IPSec 传输模式和隧道模式的区别？传输模式：保护的对象是传输数据的两端，并且在整个IP路由选择路径中都是可路由的，传输模式的另一种局限性是，不能同时对IPSec对等体之间的分组进行NAT转换。另外对于大多数硬件加密引擎来说，在传输模式下加密的效率比在隧道模式下低，因为传输模式要求移动IP报头，为ESP或者AH报头腾出空间。隧道模式：在隧道模式下原始IP分组被封装成一个新的IP分数据报由于这中封装包含一个外部的IP报头，因此这个模式可用于场点之间体提高安全服务IPSec 传输模式和隧道模式的区别？传输模式：保护的对象是传输数据的两端，并且在整个IP路由选择路径中都是可路由的，传输模式的另一种局限性是，不能同时对IPSec对等体之间的分组进行NAT转换。另外对于大多数硬件加密引擎来说，在传输模式下加密的效率比在隧道模式下低，因为传输模式要求移动IP报头，为ESP或者AH报头腾出空间。隧道模式：在隧道模式下原始IP分组被封装成一个新的IP分数据报由于这中封装包含一个外部的IP报头，因此这个模式可用于场点之间体提高安全服务IPsec 中的传输模式和隧道模式IPsec 标准定义了 IPsec 操作的两种不同模式：传输模式和隧道模式。模式不影响包的编码。在每种模式下，包受 AH、ESP，或二者的保护。如果内部包是 IP 包，这两种模式在策略应用程序方面有所不同，如下所示：在传输模式下，外部头决定保护内部 IP 包的 IPsec 策略。在隧道模式下，内部 IP 包决定保护其内容的 IPsec 策略。在传输模式下，外部头、下一个头以及下一个头支持的任何端口都可用于确定 IPsec 策略。实际上，IPsec 可在一个端口不同粒度的两个 IP 地址之间强制实行不同的传输模式策略。例如，如果下一个头是 TCP（支持端口），则可为外部 IP 地址的 TCP 端口设置 IPsec 策略。类似地，如果下一个头是 IP 数据包头，外部头和内部 IP 数据包头可用于决定 IPsec 策略。隧道模式仅适用于 IP-in-IP 数据报。如果在家中的计算机用户要连接到中心计算机位置，以隧道模式进行隧道连接将会很有用。在隧道模式下，IPsec 策略强制实施于内部 IP 数据报的内容中。可针对不同的内部 IP 地址强制实施不同的 IPsec 策略。也就是说，内部 IP 数据包头、其下一个头及下一个头支持的端口，可以强制实施策略。与传输模式不同，在隧道模式下，外部 IP 数据包头不指示其内部 IP 数据报的策略。因此，在隧道模式下，可为路由器后面的 LAN 的子网和这些子网上的端口指定 IPsec 策略。也可在这些子网上为特定的 IP 地址（即主机）指定 IPsec 策略。这些主机的端口也可以具有特定的 IPsec 策略。但是，如果有动态路由协议在隧道上运行，请勿使用子网选择或地址选择，因为对等网络上的网络拓扑的视图可能会更改。更改可能使静态 IPsec 策略失效。有关包括配置静态路由的隧道设置过程示例，请参见使用 IPsec 保护 VPN。在 Solaris OS 中，可以只在一个 IP 隧道网络接口上强制执行隧道模式。ipsecconf 命令提供 tunnel 关键字来选择 IP 隧道网络接口。当规则中出现 tunnel 关键字时，在此规则中指定的所有选定器都应用到内部包中。在传输模式下，ESP、AH、或二者可以保护该数据报。下图显示了不受保护的 TCP 包的 IP 数据包头。图 19–3 携带 TCP 信息的不受保护的 IP 包在传输模式下，ESP 按下图所示的方式保护数据。阴影部分表示包的加密部分。图 19–4 携带 TCP 信息的受保护的 IP 包在传输模式下，AH 按下图所示的方式保护数据。图 19–5 由验证头保护的包实际上，在数据出现在数据报中之前，AH 便已包含数据。因此，即使在传输模式下，AH 提供的保护也会包含一些 IP 数据包头。在隧道模式下，整个数据报处于 IPsec 数据包头的保护之内。图 19–3 中的数据报由外部 IPsec 数据包头（在此示例中为 ESP）以隧道模式保护，如下图所示。图 19–6 以隧道模式保护的 IPsec 包ipsecconf 命令包括用于将隧道设置为隧道模式或传输模式的关键字。有关每个套接字策略的详细信息，请参见 ipsec(7P) 手册页。有关每个套接字策略的示例，请参见如何使用 IPsec 保护 Web 服务器使之免受非 Web 通信影响。有关隧道的更多信息，请参见 ipsecconf(1M) 手册页。有关隧道配置的示例，请参见如何使用通过 IPv4 实现的处于隧道模式的 IPsec 隧道保护 VPN。Previous: IPsec 保护策略Next: 虚拟专用网络和 IPsec