индекса параметра безопасности;
IP-адреса назначения (доставки информации);
идентификатора протокола безопасности (AH или ESP).
В принципе, IP-адрес назначения может быть индивидуальным (unicast
address, то есть IP-узел IP-узел), либо широковещательным (broadcast address,
то есть IP-узел IP-узлы), либо групповым
(multicast group address, то есть IP-
узлы IP-узлы). Однако в IPsec-архитектуре рассматриваются только
индивидуальные IP-адреса. SA определен в соответствии с концепцией
межтерминального (сквозного) соединения (“point-to-point”).
Существуют два режима функционирования SA: транспортный режим
(РТР) и режим тунелирования (РТУ).
РТР реализуется при SA между двумя IP-узлами. При использовании IPv4
заголовок протокола безопасности, функционирующего в РТР, размещается
сразу после заголовка IP-пакета и поля “Услуги” и перед заголовками
сообщений выше лежащих уровней (например, ТСР или UDP). При
использовании IPv6 заголовок протокола безопасности, функционирующего в
РТР, размещается после базового заголовка IP-пакета и необходимых
дополнительных полей, но может размещаться до или после поля “destination
options”, и всегда перед заголовками сообщений выше лежащих уровней. В
случае применения ESP, SA в РТР обеспечивает защиту для сообщений
протоколов выше лежащих уровней, но не заголовка IP-пакета или каких-либо
необходимых дополнительных полей, предшествующих ESP-заголовку. В
случае применения AH, дополнительно защищаются отдельные части заголовка
IP-пакета, отдельные части необходимых дополнительных полей и отдельные
части поля “destination options” (содержащиеся в заголовке IPv4,
дополнительные поля для адресов ретрансляционных IP-узлов в заголовке IPv6,
или дополнительные поля “destination options” в заголовке IPv6).
SA в РТУ фактически формирует IP-туннель. Всякий раз, когда при SA
одним из двух конечных терминалов является шлюз безопасности, SA должен
функционировать в РТУ. Таким образом, SA между двумя шлюзами
безопасности всегда функционирует в РТУ, а также в случае SA между шлюзом
безопасности и IP-узлом. (Замечание. В том случае, когда трафик
предназначен для шлюза безопасности (например, управляющие SNMP-
сообщения), последний функционирует как IP-узел в РТР и не транслирует
трафик.) Два IP-узла могут взаимодействовать между собой, используя SA в
РТУ. Требование обязательного РТУ для любого (транзитного трафика) SA,
функционирующего между шлюзами безопасности, влечет за собой
необходимость преодоления потенциальных проблем, связанных с
В Internet-сообществе также рассматривается так называемый уникальный IP-адрес (anycast address,
то есть IP-узлы IP-узел).