|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Aleksey Loginov 2:5020/400 02 Jun 2003 15:04:56
To : Victor Sudakov
Subject : Re: IPSec - наивный вопрос
--------------------------------------------------------------------------------
> <bb6gg2$2mdr$1@mpeks.tomsk.su> <bb7363$jsm$1@host.talk.ru>
> <bb803q$21qm$1@mpeks.tomsk.su> <bbesf5$6db$1@host.talk.ru>
> <bbf9ic$9m7$1@mpeks.tomsk.su>
From: Aleksey Loginov <lan@entel.kiev.ua>
Victor Sudakov пишет:
VS> Aleksey Loginov <lan@entel.kiev.ua> wrote:
VS>> VS>> Если на интерфейс навесить крипто мап, то входящий трафик
будет
VS>> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
VS>> еще раз, внимательно!!!
VS>>
VS>> VS>> проверяться на соответствие крипто-ACL. Обязательно! И если
VS>> VS>> пакеты удовлетворяют условиям ACL, но они не криптованы, то
VS>> VS>> по будут тупо дропаться.
VS>>
VS>> VS> Даже если пакет пришел через интерфейс, на который не навешена
VS>> крипто
VS>> VS> мап (в смысле, она навешена на какой-то другой)? Как так может
быть?
VS>>
VS>> Давай не будем путаться. Суть разговора была: что будет, если
VS>> забыть повесить крипто мап на интерфейс? А поскольку вешать их
VS>> нужно парами, то я написал, что будет, если _из_пары_ один мап не
VS>> повесть...
VS> Что значит парами? Для обмена данными узлы устанавливают два
VS> однонаправленных соединения (SA). Как я понимаю, эти SA независимы
VS> друг от друга. То есть вполне можно представить себе ситуацию,
когда в
VS> одну сторону трафик идет криптованный, а в обратную некриптованный.
Как мы уже говорили, SA может быть установлены между loopback-ами,
и отношения к привязыванию мап к интерфейсу они имеют косвенное.
Давай еще вспомним, что IKE-ассоциации двунаправленные и запутаемся
совсем! :)
VS> Hо вопрос действительно не о том.
VS> 1. Если я повешу крипто мап на интерфейс s0, а трафик до пира уйдет
VS> через s1, он уйдет некриптованный?
Естественно. Только если на входящем интерфейсе пира будет висеть
мап, то трафик дропнется.
VS> 2. Если я повешу крипто мап на s0 и пакет уйдет через s0, а
VS> a) некриптованный ответ от пира придет через s1, что станет с этим
VS> некриптованным ответным пакетом? А если b) пакет от пира придет таки
VS> криптованный, но не через s0 ?
VS> Другими словами, все пакеты от пира проверяются на криптованность,
VS> даже если они пришли через интерфейс, на котором нет крипто мап?
Еще раз последовательность приходящих пакетов:
1) Если есть крипто мап, то первым проверяется crypto-ACL
2) После проверки - декриптуется
3) Проверка обычным ACL
потом все остальное...
Какие бы ассоциации у тебя не создавались между пирами, если интерфейс
будет ожидать крипто пакет в соответствии с правилами крипто мап, а
прийдет обычный пакет - он его дропнет. То же самое будет и в обратном
случае, когда прийдет крипто пакет, а мап на интерфейсе нет.
Hужно осознать разницу между крипто-ассоциациями и реальным потоком
трафика.
--
Aleksey N. Loginov
CCNP, CCDA, Cisco Firewall Specialist
Enran Telecom, Kiev, Ukraine, Phone: +380(44)2498990
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5
* Origin: Talk.ru (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
