SR66的IPSec业务处理方式是：分布式，内置硬件加密。

IPsec是一个协议体系，由建立安全分组流的密钥交换协议和保护分组流的协议两个部分构成，前者即为IKE协议，后者则包含AH、ESP协议。（1）IKE协议。Internet 密钥交换协议（Internet Key Exchange Protocol，IKE）属于一种混合型协议，由Internet安全关联和密钥管理协议（Internet Security Association and Key Management Protocol，ISAKMP）与两种密钥交换协议（OAKLEY与SKEME）组成，即IKE由ISAKMP框架、OAKLEY密钥交换模式以及SKEME的共享和密钥更新技术组成。IKE定义了自己的密钥交换方式（手工密钥交换和自动IKE）。（2）AH。认证头（Authentication Header，AH）是IPSec体系结构中的一种主要协议，它为IP数据报提供完整性检查与数据源认证，并防止重放攻击。AH不支持数据加密。AH常用摘要算法（单向Hash函数）MD5和SHA1实现摘要和认证，确保数据完整。（3）ESP。封装安全载荷（Encapsulating Security Payload，ESP）可以同时提供数据完整性确认和数据加密等服务。ESP通常使用DES、3DES、AES等加密算法实现数据加密，使用MD5或SHA-1来实现摘要和认证，确保数据完整。传输模式下的AH和ESP处理后的IP头部不变，而隧道模式下的AH和ESP处理后需要新封装一个新的IP头。

IPsec的功能可以划分三类：①认证头（Authentication Header, AH)：用于数据完整性认证和数据源认证；②封装安全负荷（Encapsulating Security Payload，ESP)：提供数据保密性和数据完整性认证，ESP也包括了防止重放攻击的顺序号；③Internet密钥交换协议（Internet Key Exchange，IKE)：用于生成和分发在ESP和AH中使用的密钥，IKE也对远程系统进行初始认证。IPsec传输模式中，IP头没有加密，只对IP数据进行了加密；在隧道模式中，IPSec 对原来的IP数据报进行了封装和加密，加上了新的IP头。IPSec的安全头插入在标准的IP头和上层协议（例如TCP)之间，任何网络服务和网络应用可以不经修改地从标准IP转向IPSec，同时IPSec通信也可以透明地通过现有的IP路由器。