河北百度爱采购安全参数索引SPI：是一个32位整数，用于和目的地址、 IPSec协为该IP包唯一地确定一个安全关联（SA列号（ sequence number）：是一个32位整数，作为一个单调递增的计数器，为每个ESP包赋予一个序号，以用于抵抗重放攻击3）载荷数据（ payload data）：实际的载荷数据，为变长字段。
原始的IP头之前，
    不管SA是否需要加密，该字段总是必需的。如果进行了加密，该部分是加密后的密文，如果有加密，该部分是明文。载荷数据字段的长度必须是8的整数倍。4）填充（ padding）：填充字段包含了填充位，字段长度是0~2555）填充长度（ pad length）：填充长度字段是一个8位字段，以字节为单位指示了填充字段的长度，河北百度爱采购范围为next header）：8位字段，指明了封装在载荷中的数据类型例如6表示TCP数据7）认证数据（ authentication data）：变长字段，只有选择了认证服务时才会有该字段，其中包含了认证的结果。字段长度取决于使用的认证算法，如使HMAC-MD5，认证数据字段是128位。和AH一样，ESP也有两种工作模式：传输模式和隧道模式。工作模式决定了ESP的位置以及保护的对象输模式保护的是IP包的载荷，例如TCP、UDP和ICMP等，也可以是其他IPSec协议的头部。ESP放入I头部（含选项字段）之后任何被IP协议所封装的协议之前。传输模式下的ESP不提供数据流机密性服务，因为IP包里的源IP地址和目的IP地址都没有被加密。隧道模式对整个IP包进行加密。ESP插入到原IP头（含选项字段）之前，在ESP之前再加入新的IP头。在隧道模式下，有两个IP头。里面的Ip头是原始的IP头，含有真实的源IP地址、最终的目的IP地址；外面的IP头可以包含与里面IP头同的IP地址。例如，可以是NAT网关的IP地址，这样两个子网中的主机可以利用ESP进行安全通信需要指出的是，ESP隧道模式的认证和加密能够提供比ESP传输模式更加强大的安全功能，隧道模式能对整个原始IP包进行认证和加密，而ESP在传输模式下能提供加密服务，IP包里的源、目的IP地址并没有被加密隧道模额外的IP头。
原始的IP头之前，
    如果带宽有限，则可以选择使用传输模式图2-15传输模式和隧道模式下的ESP格式5安全关联全关联（ Security Association,sA）是ISec协议的基础。AH和ESP两个协议都使用SA来保护通信。SA是两个 IPSec实体（主机、安全网可经过IKE协商建立起来的一种协定，内容包括 IPSec协议的类型（AH还是ESP）、工作模式传输模式还是隧道模式〕、认证算法、加密算法、加密密钥、密钥生存期、抗重放窗口、计数器等，决定了一次通信过程中需要保护什么，如何保护以及谁来全协议使用一个三元组唯一地标识SA，该三元组包含安全参数索引SPI、IP目的地址和安全协议号（AH或ESP）。值得注意的是，SA为通信流提供单向的安全服务，在两个基于 IPSec的安全终端（包括网关或主机节点）间需要维护两个用于输入流，一个用于输出SA可以手工配置建立，也可以自动协商生成。手工建立SA是指用户在通信两手工设置数匹配后建立安全关联。
原始的IP头之前，
    河北百度爱采购自动协商方式由IKE生成和维护，通信双方基于各自的安全策略库经过匹配和协商后建立SA，不需要用户干6 Internet密钥交换Internet密钥交换协议是IPse协议族的组成部分之一，用来实现安全协议的全参数协商，以确保VPN与远端网络或者宿主主机进行交流时的安全。IKE协商。