Uma conexão IPsec é dividida em duas fases lógicas. Na fase 1, um nó do IPsec inicia a conexão com o nó ou rede remota. O nó/rede remota verifica as credenciais do nó solicitante e ambas partes negociam o método de autenticação da conexão.

Nos sistemas Red Hat Enterprise Linux, uma conexão IPsec usa o método de chave pré-compartilhada (pre-shared key) para autenticação do nó IPsec. Numa conexão IPsec com chave pré-compartilhada, ambos hosts devem usar a mesma chave para prosseguir à segunda fase da conexão IPsec.

Durante a fase 2 de uma conexão IPsec é criada uma associação de segurança (security association, SA) entre os nós IPsec. Essa fase estabelece um banco de dados de SAs com informações de configuração, como o método de criptografia, parâmetros de troca de chaves de sessões secretas, dentre outras. Essa fase administra a conexão IPsec entre nós e redes remotas.

A implementação do IPsec no Red Hat Enterprise Linux usa IKE para compartilhar chaves entre hosts ao longo da Internet. O daemon do chaveiro racoon é responsável pela distribuição e troca de chaves IKE. Consulte a página man do racoon para maiores informações sobre este daemon.