IPsec 및 관련 보안 협회와 관련된 인터넷에서 방대한 양의 정보를 읽으려고 시도했습니다. 그러나 소스, 대상 IP 주소, 보안 프로토콜 (AH 또는 ESP)과 같은 모든 정보가 SA 레코드에 이미있는 동안 2 가지 보안 연결이 필요한 이유에 대해서는 명확한 답을 찾을 수 없습니다.IPsec에 2 개의 보안 협회가 필요합니다.
이에 대한 명확한 논리적 답변은 매우 유용 할 것입니다. SPI, IP 대상 및 보안 프로토콜 : -Ravi
시작하려면
덕분에, 우리는 설립 된 보안 협회 3 개 개의 매개 변수가 필요합니다. 커널에 구현 된 SA 큐가 있습니다. 동일한 IP 대상 및 보안 프로토콜 (예 : ESP, 다른 알고리즘 포함)을 가진 여러 SA를 추가하면 고유 한 형태로 SPI가 구별됩니다.
때때로, 커널 는이 SA를 하나, 그래서, 다음 SA를 (같은 IPdest & & SecProtocol) 원본을 대체 만료.
이 대기열은 우선 순위 매개 변수가 있으며, 우선 순위를 변경할 수 있으므로 대기열이 재정렬됩니다.
우선 순위와 만료는 하나 이상의 SA를 갖는 주요 동기이며 터널 또는 전송 모드도 또 다른 동기가 될 수 있습니다.
정보 @Ignacio를 공유해 주셔서 감사합니다. 하지만 내 질문은 IPsec SA (양방향 ISAKMP SA가 아닌) 컨텍스트에서 두 개의 SA가 피어 간의 특정 통신에 대한 "응답자"와 "응답자"모두에서 만들어지는 경우입니다. 클라이언트 - 시작 프로그램 (192.168.1.2:1234)이 서버 응답자 (192.168.1.1:80)의 일부 웹 페이지에 액세스하고 있다고 가정 해보십시오. 왜 초 기자와 응답자 모두에서 1 SA를 사용할 수 없습니까? – Ravindra