Per garantire una trasmissione riservata dei dati, è stato progettato un apposito pacchetto per la trasmissione di dati crittografati, il cosiddetto ESP, Encripted Security Payload. Un pacchetto di questo tipo ha il formato riportato in Tab. 25, l'intestazione principale di IPv6 dovrà indicare il valore 50 nel campo nel campo next header.
1.2
I primi due campi sono gli stessi già spiegati in precedenza per l'intestazione di autenticazione e non sono crittografati, ad essi segue la parte crittografata che si estende fino ai dati di autenticazione esclusi.
Una volta riportata in chiaro la parte crittografata deve avere la struttura mostrata Tab. 25: un primo campo di dimensione variabile che contiene i dati del tipo indicato dal successivo campo Next Header, se il protocollo di crittografia richiede dei dati di sincronizzazione questi possono far parte di questo campo.
Segue una sezione di riempimento per allineare le dimensioni dei dati; questa serve sia per le richieste di IPv6 che per quelle del protocollo di crittografia, che per mascherare la lunghezza effettiva del pacchetto, ed ha una dimensione variabile da 0 a 255 bytes. La sezione di riempimento deve essere conclusa dai due campi pad length, che ne indica la dimensione, e Next Header, che indica il tipo dei dati crittografati.
Come per l'autenticazione l'ESP può essere impiegato in modalità di trasporto o tunnel; nel primo caso l'ESP è visto come un carico e deve essere inserito dopo le estensioni hop by hop, fragmentation e routing, secondo lo schema in Tab. 26.
In modalità trasporto però l'indirizzo di destinazione del pacchetto resta in chiaro. In modalità tunnel invece il pacchetto può venire incapsulato come mostrato in Tab. 27 ed inviato ad un gateway di sicurezza, in questo modo anche l'indirizzo di destinazione finale è crittografato, ed è inaccessibile all'esterno del tunnel.