河北百度愛采購安全參數索引SPI：是一個32位整數，用于和目的地址、 IPSec協為該IP包唯一地確定一個安全關聯（SA列號（ sequence number）：是一個32位整數，作為一個單調遞增的計數器，為每個ESP包賦予一個序號，以用于抵抗重放攻擊3）載荷數據（ payload data）：實際的載荷數據，為變長字段。
原始的IP頭之前，
    不管SA是否需要加密，該字段總是必需的。如果進行了加密，該部分是加密后的密文，如果有加密，該部分是明文。載荷數據字段的長度必須是8的整數倍。4）填充（ padding）：填充字段包含了填充位，字段長度是0~2555）填充長度（ pad length）：填充長度字段是一個8位字段，以字節為單位指示了填充字段的長度，河北百度愛采購范圍為next header）：8位字段，指明了封裝在載荷中的數據類型例如6表示TCP數據7）認證數據（ authentication data）：變長字段，只有選擇了認證服務時才會有該字段，其中包含了認證的結果。字段長度取決于使用的認證算法，如使HMAC-MD5，認證數據字段是128位。和AH一樣，ESP也有兩種工作模式：傳輸模式和隧道模式。工作模式決定了ESP的位置以及保護的對象輸模式保護的是IP包的載荷，例如TCP、UDP和ICMP等，也可以是其他IPSec協議的頭部。ESP放入I頭部（含選項字段）之后任何被IP協議所封裝的協議之前。傳輸模式下的ESP不提供數據流機密性服務，因為IP包里的源IP地址和目的IP地址都沒有被加密。隧道模式對整個IP包進行加密。ESP插入到原IP頭（含選項字段）之前，在ESP之前再加入新的IP頭。在隧道模式下，有兩個IP頭。里面的Ip頭是原始的IP頭，含有真實的源IP地址、最終的目的IP地址；外面的IP頭可以包含與里面IP頭同的IP地址。例如，可以是NAT網關的IP地址，這樣兩個子網中的主機可以利用ESP進行安全通信需要指出的是，ESP隧道模式的認證和加密能夠提供比ESP傳輸模式更加強大的安全功能，隧道模式能對整個原始IP包進行認證和加密，而ESP在傳輸模式下能提供加密服務，IP包里的源、目的IP地址并沒有被加密隧道模額外的IP頭。
原始的IP頭之前，
    如果帶寬有限，則可以選擇使用傳輸模式圖2-15傳輸模式和隧道模式下的ESP格式5安全關聯全關聯（ Security Association,sA）是ISec協議的基礎。AH和ESP兩個協議都使用SA來保護通信。SA是兩個 IPSec實體（主機、安全網可經過IKE協商建立起來的一種協定，內容包括 IPSec協議的類型（AH還是ESP）、工作模式傳輸模式還是隧道模式〕、認證算法、加密算法、加密密鑰、密鑰生存期、抗重放窗口、計數器等，決定了一次通信過程中需要保護什么，如何保護以及誰來全協議使用一個三元組唯一地標識SA，該三元組包含安全參數索引SPI、IP目的地址和安全協議號（AH或ESP）。值得注意的是，SA為通信流提供單向的安全服務，在兩個基于 IPSec的安全終端（包括網關或主機節點）間需要維護兩個用于輸入流，一個用于輸出SA可以手工配置建立，也可以自動協商生成。手工建立SA是指用戶在通信兩手工設置數匹配后建立安全關聯。
原始的IP頭之前，
    河北百度愛采購自動協商方式由IKE生成和維護，通信雙方基于各自的安全策略庫經過匹配和協商后建立SA，不需要用戶干6 Internet密鑰交換Internet密鑰交換協議是IPse協議族的組成部分之一，用來實現安全協議的全參數協商，以確保VPN與遠端網絡或者宿主主機進行交流時的安全。IKE協商。