隧道和传输模式中的 ESP 是什么以及 AH 和 ESP 的区别？

封装安全有效负载 (ESP) 在 IPSec 中提供所有加密服务，基于有效负载的完整性而不是 IP 标头、机密性和身份验证，强烈建议不要使用加密，不进行身份验证，因为它不安全。

任何以可读消息格式转换为不可读格式的翻译都会被加密并用于隐藏消息内容以防止数据篡改。

IPSec 提供了一个开放的框架，例如 SHA 和 MD5，用于实现行业标准算法。

加密/解密只允许发送者和授权接收者以可读的形式接收数据，并且只有在完整性验证过程完成后，才能解密数据包中的数据有效负载。

IPSec 为每个数据包使用一个唯一标识符，该标识符相当于指纹的数据，并检查是否已授权的数据包。它不会对整个数据包进行签名，除非它正在通过隧道传输——通常情况下，此 IP 数据有效负载受到保护，而不是 IP 标头，在隧道模式下，整个原始 IP 数据包被封装并添加了新的数据包标头。

传输模式中的 ESP 不为整个 IP 数据包提供完整性和身份验证。

运输模式下的 ESP

在这种情况下，ESP 标头插入到原始 IP 标头之后。ESP 尾部添加在 IP 尾部之后。ESP 尾部包含填充信息。它主要用于数据和安全端点相同的主机到主机场景。

运输模式下 ESP 的示意图如下 -

隧道模式封装构建了一个新的 IP 标头，其中包含安全端点的源地址和目标地址。在这种模式下，外部 IP 标头反映了安全端点的源和目标，可能与数据连接的原始源和目标 IP 地址相同，也可能不同。

隧道模式下 ESP 的示意图如下 -

AH 和 ESP 之间的主要区别如下 -

差异基础	身份验证标头	封装安全负载
Function	它提供了一种用于发送方数据源身份验证的机制。所以它不能提供数据保密/加密。	Provides Data Authentication and Data Privacy/Encryption and So it ensures both Confidentiality and Integrity for Packet Payload.
身份验证过程覆盖率的差异	它验证整个 IP 数据包，包括外部 IP 标头。	It authenticates only the IP datagram portion of the IP packet.
通过 NATed 网络工作	它不能通过 NATed 网络工作，因为它会对数据包的有效负载和标头进行散列处理，而 NAT 在转换过程中会更改数据包的 IP 标头。	它使用哈希算法来保证数据完整性，不包括数据包的 IP 标头，因此 ESP 将通过 NATed 设备正常工作。

基础教程