IPSec协议有两种封装模式：传输模式和隧道模式。

传输模式中，在IP报文头和高层协议之间插入AH或ESP头。传输模式中的AH或ESP主要对上层协议数据提供保护。

传输模式中的AH：在IP头部之后插入AH头，对整个IP数据包进行完整性校验。

传输模式中的ESP：在IP头部之后插入ESP头，在数据字段后插入尾部以及认证字段。对高层数据和ESP尾部进行加密，对IP数据包中的ESP报文头，高层数据和ESP尾部进行完整性校验。

传输模式中的AH+ESP：在IP头部之后插入AH和ESP头，在数据字段后插入尾部以及认证字段。对高层数据和ESP尾部进行加密，对整个IP数据包进行完整性校验。

隧道模式中，AH或ESP头封装在原始IP报文头之前，并另外生成一个新的IP头封装到AH或ESP之前。隧道模式可以完全地对原始IP数据报进行认证和加密，而且，可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。

隧道模式中的AH：对整个原始IP报文提供完整性检查和认证，认证功能优于ESP。但AH不提供加密功能，所以通常和ESP联合使用。

隧道模式中的ESP：对整个原始IP报文和ESP尾部进行加密，对ESP报文头，原始IP报文和ESP尾部进行完整性校验。

隧道模式中的AH+ESP：对整个原始IP报文和ESP尾部进行加密，对除新IP头之外的整个IP数据包进行完整性校验。