安全联盟 (SA) 是一个单一的“连接”,为其承载的流量提供安全服务。安全服务通过使用 AH 或 ESP 提供给 SA,但两者不能同时使用。如果对流量的流应用 AH 和 ESP 保护,则应创建两个(或更多)SA 以提供对流量流的保护。为了保护两个主机之间或两个安全网关之间的典型双向通信,需要两个安全联盟(每个方向一个)。
安全联盟由安全参数索引(Security Parameter Index ,SPI)、IP 目的地址和安全协议(AH 或 ESP)标识符组成的三元组唯一标识。原则上,目的地址可以是单播地址、IP广播地址或组播组地址。然而,IPsec SA 管理机制目前仅针对单播 SA 定义。因此,在接下来的讨论中,将在点对点通信的场景中描述 SA,即使该概念也适用于点对多点情况。
如上所述,定义了两种类型的 SA:传输模式和隧道模式。传输模式 SA 是两个主机之间的安全联盟。在 IPv4 中,传输模式安全协议头紧跟在 IP 头和任何选项之后,在任何更高层协议(例如 TCP 或 UDP)之前。在 IPv6 中,安全协议头出现在基本 IP 头和扩展之后,但可能出现在目的地选项之前或之后,以及更高层协议之前。在 ESP 的情况下,传输模式 SA 仅为这些更高层协议提供安全服务,而不是为 IP 标头或 ESP 标头之前的任何扩展标头提供安全服务。在 AH 的情况下,保护还扩展到 IP 标头的选定部分、扩展标头的选定部分和选定的选项(包含在 IPv4 标头、IPv6 Hop-by-Hop 扩展标头或 IPv6 Destination 扩展标头中)。有关 AH 提供的覆盖范围的更多详细信息,请参阅 AH 规范 [KA98a]。
隧道模式SA本质上是应用于IP隧道的SA。每当安全联盟的任一端是安全网关时,SA 必须是隧道模式。因此,两个安全网关之间的 SA 始终是隧道模式 SA,主机和安全网关之间的 SA 也是如此。请注意,对于流量以安全网关为目的地的情况,例如 SNMP 命令,安全网关充当主机并且允许传输模式。但在这种情况下,安全网关不充当网关,即不传输流量。两台主机可以在它们之间建立隧道模式 SA。由于需要避免与 IPsec 数据包的分段和重组有关的潜在问题,以及在多个路径(例如,通过不同的安全网关的情况下,需要将涉及安全网关的任何(传输流量)SA 要求为隧道 SA ) 存在于安全网关后面的同一目的地。
对于隧道模式 SA,有一个“外部”IP 标头指定 IPsec 处理目的地,加上一个“内部”IP 标头,指定数据包的(表面)最终目的地。安全协议头出现在外部 IP 头之后,内部 IP 头之前。如果在隧道模式下使用 AH,则外部 IP 报头的部分将受到保护(如上所述),以及所有隧道传输的 IP 数据包(即,所有内部 IP 报头都受到保护,以及更高层协议)。如果采用 ESP,则仅对隧道数据包提供保护,而不对外部报头提供保护。
总之,
a) 主机必须同时支持传输和隧道模式。
b) 要求安全网关仅支持隧道模式。如果它支持传输模式,则应仅在安全网关充当主机(例如,用于网络管理)时使用。
以上就是IPsec-安全联盟(Security Association,SA)的定义和范围的介绍
如果您在海外有分支机构,或在海外有服务器需要传输大量的数据,要实现高清视频会议或电话会议,可以考虑使用MPLS VPN解决方案。 国际线路咨询热线:185-1068-0975。