Lorsque des paquets de données d'application sont protégés par IPsec en mode tunnel, les paquets contiennent plusieurs en-têtes IP.
L'en-tête IP du protocole IKE contient la même paire adresse source et adresse de destination que l'en-tête IP externe du paquet de données d'application.
Trusted Extensions utilise les adresses d'en-têtes IP internes pour des contrôles d'accréditation des étiquettes internes. Trusted Extensions effectue des contrôles des étiquettes de transmission et de gestion des clés à l'aide des adresses d'en-têtes IP externes. Pour plus d'informations sur les contrôles d'accréditation, reportez-vous à la section Contrôles d'accréditation dans Trusted Extensions.