UR/ERG3/ERG5 IPSec报文解密

IPsec封装安全负载（IPsec ESP）报文，因为是加密封装报文，Wireshark打开后无法查看内部封装内容；有时候我们需要查看封装的报文内容，以排查定位一些问题。

Wireshark支持对ESP的解析，本文介绍如何解密ESP报文。

一、抓取并打开ipsec报文

通过tcpdump或者wireshark等方式抓取到ipsec报文；打开后，过滤ESP报文，可以看到如下所示封装后的报文；从报文中我们可以看到双向加密的SPI

二、获取解密信息

根据抓包中的SPI，在路由器上找到对应SPI的加密信息，加密信息的获取可以通过诊断中的net配置文件找ip xfrm state或直接登录设备后台输入ip xfrm state命令，建议抓包后马上收集ip xfrm state信息，时间较长可能存在密钥变化需要重新抓包。

三、Wireshark解密

1、报文右键进入ESP SA

2、填写解密信息

3、解密后即可看到内层报文