|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Aleksey Loginov 2:5020/400 29 May 2003 12:05:58
To : Victor Sudakov
Subject : Re: IPSec - наивный вопрос
--------------------------------------------------------------------------------
Привет.
Victor Sudakov пишет:
VS> Dmitriy Stepanenko <mpolk@kt-privat.donetsk.ua> wrote:
VS>>
VS>>> Поскольку при создании crypto map всегда нужно указывать "set
peer",
VS>>> означает ли это, что IPSec в циске всегда работает только в
туннельном
VS>>> режиме? Транспортного режима на цисках не бывает?
VS>>>
VS>>
VS>> Очень даже прекрасно бывает. Peer не означает другой конец туннеля
(или
VS>> необязательно означает). Peer это тот, кто будет расшифровывать
то, что ты
VS>> нашифровал.
VS> Вопрос в том, как будет шифроваться. Будет или не будет навешиваться
VS> второй IP заголовок (то есть вопрос о структуре получившихся IPsec
VS> пакетов). У меня создалось впечатление, что всегда будет
навешиваться,
VS> а peer - это destination во внешнем IP заголовке, который оторвет
этот
VS> заголовок, дешифрует пакет и отфорвардит его согласно destination во
VS> внутреннем заголовке.
VS> А иначе под цисками бывает?
VS>> Или тебе только зашифровать? :-)
VS> Зашифровать palyload, но второй IP заголовок не приделывать.
По умолчанию в цисках работает туннельный режим и добавляется новый
заголовок к пакету. Если же при конфигурации трансформа указать, что
режим транспортный, то после оригинального заголовка будет вставляться
AH или ESP подзаголовок и payload будет аутентифицироваться либо
криптоваться (либо и то и другое вместе :-) ).
--
Aleksey N. Loginov
CCNP, CCDA, Cisco Firewall Specialist
Enran Telecom, Kiev, Ukraine, Phone: +380(44)2498990
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5
* Origin: Talk.ru (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
