IPsec 是一个协议套件，这里我们更具体地讨论的是IP 封装安全负载（特别是）隧道模式。相关详情请参阅RFC 4303，3.1.2 隧道模式处理：

在隧道模式下，“内部” IP 报头携带最终（IP）源和目标地址，而“外部” IP 报头包含 IPsec“对等体”的地址，例如安全网关的地址。

在隧道模式下，ESP 保护整个内部 IP 数据包，包括整个内部 IP 头。- - 下图说明了典型 IPv4 和 IPv6 数据包的 ESP 隧道模式定位。

        -----------------------------------------------------------
  IPv4  | new IP hdr* |     | orig IP hdr*  |   |    | ESP   | ESP|
        |(any options)| ESP | (any options) |TCP|Data|Trailer| ICV|
        -----------------------------------------------------------
                            |<--------- encryption --------->|
                      |<------------- integrity ------------>|

        ------------------------------------------------------------
  IPv6  | new* |new ext |   | orig*|orig ext |   |    | ESP   | ESP|
        |IP hdr| hdrs*  |ESP|IP hdr| hdrs *  |TCP|Data|Trailer| ICV|
        ------------------------------------------------------------
                            |<--------- encryption ---------->|
                        |<------------ integrity ------------>|

在隧道模式下，原始 IP 报头和传输层报头（不一定是 TCP）加密后，ISP 只能看到 IPsec 对等体的新 IP 报头和 ESP 报头。因此，在隧道之外，无法判断IP:port原始报头上有多少对。（虽然 TCP 确实有以 开头SYN, SYN-ACK, ACK和以 结尾的会话FIN, FIN-ACK, ACK，但 UDP“会话”只能根据两端相同的 IP 地址和 UDP 端口来猜测。因此，将 UDP 连接计为活动会话需要添加人为的连接超时。）

但是，限制并发会话数量并不是 ISP 让你为用于商业用途的连接支付更多费用的唯一方法。IPsec VPN 隧道可以被检测和阻止。由于外部 IP 报头（或 ESP 报头）未加密，例如协议号为 50（ESP）或 51（AH）的 IP 数据包，身份验证标头，RFC 4302）可以完全放弃。这方面的法律方面将是服务条款声明不允许使用站点到站点的 VPN。

如果客户端提供连接到 IPSEC 站点到站点 VPN 隧道的调制解调器下游的路由器，并将所有流量路由到隧道的另一端，调制解调器是否能够观察到多个会话？

否。两个 IPSec 端点之间的所有流量都经过加密。观察者无法看到隧道内的会话或其他任何内容。