121.如下图所示, IPSec 传输模式中AH 协议认证的范围是?

**解析：** 在 IPSec 协议中，AH（Authentication Header，认证头）协议主要提供数据源认证、数据完整性校验和防重放保护。AH 协议对 IP 数据包的认证范围取决于其工作模式（传输模式或隧道模式）。 1. **AH 协议的特性**： AH 协议会对整个 IP 数据包进行认证，包括 IP 头部中那些在传输过程中保持不变的部分（如源地址、目的地址等）以及上层协议数据。这是 AH 与 ESP（Encapsulating Security Payload）的主要区别之一，ESP 通常不认证外部 IP 头部。 2. **传输模式（Transport Mode）**： * 在传输模式下，AH 头部被插入到原始 IP 头部和上层协议（如 TCP、UDP、ICMP 等）之间。 * **认证范围**：AH 会认证**原始 IP 头部**（除去在传输中可能变化的字段，如 TTL、Header Checksum 等）、**AH 头部本身**以及**上层协议数据**。 * 简单来说，在传输模式中，AH 保护的是“原始 IP 头 + 载荷”。 3. **结合图示分析**： * 通常此类题目中的图示会将 IP 数据包划分为几个部分： * 区域 1：通常指原始 IP 头部。 * 区域 2：通常指 AH 头部。 * 区域 3：通常指上层协议头部（如 TCP/UDP 头）。 * 区域 4：通常指上层协议数据（Payload）。 * 或者图示标记了不同的括号范围。 * 根据标准 IPSec 传输模式 AH 的定义，认证范围覆盖了**除了 IP 头部中易变字段外的整个原始 IP 数据包**。 * 如果图中的标号含义如下（常见考题图示逻辑）： * 1：仅上层数据 * 2：AH 头 + 上层数据 * 3：原始 IP 头 + AH 头 + 上层数据（但不包括 IP 头）—— 这种划分较少见。 * **更常见的图示逻辑是**： * 图示展示了一个完整的 IP 包结构。 * AH 传输模式的认证范围涵盖了：**原始 IP 头部** + **AH 头部** + **上层协议数据**。 * 在许多教材的示意图中，会用一个大括号或标记“4”来表示这个最大的认证范围，即从原始 IP 头开始一直到数据结束。 * **具体对应选项 D (4)**： 在此类经典题库图中，数字 **4** 通常代表**整个原始 IP 数据包（含 IP 头）加上 AH 头后的整体认证范围**，或者特指 AH 协议在传输模式下所覆盖的完整区域（即：原始 IP 头 + AH 头 + 上层数据）。由于 AH 的核心特征就是认证 IP 头，因此其范围比 ESP 更广，覆盖了图示中最广泛的部分，通常对应标号 4。 **总结：** IPSec 传输模式中，AH 协议认证的范围包括：**原始 IP 头部**（固定字段）、**AH 头部**和**上层协议数据**。在常见的考试示意图中，这一完整范围通常由标号 **4** 指示。 故正确答案为 **D**。