4. 即使数据包没有在互联网中丢弃,并且幸运地抵达了响应方网关,那么我们指望响应方网关进行解密工作吗?凭什么,的确没什么好的凭据,数据包的目的地址是内网 PC 的10.1.1.2,所以直接转发了事。
5. 最杯具的是响应方内网 PC 收到数据包了,因为没有参与 IPSec 会话的协商会议,没有对应的SA,这个数据包无法解密,而被丢弃。
我们利用这个反证法,巧妙地解释了在 Site-to-Site 情况下不能使用传输模式的原因。并且提出了使用传输模式的充要条件:兴趣流必须完全在发起方、响应方 IP 地址范围内的流量。比如在图中,发起方 IP 地址为6.24.1.2,响应方 IP 地址为2.17.1.2,那么兴趣流可以是源6.24.1.2/32、目的是2.17.1.2/32,协议可以是任意的,倘若数据包的源、目的 IP 地址稍有不同,对不起,请使用隧道模式。