|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Victor Sudakov 2:5020/400 02 Jun 2003 21:42:24
To : Aleksey Loginov
Subject : Re: IPSec - наивный вопрос
--------------------------------------------------------------------------------
> <bb6gg2$2mdr$1@mpeks.tomsk.su> <bb7363$jsm$1@host.talk.ru>
> <bb803q$21qm$1@mpeks.tomsk.su> <bbesf5$6db$1@host.talk.ru>
> <bbf9ic$9m7$1@mpeks.tomsk.su> <bbfb0i$2a6$1@host.talk.ru>
From: Victor Sudakov <sudakov@sibptus.tomsk.ru>
Aleksey Loginov <lan@entel.kiev.ua> wrote:
[dd]
>
> VS> Другими словами, все пакеты от пира проверяются на криптованность,
> VS> даже если они пришли через интерфейс, на котором нет крипто мап?
> Еще раз последовательность приходящих пакетов:
> 1) Если есть крипто мап, то первым проверяется crypto-ACL
> 2) После проверки - декриптуется
> 3) Проверка обычным ACL
> потом все остальное...
>
> Какие бы ассоциации у тебя не создавались между пирами, если интерфейс
> будет ожидать крипто пакет в соответствии с правилами крипто мап, а
> прийдет обычный пакет - он его дропнет. То же самое будет и в обратном
> случае, когда прийдет крипто пакет, а мап на интерфейсе нет.
То есть если пир может оказаться доступен через несколько интерфейсов,
мне для нормальной работы нужно навесить крипто мапы на все эти
интерфейсы? Как-то некрасиво получается. Hапример, в FreeBSD если
установлена SA, то она работает для всех пакетов, через какой
интерфейс они ни пришли.
>
> Hужно осознать разницу между крипто-ассоциациями и реальным потоком
> трафика.
>
Логичнее было бы, если бы крипто мап действовал глобально в пределах
всего роутера. Иначе вполне реально не предусмотреть чего-то и
выпустить некриптованный трафик.
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/149@fidonet http://vas.tomsk.ru/
--- ifmail v.2.15dev5
* Origin: AO "Svyaztransneft", SibPTUS (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
