1、執行如下命令查看tunnel通道信息
ip xfrm state
2、抓走這條tunnel的報文時抓src和dst兩個host的報文就行
tcpdump -i any host src and dst -w test.pcapng
3、抓到報文后wireshark打開后是密文,如果要看原始報文需要在wireshark里配置key
在打開的wireshark窗口上任選一條報文,右鍵-->協議首選項-->ESP SAs
然后按ip xfrm state查詢到的添加新的key信息
