ESP и AH могут использоваться совместно в разных режимах. В документе, описывающем архитектуру IPsec, кратко рассматриваются методы настройки защищенных связей при использовании обоих протоколов.
Отметим, что в транспортном режиме для реализаций «bump-in-the-stack» и «bump-in-the-wire», как определено в архитектуре защиты, входящие и исходящие фрагменты IP могут потребовать от реализации IPsec выполнения дополнительных операций фрагментации/сборки дейтаграмм IP для выполнения требования данной спецификации и обеспечения прозрачной поддержки IPsec. Особое внимание следует обращать на выполнение таких операций при использовании множества интерфейсов.
3.1.2. Туннельный режим
В туннельном режиме «внутренний» заголовок IP содержит исходные адреса получателя и отправителя, а «внешний» заголовок IP — адреса «партнеров» IPsec (например, защитных шлюзов). Во внутреннем и внешнем заголовках могут использоваться разные версии IP (например, IPv6 через туннель IPv4 или IPv4 через туннель IPv6). В туннельном режиме заголовок AH защищает внутренний пакет целиком (включая его заголовок). Положение AH в туннельном режиме относительно внешнего заголовка IP совпадает с положением AH в транспортном режиме. На рисунке показано размещение AH в типичных пакетах IPv4 и IPv6 для туннельного режима.
---------------------------------------------------------------- IPv4 | | | Исх. заг. IP* | | | | Новый заголовок IP* (опции) | AH | (опции) |TCP| Data | ---------------------------------------------------------------- |<-- обработка измен. полей -->|<------ неизменные поля ------>| |<-- идентифицировано кроме изменяемых полей в новом загол. -->| -------------------------------------------------------------- IPv6 | | расширен.| | | расширен.| | | |Нов. загол*|заголовки*| AH |Исх. заг.IP*|заголовки*|TCP|Data| -------------------------------------------------------------- |<-- Обраб. перем. поля -->|<-------- неизменые поля ------->| |<-- идентифицировано кроме изменяемых полей в новом загол.->| * при использовании создается внешний заголовок IP и меняется внутренний, как описано в документе, посвященном архитектуре защиты. Расширенные заголовки могут отсутствовать.