VPN隧道模式与数据封装

1. 基本概念：什么是隧道模式？
   在VPN通信中，隧道模式 指的是原始数据包在传输过程中被处理和封装的方式。你可以把它想象成邮寄一封信。隧道模式决定了你是将整封信（包括信封）放入一个新的快递袋中，还是只将信纸取出放入新的快递信封。在VPN语境中，“信”就是你的原始数据包（例如，你访问网页的请求），而“新的快递袋”就是VPN为了安全穿越公共网络（如互联网）而添加的外层封装。

2. 核心区分：两种主要隧道模式
   主流的VPN隧道模式主要分为两种，它们的根本区别在于封装原始IP数据包的哪一部分。

   • 传输模式：

     • 类比：只将信纸（原始数据包的数据部分）放入新的快递袋。原始的信封（IP头）被保留，但会稍作修改。
     • 技术细节：在此模式下，VPN的封装层（如IPsec）主要保护原始IP包的载荷。原始IP包的IP头会被保留，并放置在VPN安全头（如认证头AH或封装安全载荷ESP）之后，外层再封装一个新的IP头用于在公网上路由。这个新的外层IP头，其源地址和目的地址就是VPN隧道两端的网关地址（例如，你的公司VPN网关IP和你的家庭路由器IP）。
     • 典型应用场景：主要用于端到端的安全通信，即通信的源和目的就是实际的两台主机。例如，公司内部两台需要直接加密通信的服务器，或者一个远程用户（作为一台主机）直接访问公司内网的某台特定服务器。它不改变原始通信的路径。

   • 隧道模式：

     • 类比：将整封信（包括原始信封）都放入一个新的快递袋中。原始信封被完全隐藏。
     • 技术细节：这是最常用、功能最强的模式。VPN封装层（如IPsec）会保护整个原始IP包。整个原始IP包（包括其IP头和数据）被视为一个整体，被当作数据载荷，在前面加上VPN安全头（如ESP），然后再最前面添加一个全新的IP头。这个新的外层IP头同样指向VPN隧道两端。
     • 典型应用场景：主要用于站点到站点或远程接入。例如，家庭办公室网络通过VPN连接到公司总部网络（站点到站点），或单个员工笔记本电脑接入公司内网（远程接入）。在这种模式下，公网上的路由器只看到外层IP头，完全不知道内部原始数据包的目的地，从而隐藏了整个内部网络拓扑。

3. 工作流程与封装结构对比
   假设主机A（IP: 10.1.1.10）要访问公司内网服务器S（IP: 10.1.1.100）。用户通过VPN网关G（公网IP: 203.0.113.1）接入。

   • 传输模式数据包结构：
     [ 新IP头 (源: 用户IP， 目的: 203.0.113.1) ][ VPN安全头 (如ESP) ][ 原始IP头 (源: 10.1.1.10， 目的: 10.1.1.100) ][ 原始数据 ]
     • 在公网上，数据包看起来是从用户主机直接发往VPN网关G的。内网地址对内网可见。
   • 隧道模式数据包结构：
     [ 新IP头 (源: 用户IP， 目的: 203.0.113.1) ][ VPN安全头 (如ESP) ][ 原始IP头 (源: 10.1.1.10， 目的: 10.1.1.100) ][ 原始数据 ]
     • 注意：这里看起来和传输模式一样？关键区别在于ESP保护的范围。在隧道模式中，ESP加密和认证的范围包括整个原始IP包。而在传输模式中，原始IP头在ESP之外（尽管受AH保护，但ESP通常不加密原始IP头）。更准确的隧道模式视角是：[ 新IP头 ][ ESP头 ][ 加密的(原始IP头+原始数据) ][ ESP尾 ]。在公网上，数据包看起来只是从用户主机发往网关G，内部目的地址（10.1.1.100）被完全隐藏。

4. 模式选择的影响与总结

   • 安全性：隧道模式安全性更高，因为它隐藏了原始通信的端点（内部IP地址），提供了完整的通道安全。传输模式暴露了内部网络结构。
   • 功能：隧道模式支持NAT穿越更灵活，能承载任何协议的数据包（如IPX、AppleTalk），因为它封装的是整个数据帧。传输模式通常只适用于IP协议。
   • 性能：传输模式因添加的包头更少，开销略小，理论上性能稍好。
   • 用途总结：
     • 使用隧道模式：当你需要连接整个网络（如远程接入访问所有公司资源），或连接两个远程网络（站点到站点）时。绝大多数商业VPN和远程访问VPN都使用此模式。
     • 使用传输模式：当需要为两台特定主机之间（而非网络之间）的通信提供端到端安全保护，且对性能有极致要求，且不介意暴露IP地址时。在企业内部特定服务器间通信中可能用到。