encapsulating security payload, ESP(封装安全有效负荷)模块为 ESP 所封装的内容提供了保密性。ESP 也提供 AH 提供的服务。但是,ESP 仅为 ESP 所封装的数据报部分提供保护。ESP 提供可选的验证服务以确保受保护的包的完整性。因为 ESP 使用启用了加密的技术,因此提供 ESP 的系统可能会受进出口控制法制约。
由于 ESP 封装其数据,因此 ESP 仅保护数据报中跟在其后的数据,如下图所示。
在 TCP 包中,ESP 仅封装 TCP 数据包头及其数据。如果包是 IP-in-IP 数据报,则 ESP 会保护内部的 IP 数据报。由于每个套接字的策略允许自封装,因此,ESP 可以在需要时封装 IP 选项。
如果设置了自封装,会生成 IP 数据包头的副本来构建 IP-in-IP 数据报。例如,如果未在 TCP 套接字上设置自封装,会以下列格式发送数据报:
[ IP(a -> b) options + TCP + data ] |
如果在 TCP 套接字上设置了自封装,则会以下列格式发送数据报:
[ IP(a -> b) + ESP [ IP(a -> b) options + TCP + data ] ] |
有关进一步介绍,请参见IPsec 中的传输模式和隧道模式。