IPSec工作模式及封装格式

工作模式的差异：

1. 隧道（tunnel）模式：用户的整个IP数据包被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应用在两个安全网关之间的通讯。
2. 传输（transport）模式：只是传输层数据被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。
   在tunnel和transport模式下的数据封装形式如下图所示，图中data为原IP报文。

封装格式的不同：

1. AH协议提供数据源认证、数据完整校验性、防报文重放功能、保护数据免受篡改，但不能防止监听。
2. ESP协议相对了AH多提供了加密功能，但AH提供的认证服务强与ESP。、 比较图