河北百度愛(ài)采購安全參數索引SPI：是一個(gè)32位整數，用于和目的地址、 IPSec協(xié)為該IP包唯一地確定一個(gè)安全關(guān)聯(lián)（SA列號（ sequence number）：是一個(gè)32位整數，作為一個(gè)單調遞增的計數器，為每個(gè)ESP包賦予一個(gè)序號，以用于抵抗重放攻擊3）載荷數據（ payload data）：實(shí)際的載荷數據，為變長(cháng)字段。
原始的IP頭之前，
    不管SA是否需要加密，該字段總是必需的。如果進(jìn)行了加密，該部分是加密后的密文，如果有加密，該部分是明文。載荷數據字段的長(cháng)度必須是8的整數倍。4）填充（ padding）：填充字段包含了填充位，字段長(cháng)度是0~2555）填充長(cháng)度（ pad length）：填充長(cháng)度字段是一個(gè)8位字段，以字節為單位指示了填充字段的長(cháng)度，河北百度愛(ài)采購范圍為next header）：8位字段，指明了封裝在載荷中的數據類(lèi)型例如6表示TCP數據7）認證數據（ authentication data）：變長(cháng)字段，只有選擇了認證服務(wù)時(shí)才會(huì )有該字段，其中包含了認證的結果。字段長(cháng)度取決于使用的認證算法，如使HMAC-MD5，認證數據字段是128位。和AH一樣，ESP也有兩種工作模式：傳輸模式和隧道模式。工作模式?jīng)Q定了ESP的位置以及保護的對象輸模式保護的是IP包的載荷，例如TCP、UDP和ICMP等，也可以是其他IPSec協(xié)議的頭部。ESP放入I頭部（含選項字段）之后任何被IP協(xié)議所封裝的協(xié)議之前。傳輸模式下的ESP不提供數據流機密性服務(wù)，因為IP包里的源IP地址和目的IP地址都沒(méi)有被加密。隧道模式對整個(gè)IP包進(jìn)行加密。ESP插入到原IP頭（含選項字段）之前，在ESP之前再加入新的IP頭。在隧道模式下，有兩個(gè)IP頭。里面的Ip頭是原始的IP頭，含有真實(shí)的源IP地址、最終的目的IP地址；外面的IP頭可以包含與里面IP頭同的IP地址。例如，可以是NAT網(wǎng)關(guān)的IP地址，這樣兩個(gè)子網(wǎng)中的主機可以利用ESP進(jìn)行安全通信需要指出的是，ESP隧道模式的認證和加密能夠提供比ESP傳輸模式更加強大的安全功能，隧道模式能對整個(gè)原始IP包進(jìn)行認證和加密，而ESP在傳輸模式下能提供加密服務(wù)，IP包里的源、目的IP地址并沒(méi)有被加密隧道模額外的IP頭。
原始的IP頭之前，
    如果帶寬有限，則可以選擇使用傳輸模式圖2-15傳輸模式和隧道模式下的ESP格式5安全關(guān)聯(lián)全關(guān)聯(lián)（ Security Association,sA）是ISec協(xié)議的基礎。AH和ESP兩個(gè)協(xié)議都使用SA來(lái)保護通信。SA是兩個(gè) IPSec實(shí)體（主機、安全網(wǎng)可經(jīng)過(guò)IKE協(xié)商建立起來(lái)的一種協(xié)定，內容包括 IPSec協(xié)議的類(lèi)型（AH還是ESP）、工作模式傳輸模式還是隧道模式〕、認證算法、加密算法、加密密鑰、密鑰生存期、抗重放窗口、計數器等，決定了一次通信過(guò)程中需要保護什么，如何保護以及誰(shuí)來(lái)全協(xié)議使用一個(gè)三元組唯一地標識SA，該三元組包含安全參數索引SPI、IP目的地址和安全協(xié)議號（AH或ESP）。值得注意的是，SA為通信流提供單向的安全服務(wù)，在兩個(gè)基于 IPSec的安全終端（包括網(wǎng)關(guān)或主機節點(diǎn)）間需要維護兩個(gè)用于輸入流，一個(gè)用于輸出SA可以手工配置建立，也可以自動(dòng)協(xié)商生成。手工建立SA是指用戶(hù)在通信兩手工設置數匹配后建立安全關(guān)聯(lián)。
原始的IP頭之前，
    河北百度愛(ài)采購自動(dòng)協(xié)商方式由IKE生成和維護，通信雙方基于各自的安全策略庫經(jīng)過(guò)匹配和協(xié)商后建立SA，不需要用戶(hù)干6 Internet密鑰交換Internet密鑰交換協(xié)議是IPse協(xié)議族的組成部分之一，用來(lái)實(shí)現安全協(xié)議的全參數協(xié)商，以確保VPN與遠端網(wǎng)絡(luò )或者宿主主機進(jìn)行交流時(shí)的安全。IKE協(xié)商。