1、执行如下命令查看tunnel通道信息
ip xfrm state
2、抓走这条tunnel的报文时抓src和dst两个host的报文就行
tcpdump -i any host src and dst -w test.pcapng
3、抓到报文后wireshark打开后是密文,如果要看原始报文需要在wireshark里配置key
在打开的wireshark窗口上任选一条报文,右键-->协议首选项-->ESP SAs
然后按ip xfrm state查询到的添加新的key信息
