Комбинации SA
Иногда политика безопасности может требовать комбинации сервисов для конкретного потока трафика. В таких случаях необходимо установить несколько SAs для реализации принятой политики безопасности. Термин "узел безопасных ассоциаций" или "узел SA" применяется к последовательности SA, через которые должен проходить трафик для обеспечения требуемой политики безопасности. Заметим, что SAs, которые образуют узел, могут заканчиваться в различных точках.
Безопасные aссоциации могут комбинироваться в узлы двумя способами: транспортное соседство и повторное туннелирование.
-
Транспортное соседство означает применение более одного протокола для одной и той же IP датаграммы без использования туннелирования. Данный подход при комбинировании AH и ESP допускает только один уровень комбинации; дальнейшие вложенные поля не добавляют преимущества (в случае использования одинаково сильных алгоритмов для каждого протокола).
Рис. 23.1. Транспортное средство SAs - Повторное туннелирование означает применение нескольких протоколов, выполняющих туннелирование.
Существует три основных варианта повторного туннелирования:
-
Оба конца SAs являются одинаковыми – внутренний и внешний туннели могут быть каждый AH или ESP, хотя маловероятно, что протоколы будут одинаковые, например, AH внутри AH или ESP внутри ESP.
Рис. 23.2. Повторное туннелирование SAs – оба конца одинаковы -
Один конец нескольких SAs является одним и тем же – внутренний и внешний туннели могут оба быть AH или ESP.
Рис. 23.3. Повторное туннелирование SAs – один конец общий -
Ни один из концов нескольких SAs не является одним и тем же – каждый внутренний и внешний туннели могут быть AH или ESP.
Рис. 23.4. Повторное туннелирование SAs – оба конца разные
Эти два подхода также могут комбинироваться, например, узел SA может быть сконструирован из одного SA туннелироющего режима и одного или двух SAs транспортного режима, применяемых последовательно.