Cisco Cisco Packet Data Gateway (PDG)

Configures the security of IP datagrams based on header placement. Tunnel mode applies security to a
completely encapsulated IP datagram, while Transport does not. Default is Tunnel mode.

ePDG

PDIF

SCM

Security Administrator, Administrator

Exec > Global Configuration > Context Configuration > IPSec Transform Set Configuration

configure > context context_name > ipsec transform-set set_name

Entering the above command sequence results in the following prompt:

[

]

(config-context-vrf)#

In Transport mode, the IPSec header is applied only over the IP payload, not over the IP header in front of it.
The AH and/or ESP headers appear between the original IP header and the IP payload, as follows:

Original IP header, IPSec headers (AH and/or ESP), IP payload (including transport header).

Transport mode is used for host-to-host communications and is generally unsuited to PDIF traffic.

In Tunnel mode, the original IP header is left intact, so a complete IP datagram is encapsulated, forming a
virtual tunnel between IPSec-capable devices. The IP datagram is passed to IPSec, where a new IP header is
created ahead of the AH and/or ESP IPSec headers, as follows:

New IP header, IPSec headers (AH and/or ESP), old IP header, IP payload.

Tunnel mode is used for network-to-network communications (secure tunnels between routers) or
host-to-network and host-to-host communications over the Internet.

This is the default setting for this command.