ip xfrm limite in iproute2 per ipsec

4

Sto usando i comandi di politica ip xfrm e ip xfrm dallo strumento iproute2 per implementare IPSec. Ho letto la documentazione di iproute2 (PDF) e pagina man di ip-xfrm . La pagina man afferma:

LIMIT-LIST := [ LIMIT-LIST ] limit LIMIT

LIMIT := { time-soft | time-hard | time-use-soft | time-use-hard } SECONDS | { byte-soft | byte-hard } SIZE | { packet-soft | packet-hard } COUNT

LIMIT-LIST sets limits in seconds, bytes, or numbers of packets.

Purtroppo non sono riuscito a trovare alcuna documentazione che spieghi la differenza tra time-soft vs time-hard e time-use-soft vs time-use-hard. Qualcuno può spiegare questi tipi LIMIT o qualsiasi riferimento alla documentazione?

    
posta Zaksh 17.06.2015 - 13:43
fonte

1 risposta

3

I limiti soft possono essere utilizzati per implementare la rekeying. Se viene raggiunto uno dei limiti, il kernel invierà i messaggi di scadenza a tutti coloro che ascoltano eventi su socket XFRM o PF_KEY. Ma se viene raggiunto un limite rigido, il kernel rimuove automaticamente lo stato / criterio.

Un demone di keying che installa le SAs di solito imposta i limiti in modo che ci sia abbastanza tempo tra il limite soft e hard per rekeyare l'SA e userà l'evento expire per il limite soft come trigger della rekeying. Questo meccanismo è definito in RFC 4301 (Architettura di sicurezza per il protocollo Internet) .

Sebbene un demone di keying possa implementare il proprio timer per attivare la rekeying dopo un certo periodo di tempo, questo non è possibile per i limiti di pacchetti / byte senza il polling relativamente costoso dei contatori di utilizzo di ciascuna SA.

    
risposta data 17.06.2015 - 16:01
fonte

Leggi altre domande sui tag