3.1.2. Mode tunnel

En mode tunnel, l'en-tête IP "interne" transporte les adresses source et destination (IP) ultimes, tandis qu'un en-tête IP "externe" contient les adresses des "pairs" IPsec, par exemple, les adresses des passerelles de sécurité. Les versions IP internes et externes mixtes sont autorisées, c'est-à-dire IPv6 sur IPv4 et IPv4 sur IPv6. En mode tunnel, AH protège l'intégralité du paquet IP interne, y compris l'intégralité de l'en-tête IP interne. La position d'AH en mode tunnel, par rapport à l'en-tête IP externe, est la même que pour AH en mode transport. Le diagramme suivant illustre le positionnement du mode tunnel AH pour des paquets IPv4 et IPv6 typiques.

    ----------------------------------------------------------------
IPv4 |                              |    | orig IP hdr*  |   |      |
     |new IP header * (any options) | AH | (any options) |TCP| Data |
     ----------------------------------------------------------------
     |<- mutable field processing ->|<------ immutable fields ----->|
     |<- authenticated except for mutable fields in the new IP hdr->|

    --------------------------------------------------------------
IPv6 |           | ext hdrs*|    |            | ext hdrs*|   |    |
     |new IP hdr*|if present| AH |orig IP hdr*|if present|TCP|Data|
     --------------------------------------------------------------
     |<--- mutable field -->|<--------- immutable fields -------->|
     |       processing     |
     |<-- authenticated except for mutable fields in new IP hdr ->|

      * = if present, construction of outer IP hdr/extensions and
          modification of inner IP hdr/extensions is discussed in
          the Security Architecture document.