|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Alexey Milevsky 2:5020/400 07 Jun 2003 19:05:47
To : Eugene Grosbein
Subject : Re: IPSec - наивный вопрос
--------------------------------------------------------------------------------
Hi!
> AM> когда шифруется транзитный трафик, то ипсек работает в туннельном
> AM> режиме.
> AM> нет как таковой отдельной "инкапсуляции в туннель"! - см. ниже.
> AM> вы, часом, туннельный режим ипсек с туннелем ипсек/гре не путаете?
> Я "инкапсуляцией в туннель" как раз и называю заворачивание криптованного
> пакета внутрь еще одного IP-пакета и засовывание его, например, в gre.
а смысл?
1. неизвестно как это сделать в пределах одной железяки
2. гораздо разумнее (хотя бы с точки зрения передачи broad/multicast
трафика) делать наоборот инкапсуляцию gre в esp, что и называется ipsec
with gre. тогда криптопиры работают в транспортном режиме, а для
роутинга транзитного трафика используется логический интерфейс tunnel X
но в исходном письме, кроме упора на туннель, у вас ничего не было :)
помните, чУдную фразу:
чтобы задать правильно вопрос, нужно знать половину ответа? :)
> >> А все-таки, что мешает обойтись без инкапсуляции в туннель при
> >> шифровании транзитного трафика?
> AM> стандарт :) и сам ипсек.
> AM> [ никак не получется донести :) может у пдф с сиско.сом получится? ;) ]
> AM> различие в наименованиях транспортный/туннельный режим ипсек состоит
> AM> принципиально лишь в том, сохраняется ли внутри esp-пакета src_ip/dst_ip
> AM> шифруемой датаграммы или нет: если сохраняется, то это туннельный режим,
> AM> который используется для шифрования транзитного трафика; а если нет, то
> AM> это транспортный режим.
>
> Вот про это я и спрашиваю - IOS умеет туннельный режим ipsec без
> создания tunnel-интерфейса для транзитного трафика?
> Когда src/dst транзитных пакетов сохраняются, шифруется только тело.
еще раз.
транзитный ip в туннельном_режиме_ипсек (не путать ипсек/гре!) полностью
завернется в esp.
в результате в новом полученном ip будет:
ip_protocol=esp, ip_src=ip_src_cryptopeer, ip_dst=ip_dst_cryptopeer
получающий роутер ip_dst_cryptopeer, должен развернуть esp.
если же зашифровать нужно только ip_payload, оставив транзитные
ip_src/ip_dst неизменными, то ipsec не подходит - он всегда работает со
своими протоколами esp и ah, по желанию заказчика :) присовокупляя к ним
isakmp.
в этом случае можно попробовать cet, но сами цискари его не рекомендуют
и он есть только до 12.1 включительно.
если вам так важно сохранение при роутинге неизменными ip_src/ip_dst,
рассмотрите возможность использования ipsec/gre. тогда абстрагируясь,
внутри логического интерфейса tunnel X будет идти транзитная датаграмма
с неизмененными ip_src/ip_dst. нуу, может быть немного
пофрагментированная :))
> AM> в начале своих "заблуждений" с ипсек я пробовал в трансформ-сете указать
> AM> mode transport, а пропускал через рутер транзитный трафик. внимание
> AM> вопрос, в каком режиме работал ипсек? :)
> В туннельном? И действительно работал?
ну дык! :)
похоже, иос сам понял, что то, что от него просят нельзя физически
реализовать и реализовал так, как смог :)
> Что-то там слишком много ссылок дает поиск ipsec design guide,
> что надо-то читать?
сейчас глянул - убрали в новом дизайне те пдф, мерзавцы :(
а в этом
http://www.cisco.com/cgi-bin/Support/browse/psp_view.pl?p=Internetworking:IPSec
я не нашел того, о чем говорил :(
если есть желание, могу выложить весь тот пдф, в архиве будет чуть
меньше мега.
походил просмотрел новое содержание - многое было в старом, достаточно
добавлено. сделан бОльший упор на практическую реализацию конкретных
примеров. а теорию подубавили. может так оно и лучше? - хрен его знает.
--
A1ex.
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5
* Origin: Talk.Mail.Ru (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: IPSec - наивный вопрос |
Alexey Milevsky |
07 Jun 2003 19:05:47 |
|
|
