隧道将数据包包装在其他数据包中，因此外部数据包具有不同的数据包标头。即使隧道未加密（例如 GRE）也是如此。

在隧道模式下，整个原始 IP 数据包受到 IPSec 或 ESP 的保护。ESP 是一种带有协议号的 IP 协议。它缺少路由到目的地的必要信息。

出于这个原因，添加了一个新的 IP 标头，因此可以到达目的地。如果没有 IP 标头，就无法传输流量。

简短的回答，ESP 不是 IP。