IPSecによる暗号化通信は、まず鍵交換を含めたSAと呼ばれる論理的なコネクション（トンネル）の合意をとることから始まる。

◆SAの種類

SAには、次の２つの種類がある。

●IPSec SA

●ISAKAMP SA

【IPSec SA】

実際の通信パケットを暗号化して、転送するためのSA。

【ISAKAMP SA】

通信用トンネルを作るための制御データ等をやりとりする制御用SA。IPSec SAの暗号化を行うための暗号鍵の配送、および更新などを自動的に行う。

◆SAの数

ISAKAMP SAは、双方向のSA。従ってＶＰＮゲートウェイ間で１つあれば良い。

IPSecSAは片方向（送信用・受信用）のトンネルであるため、IPSecでVPNゲートウェイとの間にデータを相互にやり取りするには2本のSAが必要になる。

1-2　SAとSPI

SAが確立後、SAにはSAと関連付けされたSPIと呼ばれる32ビットのID番号が割り当てられる。

SPIは暗号化通信で各パケット中に挿入され、パケット内の通信内容がどの暗号化アルゴリズムで暗号化され、どの暗号鍵を使うのかといったことを示すキーとなる。

SPIを各パケットに挿入するのは、ホストが同時に複数の相手と暗号化通信を行うことがあるため。

このとき、個別の相手と個別にネゴシエーションを行うため、それぞれの通信で使用する暗号化アルゴリズムや暗号鍵などのSAが異なる。

そのため、暗号化アルゴリズムと暗号鍵を、パケットを受信するたびにSAデータベースを使用して照合する必要がある。

1-3 トンネルモードとトランスポートモード

IPSecではトンネルモードとトランスポートモードの2種類がある。それぞれの特徴は以下のとおり。

【トンネルモード】

トンネルモードでは、IPパケットのうち、IPヘッダを含めデータ部分も全て暗号化して転送する。

全てのパケットを暗号化してしまうと、送信先IPアドレスがわからなくなるため、トンネルモード用の新たなIPヘッダを付与し、カプセル化する。

【トランスポートモード】

トランスポートモードでは、IPパケットのうち、データ部分（トランスポート層以上の部分）のみ暗号化し、IPヘッダを暗号化せずに転送する。

このモードは主にホスト端末間でのIPSecにより、セキュリティを確保するために利用される。