3.1.4 - Modo de Túnel: esse modo de operação oferece proteção a todo pacote IP. Todo o pacote original viaja por um “túnel” de um ponto de uma rede IP para outro e nenhum roteador ao longo do caminho é capaz de examinar o cabeçalho IP interno.

Na figura acima o novo cabeçalho IP (New IP Hdr) e a autenticação ESP (ESP Auth) não são protegidos.