将IPSec policy调用在GRE tunnel接口时，原始报文的封装流程是怎么样的？

在GRE隧道接口调用IPSec策略时，原始报文的封装流程如下（基于H3C技术文档描述）：

1.    原始报文处理

原始IP报文（如源IP 192.168.1.1，目的IP 192.168.2.1）到达隧道接口。

2.    GRE封装

隧道接口对报文进行GRE封装：

添加GRE头

添加外层IP头（源IP为隧道接口的source地址，目的IP为隧道接口的destination地址，例如11.11.11.11 → 22.22.22.22）。

3.    IPSec加密

IPSec策略（隧道模式）对封装后的整个GRE报文进行加密：

添加ESP/AH头（根据IPSec提议配置的加密/认证算法）

添加新IPSec外层IP头（源IP为物理接口地址，目的IP为对端物理接口地址）。

4.    最终报文结构

封装完成后的报文从内到外结构为：

原始IP报文 + GRE头 + 外层IP头（GRE） + ESP/AH头 + IPSec外层IP头

即：[IPSec外头][ESP][GRE头][原始IP报文]

关键说明：

封装顺序：先GRE封装，再IPSec加密（GRE over IPsec）。

IPSec模式要求：必须为隧道模式（Tunnel Mode），确保GRE头部被加密保护。

路由触发：原始报文需被路由到GRE隧道接口，才会触发此封装流程。

此流程适用于H3C路由器（如MSR、CR系列），确保分支机构间流量通过加密隧道安全传输。