Фазы установления туннеля

Установка и поддержка VPN происходит в два этапа.

На первом этапе два узла договариваются о методе идентификации, алгоритме шифрования, хэш-алгоритме и группе Diffie Hellman. Они также идентифицируют друг друга. Этот процесс может происходить в результате обмена тремя нешифрованными пакетами (агрессивный режим) или шестью нешифрованными пакетами (стандартный режим). В случае успешного завершения первой фазы, создается SA первой фазы, называемый Phase 1 SA или IKE SA.

На втором этапе генерируются данные ключей. Узлы договариваются насчет используемой политики. Этот режим также называется быстрым режимом (quick mode). Отличается от первой фазы тем, что может устанавливаться только после первого этапа, когда все пакеты второй фазы шифруются. При успешном завершении второй фазы появляется Phase 2 SA или IPSec SA.

Допустим, туннель между узлами успешно создан и ожидает пакетов. Однако, узлам необходимо переидентифицировать друг друга и сравнить политику через определенное время. Это время называется – время жизни Phase 1 или IKE SA Lifetime. Узлы также должны сменить ключ для шифрования данных через другой отрезок времени, который называется – время жизни Phase 2 или IPSec SA Lifetime. Типичное время жизни Phase 2 – 60 минут, Phase 1 – 24 часа.

Задача заключается в том, чтобы сконфигурировать оба узла с одинаковыми параметрами времени жизни. Если этого не произойдет, то возможен вариант, когда изначально туннель установлен успешно, но по истечении первого несогласованного времени связь прервется. Проблемы также могут возникнуть в том случае, когда время жизни Phase 1 меньше времени жизни Phase 2, т.к. при смене политики на одном из узлов изменения вступят в силу только при следующем изменении Phase 1. Если необходимо, чтобы изменения вступили в силу немедленно, достаточно убрать SA для этого туннеля из SAD.

Дата добавления: 2015-07-26; просмотров: 269; Нарушение авторских прав

Мы поможем в написании ваших работ!