博客

ipsec *** 模式

隧道模式和传输模式

隧道模式:三层ip包头如下以此为

新ip包头   ipsec 包头   原始IP包头  数据 其中原始包头和数据是被保护部分，理论和GRE类似。但是此处导致IP包头长度增加。ipsec 32字节，ip包头20字节封装后大约53字节。

传输模式：如果不需要隧道功能只要，只要保护数据安全的功能的话，那就可以工作在传输模式下，这样他可以结合其他的隧道协议一起工作。包头格式如下：

原始IP包头    ipsec包头  数据（其中数据部分被加密，此处注意一点，只有数据部分被加密）。（注意:有***就有隧道，所以此处要和

p2p GRE over IPsec

来使用）。

针对数据加密方面有一下几点：

ipsec服务的协议有 ike  esp  ah

其中IKE不对数据加密，用来保证密钥安全传输，交换等。要保护数据安全要用ESP和AH.

ESP

和


AH


主要工作是如何保护数据安全，也就是如何加密数据，是直接对用户数据进行操作的，


IPsec


对用户数据的保护，靠


ESP


和


AH


的封装。