IPSec có hai kiểu cung cấp nhận thực và mã hóa mức cao để thực hiện đóng gói thông tin, đó là Transport mode (truyền tải) và Tunnel mode (đường ngầm).
1. Transport mode: Trong mode này các dữ liệu giao tiếp với các gói tin được mã hóa/ xácthực. Trong quá trình routing, IP header không bị chỉnh sửa hay mã hóa, nhưng khi chế độ Authentication header của Ipsec được sử dụng thì địa chỉ IP cũng sẽ được mã hóa bằng cách chia nhỏ thành các gói tin riêng rẽ và độc lập (Hash). Transport và Application layer thường được bảo mật bằng hàm Hash, chúng không thể chỉnh sửa. Transport mode được sử dụng trong giao tiếp host - to - host.
Gói tin IP ở Transport mode
2. Tunnel mode: Trong Tunnel mode, toàn bộ gói IP (bao gồm cả data và header) sẽ được mã hóa và xác thực. Toàn bộ gói IP được định dạng thành một IP packet khác trong qúa trình routing của router. Tunnel mode được sử dụng trong giao tiếp network - to - network. Hoặc host – to – network và host – to – host trên internet. Do IPSec hoạt động ở lớp Network nên nó không phụ thuộc vào lớp Data Link như các giao thức dùng trong VPN khác như L2TP, PPTP.
Gói tin IP ở Tunnel mode
Nguyễn Văn Vượng, Lê Hải Dương, Phạm Phú Quý – VnPro