説明/参照：
これは間違っていますが、双方向通信に必要なセキュリティアソシエーション（SA）のペアがあり、1つのSAだけではありません。送信者と受信者は、両方とも、インバウンド接続とアウトバウンド接続のSAをネゴシエートします。
IPSecの主な2つの概念はSA（Security Associations）とトンネリングです。セキュリティアソシエーション（SA）は、2つのIPSecシステム間のシンプレックス論理接続です。 2つのIPSecシステム間で双方向通信を確立するには、各方向に1つずつ2つのセキュリティアソシエーションを定義する必要があります。
セキュリティプロトコルは、AHまたはESPのいずれかです。
クレメントからの注意：
以下の説明は、あなたが試験のために知る必要があるよりも少し徹底的です。しかし、彼らはいつも絵は1千語分の価値があると言いますが、IPSECの説明には真実だと思います。私はCISCO PRESSとDLINKの素晴らしい記事をこのテーマに取り上げました。下記の参考文献を参照してください。
トンネルおよびトランスポートモード
IPSecは、トンネルモードまたはトランスポートモードのいずれかで実行できます。これらのモードにはそれぞれ固有の用途があり、解決策として正しいものが選択されていることを確認するように注意する必要があります。
トンネルモードは、ゲートウェイ間で最も一般的に使用されます。エンドステーションからゲートウェイへのトンネルモードは、ゲートウェイの背後にあるホストのプロキシとして機能します。
トランスポートモードは、ゲートウェイがホスト（たとえば、ワークステーションからルータへの暗号化されたTelnetセッション）として扱われる場合、エンドステーション間またはエンドステーションとゲートウェイ間で使用されます。この場合、ルータは実際の宛先です。
下の図1の図でわかるように、基本的にトランスポートモードをエンドツーエンドセッションに使用し、トンネルモードを他のすべてに使用する必要があります。
図1

IPSECトランスポートモードとトンネルモード
IPSecのトンネルモードとトランスポートモード
上の図1は、トンネル対トランスポートモードを使用する場合のいくつかの例を示しています。
トンネルモードは、シスコルータとPIXファイアウォールの間など、セキュアIPSecゲートウェイ間のトラフィックを暗号化するために最も一般的に使用されます（図1の例Aを参照）。 IPSecゲートウェイは、図1のAliceのPCやHRサーバーなど、その背後にあるデバイスのIPSecをプロキシします。例Aでは、Aliceはゲートウェイ間に設定されたIPSecトンネルを通じてHRサーバーに安全に接続します。
トンネルモードは、例Bに示すように、Cisco Secure VPN ClientなどのIPSecソフトウェアを実行しているエンドステーションをIPSecゲートウェイに接続するためにも使用されます
例Cでは、トンネルモードを使用して、CiscoルータとIPSecソフトウェアを実行しているサーバ間にIPSecトンネルを設定します。 Cisco IOSソフトウェアとPIX Firewallは、トンネルモードをデフォルトのIPSecモードとして設定します。
トランスポートモードは、ゲートウェイがホストとして扱われている場合、IPSecをサポートするエンドステーション間、またはエンドステーションとゲートウェイ間で使用されます。例Dでは、トランスポートモードを使用して、Cisco Secure VPN Clientソフトウェアを実行しているAliceのPCから暗号化されたTelnetセッションを設定し、PIX Firewallで終了し、AliceがリモートでPIX Firewallを安全に設定できるようにしています。
図2

IPSEC AHトンネルおよびトランスポートモード
AHトンネルとトランスポートモード
上記の図2は、IPSecモードがAHと異なる点を示しています。転送モードでは、AHサービスはデータペイロードと共に外部IPヘッダーを保護します。 AHサービスは、転送中に変更されないヘッダー内のすべてのフィールドを保護します。ヘッダーは、IPヘッダーの後、ESPヘッダー（存在する場合）、および他の上位レイヤープロトコルの前にあります。
上の図2に示すように、トンネルモードでは元のヘッダー全体が認証され、新しいIPヘッダーが作成され、新しいIPヘッダーはトランスポートモードのIPヘッダーと同じ方法で保護されます。
AHはネットワークアドレス変換（NAT）と互換性がありません。これは、NATが送信元IPアドレスを変更するため、AHヘッダーが破損し、パケットがIPSecピアによって拒否されるためです。
図3
IPSEC ESPトンネルモードとトランスポートモード

ESPトンネルとトランスポートモード
上の図3はIPSecモードがESPとの違いを示しています。トランスポートモードでは、IPペイロードは暗号化され、元のヘッダーはそのまま残ります。 ESPヘッダーは、IPヘッダーの後ろ、上位レイヤのプロトコルヘッダーの前に挿入されます。上位層のプロトコルは、ESPヘッダーとともに暗号化され、認証されます。 ESPはIPヘッダー自体を認証しません。
注：暗号化されたペイロードの一部であるため、上位層の情報は利用できません。
トンネルモードでESPを使用すると、元のIPデータグラム全体が暗号化されているため、元のIPヘッダーは保護されます。 ESP認証メカニズムを使用すると、元のIPデータグラムとESPヘッダーが含まれます。ただし、新しいIPヘッダーは認証に含まれません。
認証と暗号化の両方が選択されている場合、認証前にまず暗号化が実行されます。
この処理順序の1つの理由は、受信ノードによる再生パケットまたは偽パケットの迅速な検出および拒否を容易にすることである。パケットを解読する前に、受信者は問題を検出し、サービス拒否攻撃の影響を潜在的に軽減することができます。
ESPは、認証のためのオプションのフィールドを持つパケット認証を提供することもできます。 Cisco IOSソフトウェアとPIX Firewallは、このサービスをESPハッシュされたメッセージ認証コード（HMAC）として参照します。
認証は、暗号化が完了した後に計算されます。現在のIPSec規格は、必須のHMACアルゴリズムとしてどのハッシュアルゴリズムをサポートする必要があるかを指定します。
ESPとAHが提供する認証の主な違いは、カバレッジの範囲です。
特に、ESPはESP（トンネルモード）によってカプセル化されていない限り、IPヘッダーフィールドを保護しません。
この質問に対する誤った回答は次のとおりです。
IPデータグラムの整合性と認証はAHによって提供されます。これは正しいですが、AHは整合性と認証を提供し、ESPは整合性、認証、および暗号化を提供します。
ESPは、IPデータグラムへの完全性、認証、および暗号化を提供します。 ESPは、データの改ざんを防ぎ、最も重要なことにメッセージコンテンツの保護を提供する、認証、完全性、および機密性を提供します。
トランスポートモードでは、ESPは各パケットのデータペイロードのみを暗号化します。 ESPはトンネルモード（元のパケットが新しいパケットにカプセル化される）かトランスポートモード（各パケットのデータペイロードのみが暗号化され、ヘッダーはそのままの状態）で操作できます。
この質問に使用された参照：
Hernandez CISSP、Steven（2012-12-21）。公式（ISC）2ガイドCISSP CBK、第3版（（ISC）2プレス）（Kindle Locations 6986-6989）。 Acerbic Publications。キンドル版。
そして
http://www.ciscopress.com/articles/article.asp?p=25477
そして
http://documentation.netgear.com/reference/sve/vpn/VPNBasics-3-05.html