|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Eugene Grosbein 2:5006/1 21 May 2003 11:18:37
To : Andriy Gapon
Subject : Re: ipsec again
--------------------------------------------------------------------------------
AG> ipsec transport mode - это, когда пакет ipsec-ают, но ip src и dst у него
AG> остаются такие же, работает, естественно, между двумя хостами.
Почему естесственно? Hельзя разве транзитный/нетранзитный пакет ipsec-нуть
на одном роутере, не изменяя src/dst, а на другом раз-ipsec-нуть?
AG> ipsec tunnel mode - это, когда пакет ipsec-ают и помещают внутрь другого
AG> ip пакета с src и dst опеределяемыми параметрами тунеля. Задача серверов
AG> на концах тунеля (а) ловить пакеты попадающие под ipsec полиси и ipsec-ать
AG> их, (б) раз-ipsec-чивать приходящие пакеты. Работать может естественно
AG> между любыми сетями, если раутинг внутри каждой их них направляет пакеты
AG> предзначенные для другой на свой конец тунеля. Подслучаем сети может быть
AG> один хост.
AG> gif - тоже самое как ipsec tunnel mode, только без всякого "sec"-а --
AG> ip пакет заворачивается внутрь другого ip пакета.
AG> Думаю, ты сможешь сам решить для своей задачи, какую комбинацию тебе нужно
AG> использовать.
AG> Замечу только, что:
AG> 1. ipsec tunnel mode должно хватить для любого применения, сам я пользуюсь
AG> только им.
AG> 2. gif tunnel внутри ipsec tunnel - это, IMHO, ненужный оверхед, хотя
AG> многие люди почему-то делают именно так и приводят аргументы. много
AG> примеров тоже сделанно так.
Тогда непонятно, как сделать ipsec tunnel mode без gif, если надо
иметь src/dst некоего туннеля для инкапсуляции?
Eugene
--
"Люди забыли эту истину," - сказал Лис, - "но ты не забывай"
--- slrn/0.9.7.4 (FreeBSD)
* Origin: Svyaz Service JSC (2:5006/1@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: ipsec again |
Eugene Grosbein |
21 May 2003 11:18:37 |
|
|
