Zum Hauptinhalt springen

3.1.1. Transport Mode (Transportmodus)

Im Transportmodus wird AH nach dem IP-Header und vor einem Protokoll der nächsten Schicht (z.B. TCP, UDP, ICMP usw.) oder vor allen anderen IPsec-Headern eingefügt, die bereits eingefügt wurden. Im Kontext von IPv4 erfordert dies die Platzierung von AH nach dem IP-Header (und allen Optionen, die er enthält), aber vor dem Protokoll der nächsten Schicht. (Beachten Sie, dass der Begriff "Transportmodus" nicht dahingehend missverstanden werden sollte, dass seine Verwendung auf TCP und UDP beschränkt ist.) Das folgende Diagramm veranschaulicht die AH-Transportmodus-Positionierung für ein typisches IPv4-Paket, auf "Vorher-Nachher"-Basis.

               BEFORE APPLYING AH
         ----------------------------
   IPv4  |orig IP hdr  |     |      |
         |(any options)| TCP | Data |
         ----------------------------

               AFTER APPLYING AH
         -------------------------------------------------------
   IPv4  |original IP hdr (any options) | AH | TCP |    Data   |
         -------------------------------------------------------
         |<- mutable field processing ->|<- immutable fields ->|
         |<----- authenticated except for mutable fields ----->|

Im IPv6-Kontext wird AH als End-to-End-Nutzlast betrachtet und sollte daher nach Hop-by-Hop-, Routing- und Fragmentierungs-Erweiterungsheadern erscheinen. Die Destination Options-Erweiterungsheader könnten vor oder nach oder sowohl vor als auch nach dem AH-Header erscheinen, abhängig von der gewünschten Semantik. Das folgende Diagramm veranschaulicht die AH-Transportmodus-Positionierung für ein typisches IPv6-Paket.

                    BEFORE APPLYING AH
         ---------------------------------------
   IPv6  |             | ext hdrs |     |      |
         | orig IP hdr |if present| TCP | Data |
         ---------------------------------------

                   AFTER APPLYING AH
        ------------------------------------------------------------
  IPv6  |             |hop-by-hop, dest*, |    | dest |     |      |
        |orig IP hdr  |routing, fragment. | AH | opt* | TCP | Data |
        ------------------------------------------------------------
        |<--- mutable field processing -->|<-- immutable fields -->|
        |<---- authenticated except for mutable fields ----------->|

              * = if present, could be before AH, after AH, or both

ESP- und AH-Header können in verschiedenen Modi kombiniert werden. Das IPsec Architecture-Dokument beschreibt die Kombinationen von Sicherheitsassoziationen, die unterstützt werden müssen.

Beachten Sie, dass im Transportmodus, für "Bump-in-the-Stack"- oder "Bump-in-the-Wire"-Implementierungen, wie im Security Architecture-Dokument definiert, eingehende und ausgehende IP-Fragmente möglicherweise erfordern, dass eine IPsec-Implementierung zusätzliche IP-Reassemblierung/Fragmentierung durchführt, um sowohl dieser Spezifikation zu entsprechen als auch transparente IPsec-Unterstützung bereitzustellen. Besondere Sorgfalt ist erforderlich, um solche Operationen innerhalb dieser Implementierungen durchzuführen, wenn mehrere Schnittstellen verwendet werden.

Letztes Update am