IPSEC隧道模式和IPSEC传输模式有何区别？

IPSec的协议目标是为IP数据包提供安全服务，如加密敏感数据、身份验证、防止重放和数据保密。

如我们的IPSec协议文章所述，包装安全有效载荷(ESP)和身份验证标头(AH)是两个用于提供这些安全服务的IPSec安全协议。本文不讨论ESP和AH协议的分析，但您可以转移到我们的IPSec文章中，并在这篇文章中找到深入的分析和数据包图，以帮助您清楚地理解概念。

了解IPSEC模式:隧道模式和传输模式。

IPSec可以配置为两种不同的模式，即隧道模式和传输模式。每种模式的使用取决于IPSec的要求和实现。

IPSEC隧道模式。

IPSec隧道模式是默认模式。在隧道模式下，整个原始IP数据包受IPSec保护。这意味着IPSec包装原始数据包，加密，添加新的IP标头，发送到隧道的另一端(IPSec对等方)。

隧道模式最常用于网关之间(Cisco路由器或ASA防火墙)，或者网关在网关终端站作为其次主机的代理。

隧道模式用于加密安全IPSec网关(例如，通过IPSec通过互联网连接的两个Cisco路由器)之间的通信。从我们的网站到网站IPSec文章，这个拓扑的配置和设置得到了广泛的介绍。在这个例子中，每个路由器都充当其LANIPSec网关，为远程网络提供安全连接:

隧道模式的另一个例子是Cisco客户端和IPSec网关之间的IPSec隧道(如ASA5510或PIX防火墙)。客户端连接到IPSec网关。客户端的流量被加密并包装在新的IP数据包中，然后发送到另一端。一旦防火墙设备解密，客户端的原始IP数据包就会发送到本地网络。

在隧道模式下，IPSec头(AH或ESP头)插入IP头和上层协议之间。ESP最常用于AH和ESP之间的IPSec隧道配置。

以下数据包图说明了带ESP标头的IPSec隧道模式：

ESP在新IP标头中用IP协议ID标识50。

以下数据包图说明了带AH标头的IPSec隧道模式：

当IPSec处于隧道模式时，AH可以单独应用，也可以和ESP一起应用。AH的工作是保护整个数据包。AH不会保护新IP报头中的所有字段，因为在传输过程中会发生一些变化，发件人无法预测它们可能会如何变化。AH保护所有在运输过程中不变的东西。AH识别的新IP报头IP协议ID的51。

IPSEC传输模式。

IPSec传输模式用于端到端通信，如客户端与服务器或工作站与网关之间的通信(如果网关被视为主机)。一个很好的例子是从工作站到服务器的加密Telnet或远程桌面对话。

传输模式通过AH或ESP头提供对我们数据的保护，也称为IP有效负载，由TCP/UDP头数据组成。有效负载包括IPSec头和尾部。原始IP标头保持不变，但IP协议字段改为ESP(50)或AH(51)，原始协议值保存在IPsec尾部，解密数据包时恢复。

IPSec传输模式用IPSec传输模式:使用另一个隧道协议(如GRE)先包装IP数据包，然后使用IPSec保护GRE隧道包。IPSec在传输模式下保护GRE隧道流量。

以下数据包图说明了带有ESP标头的IPSec传输模式：

请注意，原始IP标头已经移到了前面。将发送方的IP标头放在前面(稍微更改协议ID)，证明传输方式不能为原始IP标头提供保护或加密，ESP标头标注在IP协议ID为50的新IP标头中。

以下数据包图说明了带有AH标头的IPSec传输模式：

当IPSec处于传输模式时，AH可以单独应用，也可以和ESP一起应用。AH的工作是保护整个数据包。但是，传输模式下的IPSec不会在数据包前创建新的IP标头，而是放置原始协议的副本，并对协议ID进行一些细微的变更，因此不会为详细信息提供必要的保护，包括在IP标头(源IP、目标IP等)。).AH识别的新IP报头IP协议ID的51。

当ESP和AH具有IPSec传输模式时，IP标头将被公开。

微云网络&网络综合解决方案提供商帮助企业信息化建设、数字化转型和全球互联网。SD-WAN方案可以加速全球访问、SaaS访问、海外视频和海外分支网络，有效提高国际沟通效率，帮助中国企业开拓国际市场。…热线：400-028-9798，欢迎来电咨询。