Los hosts de Trusted Extensions ofrecen el mayor grado de confianza para los enrutadores. Es posible que otros tipos de enrutadores no reconozcan los atributos de seguridad de Trusted Extensions. Sin ninguna acción administrativa, se pueden enrutar los paquetes mediante enrutadores que no proporcionen protección de seguridad del MAC.
Los enrutadores etiquetados descartan los paquetes cuando no encuentran el tipo correcto de información en la sección de opciones IP del paquete. Por ejemplo, un enrutador etiquetado descarta un paquete si no encuentra una opción etiquetada en las opciones IP cuando la opción es necesaria o cuando el DOI de las opciones IP no es coherente con la acreditación del destino.
Es posible configurar otros tipos de enrutadores que no ejecutan el software Trusted Extensions para transferir los paquetes o descartar los paquetes que incluyen una opción etiquetada. Solamente las puertas de enlace que reconocen las etiquetas, como Trusted Extensions, pueden utilizar el contenido de la opción IP de CALIPSO o CIPSO para aplicar la MAC.
Para admitir el enrutamiento de confianza, se ampliaron las tablas de enrutamiento a fin de incluir los atributos de seguridad de Trusted Extensions. En Entradas de la tabla de enrutamiento en Trusted Extensions, se describen los atributos. Trusted Extensions admite el enrutamiento estático, en el que el administrador crea manualmente las entradas de la tabla de enrutamiento. Para obtener detalles, consulte la opción –p en la página del comando man route(1M).
El software de enrutamiento intenta buscar una ruta para el host de destino en las tablas de enrutamiento. Cuando el host no está nombrado de manera explícita, el software de enrutamiento busca una entrada para la subred donde reside el host. Cuando no están definidos ni el host ni la subred, el host envía el paquete a una puerta de enlace predeterminada en caso de que esté definida. Se pueden definir varias puertas de enlace predeterminadas, y todas son tratadas del mismo modo.
En esta versión de Trusted Extensions, el administrador de la seguridad configura manualmente las rutas y, a continuación, cambia manualmente la tabla de enrutamiento cuando cambian las condiciones. Por ejemplo, varios sitios tienen una sola puerta de enlace que comunica con el mundo exterior. En estos casos, se puede definir estadísticamente dicha puerta de enlace como predeterminada para cada host de la red.