标签: ipsec sa
我知道SPI在IPsec中扮演着重要角色。但我想知道: 是否可以从IPSec标头中删除SPI并仍然可以正常工作?
答案 0 :(得分:0)
我不认为这是可能的。但这总是取决于内核的实现。
根据RFC 4301,SA由三个参数识别:IP目的地,安全协议(AH,ESP)和SPI。
SPI是唯一的,如果我们有一个具有相同IP目的地和相同安全协议的SA(例如,不同的加密算法),那么可以区分SA的唯一参数是映射流量所需的SPI。 p>
https://tools.ietf.org/html/rfc4301