IPSec cung cấp nhiều lựa chọn để thực hiện các giải pháp mật mã và xác thực ở
lớp mạng. Phần này sẽđịnh nghĩa các thủ tục quản lý SA cho cả IPv4 và IPv6 để thực thi AH hoặc ESP hoặc cả hai, phụ thuộc vào lựa chọn của người sử dụng. Khi thiết lập kết nối IPSec, hai phía phải xác định chính xác các thuật tốn nào sẽ được sử dụng, loại dịch vụ nào cần đảm bảo an tồn. Sau đĩ bắt đầu xử lý thương lượng để chọn một tập các tham số và các giải thuật tốn học áp dụng cho mã hĩa bảo mật hay nhận thực. Theo IETF thì dịch vụ bảo mật quan hệ giữa hai hoặc nhiều thực thể để thỏa thuận truyền thơng an tồn được gọi là SA (Security Association).
Một SA là một kết nối đơn cơng, nghĩa là với mỗi cặp truyền thơng với nhau, cĩ ít nhất 2 SA (một từ A tới B và một từ B tới A). Khi lưu lượng cần truyền trực tiếp 2 chiều qua VPN, giao thức trao đổi khĩa IKE (Internet Key Exchange) thiết lập một cặp SA trực tiếp và sau đĩ cĩ thể thiết lập thêm nhiều SA khác. Mỗi SA cĩ một thời gian sống riêng. SA được nhận dạng duy nhất bởi bộ 3 gồm cĩ: chỉ dẫn thơng số an ninh (SPI), địa chỉ IP đích và một nhận dạng giao thức an tồn (AH hay ESP). Tập các giá trị SPI trong dãy từ 1 đến 255 được để dành bởi IANA để sử dụng cho tương lai. Theo nguyên lý, địa chỉ IP đích cĩ thể là một địa chỉ đơn nhất (unicast), một địa chỉ
quảng bá (broadcast) hay một địa chỉ nhĩm (multicast). Tuy nhiên, cơ chế quản lý SA IPSec hiện nay được định nghĩa chỉ cho những SA đơn nhất (unicast).
Một lên kết an ninh cĩ thể là một trong hai kiểu: Transport và Tunnel, phụ
thuộc vào kiểu của giao thức sử dụng SA. Một SA kiểu Transport là một liên kết an tồn giữa hai host, hoặc liên kết an tồn được yêu cầu giữa hai hệ thống trung gian dọc trên đường truyền. Trong trường hợp khác, kiểu Transport cũng cĩ thể được sử dụng
để hỗ trợ IP-in-IP hay đường ngầm GRE qua các SA kiểu Transport. SA kiểu Tunnel là một SA cơ bản được ứng dụng tới một đường ngầm IP. Một SA giữa 2 cổng an tồn là một SA kiểu Tunnel điển hình giống như một SA giữa một host và một cổng an tồn. Tuy nhiên, trong những trường hợp mà lưu lượng đã được định hình từ trước như những lệnh SNMP, cổng an tồn làm nhiệm vụ như host và kiểu Transport được cho phép.
SA cung cấp nhiều lựa chọn cho các dịch vụ IPSec, nĩ phụ thuộc vào giao thức an tồn được lựa chọn (AH hay ESP), kiểu SA, điểm kết thúc của SA đĩ và một sự
tuyển chọn của các dịch vụ tùy ý các bên trong giao thức đĩ. Ví dụ như khi sử dụng AH để xác minh nguồn gốc dữ liệu, tính tồn vẹn phi kết nối cho gĩi IP, cĩ thể sử
Khi một bên IP-VPN muốn gửi lưu lượng IPSec tới đầu bên kia, nĩ kiểm tra để
biết nếu cĩ một đã tồn tại một SA trong cơ sở dữ liệu hay chưa để hai bên cĩ thể sử
dụng dịch vụ an ninh theo yêu cầu. Nếu nĩ tìm được một SA tồn tại, nĩ để SPI của SA này trong tiêu đề IPSec, thực hiện các thuật tốn mã hĩa và gửi gĩi tin đi. Bên thu sẽ
lấy SPI, địa chỉđích và giao thức IPSec (AH hay ESP) và tìm SA trong cơ sở dữ liệu phù hợp để xử lý gĩi tin đĩ. Lưu ý rằng một đầu cuối IP-VPN cĩ thểđồng thời tồn tại nhiều kết nối IPSec, vì vậy cũng cĩ nghĩa là tồn tại nhiều SA.