Можно ли удалить SPI из заголовка IPSec?
Я знаю, что SPI играет важную роль в IPsec. Но я хочу знать, что: возможно ли удалить SPI из заголовка IPSec и все же заставить его работать?
1 ответ
Я не думаю, что это возможно. Но это всегда зависит от реализаций ядра.
Согласно RFC 4301 SA идентифицируется по трем параметрам: IP-адрес, протокол безопасности (AH, ESP) и SPI.
SPI является уникальным, если у нас был SA с тем же IP-адресом назначения и тем же протоколом безопасности (например, другой алгоритм шифрования), единственным параметром, который мог бы дифференцировать SA, является SPI, необходимый для сопоставления трафика.