CESP協定數據單元格式三個部分組成,除了頭部、加密數據部分外,在實施認證時還包含一個可選尾部。頭部有兩個域:安全策略索引(SPl)和序列號(Sequencenumber)。使用ESP進行安全通信之前,通信雙方需要先協商好一組將要採用的加密策略,包括使用的算法、密鑰以及密鑰的有效期等。“安全策略索引”使用來標識傳送方是使用哪組加密策略來處理IP數據包的,當接收方看到了這個序號就知道了對收到的IP數據包應該如何處理。“序列號”用來區分使用同一組加密策略的不同數據包。加密數據部分除了包含原IP數據包的有效負載,填充域(用來保證加密數據部分滿足塊加密的長度要求)包含其餘部分在傳輸時都是加密過的。其中“下一個頭部(NextHeader)”用來指出有效負載部分使用的協定,可能是傳輸層協定(TCP或UDP),也可能還是IPSec協定(ESP或AH)。
通常,ESP可以作為IP的有效負載進行傳輸,這JFIP的頭UKB指出下廣個協定是ESP,而非TCP和UDP。由於採用了這種封裝形式,所以ESP可以使用舊有的網路進行傳輸。前面已經提到用IPSec進行加密是可以有兩種工作模式,意味著ESP協定有兩種工作模式:傳輸模式(TransportMode)和隧道模式(TunnelMode)。當ESP工作在傳輸模式時,採用當前的IP頭部。而在隧道模式時,侍整個IP數據包進行加密作為ESP的有效負載,並在ESP頭部前增添以網關地址為源地址的新的IP頭部,此時可以起到NAT的作用。
比特流被組織成數據鏈路協定數據單元(通常稱為幀),並以其為單位進行傳輸,幀中包含地址、控制、數據及校驗碼等信息。數據鏈路層的主要作用是通過校驗、確認和反饋重發等手段,將不可靠的物理鏈路改造成對網路層來說無差錯的數據鏈路。數據鏈路層還要協調收發雙方的數據傳輸速率,即進行流量控制,以防止接收方因來不及處理髮送方來的高速數據而導致緩衝器溢出及線路阻塞。
數據以網路協定數據單元(分組)為單位進行傳輸。網路層關心的是通信子網的運行控制,主要解決如何使數據分組跨越通信子網從源傳送到目的地的問題,這就需要在通信子網中進行路由選擇。另外,為避免通信子網中出現過多的分組而造成網路阻塞,需要對流入的分組數量進行控制。當分組要跨越多個通信子網才能到達目的地時,還要解決網際互連的問題。