XESP for Traffic Visibility

draft-grewal-ipsec-traffic-visibility-01 ようは、ESP NULLの場合に(暗号化していないためペイロードを検査できるから)ネットワークの中間機器にてモニタリングやアクセスコントールを行いたい。 しかし、パケットを見ただけでは、ESP NULLと暗号化されたESPが一見区別がつかないため、 区別つけるようにしたい。（なぜAH使わないかというとAHだとNAT越えすることが難しいから。）

そのために、新しいESPのフォーマットを定義している(XESP)。それは従来のESPの先頭に4オクテットのヘッダをつけたもの。 このヘッダには、以下のものが含まれる。

• next protocol - header offset
• trailer offset
• flag(version, ESP-NULLなど)

また、NAT-T用のUDP-Encapのフォーマットも4オクテットのProtocol Identifier（1）が導入されている (Non-ESP markerの位置)。ESPの場合この位置にはSPIがくるが1-255は予約されているため、この予約値の中から'1'を使用する。 また、IKEにおいても、新しいProtocol IDを導入。