IPsec 的操作模式有两种，分别是传输模式和隧道模式

IPsec(IP安全)是一套协议，旨在确保IP网络上数据通信的完整性、机密性和身份验证。虽然IPSEC标准的灵活性引起了商业市场的兴趣，但由于其复杂性，识别协议存在一些问题。与其他安全系统一样，维护不良容易导致关键系统故障。

IPsec 可用于虚拟专用络、应用程序级安全和路由安全三个不同的安全域。目前，IPsec主要用于应用程序级安全或路由安全，IPsec它不是一个完整的解决方案，必须与其他安全措施相结合，才能发挥其有效作用。

IPsec 有两种操作模式：传输模式和隧道模式。当源主机和目标主机在传输模式下运行时，必须通过使用加密数据直接执行所有加密操作L2TP由(第二层隧道协议)创建的单个隧道发送、由源主机创建的数据(密文)和由目标主机检索，建立了端到端的安全性。

在隧道模式下运行时，除了源头和目标主机外，还将对特殊关闭进行加密处理。在这里，许多隧道串联在海关之间，建立了海关的安全性。在使用这些模式中的任何一种模式时，重要的是要丢弃任何无效的数据包，以验证数据包的真实性和两端数据包的能力。

IPsec 需要两种类型的数据包编码(DPE)：身份验证标头(AH)包装安全负荷(ESP)DPE。这些编码是数据级的安全性，AH通过密钥散列函数(也称为)，数据包的真实性和完整性MAC(消息验证代码)可以验证，禁止非法修改标题，可以选择重放安全。AH所有这些都可以在多个主机、多个关或多个主机和关之间建立安全AH ，ESP标头加密、数据包装和数据机密性。对称密钥数据机密性。

在通过各种隧道和通关的过程中，将额外的标头添加到数据包中，每次通过时，数据报告都包含在新的标头中。该标头包含安全参数索引(SPI)，SPI指定的后一个系统用于查看数据包的算法和密钥，该系统中的有效负载也受到保护，因为数据中的任何更改或错误都会被检测到，导致接收方丢弃数据包。标头应用于每条隧道的开头，然后在每条隧道的结尾进行验证和删除，以防止不必要的费用积累。

IPsec一个重要的部分是安全关联(SA)，SA使用AH和ESP数据包中携带的SPI编号还包括IP目标地址来指示端点：这可以是防火墙、路由器或终端用户。安全相关数据库(SAD)用于存储所有用途SA，SAD使用安全策略来指示路由器应该执行数据包的操作，包括完全丢弃数据包，只丢弃数据包SA，或替换不同的SA。所有正在使用的安全策略都存储在安全策略数据库中。