ESP 隧道模式采用 ESP 与 IP 报头以及 ESP 身份验证尾端来封装 IP 数据包。

数据包的签名部分表示对数据包进行签名以获得完整性并进行身份验证的位置。数据包的加密部分表示受到机密性保护的信息。

由于为数据包添加了隧道新报头，因此会对 ESP 报头之后的所有内容进行签名（ESP 身份验证尾端除外），因为这些内容此时已封装在隧道数据包中。原始报头置于 ESP 报头之后。在加密之前，会在整个数据包上附加 ESP 尾端。ESP 报头之后的所有内容都会被加密，ESP 身份验证尾端除外。这包括原始报头，该报头此时被视为数据包的数据部分的一部分。

然后，会将整个 ESP 有效负载封装在未加密的新隧道报头内。新隧道报头内的信息只用来将数据包从源地址发送到隧道终结点。

如果通过公用网络发送数据包，则数据包会路由到接收方 Intranet 的网关的 IP 地址。网关对数据包进行解密、丢弃 ESP 报头并使用原始 IP 报头将数据包路由到 Intranet 计算机。

进行隧道操作时，ESP 与 AH 可组合使用，从而为隧道 IP 数据包提供保密性，同时为整个数据包提供完整性和身份验证。

IPSec 隧道只为 IP 通信提供安全性。该隧道可配置为保护两个 IP 地址或两 个 IP 子网之间的通信。如果在两台计算机而不是两个网关之间使用隧道，则 AH 或 ESP 有效负载之外的 IP 地址将与 AH 或 ESP 有效负载之内的 IP 地址相同。在 Windows XP 和 Windows Server 2003 家族中，IPSec 不支持协议特定或端口特定隧道。配置隧道的方法是，使用“IP 安全策略管理”和“组策略”控制台以配置并启用两个规则：

1、用于出站隧道通信的规则。

出站通信规则是使用下述筛选器列表配置的：该列表描述通过隧道与在 IPSec 隧道对等（隧道另一端的计算机或路由器）配置的 IP 地址的隧道终结点发送的通信。

2、用于入站隧道通信的规则。

入站通信规则是使用下述筛选器列表配置的：该列表描述通过隧道与本地 IP 地址的隧道终结点（隧道本地端的计算机或路由器）接收的通信。

2100433B

IPSec 隧道模式对于保护不同网络之间的通信（当通信必须经过中间的不受信任的网络时）十分有用。隧道模式主要用来与不支持 L2TP/IPSec 或 PPTP 连接的网关或终端系统进行互操作。可以在下列配置中使用隧道模式：

网关到网关

服务器到网关

服务器到服务器AH协议

隧道中报文的数据源鉴别

数据的完整性保护

对每组IP包进行认证，防止黑客利用IP进行攻击

AH 隧道模式使用 AH 与 IP 报头来封装 IP 数据包并对整个数据包进行签名以获得完整性并进行身份验证。

众所周知，隧道在运营过程中，由于地下水、环境、材料劣化、地震、冻害等自然条件的变化，会发生开裂、错位、冻结、崩塌等各种病害，从而大大缩短其寿命。隧道中即使病害状态相同，结构物的安全性和耐久性也会有很大的差异。因此在养护管理中，必须要掌握可能发生的各种病害，分析发生的原因，评定损伤程度，并分析是否有必要采取相应的措施。一般维修养护的基本模式遵循检查→发现病害→分析病害原因→确定病害后结构物的健全度→制定相应的整治措施。在铁路隧道中，为确保行车通畅，给驾驶员提供舒适、安全的行车环境，根据隧道长度、流量、设计速度等设置相应规模的附属设施或设备。对这些附属设施或设备的维修养护管理也应给予足够的重视。隧道维修养护组织及其管理机构，一方面要适应当前养护管理体制转变的基本方针，另一方面也要适应作业模式的基本要求，其目的是提高维修养护作业效率、确保隧道结构物的良好运营环境。

根据国内外铁路隧道的养护管理经验和做法，可以根据隧道自身的特点，建立相应的养护管理体制，以适应隧道管理技术的发展。设置隧道管理中心作为养护维修综合协调管理机构，其工作主要包括：主体结构维修，电气设备维修，通风、电力、照明等机电设备维修，施工计划与调度、设备检测、灾害监控和微机管理控制等。同时，在出口和进口分别设置养护工区，主要进行经常性的线路及隧道的巡查。为充分发挥既有管理体制的效率，必须根据隧道的各种机械和检测装置的具体情况，建立养护管理章程及有关规定，如编制养护管理手册，确定各项管理标准，建立隧道病害的诊断、整治系统，建立隧道病害数据库等 。

在配置远程VPN组策略属性时可以设定分离隧道的模式。Cisco支持三种模式：excludesspecified (选择性不在分离隧道)， tunnelall (全部在分离隧道)，tunnelspecified (选择性在分离隧道)，并且这三种模式不可以同时使用在一个组策略上：

1）、全站仪 断面仪 后处理软件

将断面仪安置在由全站仪测定的已知点上，进行断面数据采集，在台式机上进行数据处理或PDA现场成图。

2）、徕卡全站仪 徕卡机载软件 后处理软件

在特定型号的徕卡全站仪上，加装具备隧道断面测量数据处理能力的软件模块，再配合运行在普通电脑上的后处理软件。

3）、全站仪 PDA（掌上电脑） 后处理软件。

由于徕卡机载软件只适用于特定型号的徕卡全站仪。为了打破这种技术垄断和局限，人们纷纷在PDA（掌上电脑）上开发了相应软件，并做了面向多种型号全站仪的接口。这样的PDA与全站仪相接，也可实现部分隧道断面测量数据的现场处理，有的也可现场成图。

4）、全站仪 后处理软件

让全站仪只负责采集数据，运行在普通电脑上的软件只负责数据处理，借助全站仪同电脑固有的通信功能，实现工作模式的内、外业一体化和软件的通用化。

显然这种类型的软件不依赖任何特定型号的全站仪，又可进行全站仪测量数据的后处理，开辟了新的隧道断面测量解决方式。