2020-04-12
180
Списки доступа для шифрования определяют трафик, который надо защищать. Остальной трафик пропускается открытом виде. Эти списки доступа устанавливаются на исходящий интерфейс.
Можно установить список доступа на вход. Этот список будет отбрасывать незашифрованные данные.
Используются расширенные списки доступа, которые выбирают трафик основываясь на протоколе, IP -адресах и номере порта.
Синтаксис списков доступа для шифрования не отличается от расширенных. Но есть одна особенность. В списке доступа для шифрования команда permit означает, что пакеты, проходящие по этому условию, будут шифроваться, а пакеты, проходящие по условию deny, будут выходить без шифрования.
Список доступа для шифрования на входе определяет, какой трафик должен приходить в зашифрованном виде. Если входящий трафик проходит по условию permit, то он должен приходить в зашифрованном виде. Если трафик приходит по такому условию открытым текстом, то он отбрасывается.
Можно получать разный тип трафика с разной степенью защиты IPSec. Часть трафика может только аутентифицироваться, а часть может аутентифицироваться и шифроваться. Для решения этой проблемы необходимо создать два списка доступа.
А потом применить к ним различные криптографические карты.
