Комбинация защищённых связей

Отдельная защищенная связь может использовать либо протокол АН, либо ESP, но никак не оба эти протокола одновременно. Тем не менее, иногда конкретный поток обмена данными может требовать и сервиса АН, и сервиса ESP. Кроме того, конкретному потоку обмена данными может понадобиться сервис IPSec для связи между главными узлами и другой сервис для связи между шлюзами защиты, например брандмауэрами. Во всех этих случаях одному потоку для получения всего комплекса услуг IPSec требуется несколько защищенных связей. Здесь вводится понятие пучка защищенных связей (security association bundle), обозначающее набор защищенных связей, посредством которых потоку должно предоставляться необходимое множество услуг IPSec. При этом защищенные связи в пучке могут завершаться в различных конечных точках.

Защищенные связи могут быть объединены в пучки следующими двумя способами.

• § Транспортная смежность. Применение более одного протокола защиты к одному пакету IP без туннелирования. Этот подход к созданию комбинации АН и ESP оказывается эффективным только для одного уровня вложения: дальнейшие вложения не дают дополнительного выигрыша, поскольку обработка выполняется в одной инстанции — IPsec (конечного) получателя.
• § Повторное туннелирование. Применение нескольких уровней протоколов защиты с помощью туннелирования IP. Этот подход допускает множество уровней вложения, поскольку туннели могут начинаться и завершаться в разных использующих IPsec узлах сети вдоль маршрута передачи данных.

Эти два подхода можно объединить (например, организовав в части туннельной защищенной связи между шлюзами защиты транспортную защищенную связь между находящимися на пути узлами).