本文信息大都摘自http://blog.csdn.net/tantexian/article/details/43448499供自己学习记录
ipsec 虚拟隧道接口
- 概述
IPsec虚拟隧道接口是一种支持路由的三层逻辑接口,它可以支持动态路由协议,所有路由到IPsec虚拟隧道接口的报文都将进行IPsec保护,同时还可以支持对组播流量的保护 - 原理
IPsec虚拟隧道接口对报文的加封装/解封装发生在隧道接口上。用户流量到达实施IPsec配置的设备后,需要IPsec处理的报文会被转发到IPsec虚拟隧道接口上进行加封装/解封装。
IPsec虚拟隧道接口对报文进行加封装的过程如下:
Paste_Image.png
(1) Router将从入接口接收到的IP明文送到转发模块进行处理;
(2) 转发模块依据路由查询结果,将IP明文发送到IPsec虚拟隧道接口进行加封装:原始IP报文被封装在一个新的IP报文中,新IP头中的源地址和目的地址分别为隧道接口的源地址和目的地址。
(3) IPsec虚拟隧道接口完成对IP明文的加封装处理后,将IP密文送到转发模块进行处理;
(4) 转发模块进行第二次路由查询后,将IP密文通过隧道接口的实际物理接口转发出去。
IPsec虚拟隧道接口对报文进行解封装的过程如下:
Paste_Image.png
(1) Router将从入接口接收到的IP密文送到转发模块进行处理;
(2) 转发模块识别到此IP密文的目的地为本设备的隧道接口地址且IP协议号为AH或ESP时,会将IP密文送到相应的IPsec虚拟隧道接口进行解封装:将IP密文的外层IP头去掉,对内层IP报文进行解密处理。
(3) IPsec虚拟隧道接口完成对IP密文的解封装处理之后,将IP明文重新送回转发模块处理;
(4) 转发模块进行第二次路由查询后,将IP明文从隧道的实际物理接口转发出去。
