ipsec *** 模式

隧道模式和传输模式

隧道模式:三层ip包头如下以此为

新ip包头   ipsec 包头   原始IP包头  数据 其中原始包头和数据是被保护部分,理论和GRE类似。但是此处导致IP包头长度增加。ipsec 32字节,ip包头20字节封装后大约53字节。

传输模式:如果不需要隧道功能只要,只要保护数据安全的功能的话,那就可以工作在传输模式下,这样他可以结合其他的隧道协议一起工作。包头格式如下:

原始IP包头    ipsec包头  数据(其中数据部分被加密,此处注意一点,只有数据部分被加密)。(注意:有***就有隧道,所以此处要和p2p GRE over IPsec来使用)。

针对数据加密方面有一下几点:

ipsec服务的协议有 ike  esp  ah

其中IKE不对数据加密,用来保证密钥安全传输,交换等。要保护数据安全要用ESP和AH.ESPAH主要工作是如何保护数据安全,也就是如何加密数据,是直接对用户数据进行操作的,IPsec对用户数据的保护,靠ESPAH的封装。