|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Dmitriy Stepanenko 2:5020/400 03 Jun 2003 10:54:49
To : Victor Sudakov
Subject : Re: IPSec - наивный вопрос
--------------------------------------------------------------------------------
> <bb6gg2$2mdr$1@mpeks.tomsk.su> <bb7363$jsm$1@host.talk.ru>
> <bb803q$21qm$1@mpeks.tomsk.su> <bbesf5$6db$1@host.talk.ru>
> <bbf9ic$9m7$1@mpeks.tomsk.su>
From: "Dmitriy Stepanenko" <mpolk@kt-privat.donetsk.ua>
> > Давай не будем путаться. Суть разговора была: что будет, если
> > забыть повесить крипто мап на интерфейс? А поскольку вешать их
> > нужно парами, то я написал, что будет, если _из_пары_ один мап не
> > повесть...
>
> Что значит парами? Для обмена данными узлы устанавливают два
> однонаправленных соединения (SA). Как я понимаю, эти SA независимы
> друг от друга. То есть вполне можно представить себе ситуацию, когда в
> одну сторону трафик идет криптованный, а в обратную некриптованный.
>
Парами - это значит, что если у тебя на выходе есть из рутера есть в
крипто-АЦЛе строка вида:
permit proto x y
то на другом конце (в крипто-АЦЛе пира) должна быть "инверсная" строка:
permit proto y x
Иначе трафик расшифровываться не будет, а будет наоборот дропаться. Я ж и
спрашивал давеча: тебе только зашифровать, или потом еще расшифровать
пожелаешь? А то ж можно зашифровать, переслать и дропнуть, мало ли кто как
любит :-)
При всем при том поток, конечно, может шифроваться и только в одну сторону,
пары АЦЛей тут антисимметричны, а не симметричны.
> Hо вопрос действительно не о том.
>
> 1. Если я повешу крипто мап на интерфейс s0, а трафик до пира уйдет
> через s1, он уйдет некриптованный?
>
да
> 2. Если я повешу крипто мап на s0 и пакет уйдет через s0, а
> a) некриптованный ответ от пира придет через s1, что станет с этим
> некриптованным ответным пакетом? А если b) пакет от пира придет таки
> криптованный, но не через s0 ?
>
а вот это вопрос тонкий. Тут надо знать в деталях, как Циски гоняют внутри
себя, а я этого не знаю. По крайней мере, пакет беспрепятственно пройдет
через s1, а вот дальше - даже теряюсь. Дестинейшном-то у него, скорее всего
стоит адрес s0 (хотя это тоже вопрос отдельный). Так, погонит ли Циска его
на s0 с черного хода расшифровываться, или нет - трудно сказать. Хотя,
конечно, ситуация достаточно патологическая, так как нужно, чтобы у нас s0
был в up-е, а на том конце считали, что линк на s0 в дауне.
В общем, лучше уж вешать крипто-мапы на интерфейсы так, чтобы не приходилось
думать, как это ко мне трафик от пира пришел.
> Другими словами, все пакеты от пира проверяются на криптованность,
> даже если они пришли через интерфейс, на котором нет крипто мап?
>
См. выше
--
_________________________
Титулярный советникъ
Дмитрий Васильевич Степаненко,
АйСиКью: 112689047
телефонъ: (38)(0626)41-93-06
--- ifmail v.2.15dev5
* Origin: Satellite Net Service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
