Transport mode — IPsec paketlash rejimi bo‘lib, asl IP paketining foydali yukini himoya qiladi, biroq uning tashqi IP sarlavhasini saqlab qoladi. Rejim odatda ikki host o‘rtasidagi end-to-end himoyada ishlatiladi. Routerlar paketni asl manba va destination manzillari bo‘yicha yo‘naltiradi.
Paket tuzilishi
ESP transport rejimida ESP header asl IP sarlavhasidan keyin joylashadi. TCP yoki UDP sarlavhasi va application ma’lumoti shifrlanadi; ESP trailer ham himoya doirasiga kiradi. Authentication ishlatilsa, ESPning tegishli maydonlari yaxlitlik tekshiruvi bilan qoplanadi. Asl IP header marshrutlash uchun ochiq qoladi va odatda shifrlanmaydi.
Soddalashtirilgan ko‘rinish:
Asl: IP | TCP/UDP | ma’lumot
ESP: IP | ESP | {TCP/UDP | ma’lumot | trailer} | auth tag
AH transport rejimida foydali yuk shifrlanmaydi. AH yaxlitlik va origin authentication beradi hamda IP sarlavhasining yo‘lda o‘zgarmaydigan qismlarini ham tekshiradi. NAT manzillarni o‘zgartirgani sabab AH bilan moslashuvi qiyin; amaliy deploymentlarda ESP kengroq uchraydi.
Tunnel rejimi bilan taqqoslash
Tunnel mode butun asl IP paketini yangi tashqi IP paket ichiga joylaydi. Transport mode esa yangi tashqi IP header yaratmaydi. Natijada transport rejimining qo‘shimcha baytlari nisbatan kam va asl endpointlar tarmoqda ko‘rinadi. Tunnel mode gateway-to-gateway VPN uchun, transport mode esa IPsecni bevosita bajaradigan hostlar uchun mos keladi.
Transport rejimi faqat payload maxfiyligini ta’minlaganda traffic analysisni to‘liq yashirmaydi. Kuzatuvchi endpoint IP manzillari, paket o‘lchami va vaqtini ko‘rishi mumkin. Tunnel rejimi ichki manzillarni tashqi tarmoqdan yashira oladi, lekin tashqi gatewaylar baribir ko‘rinadi.
Siyosat va SA tanlash
Security Policy Database protokol, manba-destination manzili va port kabi selectorlar orqali qaysi trafik IPsecga berilishini belgilaydi. Mos siyosat Security Association bilan bog‘lanadi. Har yo‘nalish uchun alohida SA bo‘ladi; kiruvchi paket SPI, destination va ESP/AH protokoli orqali tegishli holatga ulanadi.
Transport rejimidagi selectorlar juda keng berilsa, hostning kutilmagan xizmatlari ham tunnelga tushishi mumkin. Juda tor siyosat esa DNS, control yoki qaytish trafikining bir qismini ochiq qoldiradi. Ikki endpointdagi siyosatlar simmetrik va routing bilan mos bo‘lishi zarur.
NAT, MTU va fragmentatsiya
NAT asl IP sarlavhasini o‘zgartiradi. ESPning NAT Traversal varianti ESP paketini UDP 4500 ichiga joylab, NAT mapping orqali o‘tishga yordam beradi. Bu qo‘shimcha encapsulation transport rejimining overheadini oshiradi. Port mapping va keepalive holati tunnel barqarorligiga ta’sir qilishi mumkin.
ESP header, initialization vector, trailer va authentication tag paketni kattalashtiradi. Path MTU hisobga olinmasa fragmentatsiya yoki qora tuynuk holati yuz beradi. TCP MSS clamping ayrim yo‘llarda yordam beradi, ammo to‘g‘ri yechim real encapsulation overheadiga mos MTU va ishlaydigan Path MTU Discoverydir.
Qo‘llanish chegaralari
Transport mode serverlar o‘rtasidagi ma’lum trafikni himoyalash, operatsion tizim darajasidagi host-to-host siyosat yoki ayrim overlay mexanizmlarining ichki komponenti sifatida ishlatiladi. Har endpoint IPsecni qo‘llashi va kalit boshqaruvida qatnashishi kerak. Oddiy mijozlarni o‘zgartirmasdan butun subnetni ulash zarur bo‘lsa, gateway tunnel rejimi boshqaruv jihatidan qulayroq bo‘ladi.
Diagnostikada SPD mosligi, SA counterlari, NAT-T holati, MTU va firewallning ESP yoki UDP 4500 ga ruxsati tekshiriladi. Paket capture tashqi IP va ESP sarlavhasini ko‘rsatadi, lekin sessiya kalitisiz himoyalangan transport payloadini o‘qiy olmaydi.
Bog‘liq tushunchalar
IPsec, ESP, AH, Tunnel mode, Security Association, NAT Traversal, Path MTU