Windows LiveWindows Live
 
 
Simon Wang's profileSimon's Personal SpacesBlogLists Tools Help

Blog
    February 15

    计算 IPsec 筛选器权重

    计算 IPsec 筛选器权重

    IPsec 筛选器列表是基于 IPsec 策略代理组件计算出的权重值排序的,按从高到低的顺序排列。处理传入或传出数据包时,IPsec 驱动程序组件会从 IPsec 筛选器列表中搜索一个与数据包中的地址、端口和 IP 协议字段的值相匹配的筛选器。与数据包相匹配的第一个 IPsec 筛选器将应用匹配的 IPsec 筛选器的操作(允许、阻止、保护)。

    用于确定 IPsec 筛选器的权重的主要参数如下:

    源 IP 地址

    源 IP 地址的子网掩码

    目标 IP 地址

    目标 IP 地址的子网掩码

    IP 协议字段值

    源端口号(对于 UDP 和 TCP 通信量)

    目标端口号(对于 UDP 和 TCP 通信量)

    在 IPsec 策略的配置过程中,所有这些参数都可以在创建将包含在 IP 筛选器列表中的 IP 筛选器时指定。

    权重值取决于原先定义的 IP 筛选器有多么具体;IP 筛选器越具体,生成的 IPsec 筛选器的权重值就越高。最高权重的 IPsec 筛选器会指定所有七个 IP 通信量参数。最低权重的 IPsec 筛选器没有指定七个 IP 通信量参数中的任何一个。

    回到我们的示例策略,从连接到 IPsec 对等端的子网上的计算机传来的数据包与规则 A(来自任何 IP 地址)和规则 B(来自与 Intranet 地址前缀相匹配的地址)匹配。但是,因为由规则 B 派生而来的 IPsec 筛选器比由规则 A 派生而来的 IPsec 筛选器更具体,所以该传入数据包首先匹配由规则 B 派生而来的 IPsec 筛选器,而且 IPsec 驱动程序组件应用规则 B 的操作(允许该数据包)。

    下表为七种 IP 通信量参数列出了由 IPsec 策略代理组件计算出的 IPsec 筛选器的权重顺序。

    源 IP 地址 源子网掩码 目标 IP 地址 目标子网掩码 协议 源端口 目标端口

    特定的 IP 地址

    255.255.255.255(32 位子网掩码)

    特定的 IP 地址

    255.255.255.255

    特定的 IP 协议

    特定的源端口

    特定的目标端口

    特定的 IP 地址

    255.255.255.255

    特定的 IP 地址

    255.255.255.255

    特定的 IP 协议

    任何

    特定的目标端口

    特定的 IP 地址

    255.255.255.255

    特定的 IP 地址

    255.255.255.255

    特定的 IP 协议

    特定的源端口

    任何

    特定的 IP 地址

    255.255.255.255

    特定的 IP 地址

    255.255.255.255

    特定的 IP 协议

    任何

    任何

    特定的 IP 地址

    255.255.255.255

    特定的 IP 地址

    255.255.255.255

    任何

    任何

    任何

    IP 地址范围

    少于 32 位子网掩码(例如 255.255.255.254)

    特定的 IP 地址

    255.255.255.255

    特定的 IP 协议

    特定的源端口

    特定的目标端口

    IP 地址范围

    少于 32 位子网掩码

    特定的 IP 地址

    255.255.255.255

    特定的 IP 协议

    任何

    特定的目标端口

    IP 地址范围

    少于 32 位子网掩码

    特定的 IP 地址

    255.255.255.255

    特定的 IP 协议

    特定的源端口

    任何

    IP 地址范围

    少于 32 位子网掩码

    特定的 IP 地址

    255.255.255.255

    特定的 IP 协议

    任何

    任何

    IP 地址范围

    少于 32 位子网掩码

    特定的 IP 地址

    255.255.255.255

    任何

    任何

    任何

    特定的 IP 地址

    255.255.255.255

    IP 地址范围

    少于 32 位子网掩码

    特定的 IP 协议

    特定的源端口

    特定的目标端口

    特定的 IP 地址

    255.255.255.255

    IP 地址范围

    少于 32 位子网掩码

    特定的 IP 协议

    任何

    特定的目标端口

    特定的 IP 地址

    255.255.255.255

    IP 地址范围

    少于 32 位子网掩码

    特定的 IP 协议

    特定的源端口

    任何

    特定的 IP 地址

    255.255.255.255

    IP 地址范围

    少于 32 位子网掩码

    特定的 IP 协议

    任何

    任何

    特定的 IP 地址

    255.255.255.255

    IP 地址范围

    少于 32 位子网掩码

    任何

    任何

    任何

    IP 地址范围

    少于 32 位子网掩码

    IP 地址范围

    少于 32 位子网掩码

    特定的 IP 协议

    特定的源端口

    特定的目标端口

    IP 地址范围

    少于 32 位子网掩码

    IP 地址范围

    少于 32 位子网掩码

    特定的 IP 协议

    任何

    特定的目标端口

    IP 地址范围

    少于 32 位子网掩码

    IP 地址范围

    少于 32 位子网掩码

    特定的 IP 协议

    特定的源端口

    任何

    IP 地址范围

    少于 32 位子网掩码

    IP 地址范围

    少于 32 位子网掩码

    特定的 IP 协议

    任何

    任何

    IP 地址范围

    少于 32 位子网掩码

    IP 地址范围

    少于 32 位子网掩码

    任何

    任何

    任何

    任何

    0.0.0.0

    特定的 IP 地址

    255.255.255.255

    特定的 IP 协议

    特定的源端口

    特定的目标端口

    任何

    0.0.0.0

    特定的 IP 地址

    255.255.255.255

    特定的 IP 协议

    任何

    特定的目标端口

    任何

    0.0.0.0

    特定的 IP 地址

    255.255.255.255

    特定的 IP 协议

    特定的源端口

    任何

    任何

    0.0.0.0

    特定的 IP 地址

    255.255.255.255

    特定的 IP 协议

    任何

    任何

    任何

    0.0.0.0

    特定的 IP 地址

    255.255.255.255

    任何

    任何

    任何

    特定的 IP 地址

    255.255.255.255

    任何

    0.0.0.0

    特定的 IP 协议

    特定的源端口

    特定的目标端口

    特定的 IP 地址

    255.255.255.255

    任何

    0.0.0.0

    特定的 IP 协议

    任何

    特定的目标端口

    特定的 IP 地址

    255.255.255.255

    任何

    0.0.0.0

    特定的 IP 协议

    特定的源端口

    任何

    特定的 IP 地址

    255.255.255.255

    任何

    0.0.0.0

    特定的 IP 协议

    任何

    任何

    特定的 IP 地址

    255.255.255.255

    任何

    0.0.0.0

    任何

    任何

    任何

    任何

    0.0.0.0

    IP 地址范围

    少于 32 位子网掩码

    特定的 IP 协议

    特定的源端口

    特定的目标端口

    任何

    0.0.0.0

    IP 地址范围

    少于 32 位子网掩码

    特定的 IP 协议

    任何

    特定的目标端口

    任何

    0.0.0.0

    IP 地址范围

    少于 32 位子网掩码

    特定的 IP 协议

    特定的源端口

    任何

    任何

    0.0.0.0

    IP 地址范围

    少于 32 位子网掩码

    特定的 IP 协议

    任何

    任何

    任何

    0.0.0.0

    IP 地址范围

    少于 32 位子网掩码

    任何

    任何

    任何

    IP 地址范围

    少于 32 位子网掩码

    任何

    0.0.0.0

    特定的 IP 协议

    特定的源端口

    特定的目标端口

    IP 地址范围

    少于 32 位子网掩码

    任何

    0.0.0.0

    特定的 IP 协议

    任何

    特定的目标端口

    IP 地址范围

    少于 32 位子网掩码

    任何

    0.0.0.0

    特定的 IP 协议

    特定的源端口

    任何

    IP 地址范围

    少于 32 位子网掩码

    任何

    0.0.0.0

    特定的 IP 协议

    任何

    任何

    IP 地址范围

    少于 32 位子网掩码

    任何

    0.0.0.0

    任何

    任何

    任何

    任何

    0.0.0.0

    任何

    0.0.0.0

    特定的 IP 协议

    特定的源端口

    特定的目标端口

    任何

    0.0.0.0

    任何

    0.0.0.0

    特定的 IP 协议

    任何

    特定的目标端口

    任何

    0.0.0.0

    任何

    0.0.0.0

    特定的 IP 协议

    特定的源端口

    任何

    任何

    0.0.0.0

    任何

    0.0.0.0

    特定的 IP 协议

    任何

    任何

    任何

    0.0.0.0

    任何

    0.0.0.0

    任何

    任何

    任何

    权重值还受以下因素的影响:

    其地址范围设置的位数越多,子网掩码就越具体,因而比子网掩码中设置的位数较少的地址范围具有更高的权重值。

    由使用 IPsec 隧道的规则派生而来的 IPsec 筛选器比由未使用 IPsec 隧道的规则派生而来的 IPsec 筛选器具有更高的权重。

    Windows IPsec 的行为(将通信量匹配到最具体的 IPsec 筛选器)类似于 IP 转发和 IP 路由表的行为。IP 路由表包含一系列目标的条目。某些目标比其他目标更具体。主机路由是到特定的 IP 地址的路由。默认路由是到任意 IP 地址的路由。发送或转发数据包时,TCP/IP 的 IP 组件从 IP 路由表中搜索与数据包中的目标 IP 地址最相匹配的路由。

    重复的筛选器权重

    在某些情况下,不同的 IPsec 筛选器具有相同的计算权重值。之所以会发生这种情况,通常是因为两个或多个 IPsec 筛选器具有相同的具体程度但定义了不同的通信量。在大多数情况下,即使有多个筛选器具有相同的权重,数据包也只匹配一个 IPsec 筛选器。

    冲突 IPsec 筛选器

    冲突 IPsec 筛选器包含相同的地址、端口和 IP 协议字段值,但是具有不同的筛选器操作。例如,一个筛选器允许,而另一个阻止。存在冲突筛选器时,其操作的限制性较高的筛选器将被添加到筛选器列表中。“阻止”筛选器操作的限制性高于“保护”筛选器操作,而“保护”筛选器操作的限制性又高于“允许”筛选器操作。

    1:26 AM | Add a comment | Read comments (1) | Permalink | Blog it | 技术