隧道模式和传输模式下的ESP是什么，AH和ESP之间有什么区别？

封装安全载荷 (ESP) 在基于 IPSec 的情况下为有效载荷提供所有加密服务，而不是为 IP 头提供完整性、机密性和身份验证，不建议使用加密而无需身份验证，因为这样不安全。

任何将可读消息格式转换为不可读格式的转换都称为加密，并用于隐藏消息内容以防止数据篡改。

IPSec 提供了一个开放的框架，例如 SHA 和 MD5，用于实现行业标准算法。

加密/解密仅允许发送方和授权接收方以可读格式接收数据，并且只有在完整性验证过程完成后，才会解密数据包中的数据有效载荷。

IPSec 为每个数据包使用唯一的标识符，它相当于一个指纹，并检查数据包是否已授权。除非数据包正在被隧道传输，否则它不会对整个数据包进行签名——通常，它只保护 IP 数据有效载荷，而不是 IP 头，在隧道模式下，整个原始 IP 数据包都被封装，并添加了一个新的数据包头。

传输模式下的 ESP 不提供整个 IP 数据包的完整性和身份验证。

传输模式下的 ESP

在这种模式下，ESP 头插入原始 IP 头之后。ESP 尾部添加到 IP 尾部之后。ESP 尾部包含填充信息。它主要用于主机到主机的场景，其中数据和安全端点相同。

传输模式下 ESP 的示意图如下：

隧道模式封装构建了一个新的 IP 头，其中包含安全端点的源地址和目标地址。在这种模式下，外部 IP 头反映了安全端点的源和目标，它们可能与数据连接的原始源和目标 IP 地址相同，也可能不同。

隧道模式下 ESP 的示意图如下：

AH 和 ESP 之间的主要区别如下：

差异基础	身份验证头	封装安全载荷
功能	它提供了一种用于发送方数据源身份验证的机制。因此，它无法提供数据机密性/加密。	提供数据身份验证和数据隐私/加密，因此它确保数据包有效载荷的机密性和完整性。
身份验证过程覆盖范围的差异	它对整个 IP 数据包进行身份验证，包括外部 IP 头。	它仅对 IP 数据包的 IP 数据报部分进行身份验证。
通过 NAT 网络工作	它无法通过 NAT 网络工作，因为它对数据包的有效载荷和头都进行了散列，而 NAT 在转换过程中会更改数据包的 IP 头。	它使用不包括数据包 IP 头的数据完整性散列算法，因此 ESP 可以正常地通过 NAT 设备工作。

Bhanu Priya

更新于： 2021-09-15

4K+ 浏览量

通过完成课程获得认证