互联网协议安全 (IPSec) 有两个数据库:安全策略数据库 (电涌保护器) 和安全关联数据库 (伤心)
我想知道这些数据库位于哪里?它们存在于发送方和接收方(IPsec 对等体)的两侧吗?有人能告诉我更多细节吗?太好了。
我的理解是 SPD 和 SAD 存储在本地,分别位于 IPSec 会话的两侧。请告诉我我是否正确。
谢谢你们
答案1
是的,“数据库”由 IPsec 对等体自己存储。(虽然它们被称为“数据库”,但它们只是简短的单个表 - 与路由表没有太大区别。)
如果操作系统在内核中执行 IPsec ESP/AH 处理,则 SPD/SAD 也将存储在内核中(由用户空间 IKE 软件维护)。
在使用 Netkey 界面的现代 Linux 系统上,您可以使用
ip xfrm policy
和ip xfrm state
查看两个数据库的当前状态。大多数 BSD 似乎使用
setkey -DP
和setkey -D
。(注意:这些工具可能也存在于 Linux 上并会显示相同的数据,但它们在那里实际上已经过时了。)Windows 允许您通过内部的 IPsec‘管理单元’查看数据库
mmc
。