3.1.2. Tunnel Mode

In modalità tunnel, l'intestazione IP "interna" trasporta gli indirizzi sorgente e destinazione (IP) finali, mentre un'intestazione IP "esterna" contiene gli indirizzi dei "peer" IPsec, ad esempio, indirizzi dei gateway di sicurezza. Sono consentite versioni IP interne ed esterne miste, cioè IPv6 su IPv4 e IPv4 su IPv6. In modalità tunnel, AH protegge l'intero pacchetto IP interno, inclusa l'intera intestazione IP interna. La posizione di AH in modalità tunnel, relativa all'intestazione IP esterna, è la stessa di AH in modalità trasporto. Il seguente diagramma illustra il posizionamento della modalità tunnel AH per tipici pacchetti IPv4 e IPv6.

    ----------------------------------------------------------------
IPv4 |                              |    | orig IP hdr*  |   |      |
     |new IP header * (any options) | AH | (any options) |TCP| Data |
     ----------------------------------------------------------------
     |<- mutable field processing ->|<------ immutable fields ----->|
     |<- authenticated except for mutable fields in the new IP hdr->|

    --------------------------------------------------------------
IPv6 |           | ext hdrs*|    |            | ext hdrs*|   |    |
     |new IP hdr*|if present| AH |orig IP hdr*|if present|TCP|Data|
     --------------------------------------------------------------
     |<--- mutable field -->|<--------- immutable fields -------->|
     |       processing     |
     |<-- authenticated except for mutable fields in new IP hdr ->|

      * = if present, construction of outer IP hdr/extensions and
          modification of inner IP hdr/extensions is discussed in
          the Security Architecture document.