Что и как делает ESP Уже знакомый вам протокол «Вложенные защищенные передаваемые данные IР» (IP Encapsulating Security Payload — ESP) является механизмом обеспечения сохранности и конфиденциальности датаграмм IP. Кроме того, ESP может быть использован для удостоверения происхождения данных, в зависимости от используемых алгоритмов. Безотказность работы и защита анализом данных не предусмотрены в ESP. Так же как и в АН, удостоверение происхождения данных и их сохранности совмещены и называются идентификацией.

Конфиденциальность потока данных требует выбора туннельного режима.
Передаваемые данные ESP появляются после IP-заголовка, но перед протоколом транспортного уровня. Протоколу ESP IANA назначила номер 50. ESP состоит из незашифрованного заголовка, за которым следуют зашифрованные данные. Эти данные состоят из защищенных полей заголовка ESP и данных пользователя, которыми могут быть вся датаграмма IP, включая заголовки верхнего уровня и собственно данные пользователя.

Защита ESP Так же как и АН, ESP может быть использован в двух режимах: транспортном и туннельном. В первом случае ESP подходит только хостам и обеспечивает защиту протоколов верхнего уровня, но не IP-заголовка. (В этом режиме, в случае вариантов запихнуть-в-стек и запихнуть-в-железо, входящие и исходящие IP-фрагменты могут потребовать такую реализацию IPSec, которая выполняла бы дополнительную сборку/фрагментацию для того, чтобы соответствовать этой спецификации и обеспечить прозрачную поддержку IPSec.) На 9.6 , что защищает ESP в транспортном режиме. ESP помещается после IP-заголовка и пе 171 ред протоколами верхнего уровня, такими как TCP, UDP, ICMP и др., или перед любым другим уже вставленным заголовком IPSec. В контексте IPv4 это означает помещение ESP после IP-заголовка (и любых содержащихся в нем настроек), но перед протоколом верхнего уровня. «Концевик ESP» содержит все заполняющие биты, их длину и поля следующего заголовка.

На 9.7 показана защита ESP в транспортном режиме в случае IPv6. ESP рассматривается как полезная нагрузка, доставляемая из конца в конец, и, таким образом, должна появиться после данных о пересылках, маршрутизации и заголовков расширения фрагментации. Заголовок (заголовки) расширения настроек получателя могут появиться как до, так и после заголовка ESP, в зависимости от необходимости. Однако в силу того, что ESP защищает только поля после заголовка ESP, то в общем случае это может быть желательным — поместить заголовки настроек получателя после заголовка ESP.

Защищаемые данные в случае туннельного режима ESP показаны на 9.8. Туннельный режим может быть использован как хостами, так и шлюзами безопасности. Когда ESP применяется в реализации для шлюза безопасности (с целью защиты транзитного трафика пользователя), то должен использоваться туннельный режим. В туннельном режиме «внутренний» IP-заголовок содержит адреса конечного получателя и отправителя, тогда как «внешний» IP-заголовок может содержать другие IP-адреса, например адреса шлюзов безопасности. В туннельном режиме ESP защищает весь внутренний IP-пакет, включая весь внутренний IP-заголовок. Позиция ESP в туннельном режиме относительно внешнего IP-заголовка такая же, как и в случае ESP в транспортном режиме.