En los Routers Huawei, el modo de encapsulación es el proceso de agregar campos AH o ESP a paquetes IP originales para la autenticación y el cifrado de paquetes. Este proceso se implementa en modo transporte o túnel de IPSec.
Modo de transporte
En el modo de transporte, se agrega un encabezado AH o ESP entre un encabezado IP y un encabezado de protocolo de capa de transporte para proteger la carga útil de TCP, UDP o ICMP. El modo de transporte no cambia el encabezado IP, por lo que las direcciones de origen y destino de un túnel IPSec deben ser las mismas que las del encabezado IP. Este modo de encapsulación se aplica solo a la comunicación entre dos hosts o entre un host y una puerta de enlace VPN.
La siguiente figura muestra un ejemplo de encapsulación de paquetes TCP en modo de transporte.
Encapsulamiento de paquetes en modo transporte
En el modo de transporte, AH verifica la integridad de todo el paquete IP. ESP verifica la integridad del encabezado ESP, el encabezado del protocolo de la capa de transporte, los datos y la cola ESP, excluyendo el encabezado IP. Por lo tanto, ESP no puede proteger el encabezado IP. ESP cifra el encabezado del protocolo de la capa de transporte, los datos y la cola de ESP.
Modo túnel
En el modo túnel, se agrega un encabezado AH o ESP fuera del encabezado IP sin procesar, y se agrega un nuevo encabezado IP fuera del encabezado AH o ESP para proteger el encabezado IP y la carga útil. El modo túnel se aplica a la comunicación entre dos puertas de enlace VPN o entre un host y una puerta de enlace VPN.
La siguiente figura muestra un ejemplo de encapsulación de paquetes TCP en modo túnel.
Encapsulamiento de paquetes en modo túnel
En el modo túnel, AH verifica la integridad de todo el paquete IP, incluido el nuevo encabezado IP. ESP verifica la integridad del encabezado ESP, el encabezado IP sin procesar, el encabezado del protocolo de la capa de transporte, los datos y la cola ESP, excluyendo el nuevo encabezado IP. Por lo tanto, ESP no puede proteger el nuevo encabezado de IP. ESP cifra el encabezado IP sin formato, el encabezado del protocolo de la capa de transporte, los datos y la cola ESP.
Comparaciones entre el modo de transporte y el modo de túnel
Los dos modos de encapsulación difieren en lo siguiente:
l El modo túnel es más seguro porque los paquetes IP originales pueden autenticarse completamente y cifrarse en modo túnel. Este modo oculta la dirección IP, el tipo de protocolo y el número de puerto en un paquete IP original.
l El modo túnel genera un encabezado IP adicional, que ocupa más ancho de banda que el modo de transporte.
Cuando, tanto AH como ESP se usan para proteger el tráfico, deben usar el mismo modo de encapsulación.
