Главная страница
О проекте Навигация Контакт
Поиск


ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Eugene Grosbein                      2:5006/1       07 Jun 2003  15:49:14
 To : Alexey Milevsky
 Subject : Re: IPSec - наивный вопрос
 -------------------------------------------------------------------------------- 
 
 
  >> Для транзитного в принципе нельзя, или просто IOS такого не поддерживает?
  AM> опять 25 :)
  AM> когда шифруется транзитный трафик, то ипсек работает в туннельном
  AM> режиме.
  AM> нет как таковой отдельной "инкапсуляции в туннель"! - см. ниже.
  AM> вы, часом, туннельный режим ипсек с туннелем ипсек/гре не путаете?
 
 Я "инкапсуляцией в туннель" как раз и называю заворачивание криптованного
 пакета внутрь еще одного IP-пакета и засовывание его, например, в gre.
 
  >> А все-таки, что мешает обойтись без инкапсуляции в туннель при
  >> шифровании транзитного трафика?
  AM> стандарт :) и сам ипсек.
  AM> [ никак не получется донести :) может у пдф с сиско.сом получится? ;) ]
  AM> различие в наименованиях транспортный/туннельный режим ипсек состоит
  AM> принципиально лишь в том, сохраняется ли внутри esp-пакета src_ip/dst_ip
  AM> шифруемой датаграммы или нет: если сохраняется, то это туннельный режим,
  AM> который используется для шифрования транзитного трафика; а если нет, то
  AM> это транспортный режим.
 
 Вот про это я и спрашиваю - IOS умеет туннельный режим ipsec без
 создания tunnel-интерфейса для транзитного трафика?
 Когда src/dst транзитных пакетов сохраняются, шифруется только тело.
 
  AM> в начале своих "заблуждений" с ипсек я пробовал в трансформ-сете указать
  AM> mode transport, а пропускал через рутер транзитный трафик. внимание
  AM> вопрос, в каком режиме работал ипсек? :)
 
 В туннельном? И действительно работал?
 
  AM>> ps. а вообще, на сиско.сом есть ипсек дизайн гайд - рекомендую
  AM>> интересующимся для основ теории хотя бы первую часть :)
  >> Почитаю и там тоже.
  AM> не знаю как кому, а мне помогло.
  AM> и потраченного времени не жалко :)
 
 Что-то там слишком много ссылок дает поиск ipsec design guide,
 что надо-то читать?
 
 Eugene
 -- 
 "Люди забыли эту истину," - сказал Лис, - "но ты не забывай"
 --- slrn/0.9.7.4 (FreeBSD)
  * Origin: Svyaz Service JSC (2:5006/1@fidonet)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: IPSec - наивный вопрос   Eugene Grosbein   07 Jun 2003 15:49:14 
Архивное /ru.cisco/26093c76eb50c.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional