Numero massimo di nodi con IPSec?

Question

Numero massimo di nodi con IPSec?

#1 da (1 voti)

9

Da quanto ho capito, per i pacchetti in arrivo su IPSec, la Security Association (SA) è identificata dal campo SPI dell'intestazione ESP.

Diciamo che ho un sacco di nodi in cui ogni nodo vuole essere in grado di comunicare tra loro usando i tunnel IPSec (quindi n nodi, ognuno dei quali parla con n-1 altri nodi). In questo caso, nessun valore SPI può essere utilizzato per più di una SA e poiché ci sono 2 SA tra ogni coppia di nodi e poiché SPI è un campo a 32 bit, è corretto che non ci può essere solo ~65535 nodi in una tale configurazione?

Se è così, c'è un modo per avere più nodi in una tale configurazione? La praticità di questa "configurazione" è una questione a parte.

ipsec tunneling

posta mtahmed 13.09.2014 - 17:09

fonte

1 risposta

Leggi altre domande sui tag ipsec tunneling

Rischi per la sicurezza di BD + Quale soluzione è compatibile con HIPAA per le firme digitali elettroniche basate sul web?

score 1 · Answer 1

La matematica ... 32 bit.

2^32 / 2 != 65535

2^32 = 4,294,967,296
4,294,967,296 / 2 = 2,147,483,648

Non si ottiene IPSec senza IP e IP definisce un indirizzo di origine e destinazione in ogni pacchetto. Avrai sempre una fonte / destinazione con ciascuna delle nostre SA.

Questo significa che il limite è 4.294.967.296 o 2.147.483.648 per indirizzo IP con cui comunichi perché il tuo software può tenere traccia della SA assegnata a ciascun IP.

@eddie ha chiarito questa risposta nei commenti.

@ Kasperd sottolinea che è possibile che il limite sia in realtà 2 ^ 32 senza dividere per due. Come indicato nei commenti, non è necessario che gli SPI non siano gli stessi in entrambe le direzioni poiché il destinatario può vedere l'indirizzo IP peer. Quindi il massimo potrebbe essere più vicino a 4.294.967.296.

Noterai inoltre che 2 ^ 32 è l'intero spazio IPv4, (sconti che sono globalmente instradabili) e per questa domanda, non sarai a corto di SPI in qualunque momento presto e sono abbastanza sicuro altri limiti (memoria , larghezza di banda, ecc.) ti impediranno di superare una soglia molto più piccola.