隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。
传输(transport)模式:仅仅是传输层数据被用来计算AH或ESP头。AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。
在tunnel和transport模式下的数据封装形式例如以下图所看到的。图中data为原IP报文。
两者的差别在于IP数据报的ESP负载部分的内容不同。在隧道模式中,整个IP数据报都在ESP负载中进行封装和加密。当这完毕以后。真正的IP源地址和目的地址都能够被隐藏为Internet发送的普通数据。这样的模式的一种典型使用方法就是在防火墙-防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。
在传输模式中。仅仅有更高层协议帧(TCP、UDP、ICMP等)被放到加密后的IP数据报的ESP负载部分。
在这样的模式中,源和目的IP地址以及全部的IP包头域都是不加密发送的。