Kommunikasiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti

426 
IPsec protokoli oddiy narsa emas. U o‘ntadan ortiq RFC standartlari orqali 
tavsiflanadi. Ulardan ikkita eng muhimi, IP xavfsizlikni umumiy arxitekturasi 
aniqlanadigan, RFC 4301 va IPsec protokollar qaraladigan RFC 6071 hisoblanadi. 
Bu kitobning boshqa bo‘limlaridagi kabi, biz oddiy va ajib RFClarni xotirada 
yangilash emas, balki bu protokollarni yanada amaliy va ta’lim nuqtai nazaridan 
tavsiflashga intilamiz. 
IPsec protokollar to‘plamida eng muhimlari ikkita sarlavhani 
autentifikasiyalash
protokoli 
(Authentication Header, 
AN) 
va ma’lumotlarni xavfsiz 
inkapsulyatsiyalash 
protokoli 
(Encapsulation Security Payload, 
ESP) hisoblanadi. 
IPsec dan foydalanadigan 
jo‘natuvchi-qurilma (odatda bu xost yoki marshrutizator) deytagrammani qabul 
qiluvchi qurilmaga (bu ham xost yoki marshrutizator) jo‘natganida, bu AN 
protokoli yoki ESP protokoli orqali amalga oshiriladi. AN protokoli maxfiylikni 
emas, balki manbani autentifikasiyalashni va ma’lumotlarni butunligini 
ta’minlaydi. ESP protokoli maxfiylikni, manbani autentifikasiyalashni, 
ma’lumotlarni butunligini va maxfiylikni ta’minlaydi. Binobarin, maxfiylik odatda 
VPN va boshqa IPsec dan foydalanish amaliy variantlar uchun juda muhim, ESP 
protokoli AN protokoliga qaraganda keng tarqalgan. IPsec atrofidagi sir pardasini 
ko‘tarish va uning murakkabligiga o‘ta berilmaslik uchun endi biz, ESP 
protokolini o‘rganishga diqqatni qaratamiz. Agar o‘quvchi AN protokoli bilan ham 
tanishishni istasa, uni mos RFC va onlayn resurslarga yo‘llaymiz. 
 
31.3. Xavfsizlik bo’yicha uyushmalar 
 
Har bir IPsec deytagrammasi ikkita tarmoq qurilmalari orasida, masalan, 
ikkita xostlar, ikkita marshrutizatorlar orasida yoki xost va marshrutizator orasida 
qayta uzatiladi. IPsec-deytagrammani bunday manbadan manzilga yo‘l bo‘yicha 
jo‘natishdan oldin, bu ikki qurilmalar orasida tarmoq satxida xavfsiz uyushma 
(security association, SA) deyiladigan mantiqiy ulanish hosil qilinadi. Xavfsiz 
uyushma bu simpleks ulanish, ya’ni u bir yo‘nalishli hisoblanadi va manbadan 

427 
qabul qiluvchigachadir. Agar har ikkala qurilmalar bir-biriga himoyalangan 
deytagrammalarni jo‘natishni rejalashtirsa, u holda ikkita xavfsiz uyushmani (ya’ni 
ikkita mantiqiy ulanishni) har bir yo‘nalishda bittadan o‘rnatishga zarur bo‘ladi. 
Masalan, yana 31.2-rasmda tasvirlangan tashkilotning virtual xususiy 
tarmog‘ini ko‘rib chiqamiz. Bu misolda bosh ofis va filial orasida ikki yo‘nalishli 
IPsec-trafik uzatiladi, shuningdek u bosh ofis va sotuvchi vakillar har birining 
kompyuteri orasida uzatiladi deb olamiz. Bu VPN tarmog‘ida nechta xavfsiz 
uyushmalar mavjud? Bu savolga javob berish uchun, bizda bosh ofis va filial 
orasida, shlyuzlari orasida (har bir yo‘nalishda bittadan) ikkita xavfsiz uyushma 
mavjudligini hisobga olish zarur. Bundan tashqari, bosh ofis orasida ikkitadan 
xavfsiz uyushmalar va sotuvchi vakillar har birining noutbuki (yana har bir 
yo‘nalishda bittadan) bor. Demak, hammasi bo‘lib (2+2p) xavfsiz uyushmalarga 
egamiz. Bunda shuni nazarda tutish kerakki, Internetga shlyuz marshrutizatorlar 
yoki noutbuklardan yo‘naltiriladigan butun trafik ham IPsec texnologiyasi 
bo‘yicha himoyalangan. Masalan, bosh ofisdan xost katta internetda joylashgan 
serverga (masalan, Amazon yoki Google serveriga) murojaat qilishi mumkin. 
Natijada shlyuz marshrutizator (shuningdek noutbuklar) internetga ham oddiy
deytagrammalarni IPv4, ham IPsec himoyalangan deytagrammalarni jo‘natishi 
mumkin. 

Download 11,41 Mb.