Ühenduse sulgemist saavad algatada mõlemad pooled: klient saadab TCP FIN segmendi serverile võimalikud, Võimalik on ruutimiseks kasutada mitut erinevat parameetrit. Suurte domeenide jaoks on hierarhiline OSPF; Hierarhia : tsiviilkasutusega ARPANETiks ja salastatud sõjaväeliseks MILNETiks. Aastail 19621968 arendati välja paketipõhine tsentraliseerimata > server vastab ACK, sulgeb ühenduse ja saadab FIN-i > klient vastab ACK ja läheb timed wait olekusse. Vastab ACK kõikidele FIN-
ESP päises on 32 bitine SPI ehk security parameters index, seal on kirjas ühenduse parameetrid, mis identifitseerivad ühendust( security association). Kui leidub mingeid asju veel headeris siis on nad juba krüpteeritud. Transpordikihi krüpteerimise korral pannakse ESP päis enne transpordikihi päist(TCP jne), IPv4-s on nii. Tunneli tekitamise puhul krüpteeritakse kogu IP pakett, nagu eelpool öeldud. Selle puhul pannakse kõige esimeseks ESP päis, IP päise ette. Kuna IP päis sisaldab ruutimiseks vajalikku infi siis lisatakse kõige ette veel üks IP päis, et pakett õigesse kohta kohale jõuaks. Tunneli puhul saab lasta tegeleda krüpteerimisega ainult kahe võrgu tulemüüridel – need krüpteerivad omavahelise ühenduse ära ning nende kahe võrgu sisemistel arvutitel ei ole vaja teada midagi IPsec-ist ega muust kõigest taolisest, nende jaoks on teise võrgu arvutid nagu samas kohtvõrgus, mis muudab töö tegemise väga mugavaks kui on vaja näiteks teises linnas asuvas
annaabi.ee 
