RFC: 4302
Оригинал: IP Authentication Header
Предыдущие версии: RFC 1826, RFC 2402
Категория: Предложенный стандарт
Дата публикации:
Автор:
Перевод: Николай Малых

RFC 4302, Страница 8 из 28

ESP и AH могут использоваться совместно в разных режимах. В документе, описывающем архитектуру IPsec, кратко рассматриваются методы настройки защищенных связей при использовании обоих протоколов.

Отметим, что в транспортном режиме для реализаций «bump-in-the-stack» и «bump-in-the-wire», как определено в архитектуре защиты, входящие и исходящие фрагменты IP могут потребовать от реализации IPsec выполнения дополнительных операций фрагментации/сборки дейтаграмм IP для выполнения требования данной спецификации и обеспечения прозрачной поддержки IPsec. Особое внимание следует обращать на выполнение таких операций при использовании множества интерфейсов.

3.1.2. Туннельный режим

В туннельном режиме «внутренний» заголовок IP содержит исходные адреса получателя и отправителя, а «внешний» заголовок IP — адреса «партнеров» IPsec (например, защитных шлюзов). Во внутреннем и внешнем заголовках могут использоваться разные версии IP (например, IPv6 через туннель IPv4 или IPv4 через туннель IPv6). В туннельном режиме заголовок AH защищает внутренний пакет целиком (включая его заголовок). Положение AH в туннельном режиме относительно внешнего заголовка IP совпадает с положением AH в транспортном режиме. На рисунке показано размещение AH в типичных пакетах IPv4 и IPv6 для туннельного режима.

     ----------------------------------------------------------------
IPv4 |                              |    | Исх. заг. IP* |   |      |
     | Новый заголовок IP* (опции)  | AH |    (опции)    |TCP| Data |
     ----------------------------------------------------------------
     |<-- обработка измен. полей -->|<------ неизменные поля ------>|
     |<-- идентифицировано кроме изменяемых полей в новом загол. -->|
     --------------------------------------------------------------
IPv6 |           | расширен.|    |            | расширен.|   |    |
     |Нов. загол*|заголовки*| AH |Исх. заг.IP*|заголовки*|TCP|Data|
     --------------------------------------------------------------
     |<-- Обраб. перем. поля -->|<-------- неизменые поля ------->|
     |<-- идентифицировано кроме изменяемых полей в новом загол.->|
* при использовании создается внешний заголовок IP и меняется
  внутренний, как описано в документе, посвященном архитектуре
  защиты. Расширенные заголовки могут отсутствовать.

Страница 8 из 28

2007 - 2022 © Русские переводы RFC, IETF, ISOC.