Gemeenschappelijke pakkettypen:

* ESP (Encapsulated Security Payload): Dit is de kern van IPSec-codering. Je ziet ESP-pakketten op de netwerklaag, die de originele IP-header vervangen. De ESP-header bevat informatie over beveiligingsparameters en de payload bestaat uit de gecodeerde gegevens.

* AH (Authenticatieheader): Als authenticatie naast encryptie wordt gebruikt (wat gebruikelijk is), zie je AH-pakketten. AH biedt gegevensintegriteit en authenticatie, maar codeert de gegevens zelf niet. Het gaat meestal vooraf aan ESP als beide worden gebruikt.

* IP-pakket (buitenste IP-header): In Tunnelmodus , wordt het oorspronkelijke IP-pakket ingekapseld in een *nieuw* IP-pakket. U ziet deze buitenste IP-header met de bron- en bestemmings-IP-adressen die voor de IPSec-tunnel worden gebruikt. In Transportmodus , er is geen buitenste IP-header; de ESP-header vervangt de originele IP-header.

* UDP (User Datagram Protocol) of TCP (Transmission Control Protocol): Soms kan IPSec, afhankelijk van de configuratie, via UDP of TCP worden geïmplementeerd. U ziet deze transportlaagheaders alleen als IPSec niet rechtstreeks via IP wordt uitgevoerd, wat minder gebruikelijk is. (Dit komt vaker voor bij IPSec via NAT-T).

Wat je *niet* ziet:

* Originele headers van de applicatielaag: Deze zijn verborgen in de ESP-payload en zijn gecodeerd. U kunt de HTTP-, SMTP-, FTP-, enz.-headers niet zien zonder de IPSec-tunnel te decoderen.

Samengevat: Het dominante pakkettype zal ESP zijn, mogelijk voorafgegaan door AH in de tunnelmodus. Je ziet ook de buitenste IP-header in de tunnelmodus. De afwezigheid van identificeerbare applicatielaagprotocollen bevestigt dat het verkeer IPSec-gecodeerd is.