Una conexión IPsec está separada en dos etapas lógicas. En la primera etapa, un nodo IPsec inicia la conexión con el nodo remoto o la red. El nodo remoto o la red verifica las credenciales del nodo que hace la petición y ambas partes establecen un método de autenticación para la conexión.

En sistemas Fedora, una conexión IPsec utiliza un método de clave pre-compartida para la autenticación del nodo IPsec. En una conexión IPsec de este tipo, ambos equipos deben utilizar la misma clave para poder avanzar hacia la segunda etapa de la conexión IPsec.

La segunda etapa de la conexión IPsec consiste en la creación de una Asociación de seguridad (SA, por las iniciales en inglés de Security Association) entre los nodos IPsec. Esta etapa genera una base de datos SA con información de configuración, como el método de encriptado, los parámetros de intercambio de clave para la sesión secreta, y demás informaciones necesarias. Esta etapa administra la conexión IPsec actual entre los nodos remotos y las redes.

La implementación de IPsec en Fedora utiliza IKE para compartir claves entre equipos a través de Internet. El demonio para claves racoon administra la distribución y el intercambio de clave IKE. Para obtener mayor información acerca de este demonio, vea la página man de racoon.