1.1. Сценарии использования
Предполагается, что IKE будет использоваться при согласовании SA SA SA для протоколов ESP и/или AH SAs во множестве различных сценариев с отличающимися требованиями.
1.1.1. Туннель между защитными шлюзами
В этом сценарии ни обна из конечных точек соединений IP не поддерживает IPsec, но расположенные между конечными точками узлы сетей обеспечивают защиту трафика на пути передачи. Защита прозрачна для конечных точек и пакеты через обычную систему маршрутизации передаются в конечную точку туннеля для обработки. Каждая из конечных точек туннеля будет анонсировать множество расположенных за ней адресов и пакеты для этих адресов будут передаваться в туннель с адресом конечного получателя во внутреннем заголовке IP.
1.1.2. Туннель между конечными точками
+-+-+-+-+-+ +-+-+-+-+-+ !Конечная ! Туннель !Конечная ! Защищенная !точка ! IPsec !точка ! Защищенная подсеть <-->!туннеля !<---------->!туннеля !<--> подсеть ! ! ! ! +-+-+-+-+-+ +-+-+-+-+-+ Рисунок 1: Туннель между защитными шлюзами
В этом сценарии обе конечные точки соединения IP реализуют IPsec в соответствии с требованиями для хостов в [RFC4301]. Обычно используется транспортный режим без внутренних заголовков IP. Если внутренний заголовок используется, адрес IP в нем будет совпадать с адресом во внешнем заголовке. Для защиты с помощью данной SA согласуется одна пара адресов. Конечные точки могут реализовать средства контроля доступа на прикладных уровнях на основе Ipsec-идентификации участников соединения. Этот сценарий обеспечивает сквозную защиту, которая является одним из принципов работы Internet с момента разработки [RFC1958], [RFC2775] и метода ограничения унаследованных проблем, связанных со сложностью сетей, которые отмечены в [RFC3439]. Хотя этот сценарий не может полноценно применяться в Internet на базе IPv4, он может успешно использоваться внутри сетей intranet на базе IKEv1. Более широкому распространению этого сценария будет способствовать переход на IPv6 и адаптация IKEv2.
+-+-+-+-+-+-+ +-+-+-+-+-+-+ ! ! Защищенная связь (SA) ! ! !Защищенная !в туннельном или транспортном режиме IPsec! Защищенная! ! точка !<---------------------------------------->! точка ! ! ! ! ! +-+-+-+-+-+-+ +-+-+-+-+-+-+ Рисунок 2: Туннель между конечными точкам
В таком сценарии одна или обе конечных точки могут находиться за системой трансляции сетевых адресов (NAT). В этом этом случае туннелируемые пакеты будут инкапсулироваться в UDP так, что номера портов в заголовках UDP можно будет использовать для идентификации отдельных конечных точек, расположенных за NAT (см. параграф 2.23).