アプリケーションのデータパケットがトンネルモードの IPsec によって保護される場合、パケットには複数の IP ヘッダーが含まれます。
IKE プロトコルの IP ヘッダーには、アプリケーションデータパケットの外部 IP ヘッダーと同じ発信元アドレスと宛先アドレスのペアが含まれます。
Trusted Extensions は、内部 IP ヘッダーのアドレスを使用して内部ラベルの認可検査を行います。Trusted Extensions は、外部 IP ヘッダーのアドレスを使用してワイヤーラベルと鍵管理ラベルの検査を実行します。認可検査については、Trusted Extensions の認可検査を参照してください。