在 Cisco ASA 中使用 ESP-NULL 转换集有什么好处。据我所知,转换集参数仅在阶段 1 协商期间使用。数据包仍根据阶段 2 SA(crypto isakmp policy XXX)进行加密,因此在实际传输数据时仍会产生大量开销。我能看到 ESP-NULL 唯一能加快速度的是阶段 1 协商。
我是否正确,或者我误解了 transform-set 与 isakmp 策略
答案1
你确实把事情混淆了。
ISAKMP 策略是指第 1 阶段和第 2 阶段使用的参数,即如何验证对方身份以及如何加密 ISAKMP 对话。
变换集是指实际用来加密和验证数据的内容(即你如何转换数据)。
因此,转换集中的 ESP-NULL 意味着您没有加密数据。
使用 ESP-NULL 的唯一场景(除了测试/故障排除)是当您想要使用 AH 进行身份验证但不需要加密时。