Примеры комбинаций SA
Приведем четыре примера комбинаций SA, которые должны поддерживаться IPsec-хостами и шлюзами безопасности. Дополнительные комбинации AH и/или ESP в туннелирующем и/или транспортном режимах могут поддерживаться по усмотрению разработчиков. Реализации должны иметь возможность создавать и обрабатывать эти четыре комбинации. Введем следующие обозначения:
| = | - | одна или более SA (AH или ESP, транспорт или туннель); |
| – | - | соединение (или административная граница); |
| Нх | - | хост х; |
| SGx | - | шлюз безопасности х; |
| Х* | - | Х поддерживает IPsec. |
Замечание: рассматриваемые ниже безопасные ассоциации могут быть как AH, так и ESP. Режим (туннель или транспорт) определяется характером конечных точек. Для host-to-host SAs режим может быть как транспортным, так и туннелирующим.
В данном случае как транспортный, так и туннелирующей режим могут быть хостами. Заголовки в пакете между Н1 и Н2 должны выглядеть как в таблице 23.1.
Вариант 1. Обеспечение end-to-end безопасности между двумя хостами через Internet (или intranet)
| Transport | Tunnel |
| 1. [IP1] [AH] [upper] | 1. [IP2] [AH] [IP1] [upper] |
| 2. [IP1] [ESP] [upper] | 2. [IP2] [ESP] [IP1] [upper] |
| 3. [IP1] [AH] [ESP] [upper] |
Во втором варианте требуется только туннелирующий режим. При этом заголовки в пакете между SG1 и SG2 должны выглядеть как в таб. 23.2.
Вариант 2. Создание простых виртуальных частных сетей
| Tunnel |
| 1. [IP2] [AH] [IP1] [upper] |
| 2. [IP2] [ESP] [IP1] [upper] |
Вариант 3. Комбинация вариантов 1 и 2 путем добавления end-to-end безопасности между хостами отправителя и получателя. Для хостов или шлюзов безопасности не вводится новых требований, кроме требования, чтобы шлюз безопасности был сконфигурирован для прохождения IPsec-трафика (включая ISAKMP трафик) для хостов позади него.
Вариант 4. Рассматривается случай, когда удаленный хост (Н1) использует Internet для достижения firewall'a организации ( SG2) и затем получает доступ к некоторому серверу или другой машине (Н2). Удаленный хост может быть мобильным хостом (Н1), подсоединяющимся по dial up к локальному РРР серверу (на диаграмме это не показано) по Internet и затем проходящему по Internet к firewall организации (SG2) и т.д.
Между Н1 и SG2 возможен только туннелирующий режим. Вариант для SA между Н1 и SG2 может быть быть один из тех, что представлены в варианте 2. Альтернатива для SA между Н1 и Н2 должна быть одной из тех, что представлены в варианте 1.
Заметим, что в данном варианте отправитель должен применять транспортный заголовок перед туннелирующим заголовком. Следовательно, интерфейс управления в реализациях IPsec должен поддерживать конфигурацию SPD и SAD, гарантирующую данную упорядоченность заголовка IPsec.
Поддержка дополнительных комбинаций AH и ESP не является обязательной. Дополнительные комбинации могут неблагоприятно сказываться на интероперабельности.
