IPsec 的操作模式有两种，分别是传输模式和隧道模式

       IPsec(IP安全性)是一套协议，旨在确保IP络上数据通信的完整性，机密性和身份验证。虽然IPsec标准的灵活性已引起商业市场的兴趣，但由于其复杂性，导致识别协议存在若干问题，与其他安全系统一样，维护不良很容易导致关键系统故障。

　　IPsec 可用于三个不同的安全域：虚拟专用络、应用程序级安全性和路由安全性。目前，IPsec主要用于，当在应用程序级安全性或路由安全性中使用时，IPsec不是一个完整的解决方案，必须与其他安全措施结合才能发挥其有效作用。

　　IPsec 有两种操作模式：传输模式和隧道模式。在传输模式下运行时，源主机和目标主机必须直接执行所有加密操作，加密数据通过使用L2TP(第2层隧道协议)创建的单个隧道发送，数据(密文)由源主机创建，并由目标主机检索，这种操作模式建立了端到端的安全性。

　　在隧道模式下运行时，除源和目标主机外，特殊关还会执行加密处理。在这里，许多隧道在关之间串联创建，建立了关到关的安全性。使用这些模式中的任何一种时，重要的是为所有关验证数据包是否真实的能力以及在两端验证数据包的能力，必须丢弃任何无效的数据包。

　　IPsec 中需要两种类型的数据包编码(DPE)：身份验证标头(AH)和封装安全负载(ESP)DPE。这些编码为数据络级安全性，AH数据包的真实性和完整性，通过密钥散列函数(也称为MAC(消息验证代码))可以进行验证，此标题还禁止非法修改，并可选择反重放安全性。AH可以在多个主机，多个关或多个主机和关之间建立安全性，所有这些都实现了AH ，ESP标头加密，数据封装和数据机密性。通过对称密钥数据机密性。

　　在通过各种隧道和关的过程中，会向数据包添加额外的标头，在每次通过关时，数据报都包含在新的标头中。此标头中包含安全参数索引(SPI)，SPI指定后一个系统用于查看数据包的算法和密钥，此系统中的有效负载也受到保护，因为将检测到数据中的任何更改或错误，从而导致接收方丢弃数据包。标头应用于每个隧道的开头，然后在每个隧道的末尾进行验证和删除，这种方法可以防止不必要的开销累积。

　　IPsec的一个重要部分是安全关联(SA)，SA使用AH和ESP中携带的SPI编号来指示哪个SA用于数据包，还包括IP目标地址以指示端点：这可以是防火墙，路由器或终用户。安全关联数据库(SAD)用于存储所有使用的SA，SAD使用安全策略来指示路由器应该对数据包执行的操作，三个例子包括完全丢弃数据包，仅丢弃SA，或替换不同的SA。正在使用的所有安全策略都存储在安全策略数据库中。