IPSec tiene muchos modos pero hay dos formas principales de autenticación para un túnel IPSec a través de Internet Key Exchange (IKE): IKEv1 e IKEv2 (más reciente) que admiten certificados 509.X o incluso claves previamente compartidas (como contraseñas); el modo IKE seleccionado utilizará diffie-hellman (si está seleccionado en la configuración, por ejemplo) para intercambiar una clave simétrica (como usted indicó) para la sesión del túnel (si ese es el modo que está usando). En este punto usted tiene una Asociación de Seguridad (SA) madura. Ahora que tiene una clave que va a utilizar para la sesión, IPSec tiene dos protocolos que encapsularán su túnel, AH y ESP. AH, el encabezado de autenticación, proporciona autenticación pero no el cifrado del túnel. ESP, Encapsulating Security Payload, utiliza el algoritmo de cifrado (3DES-CBC, AES-256-CBC, etc ...) que seleccionó en la configuración de IPSec para encapsular el tráfico (tcp, udp, icmp, etc ...) como se abre paso al otro dispositivo con el que tiene SA. Para su información, algunos proveedores admiten una combinación de protocolos ESP / AH.
Si desea obtener más información sobre IKE e IPSec, consulte los RFC, son muy detallados e informativos.