48.如果两个 IPSecVPN 对等体希望同时使用 AH 和 ESP 来保证安全通信, 则两个对等体总共需要构 建多少个 SA ?

### 解析 **正确答案：D** #### 1. 核心概念理解 * **SA (Security Association，安全关联)**：是 IPSec 中两个对等体之间建立的一个单向的逻辑连接。IPSec 通信是基于 SA 的，每个 SA 由一个唯一的 SPI (Security Parameter Index) 标识。 * **单向性**：SA 是**单向**的。这意味着从设备 A 到设备 B 的通信需要一个 SA，而从设备 B 到设备 A 的通信需要另一个独立的 SA。因此，双向通信至少需要 2 个 SA。 * **协议独立性**：AH (Authentication Header) 和 ESP (Encapsulating Security Payload) 是两种不同的 IPSec 协议。 * AH 提供数据完整性、数据源认证和抗重放服务（不加密）。 * ESP 提供数据机密性（加密）、数据完整性、数据源认证和抗重放服务。 * 在 IPSec 标准中，AH 和 ESP 被视为不同的协议类型，它们不能混合在同一个 SA 中。如果一个连接需要同时使用 AH 和 ESP，必须分别为它们建立独立的 SA。 #### 2. 逐步推导 题目要求两个 IPSec VPN 对等体**同时使用 AH 和 ESP** 来保证安全通信。我们需要计算总共需要的 SA 数量： 1. **方向分析**： * 通信是双向的（A <-> B）。 * 因为 SA 是单向的，所以我们需要分别考虑“出方向”和“入方向”，或者说“A到B”和“B到A”。 2. **协议分析**： * 对于每一个方向，都需要同时应用 AH 和 ESP。 * 由于 AH 和 ESP 不能共享同一个 SA，因此每个方向需要为 AH 建立一个 SA，为 ESP 建立另一个 SA。 3. **具体计算**： * **方向 1 (A -> B)**： * 需要 1 个 AH SA 用于 A 到 B 的认证。 * 需要 1 个 ESP SA 用于 A 到 B 的加密和认证。 * 小计：2 个 SA。 * **方向 2 (B -> A)**： * 需要 1 个 AH SA 用于 B 到 A 的认证。 * 需要 1 个 ESP SA 用于 B 到 A 的加密和认证。 * 小计：2 个 SA。 4. **总计**： * 总 SA 数量 = (A->B 的 AH SA) + (A->B 的 ESP SA) + (B->A 的 AH SA) + (B->A 的 ESP SA) * 总 SA 数量 = 1 + 1 + 1 + 1 = **4** #### 3. 结论 为了在两个对等体之间同时使用 AH 和 ESP 进行双向安全通信，总共需要构建 **4** 个 SA。 故选项 **D** 正确。