Hlavička Encapsulating Security Payload (ESP) je součástí bezpečnostních mechanismů IPv6. Jejím hlavním cílem je poskytnout ochranu před odposlechem datagramu, tedy zašifrovat jeho obsah. Kromě toho dokáže poskytnout i autentizační služby srovnatelné s hlavičkou AH. Může poskytovat jednu z těchto služeb nebo obě dvě současně, závisí jen na parametrech vytvořené bezpečnostní asociace.

ESP je velmi nestandardní hlavička, protože do sebe „spolkne“ celý zbytek datagramu. Za ní už nic není, zbývající obsah datagramu má v sobě jako nesená data (zašifrovaný). Položka další hlavička proto určuje typ první hlavičky v nesených datech. Index bezpečnostních parametrů (SPI) identifikuje odpovídající bezpečnostní asociaci s informacemi o kryptografických algoritmech, klíčích a podobně. Některé algoritmy vyžadují, aby délka chráněných dat byla násobkem určité hodnoty, proto případná vycpávka. Závěrečná autentizační data umožňují ověřit pravost datagramu, pokud je tato služba aktivní.

Definici hlavičky ESP obsahuje RFC 4303.