win2000 中ipsec的实现层次问题

在主机上或路由器、防火墙（创建安全网关）的连接处，IPsec可以有几种实现方式。几个通常的例子：
a. IPsec完全嵌入原有的IP层实现。这需要涉及IP源码和这对主机和网关要都是适用的。
b. “Bump-in-the-stack\"(BITS)实现。IPsec实现于原有IP协议栈的下部，处于原有的IP和网络设备驱动之间。在这种情况下并不需要涉及IP协议栈的源码，所以该实现方法适于遗留系统。这种方法多在主机上采用。
c. 采用外接加密处理设备是军方、金融系统常用的网络安全系统设计方案。它有时被称为“Bump-in-the-wire”（BITW）实现。这种设计方案设计来服务于主机或网关（或两者兼有）。通常这种BITW设备是可设定IP地址的。(be IP addressable)当只支持一个单独的主机时，它和BITS方案就十分相似。但作为支持一个路由器或防火墙时，它必须象个网关一样操作。

使用IMD实现的ipsec属于第二种，但win2000的ipsec是属于哪一种呢？
我猜想应该是第一种，因为ms有这个条件。
为此我做里个试验：
1.在win2000ipsec启动的同时，启动IMD方式实现的ipsec服务，
2.结果IMD不能正常工作了。
3.把win2000的ipsec 服务停掉，IMD就正常了。
我解释不清楚这个现象。

首先，你的猜想是正确的。ms确实采用的是做在ip层中的机制。这令我们大家都眼红。没办法了。

   第二个问题提得很好，我以前也没注意过。因为imd的ipsec我离实现察的还远。
  但你的结果几乎可以肯定，你的猜想的正确性。

  我只能提出我自己的想法，如果起用了2k的ipsec，必然会在
 相当于ip_rev这样的功能中修改内核，既然ms已起用了vpn的功能。
他就有必要去屏蔽它说提供的类似功能接口的imd。
也就是我的内核都有着想功能了，用户你就不要在做了吧。呵呵！

至于如果让imd有效，是否会有冲突，大家就一块聊聊吧。
.

有空找一个win2000的checked build 跟它一下。

这方面你比我强，有机会多向你学习一下。
能否赐教？

不见得吧。

我就灌水比较强。其他的难说呀。这两天是不行了，正忙着passthru呢。苦闷呀。

你手头有checked build 吗？一块儿学习学习。

我也在学passthru。呵呵！
不过，很不精。多交流！！！

给你个信箱吧。fenger_li@sina.com呵呵！
跟你学会灌水也不错

共同提高
moqingsong@sohu.com

ok

你手头有checked build 吗？

ddk下不是有么？

我说的是windows2000 os 的checked build 版，操作系统全部用checked build 编译的 那个版本，现在贩卖的是free buid 版，你用softice再启动的时候看一下 os 的启动信息就能看见，我说的是win2000整个操作系统的checked build，她好像带全体函数的符号的。包括没有公开的。

哦，
可惜无没有。

公匙系统你实现过吗？看你的论文对这方面很熟悉。

what is ur meaning?
pki?ca?
rsa?

not is ike.



不谦虚的说，懂一点点吧

我的意思是做过系统并且它运行着吗？就是说，你手头有你做的，这其中任何一种系统在运行没有？

你想做什么？

嗯，这样说吧，参与过一些，不过我不是主体。
有些不便公开，毕竟涉及到商业保密。我不想再说详细了。

我只是觉得奇怪，passthru你还没作完怎么会对密匙的部分那么熟悉。

：）
我解释一下：我的兴趣。


密码学（各种密码算法，包括：单钥，双钥；hash(mac,hmac)；签名
）
--〉
pki体系（主要是ca)
-->
vpn（ipsec），ike主要从安全性角度去看的（只是理论）。
---〉
vpn 实现，linux 下。（不很精，因没做过具体工作）

windows下，2k:现在正在学习。
98，还没来的及学。


所以，我不是做驱动出身的，对passthru理解也不深，只是硬着头皮
做，至于能到什么程度，我也不晓得。不过我想，只要大家有信心，困难必然会克服。
   这方面感觉，你比我强得多，以后要多向你学习。
   你可要知无不言，言无不尽。嗬嗬！