IPsec工作模式及其报文封装格式

Posted 2022-08-05 斜杠方子

隧道（tunnel）模式：用户的整个IP数据包被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应用在两个安全网关之间的通讯。

传输（transport）模式：只是传输层数据被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。

在tunnel和transport模式下的数据封装形式如下图所示，图中data为原IP报文。

两者的区别在于IP数据报的ESP负载部分的内容不同。在隧道模式中，整个IP数据报都在ESP负载中进行封装和加密。当这完成以后，真正的IP源地址和目的地址都可以被隐藏为Internet发送的普通数据。这种模式的一种典型用法就是在防火墙－防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。在传输模式中，只有更高层协议帧（TCP、UDP、ICMP等）被放到加密后的IP数据报的ESP负载部分。在这种模式中，源和目的IP地址以及所有的IP包头域都是不加密发送的。

图1为IPsec两种工作模式

图2为隧道模式（含AH-ESP）

图3为隧道模式（含AH）

图4为隧道模式（含ESP）