|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Victor Sudakov 2:5020/400 02 Nov 2007 10:56:09
To : Leonid Cherepanov
Subject : Re: Вопрос по ipsec SPD
--------------------------------------------------------------------------------
Leonid Cherepanov wrote:
> > > > Извини что отвечаю вопросом на вопрос, а что ты понимаешь под туннелем
> > > > применительно к IPSec? Бегут пакеты с src=x.x.x.x и dst=y.y.y.y и
> > > > типом протокола 50, в payload у них нечто зашифрованное. Сколько это
> > > > туннелей?
> >
> > > Ключи шифрования. Одна управляющая сессия - один туннель
> >
> > Что имеется в виду под "управляющая сессия"?
> >
> Виктор, Вы-то что спрашиваете? :)
> Это кто писал
> "для каждой пары туннелируемых сетей создаётся своя пара SA, каждая со
> своими сеансовыми ключами" ?
> Ключи-то не на всю жизнь тунеля, правда?
Собственно и туннеля никакого нет :), есть просто пакеты с закриптованным
payload и номером протокола 50.
> Они же меняются. Кем?
Hасколько я понимаю, ядром, точнее по запросу от ядра. Когда ядро
обнаруживает, что SA протухла по времени или по объёму трафика, оно
сообщает об этом в PF_KEY socket, и тогда racoon должен подсуетиться и
организовать новые SA. Если я неправильго излагаю, пусть меня
поправят более сведующие коллеги.
> Я именно это назвал управляющей сессией. Управляющей ключами.
> Просто ответил покороче, ключевыми словами :), сэкономить хотел
Так AFAIK нет никаких сессий, весь процесс совершенно stateless.
Понадобились ключи - провели ISAKMP сессию, сгенерили сеансовые ключи,
отдали ядру (записали их в SAD), и ISAKMP демон может отдыхать до
следующего раза.
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/49@fidonet http://vas.tomsk.ru/
--- ifmail v.2.15dev5.4
* Origin: AO "Svyaztransneft", SibPTUS (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
