工作模式的差异:
- 隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。
- 传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。
在tunnel和transport模式下的数据封装形式如下图所示,图中data为原IP报文。
封装格式的不同:
- AH协议提供数据源认证、数据完整校验性、防报文重放功能、保护数据免受篡改,但不能防止监听。
-
ESP协议相对了AH多提供了加密功能,但AH提供的认证服务强与ESP。、比较图
