AH
AH協定僅包括資料的認證,資料完整性校驗以及防封包重播攻擊,如上圖可知,無論是傳輸模式還是隧道模式,AH的認證範圍都是全部的封包,AH的資料校驗字段是包含在AH首部當中的,是以這雖然看起來很不錯,但是當這類封包在經過NAT之後,IP首部中的位址發生變化,AH首部中的校驗字段将與經過NAT後的封包比對不上,是以這将導緻資料封包傳送到對端後,對端會直接将其丢棄,這主要原因就是AH的校驗字段中記錄的校驗和與根據現有封包計算出來的校驗和不一樣。
ESP
從上圖可知,ESP無論是傳輸還是隧道模式,它的認證範圍都僅僅在ESP首部和ESP尾部這段範圍,ESP的校驗資料是添加在ESP尾部的,也就是ESP AUTH DATA這個字段,那麼為什麼ESP會有ESP尾部?其實本質原因是因為ESP是具備加密功能的,是以比如在使用AES這樣的加密算法的時候,需要輸入固定長度的字段,是以需要在ESP的尾部作填充。
ESP的加密範圍比起認證範圍少了一個ESP首部的字段。
因為無論在傳輸模式還是隧道模式,ESP的認證範圍沒有包括IP首部,是以ESP是可以進行NAT操作的。