学习《计算机网络安全》

IPsec的工作模式

IPsec有两种工作模式，即传输模式和隧道模式。传输模式用来直接加密主机之间的网络通信；隧道模式用来在两个子网之间建造“虚拟隧道”实现两个网络之间的安全通信。

（1）隧道（tunnel）模式：用户的整个IP数据包被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应用于两个安全网关之间的通信。

（2）传输（transport）模式：只是传输层数据被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式应用于两台主机之间的通信，或一台主机和一个安全网关之间的通信。

不同的安全协议在Tunnel和Transport模式下的数据封装形式如图所示，Data为传输层数据。

安全协议数据封装格式

image.png

下图所示为AH协议在传输模式下的实现。</br>
传输模式下的AH协议

image.png

下图所示为ESP协议在传输模式下的实现。</br>
传输模式下的ESP协议

image.png

下图所示为AH协议在隧道模式下的实现。</br>
隧道模式下的AH协议

image.png

下图所示为ESP协议在隧道模式下的实现。</br>
隧道模式下的ESP协议

image.png

传输模式和隧道模式的区别如下：

（1）传输模式在AH、ESP处理前后IP头部保持不变，主要用于End-to-End（端到端或者PC到PC）的应用场景。

（2）隧道模式则在AH、ESP处理之后再封装了一个外网IP头，主要用于Site-to-Site（站点到站点或者网关到网关）的应用场景。