传送模式(传输模式)特点:
在传送模式中,保留原始IP报文头作为新的IP报文的报文头,验证报文头插入在IP报文头和原始的有效负载之间,仅有协议字段的值由于AH协议被改为了51。协议字段中用来表示上层协议号的旧值被放入验证报文头的后续报文头字段中。
传送模式有一个优点就是仅需在原始IP报文中添加几个额外的,然而,由于原始的IP报文头被用做新IP报文的报文头,因此,仅有终端主机才能够使用传送模式,当IPSEC SA的两个端点本身就是起主机的作用,并且它们不代表其他设备起作用时,这种限制才是可以接受的。
隧道模式特点:
在隧道模式中,需要为新的IP报文建立一个新的IP报文头,验证报文被插入在原始IP报文头和新IP报文头之间,原始IP报文头保持完整不变,而被封装在新的IP报文中。
这种方法是在整个原始IP报文上提供验证(包括原始IP报文头和可变字段),除了验证报文头和新的IP报文头的不可变字段。此外,为了添加和去除这些额外的报文头需要更强的设备能力。
原始IP报文头完全没有被修改,包含最终的目的IP地址,也包含原始的源IP地址。新的IP报文包含了IPSEC设备的源和目的IP地址,因此不管SA的端点是主机是还是网关,都能使用隧道模式。
如果SA位于主机之间,新的源和目的IP地址通常是和原始地址相同的。在隧道模式中,在主机之间使用AH的主要原因是完完全验证原始报文。
如果SA位于安全网关之间,新的源和目的IP地址是这些网关的地址。安全网关之间的隧道模式允许站点之间的通信聚集,这些站点通过一条经验证的隧道互联。
新的IP报文头的协议字段包含的值是代表AH的51,在验证报文头的后续字段中包含的值是代表IP协议(4代表IPv4)的值。
本文转自 拾瓦兴阁 51CTO博客,原文链接:http://blog.51cto.com/ponyjia/1033246
