Linux ip xfrm: Qual é o objetivo do tmpl?

2

Se pegarmos um exemplo do comando Linux ip xfrm :

 ip xfrm policy add src $LOCAL dst $REMOTE dir out tmpl src $SRC dst $DST proto esp reqid $ID mode tunnel

O que o tmpl faz?

UPDATE : claro, entendo que precisamos especificar o $SRC e $DST . Mas, como esses já estão especificados no SA, por meio do comando ip xfrm state , por que precisamos repeti-los no tmpl ? E qual é o significado de chamá-lo de "modelo"? Para mim, parece que é apenas um ponteiro para um SA preexistente ( state ).

    
por SRobertJames 25.05.2017 / 14:59

1 resposta

1

Ele informa ao kernel como processar pacotes (para out policies), ou de onde os pacotes devem vir (para in policies) quando o tráfego corresponde a essa política ( fwd policies são um pouco especiais, pois podem se aplicar em ambas as direções, dependendo do seletor, consulte esta resposta . No seu exemplo, a política enviará tráfego por meio da SA do modo de encapsulamento ESP com endereços IP de endpoint $SRC e $DST e reqid $ID .

Why do we need to repeat them in the tmpl?

Para realmente encontrar o SA / estado. Estes são armazenados em um hashtable e os endereços (em particular o endereço de destino) fazem parte do valor de hash. Para o modo de encapsulamento SAs, os endereços do pacote que corresponde à política de saída não correspondem necessariamente aos endereços da SA (no modo de transporte, talvez você não precise adicionar os endereços ao modelo).

And what is the meaning of calling it a "template"?

Não tenho certeza, mas pode estar relacionado a aquisições, isto é, se nenhuma SA correspondente tiver sido estabelecida, as informações servirão como modelo para o daemon de digitação ao criar uma nova SA.

    
por 26.05.2017 / 08:51