本文信息大都摘自http://blog.csdn.net/tantexian/article/details/43448499供自己學(xué)習(xí)記錄
ipsec 虛擬隧道接口
- 概述
IPsec虛擬隧道接口是一種支持路由的三層邏輯接口,它可以支持動態(tài)路由協(xié)議,所有路由到IPsec虛擬隧道接口的報文都將進(jìn)行IPsec保護(hù),同時還可以支持對組播流量的保護(hù) - 原理
IPsec虛擬隧道接口對報文的加封裝/解封裝發(fā)生在隧道接口上。用戶流量到達(dá)實(shí)施IPsec配置的設(shè)備后,需要IPsec處理的報文會被轉(zhuǎn)發(fā)到IPsec虛擬隧道接口上進(jìn)行加封裝/解封裝。
IPsec虛擬隧道接口對報文進(jìn)行加封裝的過程如下:
(1) Router將從入接口接收到的IP明文送到轉(zhuǎn)發(fā)模塊進(jìn)行處理;
(2) 轉(zhuǎn)發(fā)模塊依據(jù)路由查詢結(jié)果,將IP明文發(fā)送到IPsec虛擬隧道接口進(jìn)行加封裝:原始IP報文被封裝在一個新的IP報文中,新IP頭中的源地址和目的地址分別為隧道接口的源地址和目的地址。
(3) IPsec虛擬隧道接口完成對IP明文的加封裝處理后,將IP密文送到轉(zhuǎn)發(fā)模塊進(jìn)行處理;
(4) 轉(zhuǎn)發(fā)模塊進(jìn)行第二次路由查詢后,將IP密文通過隧道接口的實(shí)際物理接口轉(zhuǎn)發(fā)出去。
IPsec虛擬隧道接口對報文進(jìn)行解封裝的過程如下:
(1) Router將從入接口接收到的IP密文送到轉(zhuǎn)發(fā)模塊進(jìn)行處理;
(2) 轉(zhuǎn)發(fā)模塊識別到此IP密文的目的地為本設(shè)備的隧道接口地址且IP協(xié)議號為AH或ESP時,會將IP密文送到相應(yīng)的IPsec虛擬隧道接口進(jìn)行解封裝:將IP密文的外層IP頭去掉,對內(nèi)層IP報文進(jìn)行解密處理。
(3) IPsec虛擬隧道接口完成對IP密文的解封裝處理之后,將IP明文重新送回轉(zhuǎn)發(fā)模塊處理;
(4) 轉(zhuǎn)發(fā)模塊進(jìn)行第二次路由查詢后,將IP明文從隧道的實(shí)際物理接口轉(zhuǎn)發(fā)出去。
