2016-11-23 7 views
0

IPsecと関連するセキュリティアソシエーションに関連するインターネット上で膨大な量の情報を読もうとしました。しかし、ソース、宛先IPアドレス、セキュリティプロトコル(AHまたはESP)などのすべての情報がSAレコードにすでに存在している間に、2つのセキュリティ結合が必要な理由についてはっきりした答えを見つけることができません。IPsecの2つのセキュリティアソシエーションの必要性

これについていくつかの明確な論理的な答えが非常に役に立ちます。 SPI、IP宛先とセキュリティプロトコル:開始するには

おかげで、 -Ravi

答えて

0

は、我々は、確立されたセキュリティ協会への3つのパラメータを必要としています。 カーネルに実装されているSAのキューがあります。同じIP宛先とセキュリティプロトコル(たとえばESP、異なるアルゴリズムを使用)を持つ複数のSAを追加すると、その固有の形式がSPIになります。

時には、カーネルこれらのSAの一つなので、次のSA(同じIPdest & & SecProtocol)の元を置き換えを満了します。

これらのキューも優先度のパラメータを持ちますが、優先度を変更することができるため、キューが並べ替えられます。

優先度と有効期限は、複数のSAを持つ主な動機であり、トンネルまたはトランスポートモードも別の動機になる可能性があります。

+0

@Ignacioの情報をお寄せいただきありがとうございます。しかし、私の質問は、IPsec SA(双方向ではないISAKMP SAではない)のコンテキストでは、ピア間の特定の通信のためのイニシエータとレスポンダの両方に2つのSAが作成されています。クライアント - イニシエータ(192.168.1.2:1234)がサーバレスポンダ(192.168.1.1:80)上のいくつかのWebページにアクセスしているとします。イニシエータとレスポンダの両方で1つのSAしか使用できないのはなぜですか? – Ravindra

関連する問題