Die Protokolle authentifizieren das gesamte Paket bis auf veränderliche Einträge des IP-Kopfes. Die Verschlüsselungsmechanismen greifen nur für die höheren Protokollebenen und den Datenbereich des Paketes. Der ursprüngliche IP-Header bleibt erhalten.
Der Transport Modus spart im Vergleich zum Tunnel Modus Rechenzeit und ist für Verbindungen innerhalb eines sicheren Netzwerkes vorgesehen. (Beim Transport Mode muß kein neuer IP-Header generiert werde, es müssen nur die Nutzdaten verschlüsselt werden, dafür wird bietet der Transport Mode jedoch weniger Schutz).