有关标签扩展的保密性和完整性保护
下表说明了 IPsec 保密性和完整性保护如何应用于具有各种标签扩展配置的安全标签。
| | |
无标签扩展
| 标签在有标签 IP 选项中可见。
| 有标签 IP 选项中的消息标签受 AH(而不受 ESP)保护。请参见“注”。
|
具有标签扩展
| 有标签 IP 选项可见,但表示线标签 (wire label),该标签可能不同于内消息标签 (inner message label)。
| 特定于标签的 SA 的存在隐式确保了标签完整性。 线上有标签 IP 选项受 AH 保护。请参见“注”。
|
隐藏了标签扩展和有标签 IP 选项
| 消息标签不可见。
| 特定于标签的 SA 的存在隐式确保了标签完整性。
|
|
注 - 如果可识别标签的路由器在消息通过网络传输时去除或添加有标签 IP 选项,则您无法使用 IPsec AH 完整性保护来保护有标签 IP 选项。对有标签 IP 选项所做的任何修改将使消息无效,并导致受 AH 保护的包在目标处丢弃。