IPsecの2つのセキュリティアソシエーションの必要性

Question

IPsecと関連するセキュリティアソシエーションに関連するインターネット上で膨大な量の情報を読もうとしました。しかし、ソース、宛先IPアドレス、セキュリティプロトコル（AHまたはESP）などのすべての情報がSAレコードにすでに存在している間に、2つのセキュリティ結合が必要な理由についてはっきりした答えを見つけることができません。

これについていくつかの明確な論理的な答えが非常に役に立ちます。 SPI、IP宛先とセキュリティプロトコル：開始するには

おかげで、 -Ravi

Answer 1

は、我々は、確立されたセキュリティ協会への3つのパラメータを必要としています。 カーネルに実装されているSAのキューがあります。同じIP宛先とセキュリティプロトコル（たとえばESP、異なるアルゴリズムを使用）を持つ複数のSAを追加すると、その固有の形式がSPIになります。

時には、カーネルはこれらのSAの一つなので、次のSA（同じIPdest & & SecProtocol）の元を置き換えを満了します。

これらのキューも優先度のパラメータを持ちますが、優先度を変更することができるため、キューが並べ替えられます。

優先度と有効期限は、複数のSAを持つ主な動機であり、トンネルまたはトランスポートモードも別の動機になる可能性があります。