Một gói IP bao gồm IP header và một phần tải (payload) theo sau. Payload có thể là một phân đoạn tầng vận tải hoặc các thông báo ICMP, IGMP. IP Header cung cấp các thông tin nh− địa chỉ nguồn, địa chỉ đích giúp cho việc giao nhận và định tuyến dữ liệu qua liên mạng để tới đích. Kỹ thuật đóng gói (Encapsulation techniques) cho phép thu đ−ợc IP payload và bảo vệ nó bằng các dịch vụ an toàn nh− bí mật, xác thực, toàn vẹn.
Hình 1.10: Kỹ thuật đóng gói trong bảo vệ gói IP
Hình 1.10 mô tả kỹ thuật đóng gói trong việc bảo vệ gói IP. Nh− ở phần trên đã trình bầy, các thành phần của gói IP cần can thiệp mật mã có thể là một số thành phần nào đó hoặc toàn bộ gói IP. Chính vì vậy IP payload trong một gói IP đã đ−ợc cài đặt dịch vụ an toàn có thể là một gói IP khác khi ta muốn bảo vệ toàn bộ gói IP hoặc có thể chỉ là phân đoạn tầng vận tải của chính gói IP đó. Trong tất cả các tr−ờng hợp đó, payload cần bảo vệ đ−ợc gắn một hoặc nhiều header an toàn vào phía tr−ớc. Các header an toàn chứa các thông tin về các liên kết an toàn SA đã đ−ợc thiết lập giữa hai hệ thống, các giá trị đ−ợc sinh bởi mã xác thực thông báo, hàm băm để làm bằng chứng xác thực.
Trong hình 1.10a, payload đ−ợc bảo vệ là phân đoạn tầng vận tải hoặc thông báo ICMP. Trong hình 1.10b, payload đ−ợc bảo vệ là toàn bộ gói IP, trong tr−ờng hợp này phải bổ xung một IP header mới vào phía tr−ớc gói IP ban đầu. Giải pháp này đ−ợc dùng với mô hình hai mạng LAN kết nối với nhau qua hai Gateway và dịch vụ an toàn đ−ợc cài đặt tại hai Gateway. Kỹ thuật tóm l−ợc đ−ợc dùng khi can thiệp mật mã để bảo vệ IP payload khi nó đ−ợc truyền qua một mạng không an toàn.