学习《计算机网络安全》
IPsec的工作模式
IPsec有两种工作模式,即传输模式和隧道模式。传输模式用来直接加密主机之间的网络通信;隧道模式用来在两个子网之间建造“虚拟隧道”实现两个网络之间的安全通信。
(1)隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用于两个安全网关之间的通信。
(2)传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用于两台主机之间的通信,或一台主机和一个安全网关之间的通信。
不同的安全协议在Tunnel和Transport模式下的数据封装形式如图所示,Data为传输层数据。
安全协议数据封装格式
image.png
下图所示为AH协议在传输模式下的实现。</br>
传输模式下的AH协议
image.png
下图所示为ESP协议在传输模式下的实现。</br>
传输模式下的ESP协议
image.png
下图所示为AH协议在隧道模式下的实现。</br>
隧道模式下的AH协议
image.png
下图所示为ESP协议在隧道模式下的实现。</br>
隧道模式下的ESP协议
image.png
传输模式和隧道模式的区别如下:
(1)传输模式在AH、ESP处理前后IP头部保持不变,主要用于End-to-End(端到端或者PC到PC)的应用场景。
(2)隧道模式则在AH、ESP处理之后再封装了一个外网IP头,主要用于Site-to-Site(站点到站点或者网关到网关)的应用场景。
