某企业计划建立总公司内部网，拓扑结构如图3所示。该网分为核心、汇聚、接入三层，由交换模块、广域网接入模块、远程访问模块和服务器群四大部分组成。

                                                   图1

（1）PPP协议提供了两种可选身份认证方法，分别是CHAP（Challenge Handshake Authentication Protocol，挑战握手认证协议）和PAP（Password Authentication Protocol，密码认证协议）。这两种协议都是为了方便各个分公司上报数据，并确定分公司身份。

（2）为了确保分公司认证的敏感信息不泄露，优先选用的身份认证方式是CHAP协议。CHAP通过三次握手建立认证，对密码进行加密处理，相比PAP更安全。

（3）随着技术的发展和对安全性要求的提高，对网络运营成本也要求降低，因此公司总部与各个分公司相连逐步采用VPN技术。其中，优先选用基于第三层的隧道协议ipsec接入。

（4）ipsec的安全体系结构包括AH（Authentication Header，认证头部）、ESP（Encapsulating Security Payload，封装安全载荷）和ISA KMP/Oakley等协议。其中，AH为IP包提供信息源验证和报文完整性验证，但不支持加密服务。

（5）ESP提供加密服务，保护IP数据的机密性和完整性。

（6）ISA KMP/Oakley提供密钥管理服务，包括密钥生成、分发、更新和销毁等。