ipsec VPN的隧道模式

　　VPN的连接模式

　　VPN技术有两种基本的连接模式：隧道模式和传输模式。这两种模式实际上定义了两台实体设备之间传输数据时所采用的不同的封装过程。

　　1) 传输模式

　　传输模式一个最显著的特点就是：在整个VPN的传输过程中，IP包头并没有被封装进去，这就意味着从源端到目的端数据始终使用原有的IP地址进行通信。而传输的实际数据载荷被封装在VPN报文中。对于大多数VPN传输而言，VPN的报文封装过程就是数据的加密过程，因此，攻击者截获数据后将无法破解数据内容，但却可以清晰地知道通信双方的地址信息。

　　由于传输模式封装结构相对简单(每个数据报文较隧道模式封装结构节省20字节)，因此传输效率较高，多用于通信双方在同一个局域网内的情况。例如：网络管理员通过网管主机登录公司内网的服务器进行维护管理，就可以选用传输模式VPN对其管理流量进行加密。

　　2) 隧道模式

　　隧道模式中，VPN设备将整个三层数据报文封装在VPN数据内，再为封装后的数据报文添加新的IP包头。由于新IP包头中封装的是VPN设备的ip地址信息，所以当攻击者截获数据后，不但无法了解实际载荷数据的内容，同时也无法知道实际通信双方的地址信息。

　　由于隧道模式的VPN在安全性和灵活性方面具有很大的优势，在企业环境中应用十分广泛，总公司和分公司跨广域网的通信、移动用户在公网访问公司内部资源等很多情况，都会应用隧道模式的VPN对数据传输进行加密。