参考答案：

当要将IP发送出去时，或者接收到IP包时，首先要查找SPD来决定如何进行处理，存在3种可能的处理方式：

1、丢弃：流量不能离开主机或者发送到应用程序，也不能进行转发。

2、不用IPSec：对流量作为普通流量处理，不需要额外的IPSec保护。

3、使用IPSec：对流量应用IPSec保护，此时这条安全策略要指向一个SA。对于外出流量，如果该SA尚不存在，则启动IKE进行协商，把协商的结果连接到该安全策略上。