104.如下图所示, IPSec 隧道模式中AH 协议认证的范围是?

**解析：** 在 IPSec 协议中，AH（Authentication Header，认证头）和 ESP（Encapsulating Security Payload，封装安全载荷）是两种主要的安全协议。题目询问的是 **隧道模式（Tunnel Mode）** 下 **AH 协议** 的认证范围。 1. **AH 协议的特点**： AH 协议提供数据源认证、数据完整性校验和防重放攻击服务，但不提供加密服务。AH 会对整个 IP 数据包进行认证，包括 IP 头部中那些在传输过程中不会改变的字段（如源地址、目的地址等，但在 NAT 环境下会有问题，因为 NAT 会修改 IP 地址，导致 AH 校验失败）。 2. **隧道模式（Tunnel Mode）的结构**： * 在隧道模式下，原始 IP 数据包（包括原始 IP 头和 payload）会被整体封装在一个新的 IP 数据包中。 * 新的 IP 头部（外层 IP 头）被添加在最前面。 * AH 头插入在外层 IP 头和内部封装的原始 IP 数据包之间。 3. **AH 在隧道模式下的认证范围**： * AH 协议在隧道模式下，会保护**整个内部 IP 数据包**（即原始 IP 头 + 原始数据）以及**外层 IP 头中不变的字段**。 * 具体来说，AH 的认证范围覆盖： * **外层 IP 头**（除了一些可变字段，如 TTL、Checksum 等，但通常认为 AH 保护外层 IP 头的关键部分）。 * **AH 头本身**。 * **整个内部 IP 数据包**（包括内部 IP 头和内部负载）。 让我们结合常见的图示标记来分析选项（虽然图片未直接显示，但根据标准 IPSec 隧道模式 AH 结构图推断）： * 通常图示会将数据包分为几个部分： * 区域 1：可能指外层 IP 头的某些可变字段或不保护部分。 * 区域 2：可能指 AH 头。 * 区域 3：可能指内部 IP 头。 * 区域 4：通常代表**整个被保护的数据部分**，即从 AH 头之后开始，包含整个内部 IP 数据包（内部 IP 头 + 数据），并且在某些图示定义中，如果标号 4 涵盖了 AH 所认证的整个有效载荷部分（即内部整个包），或者标号 4 代表了 AH 协议在隧道模式下保护的完整范围（外层IP头不可变部分+AH头+内层整个包）。 **更标准的图解对应关系通常是：** * 在 IPSec 隧道模式 AH 的示意图中： * **外层 IP 头**：部分字段受保护。 * **AH 头**：受保护。 * **内部 IP 头 + 内部数据**：全部受保护。 在此类考试题目的典型图示中： * 标号 1 通常指外层 IP 头中不被认证的 mutable 字段（如 TTL, ToS 等变化位）。 * 标号 2 通常指 AH 头。 * 标号 3 通常指内部 IP 头。 * 标号 4 通常指**内部数据负载**或者**整个内部 IP 包**。 然而，关键在于理解 **AH 隧道模式认证的是“整个内部 IP 数据包”以及“外层 IP 头的固定部分”**。 如果这是一道经典的华为或网络工程师认证题，其图示通常如下定义范围： * **传输模式 AH**：认证 IP 头（固定部分）+ AH 头 + 上层协议数据。 * **隧道模式 AH**：认证 外层IP头（固定部分）+ AH 头 + **整个内部 IP 数据包（内部IP头 + 内部数据）**。 观察选项 D 为正确答案，且通常这类题目中： * 区域 4 往往标注的是**整个内部 IP 数据包**（Internal IP Header + Data），这是隧道模式与传输模式最大的区别点（传输模式只认证上层协议，隧道模式认证整个内部 IP 包）。 * 或者，区域 4 代表了 AH 协议在隧道模式下所保护的**最大连续范围**，即除了外层 IP 头中易变字段外的所有部分。 **结论：** IPSec 隧道模式中，AH 协议会对**整个内部 IP 数据包**进行认证。在大多数此类示意图中，标号 **4** 指向的是被封装在内的整个原始 IP 数据包（或包含 AH 头在内的整个受保护载荷部分），因此选 D。 **简单记忆：** * **ESP 隧道模式**：加密并认证内部 IP 包（可选认证外层）。 * **AH 隧道模式**：认证外层 IP 头（固定字段）+ AH 头 + **整个内部 IP 包**。 * 图中 4 代表的就是那个“整个内部 IP 包”或者“AH 保护的核心数据范围”。 答案：**D**