关于ipsec安全框架的问题

1.1.24  ipsec profile (tunnel interface view)

【命令】

ipsec profile profile-name

undo ipsec profile

【视图】

Tunnel接口视图

【缺省级别】

2：系统级

【参数】

profile-name：安全框架名称，为1～15个字符的字符串，不区分大小写。

【描述】

ipsec profile命令用于在IPsec虚拟隧道接口上应用安全框架。undo ipsec profile命令用于取消在IPsec虚拟隧道接口上应用安全框架。

缺省情况下， IPsec虚拟隧道接口上没有引用任何安全框架，即不对隧道进行保护。

需要注意的是：

·     一个隧道接口上只能应用一个安全框架。

·     如果隧道接口上需要应用新的安全框架，则需要先取消当前应用的安全框架。

相关配置可参考命令ipsec profile （System view）和“VPN命令参考/隧道”中命令的interface tunnel。

【举例】

# 在IPsec虚拟隧道接口上应用保护IPsec隧道的安全框架vtiprofile。

<Sysname> system-view

[Sysname] interface tunnel 0

[Sysname-Tunnel0] tunnel-protocol ipsec ipv4

[Sysname-Tunnel0] ipsec profile vtiprofile

关于安全框架的具体配置如上所示，我想问下在ospf over gre over ipsec时，ipsec采用分支到分支的配置，也就是两边都配置了兴趣流，这个时候gre肯定是会被加密的，gre的source 和destination地址就是ipsec的兴趣流源目地址，那么假如采用分支到总部的配置，总部这边没有配置具体感兴趣的兴趣流，那么是不是这个时候配置安全框架就是为了进行隧道加密的操作的？请知道的告诉下，如果不是的话，请问隧道加密这个安全框架应用的具体场景是什么，谢谢了