3.1.2. Tunnel Mode (Tunnelmodus)

Im Tunnelmodus trägt der "innere" IP-Header die ultimativen (IP-)Quell- und Zieladressen, während ein "äußerer" IP-Header die Adressen der IPsec-"Peers" enthält, z.B. Adressen von Security Gateways. Gemischte innere und äußere IP-Versionen sind erlaubt, d.h. IPv6 über IPv4 und IPv4 über IPv6. Im Tunnelmodus schützt AH das gesamte innere IP-Paket, einschließlich des gesamten inneren IP-Headers. Die Position von AH im Tunnelmodus, relativ zum äußeren IP-Header, ist die gleiche wie für AH im Transportmodus. Das folgende Diagramm veranschaulicht die AH-Tunnelmodus-Positionierung für typische IPv4- und IPv6-Pakete.

    ----------------------------------------------------------------
IPv4 |                              |    | orig IP hdr*  |   |      |
     |new IP header * (any options) | AH | (any options) |TCP| Data |
     ----------------------------------------------------------------
     |<- mutable field processing ->|<------ immutable fields ----->|
     |<- authenticated except for mutable fields in the new IP hdr->|

    --------------------------------------------------------------
IPv6 |           | ext hdrs*|    |            | ext hdrs*|   |    |
     |new IP hdr*|if present| AH |orig IP hdr*|if present|TCP|Data|
     --------------------------------------------------------------
     |<--- mutable field -->|<--------- immutable fields -------->|
     |       processing     |
     |<-- authenticated except for mutable fields in new IP hdr ->|

      * = if present, construction of outer IP hdr/extensions and
          modification of inner IP hdr/extensions is discussed in
          the Security Architecture document.