Создание заголовка для туннельного режима IPSec описывает обработку внутреннего и внешнего заголовков, заголовков расширений и настроек туннелей АН и ESP. Сюда входит создание внешнего IP-заголовка, обработка полей внутреннего IP-заголовка, и другие необходимые действия. Основная идея взята из описания в RFC 2003, «Встраивание IP с помощью IP» (IP Encapsulation with IP):

Поля внешнего IP-заголовка Адрес Отправителя и Адрес Получателя задают конечные точки туннеля (формирователя и расформирователя). Поля внутреннего IP-заголовка Адрес Отправителя и Адрес Получателя задают, соответственно, начального отправителя и конечного получателя датаграммы (с точки зрения этого туннеля).

Внутренний IP-заголовок не модифицируется, за исключением поля TTL, и остается неизменным до точки выхода из туннеля.

Не производится никаких изменений в настройках IP и заголовках расширений внутреннего заголовка в процессе доставки встроенной датаграммы через туннель.

Если необходимо, то заголовки других протоколов, таких как Идентифицирующий заголовок IP, могут быть помещены между внешним и внутренним заголовками IP.

Следующие таблицы показывают, как происходит обработка различных полей заголовков/настроек. Термин «создан» означает, что значение в поле внешнего заголовка создается независимо от значения соответствующего поля во внутреннем заголовке.

В 9.3 создание заголовка IPv4 для туннельного режима. Примечания к таблице сделаны в следующем за ней примечании.

В 9.4 создание заголовка IPv6 для туннельного режима. Примечания к таблице сделаны в следующем за ней примечании.

1 версия IP вложенного заголовка может отличаться от версии внешнего.
2 TTL во внутреннем заголовке уменьшается формирователем перед отправкой пакета и расфорнирователем, если он пересылает пакет дальше. (контрольная сумма переечитывается, если TTL изменено.)

3 адреса отправителя и получателя зависят от той SA, которая используется для определения адреса получателя, который, в свою очередь, определяет, какой адрес отправителя (интерфейс сети) используется при пересылке пакета дальше. в принципе, адрес отправителя из внешнего заголовка может быть адресом любого из интерфейсов формирователя или даже отличным от его любого IP-адреса, например когда он действует как транслятор сетевых адресов, так как этот адрес можно получить через формирователь из окружения, в которое этот пакет был послан. это не будет проблемой, поскольку в IPsec в настоящее время не производится ни какой обреботки входящих пакетов, использующей адрес отправителя из внешнего заголовка. таким образом, получающая сторона туннеля использует адрес получателя внешнего заголовка и адрес отправителя из внутреннего.

4 настройка определяет, копируются ли флаги из внутреннего заголовка (только ipv4) и устанавливается или сбрасывается флаг df.

5 если внутренний заголовок является ipv4 (протокол - 4), тогда t0s копируется, если внутренний заголовок — ipv6 (протокол - 41), то класс отображается на t0s.
6 если внутренний заголовок является ipv6 (протокол - 41), тогда класс копируется, если внутренний заголовок — ipv4 (протокол 4), то t0s отображается на класс.

Применение НМАС в АН и ESP Из-за эффективности НМАС (смотрите главу 5, «НМАС»; вы должны ознакомиться с этой главой до того, как приступать к, этому разделу), он был подготовлен для использования с АН и ESP. НМАС применяется в двух хэш-функциях, MD5 и SHA-1. В этой части главы мы сфокусируемся на том, как НМАС используется в следующих контекстах: НМАС и MD5 в ESP и АН (RFC 2403); и НМАС и SHA-1 в ESP и АН (RFC 2402). В этом разделе даются основные понятия этих RFC.

Повторяя уже сказанное: эти две операции разработаны для удостоверения того, что полученный пакет действительно отправлен из ожидаемого места и что полученный пакет не был изменен по пути.