Modo Tunel y Modo Transporte

Modo de túnel

En el modo de túnel, todo el paquete IP (además de los datos de las cabeceras de los mensajes) están codificados y / o autenticados. Debe ser encapsulada en un nuevo paquete IP para el encaminamiento a trabajar. Túnel se utiliza el modo de red-a-red de comunicaciones (túneles seguros entre routers, por ejemplo, para VPNs) o host-a-red y host-a-host de comunicaciones más la Internet.

Modo de transporte

En modo de transporte, sólo la carga útil (los datos que la transferencia) del paquete IP están codificados y / o autenticados.El encaminamiento está intacta, ya que la cabecera IP no es ni modificado ni cifrada, sin embargo, cuando lacebecera de autenticacion se utiliza, las direcciones IP no puede ser traducido ya que esto invalida el valor hash El tranporte y la capas están siempre garantizados por hash, por lo que no puede ser modificado de ninguna manera (por ejemplo,la traduccion de los números de puerto.)Transportes se utiliza el modo de host-a-host de comunicaciones.

Para proteger la integridad de los datagramas IP, los protocolos IPsec emplean códigos de autenticación de mensaje basados en resúmenes (HMAC

- Hash Message Authentication Codes). Para el cálculo de estos HMAC los protocolos HMAC emplean algoritmos de resumen como MD5 y SHA para calcular un resumen basado en una clave secreta y en los contenidos del datagrama IP. El HMAC se incluye en la cabecera del protocolo IPsec y el receptor del paquete puede comprobar el HMAC si tiene acceso a la clave secreta.