如何对IPSec报文进行解密

有时候我们需要查看封装的报文内容，以定位一些问题。Wireshark支持对ESP的解析，只是需要做一些相应配置。

1、抓取并打开IPSec报文

通过路由器自带的抓包工具或者Wireshark等方式抓取到ipsec报文。打开后，过滤4500端口(ESP标准端口)，可以看到如下所示封装后的报文。

此时报文会提示是 UDP Encapsulation of IPsec Packets。并告知 ESP SPI: 0xc0a7ebd8 (3232230360)。ipsec是双向加密，且使用了不同的key，所以反向也有ESP SPI: 0x0caa055e (212469086)。

2、获取esp配置

对于UR系列路由器来说，诊断文件中的diag-net1文件中，检索ip xfrm state即可获取到esp的配置，请注意该配置会不时刷新，建议在完成抓包后立即收集诊断，避免SPI发生变化。

3、Wireshark上配置esp

右键点击esp报文-协议首选项-Encapsulating Security Payload-ESP SAs；

在ESP SAs界面上点击"+"创建两个条目，依据诊断文件中esp的配置依次填入双向的源目IP、SPI、Encryption加密方式、加密key、认证方式、认证key信息；点击确认后即可看到解密后的报文内容了。