我尝试阅读Internet上与IPsec和相关安全关联相关的大量信息。但是,我仍然无法找到一个明确的答案,为什么需要2个安全关联,而所有信息,如源,目标IP地址,安全协议(AH或ESP)已经存在于SA记录中。
对此,一些明确的逻辑答案将非常有用。
谢谢, -Ravi
答案 0 :(得分:0)
首先,我们需要3个参数来建立安全关联:SPI,IP目的地和安全协议。 在内核中实现了一个SA队列,如果我们添加多个具有相同IP目的地和安全协议的SA(例如ESP,使用不同的算法),其独特的差异形式是SPI。
有时,内核会过期其中一个SA,因此,下一个SA(相同的IPdest&& SecProtocol)将取代原始版本。
这些队列还有优先级参数,取决于当下,我们可以更改优先级,因此队列会重新排序。
优先级和到期是拥有多个SA的主要动机,隧道或运输模式也可能是另一个动机。