1、AH没有ESP的加密特性;
2、AH的authtication是对整个数据包做出的,包括IP头部分。因为IP头部分包含很多变量,比如type of service(TOS),flags,fragment offset,TTL以及header checksum.所以这些值在进行authtication前要全部清零。否则hash会mismatch导致丢包。
相反,ESP是对部分数据包做authentication,不包括IP头部分。
3、AH和ESP是网络层的协议,AH协议号为51、ESP 的协议号为50 ;
IKE是UDP之上的一个应用层协议,是IPSec的信令协议,在没有nat设备的环境中用端口号500,在有nat设备的环境中用端口号4500。