2.6.2 IPSec的实现方式

IPSec的一个特点就是它可以在共享网络访问设备，甚至可以在所有的主机和服务器上完全实现，这避免了升级网络设备的相关费用。IPSec支持2种模式：传输模式和隧道模式。

传输模式：

通常在IPSec在一台主机（客户机或服务器）上实现时使用，传输模式使用原始明文IP头，并且只加密数据（包括TCP或UDP头）。

当ESP在关联到多台主机的网络访问接入装置实现时使用，隧道模式处理整个IP数据包——包括全部TCP/IP或UDP/IP头和数据，它使用自己的地址作为源地址加入到新的IP头。当隧道模式用在用户终端设置时，它可以隐藏内部服务器和客户机的地址。

ESP支持传输模式，这种方式保护了高层协议，传输模式也保护IP包的内容，但不会保护IP包头。

如果要全面实现VPN，则推荐使用隧道模式。

一个实现IPSec的例子（隧道模式）：

某网络主机A生成一个IP包，目的地址时另一个网络中的主机B。这个包被发送到A主机所在网络的边缘设备（防火墙、路由器等），防火墙把所有出网的包过滤，看看哪些需要进行IPSec的处理。这个包是需要的，就把这个包打包，添加外层IP包头。这个外层包头的源地址是该防火墙，目的地址是B主机所在网络的边缘设备。现在这个包被传送到了B主机的防火墙，中途的路由器只会检查外层的IP包头。B主机网络的防火墙会把外层IP包头除掉，把IP内层发送到B主机。