O modo principal e o modo rápido são termos genéricos do IPsec referentes aos estágios do processo de negociação do IPsec para a troca segura de chaves de criptografia entre hosts.
Uma conexão IPsec é configurada usando a negociação de modo principal mais intensiva de recursos, também conhecida como fase IKE. O objetivo do modo principal é criar seguramente canais chamados Associações de Segurança do Internet Key Exchange entre hosts. Esses canais IKE SA são usados como base para iniciar e atualizar com segurança as Associações de Segurança IPsec (SAs IPsec) que são usadas para criptografar e descriptografar os dados do aplicativo.
Assim, quando os hosts estabelecerem SAs IKE mútuas usando o modo principal, elas serão usadas para proteger as trocas de chaves subsequentes, de forma a tornar esse procedimento menos intensivo em recursos. As trocas subsequentes são chamadas de modo rápido ou IKE, fase dois. A finalidade do modo rápido é estabelecer as SAs IPsec, que são os canais usados para criptografar e descriptografar os dados do aplicativo.
Em intervalos predefinidos (como por tempo ou volume de dados), essas SAs IPsec são atualizadas, ou seja, novas chaves SA IPsec são geradas e trocadas, também usando a fase IKE I ou o modo rápido.
Assim, o modo principal e o modo rápido são usados no processo de estabelecimento e atualização de uma rede IPsec.