VPN中隧道模式與傳輸模式的簡要比較

傳送模式（傳輸模式）特點：

    在傳送模式中，保留原始IP報文頭作為新的IP報文的報文頭，驗證報文頭插入在IP報文頭和原始的有效負載之間，僅有協議欄位的值由於AH協議被改為了51。協議欄位中用來表示上層協議號的舊值被放入驗證報文頭的後續報文頭欄位中。

    傳送模式有一個優點就是僅需在原始IP報文中新增幾個額外的，然而，由於原始的IP報文頭被用做新IP報文的報文頭，因此，僅有終端主機才能夠使用傳送模式，當IPSEC SA的兩個端點本身就是起主機的作用，並且它們不代表其他裝置起作用時，這種限制才是可以接受的。

 

隧道模式特點：

    在隧道模式中，需要為新的IP報文建立一個新的IP報文頭，驗證報文被插入在原始IP報文頭和新IP報文頭之間，原始IP報文頭保持完整不變，而被封裝在新的IP報文中。

    這種方法是在整個原始IP報文上提供驗證（包括原始IP報文頭和可變欄位），除了驗證報文頭和新的IP報文頭的不可變欄位。此外，為了新增和去除這些額外的報文頭需要更強的裝置能力。

    原始IP報文頭完全沒有被修改，包含最終的目的IP地址，也包含原始的源IP地址。新的IP報文包含了IPSEC裝置的源和目的IP地址，因此不管SA的端點是主機是還是閘道器，都能使用隧道模式。

    如果SA位於主機之間，新的源和目的IP地址通常是和原始地址相同的。在隧道模式中，在主機之間使用AH的主要原因是完完全驗證原始報文。

    如果SA位於安全閘道器之間，新的源和目的IP地址是這些閘道器的地址。安全閘道器之間的隧道模式允許站點之間的通訊聚集，這些站點通過一條經驗證的隧道互聯。

    新的IP報文頭的協議欄位包含的值是代表AH的51，在驗證報文頭的後續欄位中包含的值是代表IP協議(4代表IPv4)的值。

本文轉自 拾瓦興閣 51CTO部落格，原文連結:http://blog.51cto.com/ponyjia/1033246