ESP 隧道模式采用 ESP 與 IP 報頭以及 ESP 身份驗證尾端來封裝 IP 數據包。
數據包的簽名部分表示對數據包進行簽名以獲得完整性並進行身份驗證的位置。數據包的加密部分表示受到機密性保護的信息。
由於為數據包添加了隧道新報頭,因此會對 ESP 報頭之後的所有內容進行簽名(ESP 身份驗證尾端除外),因為這些內容此時已封裝在隧道數據包中。原始報頭置於 ESP 報頭之後。在加密之前,會在整個數據包上附加 ESP 尾端。ESP 報頭之後的所有內容都會被加密,ESP 身份驗證尾端除外。這包括原始報頭,該報頭此時被視為數據包的數據部分的壹部分。
然後,會將整個 ESP 有效負載封裝在未加密的新隧道報頭內。新隧道報頭內的信息只用來將數據包從源地址發送到隧道終結點。
如果通過公用網絡發送數據包,則數據包會路由到接收方 Intranet 的網關的 IP 地址。網關對數據包進行解密、丟棄 ESP 報頭並使用原始 IP 報頭將數據包路由到 Intranet 計算機。
進行隧道操作時,ESP 與 AH 可組合使用,從而為隧道 IP 數據包提供保密性,同時為整個數據包提供完整性和身份驗證。