IPsec（Internet Protocol Security）是一种用于保护IP数据包的协议套件，提供机密性、完整性和身份认证。在IPsec中，VPN（Virtual Private Network，虚拟私人网络）通常使用两种主要的传输模式：传输模式（Transport Mode）和隧道模式（Tunnel Mode）。不同模式下，封装后的数据包结构有所不同。 在传输模式下，IPsec封装的数据包包含一个额外的IP头。这个额外的IP头被添加在原始IP数据包的上层，用于承载IPsec协议所需的信息。具体来说，原始的IP数据包的IP头并没有被完全替换，而是被保留，被IPsec协议处理，用于识别数据包的发送和接收节点。因此，在传输模式下，IPsec封装后的数据包结构如下所示：
- 外部IP头：这是添加的IP头，包含了IPsec的相关信息，例如安全协议、加密算法等。 - 原始IP数据包：在外部IP头之内，保留了原始的IP数据包，其中包含实际的数据负载。 这种结构使得传输模式适合于端到端的通信保护，因为它仅对数据包的有效负载进行了保护，而不影响原始IP头的内容，这有助于确保IP包的完整性和隐私保护。
相比之下，在隧道模式下，IPsec封装的数据包包含两个额外的IP头。这种模式更为广泛地用于连接两个不同网络或两个VPN网关之间的安全通信。隧道模式的数据包结构如下：
- 外部IP头：在隧道模式下，同样有一个外部的IP头，它与传输模式下的外部IP头类似，包含IPsec的相关信息。 - 新的IP头：在外部IP头之内，IPsec添加了一个新的IP头，用于指示数据包的最终接收节点，即VPN网关或目标网络。 - 原始IP数据包：在新的IP头之内，保留了原始的IP数据包，其中包含实际的数据负载。 这种结构使得隧道模式适用于网络对网络的连接，因为它允许将整个原始IP数据包（包括原始IP头）加密和封装，然后通过公共网络传输，最终到达目标网络或VPN网关。隧道模式提供了更高级别的隔离和安全性，适用于需要连接不同网络实体的场景。
综上所述，传输模式和隧道模式在IPsec中封装数据包时的主要区别在于额外添加的IP头数量和其所承载的信息类型。传输模式适合端到端的通信保护，而隧道模式适合网络对网络的连接。选择合适的模式取决于具体的应用场景和安全需求。