¿Número máximo de nodos con IPSec?

Question

¿Número máximo de nodos con IPSec?

#1 de Jonathan (1 votos)

9

A mi entender, para los paquetes entrantes a través de IPSec, la Asociación de Seguridad (SA) se identifica mediante el campo SPI del encabezado ESP.

Luego digamos que tengo un grupo de nodos en los que cada nodo quiere poder hablar entre sí mediante los túneles IPSec (por lo tanto, n nodos, cada uno de los cuales habla con n-1 otros nodos). Si ese es el caso, no se puede usar ningún valor SPI para más de un SA y dado que hay 2 SA entre cada par de nodos, y dado que SPI es un campo de 32 bits, ¿es correcto que solo pueda haber ~65535 ? ¿Nodos en tal configuración?

Si es así, ¿hay alguna manera de tener más nodos en tal configuración? La practicidad de esta "configuración" es un asunto aparte.

ipsec tunneling

pregunta mtahmed 13.09.2014 - 17:09

fuente

1 respuesta

Lea otras preguntas en las etiquetas ipsec tunneling

Hacking / Sniffing / recordando GSM como Karsten Nohl Barra y tablero DDOS: ¿qué intentan hacer?

score 1 · Answer 1

La matemática ... 32 bits.

2^32 / 2 != 65535

2^32 = 4,294,967,296
4,294,967,296 / 2 = 2,147,483,648

No obtiene IPSec sin IP e IP define una dirección de origen y destino en cada paquete. Siempre tendrá una fuente / destino con cada una de nuestras SA.

Eso significa que su límite es 4,294,967,296 o 2,147,483,648 por la dirección IP con la que se comunica porque su software puede realizar un seguimiento de las SA asignadas a cada IP.

@eddie aclaró esta respuesta en comentarios.

@Kasperd señala que es posible que el límite sea en realidad 2 ^ 32 sin dividir entre dos. Como se señaló en los comentarios, no hay ningún requisito de que las SPI no puedan ser iguales en ambas direcciones porque el receptor puede ver la dirección IP del par. Entonces, el máximo podría estar más cerca de 4,294,967,296.

También notará que 2 ^ 32 es el espacio completo de IPv4 (descuentos que son enrutables globalmente) y para esta pregunta, no se quedará sin SPI en ningún momento y estoy bastante seguro de otros límites (memoria , ancho de banda, etc.) evitará que exceda un umbral mucho más pequeño.