b)
4.2.1.5 Tổng quát quá trình thực hiện thiết bị IPSec
Một gói tin đi từ mạng nội bộ ra mạng công cộng khi qua thiết bị IPSec sẽ được thiết bị IPSec tiến hành xử lý. Quá trình này được gọi là quá trình xử lý outbound. Ngược lại , khi một gói tin từ mạng công cộng đi vào thiết bị IPSec sẽ được thiết bị IPSec tiến hành xử lý inbound. Trong hình 4-7, khi gói tin đi từ thiết mạng nội bộ vào thiết bị IPSec 1 sạu đó ra mạng công cộng và vào thiết bị IPSec 2, thiết bị IPSec 1 sẽ tiến hành xử lý outbound và thiết bị IPSec 2 sẽ tiến hành xử lý outbound.
Hình 4-34:Tổng quát quá trình thực hiện IPSec
Quá trình thực hiện chương trình được mô tả tổng quát thông qua hình 4-7 như sau: Thiết bị IPSec 1: Xử lý gói tin outbound
Một gói tin khi được nhận từ mạng nội bộ A sẽ được đẩy vào buffer và được quá trình xử lý IPSec đọc ra theo chế độ “First in First out”. Dựa vào các trường trong IP
header(ví dụ như địa chỉ IP nguồn, địa chỉ IP đích) quá trình xử lý IPSec sẽ tra những thông tin này trong cơ sở dữ liệu SPD outbound.Sau khi tra bảng nếu khối “Xử lý IPSec” yêu cầu trao đổi IKE nhằm cập nhật key, khối “Xử lý IKE” sẽ tiến hành trao đổi IKE được tiến hành, các gói trao đổi được đẩy vào FIFO IKE. Trường hợp gói tin được tiến khổi “Xử lý IPSec ” tiến hành xử lý thành công, gói này sẽ được đẩy ra FIFO output đi ra cổng mạng. Trong quá trình trao đổi IKE, khối “Xử lý IPSec” bị tạm dừng
trong thời gian chờ cập nhật key. Chi tiết về phần xử lý gói outbound được giải thích trong phần 4.2.3.2.
Thiết bị IPSec 2: Xử lý gói tin outbound
Một gói tin được nhận từ mạng công cộng sẽ được xem xét trường protocol trong tiêu đề UDP.
Nếu gói tin là gói IKE (địa chỉ port nguồn và nhận là 500), gói tin sẽ được đẩy vào FIFO IKE nhằm tiến hành xử lý trao đổi IKE.
Nếu gói tin không phải là gói tin IKE, gói tin sẽ được đẩy vào buffer FIFO input. Khối “Xử lý IPSec” sẽ đọc buffer FIFO input theo chế độ “First in First out”. Sau khi quá trình xử lý gói tin trong khối “Xử lý IPSec” kết thúc, gói tin inbound sẽ được gửi qua card mạng vào mạng nội bộ B.