@Tapchek

Как осуществляется шифрование в маршрутизаторе VPN?

Все мы часто говорим о том, что VPN ориентированные маршрутизаторы поддерживающие протоколы осуществляющие шифрования (тот же IPsec и др.) осуществляют шифрование. И вот у меня возник вопрос а как и где в устройстве происходит этот процесс, существуют ли специальные платы для роутеров или какая-нибудь микросхема или этот процесс распределен по всей плате роутера? И осуществляется хоть где-нибудь хотя бы аппаратно-программное шифрование (аппаратное наверное уже слишком и как я думаю не может быть встроено в сам роутер, а является самостоятельным устройством) Кто знает ребят, буду очень благодарен за ответ. Будете опираться на конкретную модель - вообще конфетка будет :)
  • Вопрос задан
  • 101 просмотр
Решения вопроса 2
vvpoloskin
@vvpoloskin
Инженер связи
«Аппаратная» поддержка IPSec у всех разная. Но вы должны понимать, как принципиально работает эта технология. А именно базово она состоит из службы (демона), которая ожидает подключения и инициирует соединения с заданными настройками (security associations в терминах IPSec), и непосредственно процессами, шифрующими трафик (самые ресурсоемкие). Так вот обычно, когда говорят про аппаратную поддержку IPSec, речь идёт о том, что в каком-нибудь чипе поддерживается именно шифрование. Реализации могут быть разные, на ASA раньше были вроде бы отдельные ASICи (могу заблуждаться), на приведённом в другом комментарии микротике это делается в центральном процессоре от Annapurna Labs (видимо, в отличие от процессора Atheros из другого сравниваемого роутера RB2011, процессор Anapurna поддерживает набор AES команд). Вот пример Аппаратной поддержки в интеле.
Ответ написан
CityCat4
@CityCat4 Куратор тега VPN
Если я чешу в затылке - не беда!
Ну добро. Берем конкретную модель - Mikrotik RB4011iGS, 1 SFP+ слот, 10 гигабитных портов, аппаратное шифрование IPSec.
Конкретно как и чем осуществляется шифрование - это тебе вряд ли кто скажет, кроме инженеров микротика, но если интересно, можешь сравнить результаты тестов с RB2011 например.
Непосредственно же шифрование выполняется ядром маршрутизатора во время прохождения пакета, попадающего под политику шифрования - лучше всего этот процесс иллюстрирует эта схема (на ней процесс шифрования/дешифровки называется xfrm).
Для установленного соединения по IPSec есть записи в двух таблицах ядра - SPD (Security Policy Descriptor) и SAD (Security Associations Descriptor). Первая содержит информацию, что шифровать, вторая - как шифровать, а ядро согласно этим данным и работает.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы