等功能。

• 数据来源验证：接收方验证发送方身份是否合法。 

• 数据加密：发送方对数据进行加密，以密文的形式在Internet上传送，接收方对接收的加密数据进行解密后处理或直接转发。 

• 数据完整性：接收方对接收的数据进行验证，以判定报文是否被篡改。 

• 抗重放：接收方拒绝旧的或重复的数据包，防止恶意用户通过重复发送捕获到的数据包所进行的攻击。

  
  

IPSec不是一个单独的协议，它给出了IP网络上数据安全的一整套体系结构，包括AH（Authentication Header）、ESP（Encapsulating Security Payload）、IKE（Internet Key Exchange）等协议。

IPSec使用认证头AH（Authentication Header）和封装安全载荷ESP（Encapsulating Security Payload）两种安全协议来传输和封装数据，提供认证或加密等安全服务。

▫AH和ESP协议提供的安全功能依赖于协议采用的验证、加密算法。 

▫AH仅支持认证功能，不支持加密功能。ESP支持认证和加密功能。 

▫安全协议提供认证或加密等安全服务需要有秘钥的存在。 

秘钥交换的方式有两种： 

▫带外共享密钥：在发送、接收设备上手工配置静态的加密、验证密钥。双方通过带外共享的方式（例如通过电话或邮件方式）保证密钥一致性。这种方式的缺点是可扩展性差，在点到多点组网中配置密钥的工作量成倍增加。另外，为提升网络安全性需要周期性修改密钥，这种方式下也很难实施。