Se esegui il tunnel, è possibile passare attraverso il NAT con un'intestazione esterna che viene modificata ma rilasciata durante la decapsulazione. L'intestazione interna rimane esattamente la stessa di quando era incapsulata ed era protetta da ESP. Questo è descritto in rfc 3715 4.1 .
Se si utilizza la modalità di trasporto, si desidera utilizzare la stessa intestazione IP modificata da NAT. Questo non è possibile mentre si controlla l'integrità in quanto si tratta di una violazione di integrità come definito per AH.
Se Traversal è configurato, il traffico sembra essere sulle porte UDP (500 o 4500).
L'attraversamento gestisce il problema di integrità dell'intestazione del trasporto sostituendo gli IP originali. Di conseguenza, entrambe le modalità dovrebbero sembrare più o meno le stesse, ma il tunnel ha un overhead di dimensioni di mantenere una vera intestazione e il trasporto ha più manipolazione per ricostruire un'intestazione, quindi un maggior potenziale di errori di controllo dell'integrità.
Ad esempio, un'opzione IP insolita può essere gestita ordinatamente in modo nascosto dal NAT in modalità tunnel, mentre potrebbe causare problemi di compatibilità sul routing del pacchetto.