摘要：

IPSec应用在通道模式下时，对原始IP数据报另外封装了一个外部通道IP头(其中的源、目的地址分别指向实施IPSec的起始、终止端点的地址)，导致报文传输途中的路由器对其封装的IP数据报所产生的ICMP差错报文不能在因特网上进行正确转发。该问题是一个难解决的问题，目前暂无成熟可行的方案。针对此问题，本文提出两种对IPSec协议进行改进的方案，均能保证在不影响原有IPSec实施效率的前提下，解决该难题。

关键词: ICMP报文处理 IPSec协议 因特网 路由器 安全性