はじめまして。

平成29年秋期 午後Ⅰ 問3について質問があります。
本問題はIP in IPというトンネリングプロトコルを使用するため
IPsecはトランスポートモードで通信を行なっているようですが
そこの仕組みがイマイチわかりません。

IP in IPで新しいグローバルIPアドレスの入ったヘッダを付与,解除するのは
本問題でいうVPNa1,a2
K社クライアントセグメントーーVPNa1間はグローバルIPが入ったヘッダは使っておらず
プライベートIPのヘッダを使用していますよね？
結局のところ形としてはIPsecのトンネルモードを使用しているような気がするのですが
そこが理解できず困っています。
どなたかご教授いただけませんでしょうか。

説明が足りないと思いましたので追記します。
今、私の中では
・VPNa1,a2で「IP in IPによるヘッダ付与,解除」と「IPsecによるESPヘッダ等の付与.解除」を行っている
・K社クライアントセグメントーーVPNa1間はプライベートIPでの通信を行っており、グローバルな通信は行っていない
という認識です。

クライアントセグメントが最初からグローバルIPを使用しているならまだトランスポートモードでもわかります。(それなら今回のIP in IPも不要と思いますが…)
しかし、K社クライアントセグメントーーVPNa1間がプライベート通信、VPNa1ーーa2間が
グローバル通信ならトランスポートモードは使用していても動作としてはトンネルモード
と変わらないのでは？と思っています。

設問2 (1)の回答、解説を見る限り私の理解していることと違うとは思っているのですが
調べてもわからなかったため質問させていただきました。

ipsecのトランスポートモードとは、ここで言うとESPヘッダの前は元のIPヘッダである。
クライアントからサーバへの通信について、パケットの構成を順に辿ると、

１ クライアントからVPNルータのLAN側
 IP1(プライベート)+データ
２ VPNルータでIPinIPカプセル化
 IP2(グローバル)+IP1+データ
３ ESPでipsecパケットを構成
 IP2+ESP+〔IP1+データ〕

ここで、IP2は元のIPヘッダのままでデータセンタに配送される。(なぜならIP2はグローバルアドレスだから)つまり、ipsecはトランスポートモードである。

どうかな？