ip xfrm limit en iproute2 para ipsec

4

Estoy usando los comandos ip xfrm state y ip xfrm policy de la herramienta iproute2 para implementar IPSec. He leído documentación de iproute2 (PDF) y página de manual de ip-xfrm . La página del manual dice:

  

LIMIT-LIST: = [LIMIT-LIST] limit LIMIT

     

LIMIT: = {time-soft | duro tiempo | tiempo de uso-suave | tiempo de uso duro          Segundos |          {byte-soft | byte-hard} TAMAÑO |          {paquete-suave | paquete duro} COUNT

     

LISTA DE LIMITES                 establece límites en segundos, bytes o números de paquetes.

Desafortunadamente, no pude encontrar ninguna documentación que explique la diferencia entre time-soft vs time-hard y time-use-soft vs time-use-hard. ¿Alguien puede explicar estos tipos de LÍMITES o cualquier referencia a la documentación?

    
pregunta Zaksh 17.06.2015 - 13:43
fuente

1 respuesta

3

Los límites flexibles se pueden usar para implementar la redifusión. Si se alcanza cualquiera de los límites, el kernel enviará mensajes de vencimiento a cualquiera que esté escuchando eventos en sockets XFRM o PF_KEY. Pero si se alcanza un límite estricto, el núcleo también elimina el estado / la política automáticamente.

Un demonio de creación de claves que instala SA normalmente establecerá los límites de modo que haya suficiente tiempo entre el límite flexible y el límite duro para cambiar la clave de la SA y utilizará el evento de caducidad para el límite suave como activador de la modificación de la clave. Este mecanismo se define en RFC 4301 (Arquitectura de seguridad para el protocolo de Internet) .

Si bien un demonio de creación de claves podría implementar su propio temporizador para activar el cambio de clave después de un cierto tiempo, esto no es posible para los límites de paquetes / bytes sin una encuesta relativamente costosa de los contadores de uso de cada SA.

    
respondido por el ecdsa 17.06.2015 - 16:01
fuente

Lea otras preguntas en las etiquetas