ikkita VPN so'nggi nuqtasi o'rtasida autentifikatsiya vositasini taqdim etadi;
yangi IPSec havolalarini o'rnatadi (bir juft SA yaratadi);
mavjud munosabatlarni boshqaradi.
IKE 500-raqamli UDP portidan foydalanadi. NAT Traversal xususiyatidan foydalanganda, avval aytib
o'tilganidek, IKE protokoli UDP port raqami 4500-dan foydalanadi.
IKE-da ma'lumotlar almashinuvi 2 bosqichda sodir bo'ladi. Birinchi bosqichda SA IKE assotsiatsiyasi
tashkil etiladi. Shu bilan birga, kanalning so'nggi nuqtalari autentifikatsiya qilinadi va ma'lumotlarni
himoya qilish parametrlari, masalan, shifrlash algoritmi, seans kaliti va boshqalar tanlanadi.
Ikkinchi bosqichda SA IKE protokol muzokaralari uchun ishlatiladi (odatda IPSec).
Konfiguratsiya qilingan VPN tunnel bilan har bir ishlatiladigan protokol uchun bitta SA jufti yaratiladi.
SAlar juft bo'lib
yaratilgan, kabi har bir SA bir yo'nalishli ulanishdir va ma'lumotlar ikki yo'nalishda
yuborilishi kerak. Qabul qilingan SA juftlari har bir tugunda saqlanadi.
Har bir tugun boshqa tugunlar bilan bir nechta tunnel o'rnatishga qodir bo'lganligi sababli, har bir SA
mavjud
noyob raqam
Qaysi tugunga tegishli ekanligini aniqlash imkonini beruvchi A. Bu raqam SPI
(Security Parameter Index) yoki Security Parameter Index deb ataladi.
SA ma'lumotlar bazasida (DB) saqlanadi
SAD(Xavfsizlik assotsiatsiyasi ma'lumotlar bazasi).
Har bir IPSec tugunida ikkinchi JB - mavjud
SPD(Security Policy Database) - Xavfsizlik siyosati
maʼlumotlar bazasi. Unda sozlangan xost siyosati mavjud. Aksariyat VPN yechimlari siz ulanishni
xohlagan har bir xost uchun mos algoritmlar kombinatsiyasi bilan bir nechta siyosatlarni yaratishga
imkon beradi.
IPSec-ning
moslashuvchanligi shundaki, har bir vazifa uchun uni hal qilishning bir necha usullari
mavjud va bitta vazifa uchun tanlangan usullar odatda boshqa vazifalarni bajarish usullaridan
mustaqildir. Biroq, IETF ishchi guruhi barcha IPSec-ni qo'llab-quvvatlaydigan mahsulotlarda bir xil
tarzda amalga oshirilishi kerak bo'lgan qo'llab-quvvatlanadigan xususiyatlar va algoritmlarning asosiy
to'plamini aniqladi. AH va ESP mexanizmlari turli xil autentifikatsiya va shifrlash sxemalari bilan
ishlatilishi mumkin, ulardan ba'zilari majburiydir. Masalan, IPSec paketlar MD5 bir tomonlama
funksiyasi yoki SHA-1 bir tomonlama funksiyasi yordamida autentifikatsiya qilinishini va shifrlash DES
algoritmi yordamida amalga oshirilishini belgilaydi. IPSec bilan ishlaydigan
mahsulotlar ishlab
chiqaruvchilari boshqa autentifikatsiya va shifrlash algoritmlarini qo'shishlari mumkin. Masalan, ba'zi
mahsulotlar 3DES, Blowfish, Cast, RC5 va boshqalar kabi shifrlash algoritmlarini qo'llab-quvvatlaydi.
IPSec-da ma'lumotlarni shifrlash uchun maxfiy kalitlardan foydalanadigan har qanday nosimmetrik
shifrlash algoritmidan foydalanish mumkin.
Oqimni himoya qilish protokollari (AH va ESP) ikkita rejimda ishlashi mumkin - ichida
transport rejimi va
ichida
tunnel rejimi. Transport rejimida ishlaganda, IPsec faqat transport qatlami ma'lumotlari bilan
shug'ullanadi; faqat TCP / UDP protokollarini o'z ichiga olgan paketning ma'lumotlar maydoni
shifrlangan (IP-paketning sarlavhasi o'zgartirilmagan (shifrlanmagan)). Transport rejimi odatda xostlar
o'rtasida aloqa o'rnatish uchun ishlatiladi.
Tunnel rejimi butun IP-paketni, shu jumladan tarmoq sathi sarlavhasini shifrlaydi. Tarmoq orqali
uzatilishi uchun u boshqa IP-paketga joylashtiriladi. Aslida, bu xavfsiz IP tunnel.
Tunnel rejimi
masofaviy kompyuterlarni virtual xususiy tarmoqqa ("xost-tarmoq" ulanish sxemasi) ulash yoki virtual
shaxsiy tarmoqning turli qismlarini birlashtirish uchun shlyuzlar o'rtasida ochiq aloqa kanallari
(masalan, Internet) orqali xavfsiz ma'lumotlarni uzatishni tashkil qilish uchun ishlatilishi mumkin.
tarmoq ("tarmoqqa ulanish sxemasi"). -net").
IPsec rejimlari bir-birini istisno qilmaydi. Xuddi shu xostda ba'zi SAlar transport rejimidan, boshqalari
esa tunnel rejimidan foydalanishi mumkin.
Autentifikatsiya bosqichida paketning ICV nazorat summasi (Integrity Check Value) hisoblanadi. Ikkala
tugun ham biladi deb taxmin qilinadi
Yashirin kalit
, bu qabul qiluvchiga ICVni hisoblash va uni
jo'natuvchi tomonidan yuborilgan natija bilan solishtirish imkonini beradi.
Agar ICV taqqoslash
muvaffaqiyatli bo'lsa, paket jo'natuvchisi autentifikatsiya qilingan hisoblanadi.
Rejimda
transportAH
tranzitda o'zgartirilishi mumkin bo'lgan IP sarlavhasidagi ba'zi maydonlar bundan mustasno, butun IP
paketi. ICVni hisoblash uchun qiymatlari 0 ga teng bo'lgan ushbu maydonlar xizmatning bir qismi
bo'lishi mumkin (Xizmat turi, TOS), bayroqlar, fragment ofset, yashash vaqti (TTL), shuningdek nazorat
summasi sarlavhasi;
AHdagi
barcha maydonlar;
IP-paketlarning foydali yuki.
Transport rejimida AH IP sarlavhasini (o'zgartirishga ruxsat berilgan maydonlardan tashqari) va original
IP paketidagi foydali yukni himoya qiladi (3.39-rasm).
Tunnel rejimida asl paket yangi IP-paketga joylashtiriladi va ma'lumotlarni uzatish yangi IP-paketning
sarlavhasi asosida amalga oshiriladi.
Uchun
tunnel rejimiAH Hisoblashda quyidagi komponentlar ICV nazorat summasiga kiritiladi:
uzatish paytida o'zgartirilishi mumkin bo'lgan IP sarlavhasidagi ba'zi maydonlar bundan mustasno,
tashqi IP sarlavhasidagi barcha maydonlar. ICVni hisoblash uchun qiymatlari 0 ga teng bo'lgan ushbu
maydonlar xizmatning bir qismi bo'lishi mumkin (Xizmat turi, TOS), bayroqlar, fragment ofset, yashash
vaqti (TTL), shuningdek
nazorat summasi sarlavhasi;
barcha maydonlar AH;
original IP paketi.
Quyidagi rasmda ko'rib turganingizdek, AH tunnel rejimi butun manba IP paketini AH transport rejimi
ishlatmaydigan qo'shimcha tashqi sarlavha bilan himoya qiladi:
