RFC: 4306
Оригинал: Internet Key Exchange (IKEv2) Protocol
Другие версии: RFC 2407, RFC 2408, RFC 2409, RFC 5996
Категория: Предложенный стандарт
Дата публикации:
Автор:
Перевод: Николай Малых

RFC 4306, Страница 3 из 62

1.1. Сценарии использования

Предполагается, что IKE будет использоваться при согласовании SA SA SA для протоколов ESP и/или AH SAs во множестве различных сценариев с отличающимися требованиями.

1.1.1. Туннель между защитными шлюзами

В этом сценарии ни обна из конечных точек соединений IP не поддерживает IPsec, но расположенные между конечными точками узлы сетей обеспечивают защиту трафика на пути передачи. Защита прозрачна для конечных точек и пакеты через обычную систему маршрутизации передаются в конечную точку туннеля для обработки. Каждая из конечных точек туннеля будет анонсировать множество расположенных за ней адресов и пакеты для этих адресов будут передаваться в туннель с адресом конечного получателя во внутреннем заголовке IP.

1.1.2. Туннель между конечными точками

            +-+-+-+-+-+            +-+-+-+-+-+
            !Конечная ! Туннель    !Конечная !
Защищенная  !точка    !  IPsec     !точка    !  Защищенная
подсеть <-->!туннеля  !<---------->!туннеля  !<--> подсеть
            !         !            !         !
            +-+-+-+-+-+            +-+-+-+-+-+
Рисунок 1: Туннель между защитными шлюзами

В этом сценарии обе конечные точки соединения IP реализуют IPsec в соответствии с требованиями для хостов в [RFC4301]. Обычно используется транспортный режим без внутренних заголовков IP. Если внутренний заголовок используется, адрес IP в нем будет совпадать с адресом во внешнем заголовке. Для защиты с помощью данной SA согласуется одна пара адресов. Конечные точки могут реализовать средства контроля доступа на прикладных уровнях на основе Ipsec-идентификации участников соединения. Этот сценарий обеспечивает сквозную защиту, которая является одним из принципов работы Internet с момента разработки [RFC1958], [RFC2775] и метода ограничения унаследованных проблем, связанных со сложностью сетей, которые отмечены в [RFC3439]. Хотя этот сценарий не может полноценно применяться в Internet на базе IPv4, он может успешно использоваться внутри сетей intranet на базе IKEv1. Более широкому распространению этого сценария будет способствовать переход на IPv6 и адаптация IKEv2.

+-+-+-+-+-+-+                                          +-+-+-+-+-+-+
!           !        Защищенная связь (SA)             !           !
!Защищенная !в туннельном или транспортном режиме IPsec! Защищенная!
!   точка   !<---------------------------------------->!   точка   !
!           !                                          !           !
+-+-+-+-+-+-+                                          +-+-+-+-+-+-+
Рисунок 2: Туннель между конечными точкам

В таком сценарии одна или обе конечных точки могут находиться за системой трансляции сетевых адресов (NAT). В этом этом случае туннелируемые пакеты будут инкапсулироваться в UDP так, что номера портов в заголовках UDP можно будет использовать для идентификации отдельных конечных точек, расположенных за NAT (см. параграф 2.23).

Страница 3 из 62

2007 - 2022 © Русские переводы RFC, IETF, ISOC.