город Сердобск

В случае когда имеет место PRI сигнализация, сообщение Ответ Установки Сеанса отправляется по завершении звонка. В случае 557 сигнализации сообщение Запрос Установки Сеанса посылается после того, как исходящая часть была задана посредством сигнализации SS7.

AVP Маркер Ресурсов содержит все ресурсы, выделенные пользователю данного сеанса на данный момент. Например, здесь может содержаться информация о канале связи, которому был назначен данный SS7 3BOHOK. Ресурсы, используемые при различной сигнализации и шлюзах VoIP, описываются как AVP в другом расширении DIAMETER.

Эта команда посылается от SGNC к NAS, когда сигнализация звонка находится на SGNC. Это и имеет место в случае с сигнализацией в SS7. В случае если для входящих звонков требуется идентификация пользователя, смотрите.

В этом случае обмен сообщениями Запрос/Ответ идентификации производится от NAS к SGNC, кроме того, он будет производиться внутри обмена сообщениями Запрос Установки Сеанса и соответствующего ответа, инициированного SGNC. Заметьте, что идентификатор сеанса, используемый в этих обменах, будет один и тот же.
Для входящей части звонка VoIP сообщение Запрос Установки Сеанса идет или от SGNC к NAS или шлюзу VoIP, или наоборот, в зависимости от сигнализации оконечного устройства. Для исходящей части сообщение всегда посылается от SGNC к шлюзу VoIP.

Запрос Добавить Ресурс. Это сообщение посылается от SGNC к NAS или от NAS к SGNC. Когда оно отправлено от SGNC к NAS, то предполагается, что авторизация на запрашиваемый ресурс уже дана.

Если Запрос Добавить Ресурс содержит Идентификатор Сеанса, который уже в процессе установки, то запрашиваемый ре' суре добавляется к этому сеансу. Если этот ресурс уже выделен данному сеансу, то сообщение Запрос Добавить Ресурс интерпретируется как запрос на изменение параметров.

Идентификатор Расширения обозначает номер расширения DIAMETER, к которому принадлежит сообщение (и переданные в нем AVP). Если сообщение принадлежит к более чем одному расширению, тогда должны быть несколько полей Идентификатор Расширения.

Ответ Установки Сеанса. Это сообщение содержит тот же самый Идентификатор Сеанса, что и Запрос Установки Сеанса. Должен присутствовать Код Результата, который будет использован для определения того, был ли сеанс успешно установлен или нет.

Второй сценарий — IPSec помещается в стек протоколов под IP, а это означает, что он будет действовать поверх драйвера линии. Этот подход мог бы подойти хостам, когда IPSec выполняется поверх управления доступа к носителю (media access control — MAC). Этот подход называется запихнуть в стек (bump ih the stack — BITS).

Третьим сценарием является использование отдельного оборудования, которое подсоединяется к хосту или шлюзу. Например, такое устройство могло бы быть специальным процессором шифрации (например, таким, какой используется военными). Этот подход называется запихнуть в железо (bump in the wire — BITW). К такого рода устройствам обычно обращаются по IP адресу, и, если оно подсоединено к хосту, то для него оно выглядит как BITS.

Вне зависимости от сценария взаимодействия между клиентом и пользователем клиент должен послать сообщение запроса доступа заново.

В данном сообщении имеются несколько дополнительных полей, наиболее интересным в данном случае является зашифрованный ответ на этот запрос. «Вызов» пользователю заключается в посылке ему случайного числа, которое он должен зашифровать и послать обратно результат.
Сервер проверяет этот результат.

Весь поток данных между двумя хостами может передаваться посредством одного SA и обеспечивается одним набором служб безопасности. Кроме того, поток данных между парой хостов мог бы быть разделен на множество SA, в зависимоста от применяемого приложения (как определено в полях Следующий протокол и Порт), когда разные SA обеспечивают различные службы безопасности.

Следующие параметры селектора должны поддерживаться в реализациях IPSec. Заметьте, что и адреса отправителя и получателя могут быть в форматах IPv4 и IPv6.
IP адрес Получателя

Здесь задается то, как обрабатывать входящий и исходящий потоки, и, таким образом, к этой базе данных обращаются для каждого входящего и исходящего пакета. Определены три способа обработки данных: 1) данные отвергаются, что означает, что данные никуда не идут и это применяется как к входящим, так и исходящим данным; 2) обойти IPSec — это означает что исходящие и входящие данные не защищаются при помощи IPSec; 3) применить IPSec — значит, что входящие и исходящие данные должны быть защищены IPSec.

О База данных ассоциаций безопасности: В SAD хранится информация о каждой активной ассоциации безопасности. Поскольку SA являются однонаправленными, в SAD хранятся пары SA, по одной для каждого направления.
О Селектор: Набор полей IP и ULP, используемых SPD для отображения потоков данных на правила безопасности (SA). Селекторами являются: IP адрес отправителя; IP адрес получателя; имя DNS или Х.500; идентификатор IP протокола; номер порта отправителя; номер порта получателя.

Этот адрес может являться одним IP адресом: однонаправленным, многонаправленным, широковещательным (только в IPv4) или групповым; может быть диапазоном адресов (когда указываются значения наименьшего и наибольшего адресов включительно); адресом плюс маска или шаблоном адреса. Последние три типа адреса предназначены для использования в случае нескольких получателей, разделяющих одну и ту же SA (например, если все эти получатели находятСЯ за. одним П1ЛЮЗОМ безопасности).

Этот селектор принципиально отличается от поля IP адрес Получателя в квали фикаторе <1Р адрес Получателя, протокол IPSec, SPI>, используемом для однозначной идентификации SA.

ЭТОТ ИДЕНТИФИКАТОР ИЗВЛЕКАЕТСЯ ИЗ ПОЛЯ ПРОТОКОЛ IPV4 ИЛИ СЛЕДУЮЩИЙ ЗАГОЛОВОК IPV6. ЭТО ЗНАЧЕНИЕ МОЖЕТ БЫТЬ ОДИНОЧНЫМ НОМЕРОМ ПРОТОКОЛА.
Порты Отправителя и Получателя ЭТИ ЗНАЧЕНИЯ МОГУТ БЫТЬ ОДИНОЧНЫМИ НОМЕРАМИ ПОРТА TCP ИЛИ UDP, А ТАКЖЕ ШАБЛОНАМИ.

Селекторы и записи в SAD/SPD КОНКРЕТНАЯ РЕАЛИЗАЦИЯ IPSEC ОПРЕДЕЛЯЕТ ТО, КАК ИСПОЛЬЗУЮТСЯ СЕЛЕКТОРЫ. НАПРИМЕР, РЕАЛИЗАЦИЯ ДЛЯ ХОСТА, С ПОМЕЩЕНИЕМ IPSEC В СТЕК, МОЖЕТ ИСПОЛЬЗОВАТЬ ИНТЕРФЕЙС СОКЕТА. КОГДА УСТАНАВЛИВАЕТСЯ НОВОЕ СОЕДИНЕНИЕ, ТО НА ОСНОВАНИИ ДАННЫХ ИЗ SPD SA (ИЛИ ПАКЕТ SA) МОЖЕТ БЫТЬ СВЯЗАНА С СОКЕТОМ. ТАКИМ ОБРАЗОМ, ДАННЫЕ, ПОСЛАННЫЕ ЧЕРЕЗ ЭТОТ СОКЕТ, НЕ БУДУТ НУЖДАТЬСЯ В ДОПОЛНИТЕЛЬНЫХ ОБРАЩЕНИЯХ К SA0/SPD.