Bağlantının şifrenlemesi ve kimlik denetimi için iki farklı kip mümkündür:

Taşıma kipi gerçek uçtan-uca bağlantı kipidir. Burada sadece ICMP, TCP veya UDP şifrelenir, IP başlığı şifrelenmez (ama genellikle kimlik denetimine dahil edilir).

Şifreleme için AES-128, kimlik denetimi için SHA1 kullanılır. Bu kip MTU'yu 42 oktete düşürür.

Tünel kipi uçtan-uca bağlantılarda kullanılabileceği gibi ağ geçidinden-ağ geçidine bağlantılarda da kullanılabilir. Burada IP paketinin tamamı şifrelenir ve yeni bir IP başlığı elde edilir. Böylece yeni bir IP paketi oluşturulmuş olur (bu mekanizma "encapsulation" olarak da bilinir.).

Bu kipteki MTU taşıma kipindeki MTU'dan 40 oktet daha azdır. Yani şifreleme için AES-128 ve kimlik denetimi için SHA1 kullanarak normal MTU'dan 82 oktet daha az kullanılmış olur.