Kato te gledam... kakto da ti kazha. Qko izprostiavane s elementi na vulgarnost. Vseki tineidzhur s nedoistiskani pupki znae, che NAT i IPsec sa dve nesuvmestimi neshta. Osnovnata tsel na protokola IPsec e da udostoveri iztochnika na paketa. Pri tova udostoveriavaneto zasiaga chasta na zaglavnata chast na paketa, v koiato se namira edno pole (vzemi si go tatuirai, che da si spomniash za tova kato e nuzhno), koeto se naricha SRC i predstavia IP adresa na mashinata, chiito IP stek e generial paketa. Tova e tochno tselta na AH protokola (edin ot dvata realizatsionni podprotokola na IPsec). Iska se suvsem malko mozuk za da se razbere, che niama kak da realizirash NAT i da imash AH. Prichinata e, che pri NAT promeniash stoinostta na poleto SRC. I tova ne e nedostatuk na IPsec. Tova e printsipno protivorechie mezhdu AH protokola i NAT shemite.
V ramkite na protokola IPsec ima nachin za realizirane na vruzka prez NAT. Tova, che ti ne si chuval za tozi nachin (takuv ti e iavno mantaliteta - s malko dumi da kazvash mnogo gluposti), izobshto ne znachi, che takuv niama. Dori go ima v tvoia Linux (ako izobshto polzvash takava operatsionna sistema), stiga iadroto ti da e 2.6. Shemata na preminavane prez NAT se naricha "NAT traversal". Realizira se ot pochti vsichki moderni IPsec prilozheniia, v tova chislo i ot vgradenata IPsec poddruzhka v Linux iadra 2.6. Na kratko kazano izpolzva se vtoriia realizatsionen podprotokol na IPsec, koito se naricha ESP. Iskalo se e samo da poprochetesh. Da, i da ne chetesh statii ot predi 6 godini. Neshtata se razvivat. Pri tova dosta burzo. Osven tova intenzivnoto izpolzvane na NAT shte otpadne pri masovoto navlizane na IPv6 poradi ogromniia razmer na IP prostranstvoto vuv versiia 6. Tuk idva i miastoto na AH protokola. Dori v IPv6 e predvideno da se izpolzv osnovno AH bez uchastie na ESP za da mozhe samo da se udostoveriava iztochnika na paketa, bez da e zadulzhiteno kriptiraneto na data chastta. Ne znam dali s tvoia intelekt shte go razberesh, no IPsec e INTEGRALEN komponent na IPv6.
Eto ti e edno dosta ilyustrovano dokumentche, puk dano pomogne v tvoia sluchai, che posle da ne se nalaga da chetem gluposti:
http://docs.hp.com/en/J4256-90009/ch01s...
V tova otnoshenie edin ot nai-dobrite dokumenti, koito e i otdavana chakan ot sistemnite administratori na marshrutizatori, koito izpolzvat OSPFv3 e tozi:
http://www.ietf.org/proceedings/04aug/I...
Vsushtnost ne sluchaino avtorite sa ot kontserna Nokia. Tezi neshta ot dokumenta veche se izpolzvat v golemite telekomi (ot 2 godini veche). Ima podobni dokumenti i za RIPng.
Nikoi ne kazva, che IPsec e suvurshenoto reshenie, no tova e produkt na obshtnostta, a ne na niakakva malka grupa hora, podobna na sekta. I tozi produkt stiga do tam, do kudeto obshtestvoto go e dokaralo sled diskusiia. Mnogo mnogo zhalko, che ima hora kato teb, koito ne mogat da proumeiat takiva neshta i "lezhat pod Moskvicha" po tsial den da se zanimavat s nestandartni resheniia. Kakvo li da kazha za tova, che SSL baziranite VPN resheniia vurtiat po-dolen sloi prez po-goren i generirat lokalni natovarvaniia na iadrata samo ot vurtene na paketi mezhdu OSI sloevete. I da ti go kazha, niama da go razberesh. Samo shte pisha za tozi deto klati klonite. Ako ti smetna kolko protsesorni tsikula pravish v poveche za povtariashti se operatsii, edva li shte osmislish tozi fakt. Za tova i shte ti spestia chislomaniiata.
Vsushtnost... zashto li te ogramotiavam. Bi triabvalo da ti iskam pari za tova. Gledai sega. Az niamam nishto protiv da si tehnicheski negramoten. Kakto se kazva, ne si dluzhen da znaesh vsichko. Obache ne hodi da prikazvash prostotii po forumi i da si slagash oreoli na tehnichar i da chetesh 5-6 statii na krust i da kleimish resheniia, koito dori ne poznavash. Moga da ti napisha kniga za izpolzvaneto na OpenVPN i poznavam tova reshenie ot 2 godini. Mnogo dobre znam za kakvo ide rech i moga da ti spretna takuv spor na tema "konfiguratsiia i realizatsiia", che da se prepotiavash prez niakolko minuti. Az obache ne vizhdam nikakvi realni znaniia v teb, osven tsitati (pri tova ot dosta stari statii). Sledovatelno ne mozhe tvoeto mnenie da tezhi. Sled kato ne znaesh, che ot godini veche, ima "NAT traversal", kakvi znaniia realno imash ti i kakuv spor izobshto vodim? CHe ti edin pogled vurhu iadroto na Linuks ne si hvurlil, da vidish adzheba kakvo ima v nego, a si trugnal da kazvash na horata kakvo reshenie za siguren transport e po-dobro. Q vzemi se stegni i predi da pishesh neshto cheti, ama malko po-zadulbocheno, ako mozhe.
Redaktiran na: 4-10-2005@16:22
|