IPsec数据报的格式。下面结合A1101R08A-EM1各字段的作用,讨论一下IPsec数据报是怎样构成的。

   IPsec数据报有以下两种不同的工作方式。

   第一种工作方式是运输方式(transpo⒒modc)。运输方式是在整个运输层报文段的后面和前面分别添加一些控制字段,构成IPscc数据报。这种方式把整个运输层报文段都保护起来,因此很适合于主机到主机之间的安全传送,但这需要使用IPsec的主机都运行IPsec协议。

   第二种工作方式是隧道方式(tumcl mOdc)。隧道方式是在一个IP数据报的后面和前面分别添加一些控制字段,构成IPscc数据报。显然,这需要在IPseG数据报所经过的所有路由器都运行IPscc协议。IPSec的隧道方式常用来实现虚拟专用网VN。当初在设计IPv4时还没有出现IPsec,这就给后来实现IPsec添加了一些麻烦。新的协议IPv6在设计时就考虑了IPscc的实现问题,在IP层的扩展首部中可以很方便地实现IPscc(使用EsP协议和AH协议)。由于在因特网中的主机数要远远大于路由器的数目,因此目前采用隧道方式实现IPsec会相对较为简单一些下面我们讨论把运输层报文段(或IP数据报)封装成IPscc数据报的过程。具体的步骤如下。

   在运输层报文段(或IP数据报)后面添加EsP尾部。ESp尾部有三个字段。第一个字段是填充字段,里面填充的是全0。第二个字段是填充长度(8位),指出填充宇段的字节数。为什么要再添加一些0呢?这是因为我们通常都是以具有一定字节长度的数据块为单位进行数据加密的。当运输层报文段(或IP数据报)的长度不是加密规定的数据块长度的整数倍时,就必须用0进行填充。每个0占据的长度是一个字节。不难看出,8位填充长度的最大值是255。但实际上,填充很少会用到这个最大值。ESP尾部的第三个字段是“下一个首部”(8位),其数值指明,在接收端,有效载荷应当上交到什么地方。