- Có hai loại đường hầm chính là đường hầm có cấu hình và đường hầm tự động.
a.Authentication Header Protocol
Giao thức header xác thực (AH) đính thêm vào header của IP datagram. Header này cung cấp IP datagram gốc tại nơi nhận. Bên cạnh đó, header này giúp xác định bầt kì sự chỉnh sửa nào bởi các user trái phép khi dữ liệu truyền qua mạng. Tuy nhiên HA không cung cấp sự tin cẩn.
Để tạo ra HA, Hashed Authentication Message Code (HMAC) được tạo ra tai nơi gửi. Mã hash code được tạo ra trên một SA xác định, xác định thứ tự biến đổi datagram. Mã sẽ được đính vào sau IP header ban đầu. Tại nơi nhận, HMAC được giải mã để xác định người gửi cũng như tính tòan vẹn của dữ liệu.
Ghi chú : Thông thường mã hash code được thực thi trong AH là HMAC- MD5 và HMAC-SHA1. DES-MAC thì có thể có hoặc không.
AH không hề đưa ra một cơ chế tin cẩn khi truyền đi. Nó chỉ đơn thuần thêm một header vào IP datagram; phần còn lại của datagram được giữ nguyên như ban đầu. AH không bảo vệ bất kì trường nào trong IP header bởi vì chúng có thể thay đổi trong quá trình truyền. Trường duy nhất không thay đổi trong quá trình truyền sẽ được bảo vệ bởi AH. Ví dụ IP của nơi gửi và nơi nhận. Hình 6-3 minh họa IP datagram sau khi IPSec AH được thêm vào.
Hình 6-3: Gói IP sau khi authentication header được thêm vào
Độ dài AH là 24 bytes và cấu trúc định dạng của IPSec AH được mô tả như hình vẽ 6-4.
Figure 6-4: Định dạng của IPSec Authentication Header AH gồm có nhiều trường:
Next Header. Trường xác định giao thức bảo mật
Chiều dài Payload.Trường xác định chiều dài của thông điệp. Để dành. Trường này được để dành, không sử dụng.
SPI (Chỉ số bảo mật). Trường xác định ngữ nghĩa của giao thức bảo mật trong nhiều giao thức bã(địa chỉ đích đến và giao thức bảo mật) Số thứ tự. Trường xác định trật tự các datagram.
Dữ liệu xác thực. Trường chứa dữ liệu xác thực và Integrity Check Value (ICV) (giá trị kiểm tra tòan vẹn), dùng để kiểm tra tính tòan vẹn của dữ liệu truyền đi.