IKE ist das bei IPSec für den Verbindungsaufbau, Authentifizierung und Aushandlung der Verbindungsparameter verwendete Protokoll.

Es gibt 2 Versionen von IKE, das ältere IKEv1 und das neuere IKEv2. Diese beiden Versionen sind in der Form kompatibel, dass beide auf einem System gleichzeitig laufen können und einen gemeinsamen Port verwenden können. Es muss aber für jede VPN-Verbindung klar festgelegt sein, welche IKE-Version genutzt werden soll.

Bei beiden Versionen von IKE wird der Verbindungsaufbau über UDP Port 500 begonnen. Wird im Laufe der Aushandlung festgestellt, dass eine oder beide Seiten hinter einem NAT-Router sind, oder bei IKEv2 die Erweiterung MOBIKE aktiv ist, wird auf UDP Port 4500 umgestellt.

Beide Versionen von IKE sind erweiterbar konzipiert. Sie bestehen aus einer Basisspezifikation und verschiedenen Erweiterungen. Innerhalb des Protokolls wird dann zwischen den Gegenseiten ausgehandelt, welche Erweiterungen von beiden Seiten unterstützt und genutzt werden sollen.

Unabhängig von der Anzahl der verschiedenen Tunnel und Netze die verbunden werden sollen, wird zwischen zwei Gegenstellen immer nur eine einzige IKE-Verbindung aufgebaut. Diese eine IKE-Verbindung kann dann genutzt werden, um einen oder mehrere Tunnel auszuhandeln.