解决方案

IPSec是在两个端点之间提供安全通信，端点被称为IPSec对等体。IPSec能够允许系统、网络的用户或管理员控制对等体间安全服务的粒度。例如，某个组织的安全策略可能规定来自特定子网的数据流应同时使用AH和ESP进行保护，并使用 3DES 进行加密；另一方面，策略可能规定来自另一个站点的数据流只使用ESP保护，并仅使用DES密。通过 SA（Security Association，安全联盟），IPSec 能够对不同的数据流提供不同级别的安全保护，在建立 IPSec Tunnel 过程中，需要完成 SA 的建立。

SA 是通信对等体问对某些要素的约定，通信的双方符合 SA 约定的内容，就可以完成 SA 的建立。SA 定义 IPSec 通信对等体间将使用的 数据封装模式、认证和加密算法、密钥 等等参数。SA 是 IPSec 的基础，也是 IPSec 的本质。SA 是通信对等体间对某些要素的约定，例如，使用哪种安全协议、协议的操作模式（传输模式和隧道模式）、加密算法（DES和3DES）、特定流中保护数据的共享密钥以及密钥的生存周期等。

SA 是单向的逻辑连接（IPSec SA，但注意 IKE SA 是双向的），所以：
1）两个 IPSec 对等体间的双向通信（即建立一条 IPSec 隧道），至少需要两个 SA 来分别对两个方向（出向、入向）的数据流进行安全保护；
2）如果两个对等体希望同时使用 AH 和 ESP 安全协议来进行通信，则对等体针对每种安全协议都需要协商一对 SA，一个用于 AH，另个用于 ESP；

SA 通过三元组来标识，该三元组包括：
1）安全参数索引（SPI，Security Parameter Index），SPI 是为唯一标识 SA 而生成的一个 32 位比特的数值，它在 AH 和 ESP 头中传输；在手工配置 SA 时，需要手工指定 SPI 的取值；当使用 IKE 协商产生SA时，SPI 将随机生成。
2）目的网络地址（DST-IP-ADDR）
3）安全协议号（AH 或 ESP）

生成方式

生成 SA 的方式通常有两种：通过手动配置、通过 IKE 协商自动生成：

手工方式：SA 所需的全部信息都必须手工配置。手工方式建立 SA 比较复杂，但优点是不依赖 IKE 而单独实现 IPSec 功能。
—- 当对等体设备数量较少时，或在小型静态环境中，手工配置 SA 是可行的。

IKE 动态协商方式：只需要通信对等体间配置好 IKE 协商参数，由 IKE 自动协商来创建和维护 SA。动态协商方式建立 SA 相对简单些。
—- 对于中、大型的动态网络环境中，推荐使用IKE协商建立SA。

IPSec 设备会把 SA 的相关参数放入 SPD（Security Policy Database）里面，SPD里面存放着“什么数据应该进行怎样的处理”这样的消息，在IPSec数据包出站和入站的时候会首先从SPD数据库中查找相关信息并做下一步处理。