在 IPSec VPN 中，当建立隧道时：

第一步、密钥协商

IKE 协议提供密钥协商，密码由 IKE 协商创建，无需人工设置，并且会周期性自动更新。
1）首先，建立和维护 SA（安全联盟）等服务，这是第一阶段协商，该 SA 仅在特定时间内有效。
2）然后，进行 IPSec 协商，以完成 IPSec SA 协商（也被成为第二阶段协商），并用于加密 IP 报文。

第二步、数据传输

然后，通过 AH 和 ESP 两个协议来实现 IP 数据包的安全传送。
在数据传输过程中，使用 IPSec SA 加密 IP 报文进行数据传输。

参考文献

About IPSec VPN Negotiations