-1

我知道 SPI 在 IPsec 中扮演着重要的角色。但我想知道:是否可以从 IPSec 标头中删除 SPI 并且仍然可以正常工作?

4

1 回答 1

0

我不认为这是可能的。但它总是取决于内核的实现。

根据 RFC 4301,SA 由三个参数标识:IP 目的地、安全协议(AH、ESP)和 SPI。

SPI 是唯一的,如果我们有一个 SA 具有相同的 IP 目的地和相同的安全协议(例如,不同的加密算法),唯一可以区分 SA 的参数是 SPI,需要映射流量。

https://www.rfc-editor.org/rfc/rfc4301

于 2016-11-25T23:16:22.470 回答