ESP支持两种使用模式：传输模式和隧道模式。

1. 传输模式

传输模式（Transport Mode）主要为上层协议提供保护。也就是说，传输模式保护IP包的载荷。例子包括TCP段或UDP段，在协议栈中二者都位于IP之上，如图7-9所示。通常，传输模式用于两个主机（例如，客户端和服务器，或两个工作站）之间的端到端通信。当主机在IPv4上运行ESP时，载荷通常是跟在IP头之后的数据。对于IPv6，载荷通常则是跟在IP头和存在的任何IPv6扩展头之后（目标选项头除外）的数据。

传输模式下的ESP，加密并可选地验证IP载荷，但不包括IP头。

图7-9　ESP的传输模式

2. 隧道模式(www.daowen.com)

隧道模式为整个IP数据包提供保护。为实现这一点，在将ESP字段添加到IP包之后，把整个包加上安全字段看成是带有新的IP头的新的外部IP包的载荷，如图7-10所示。整个原来的（内部的）包，通过一个隧道从IP网络的一个节点传播到另一个节点；沿途的路由器不会检查内部IP头。由于原始的数据包被封装，新的较大的数据包可能具有完全不同的源和目标地址，从而增加了安全性。当安全关联的一端或两端是安全网关（例如，实施了IPSec的防火墙或路由器）时，可以使用隧道模式。在隧道模式下，防火墙之后的网络上的许多主机都可以进行安全通信，而无须实施IPSec。由这些主机生成的未受保护的数据包，通过由隧道模式SA创建的隧道在外部网络中传输。这里的隧道模式SA，是由位于本地网络边界的防火墙或安全路由器中的IPSec软件所建立的。

这里有一个隧道模式IPSec如何运行的例子。一个网络上的主机A产生了一个数据包，其目的地址是另一个网络上的主机B。这个数据包从主机A路由到A所在的网络的边界的防火墙或安全路由器。该防火墙过滤所有传出的数据包，以确定是否需要进行IPSec处理。如果这个从A到B的数据包需要进行IPSec处理，则防火墙执行IPSec处理并用一个外部IP头封装这个数据包。该外部IP数据包的源IP地址是这个防火墙，目标地址可能是形成B的本地网络边界的防火墙。这个数据包现在路由到B的防火墙，中间的路由器仅检查外部IP头。在B的防火墙上，外部IP头被剥离，内部数据包被传送到B。

隧道模式下的ESP，加密并可选地验证整个内部IP数据包，包括内部IP头。

图7-10　ESP的隧道模式