Passa al contenuto principale

3.1.1. Transport Mode

In modalità trasporto, AH viene inserito dopo l'intestazione IP e prima di un protocollo di livello successivo (ad esempio, TCP, UDP, ICMP, ecc.) o prima di qualsiasi altra intestazione IPsec che sia già stata inserita. Nel contesto di IPv4, ciò richiede di posizionare AH dopo l'intestazione IP (e qualsiasi opzione che essa contenga), ma prima del protocollo di livello successivo. (Si noti che il termine modalità "trasporto" non deve essere interpretato erroneamente come restrittivo al suo uso con TCP e UDP.) Il seguente diagramma illustra il posizionamento della modalità trasporto AH per un tipico pacchetto IPv4, su base "prima e dopo".

               BEFORE APPLYING AH
         ----------------------------
   IPv4  |orig IP hdr  |     |      |
         |(any options)| TCP | Data |
         ----------------------------

               AFTER APPLYING AH
         -------------------------------------------------------
   IPv4  |original IP hdr (any options) | AH | TCP |    Data   |
         -------------------------------------------------------
         |<- mutable field processing ->|<- immutable fields ->|
         |<----- authenticated except for mutable fields ----->|

Nel contesto IPv6, AH è visto come un payload end-to-end, e quindi dovrebbe apparire dopo le intestazioni di estensione hop-by-hop, routing e frammentazione. Le intestazioni di estensione delle opzioni di destinazione potrebbero apparire prima o dopo o sia prima che dopo l'intestazione AH a seconda della semantica desiderata. Il seguente diagramma illustra il posizionamento della modalità trasporto AH per un tipico pacchetto IPv6.

                    BEFORE APPLYING AH
         ---------------------------------------
   IPv6  |             | ext hdrs |     |      |
         | orig IP hdr |if present| TCP | Data |
         ---------------------------------------

                   AFTER APPLYING AH
        ------------------------------------------------------------
  IPv6  |             |hop-by-hop, dest*, |    | dest |     |      |
        |orig IP hdr  |routing, fragment. | AH | opt* | TCP | Data |
        ------------------------------------------------------------
        |<--- mutable field processing -->|<-- immutable fields -->|
        |<---- authenticated except for mutable fields ----------->|

              * = if present, could be before AH, after AH, or both

Le intestazioni ESP e AH possono essere combinate in una varietà di modalità. Il documento IPsec Architecture descrive le combinazioni di security association che devono essere supportate.

Si noti che in modalità trasporto, per implementazioni "bump-in-the-stack" o "bump-in-the-wire", come definito nel documento Security Architecture, i frammenti IP in entrata e in uscita possono richiedere a un'implementazione IPsec di eseguire riassemblaggio/frammentazione IP extra per conformarsi sia a questa specifica che per fornire supporto IPsec trasparente. È necessaria particolare attenzione per eseguire tali operazioni all'interno di queste implementazioni quando sono in uso più interfacce.

Ultimo aggiornamento il