>
(2)路由器针对目的主机的数据包,查询策略引擎,根据安全策略强制加上AH或ESP头;
(3)IKE处理,对没有SA的安全策略建立新的SA;
(4)SA处理,增加序列号字段;
(5)通道模式处理,通常VPN用的是通道模式,因此加上一个额外的IP头;
(6)路由器发送这个安全的数据包。
接收方的处理过程:
(1)另一端的路由器收到这个包,剥去额外的IP头,并利用数据包的AH或ESP头调用IPsec层;
(2)IPsec层从AH或ESP头摘录出SPI,从IP头中选出源和目的地址及协议;
(3)IPsec层用以上的参数从SAD中取出所需的SA,如果没找到,就丢弃这个包;
(4)SAD返回SA,IPsec将会根据AH和ESP定义的规则对这个包进行处理;
(5)验证和这个包对应的策略,进而决定IPsec处理的应用是否正确,策略是通过SA中的指针获得或利用选择符查询SPD得来;
(6)如果验证正确,那么解密并把这个包转发到真正的目的主机。
5.小结
IPsec的提出使得VPN有了更好页码:[1] [2] [3] [4] [5] [6] [7] 第6页、共7页 |
