在安全网关上运行的动态路由协议守护程序,可以与在
IPSec 隧道/连接的另一端上运行的相邻路由守护程序交换路由信息。
IPsec(或 VPN)隧道是安全网关上与现有 VPN 连接相关联的虚拟接口,IP 路由将使用该接口作为直接与 VPN 对等网关连接的点对点接口。
出站数据包采用以下路由过程:
- 目标地址为 X 的 IP 数据包根据路由表进行匹配
- 路由表指示 IP 地址 X 应通过点对点链接(即,与对等网关 Y 相关联的 VPN 隧道接口)进行路由
- VPN 内核在该数据包指定虚拟隧道接口时截获该数据包
- 该数据包使用对等网关 Y 的适当 IPsec 认证类型参数进行加密,新的数据包收到对等网关 Y 的 IP 地址作为目标 IP。
- 该数据包根据新的目标 IP 以及 Y 地址的相应路由表条目重新路由到物理接口
入站数据包采用以下路由过程:
- IPsec 数据包从网关 Y 指定计算机
- VPN 内核在物理接口上截获该数据包
- VPN 内核识别原始 VPN 对等网关
- VPN 内核拆封该数据包,并提取原始 IP 数据包
- VPN 内核检测到对等 VPN 网关存在 VPN 隧道接口,并将该数据包从物理接口重新路由到相关联的 VPN 隧道接口
- 该数据包通过 VPN 隧道接口指定 IP 堆栈
