b)
4.2.1.6 Quá trình xử lý gói outbound
1. Khi một gói nhận được từ card mạng, nếu gói tin không phải là gói tin IP, gói tin sẽ được chuyển tiếp qua cổng mạng ra bên ngoài. Trong trường hợp là gói IP, các thông tin (địa chỉ đích, địa chỉ nguồn) trích xuất từ gói tin được sử dụng nhằm tìm kiếm thông tin trong bảng SPD outbound. Nếu thông tin không được tìm thấy trong bảng SPD outbound, gói tin sẽ được chuyển tới card mạng phù hợp đến mạng internet. Trường hợp có tồn tại mục SPD trong bảng SPD outbound mang thông tin về quá trình xử lý gói tin:
Nếu policy trong mục SPD là APPLY tiến trình mã hóa IPSEC tiếp tục xử lý.
Nếu policy trong mục spd là DISCARD gói tin sẽ bị loại bỏ.
Trường hợp policy là BYPASS gói tin sẽ được chuyển tiếp đến cổng mạng phù hợp ra Internet.
Khi trong bảng SPD, nhiều entry phù hợp với các thông tin trong gói tin(giống nhau về địa chỉ nguồn, địa chỉ đích) chính sách về gói tin được sử dụng dựa theo mục SPD phù hợp đầu tiền.
2. Trong trường hợp gói tin được xử lý tiếp (policy của mục SPD là APPLY): Kiểm tra thông tin SA: Nếu chưa có thông tin trong về mục SA liên quan
đến mục SPD được chọn chứng tỏ tunnel chưa được tạo giữa hai thiết bị. Gói tin đang tiến hành xử lý sẽ được lưu trong một biến tạm để tiến hành mã hóa sau khi việc trao đổi IKE được tiến hành xong. Quá trình tra đổi
cập nhật thông tin về mục SA liên quan đến mục SPD tương ứng. Sau khi quá trình trao đổi IKE hoàn tất, gói tin đang được lưu trong biến tạm sẽ được tiến hành mã hóa và gửi ra card mạng.
Nếu mục SA đã có liên kết với SPD đang tiến hành xử lý quá trình mã hóa tiếp tục các bước sau.
3. Khi thông tin về mục SA dùng để đóng gói gói tin đã có, quá trình đóng gói gói tin IPsec được tiến hành với những trình tự sau:
a. Kiểm tra TLL: Kiểm tra xem TTL trong trường IP header của gói tin bằng không hay không. Nếu bằng loại bỏ gói tin.
b. Tính toán padding Thêm vào: tính toán số lượng padding được thêm vào nhằm làm đầy gói tin theo kích thước được yêu cầu bởi thuật toán mã hóa.
c. Mã hóa gói tin: Quá trình mã hóa được tiến hành theo thông tin lấy từ mục SA với IV được tạo ngẫu nhiên. Khi quá trình mã hóa kết thúc, IV được sử dụng cho quá trình được sao chép vào đầu gói tin được mã hóa. d. Thêm ESP header phía trước gói tin mã hóa: Sau khi tăng sequence
number trong mục SA lên 1, ESP header được thêm vào trước IV với các thông số sequence number và SPI lấy từ mục SA.
e. Tính toán ICV: nếu thông tin trong mục SA chỉ ra rằng gói tin cần được xác thực, quá trình xác thực được tiến hành. Mã ICV tạo thành sau quá trình xác thực được gắn vào phần cuối của gói tin đã mã hóa.
f. IP header outer được thêm vào đầu gói tin.
4. Quá trình đóng gói gói tin hoàn tất, gói tin được gửi ra mạng Internet thông qua cổng mạng thích hợp.
Hình 4-35:Quá trình xử lý gói tin outbound