トンネリングモード

• IPヘッダーも暗号化する
  • 外部ネットワークからのリモートアクセス時に使用する
  • ゲートウェイを通過した後に暗号化を解除する

ゲートウェイIPヘッダ + 暗号化IPパケット
     -----ゲートウェイ通過後-----
                             IPパケット

ゲートウェイ通過前はグローバルIPアドレスが必要であるから、
内部ネットワークにアクセスするには、プライベートIPアドレスごと
暗号化したトンネリングモードが良い。

トランスポートモード

• もとのIPヘッダーは暗号化しない
  • 内部ネットワークでの使用に適している

参考リンク

• リモートアクセス環境におけるセキュリティ