Skip to main content

5. IP 流量处理 (IP Traffic Processing)

如第 4.4.1 节"安全策略数据库 (SPD)"中所述,在处理跨越 IPsec 保护边界的所有流量(包括 IPsec 管理流量)期间,必须 (MUST) 查询 SPD(或相关缓存)。如果在 SPD 中找不到与数据包匹配的策略(对于入站或出站流量),则必须 (MUST) 丢弃该数据包。

SPD 缓存机制

为了简化处理并允许非常快速的 SA 查找(对于 SG/BITS/BITW),本文档引入了用于所有出站流量(SPD-O 加 SPD-S)的 SPD 缓存概念,以及用于入站非 IPsec 保护流量(SPD-I)的缓存。(如前所述,SAD 充当用于检查到达 SA 的入站 IPsec 保护流量的选择器的缓存。)

每个 SPD 名义上有一个缓存。出于本规范的目的,假设每个缓存条目将映射到恰好一个 SA。但是,请注意,当使用多个 SA 来承载不同优先级的流量(例如,由不同的 DSCP 值指示)但选择器相同时,会出现例外。

去相关 SPD (Decorrelated SPD)

由于 SPD 条目可能重叠,通常不能安全地缓存这些条目。简单缓存可能会导致与缓存条目的匹配,而 SPD 的有序搜索会导致与不同条目的匹配。但是,如果首先对 SPD 条目进行去相关处理,则可以安全地缓存生成的条目。

注意:假设从相关 SPD 开始,因为这是用户和管理员习惯于管理这些类型的访问控制列表或防火墙过滤器规则的方式。然后应用去相关算法来构建可缓存的 SPD 条目列表。去相关在管理界面中是不可见的。

流量处理方向

  • 5.1 出站 IP 流量处理 (protected-to-unprotected)
  • 5.2 入站 IP 流量处理 (unprotected-to-protected)

对于入站 IPsec 流量,在执行 AH 或 ESP 处理后,SPI 选择的 SAD 条目充当与到达的 IPsec 数据包匹配的选择器的缓存。

Last updated on