隧道模式（Tunnel Mode）和传输模式（Transport Mode）是IPsec中使用的两种不同的加密方式。它们之间的区别在于加密的范围和加密的对象。 首先，隧道模式是IPsec中使用的默认模式，也是最常见的模式。在隧道模式下，整个IP报文都被加密和封装。发送方在发送IP报文之前，将整个IP报文加密，并在IP头部插入一个新的IP头部，即封装了原始的IP头部和整个IP报文的新的IP头部。然后，封装后的IP报文将通过IP网络传输到目的地。接收方在接收到封装后的IP报文之后，将解密封装后的内容，并还原原始的IP报文。
其次，传输模式只加密IP报文的有效负载部分（Data部分），不对IP头部进行加密和封装。也就是说，传输模式只对传输层以上的数据进行加密处理，而不对网络层及以下的数据进行加密处理。发送方在发送IP报文之前，只将有效负载部分进行加密，并将加密后的有效负载替换原始IP报文的有效负载部分。然后，加密后的IP报文将通过IP网络传输到目的地。接收方在接收到加密后的IP报文之后，将解密有效负载部分，得到原始的IP报文。
此外，在隧道模式中，加密和封装操作发生在发送方的端点和接收方的端点之间。也就是说，发送方负责加密和封装操作，而接收方负责解密和还原操作。这意味着隧道模式能够提供端到端的安全性，保护整个网络层的数据。
与此相反，在传输模式中，加密和解密操作发生在发送方的端点和接收方的端点之间。也就是说，发送方负责加密操作，而接收方负责解密操作。这意味着传输模式只能提供点对点的安全性，只保护传输层以上的数据，不保护网络层及以下的数据。
最后，由于隧道模式对整个IP报文进行加密和封装，所以隧道模式可以用于在不安全的网络（如互联网）上通过加密隧道连接远程网段，以保护整个网络层的数据的安全性和完整性。而传输模式只对有效负载部分进行加密，所以传输模式通常用于主机与主机之间的通信，用于保护主机间的数据的机密性。