O IPSEC não "avalia diretamente" listas de acesso no sentido de comparar uma lista espelhada. A maneira como o IPSEC garante que suas associações de segurança (SAS) se alinhem ao controle de acesso seja indireta e depende da interação entre o próprio IPSEC e os mecanismos de controle de acesso da rede subjacente (como ACLs, firewalls etc.).

Não há mecanismo interno no protocolo IPSEC para verificar se há listas de acesso espelhado. Em vez disso, o processo funciona assim:

1. Configuração independente: As listas de controle de acesso (ACLs) e as políticas de IPSec são configuradas separadamente. Você configura seus ACLs em roteadores ou firewalls para controlar o tráfego de rede com base em endereços IP, portas e outros critérios de origem/destino. Separadamente, você configura as políticas do IPsec, especificando quais colegas ele negociará, com quais algoritmos criptográficos usar e que tráfego (com base em seletores como endereços IP e portas) será protegido pelo túnel.

2. correspondência implícita: O sucesso da negociação do IPSEC implica um grau de correspondência. Se a política do IPsec permitir um par de endereços IP específicos e intervalo de portas, e as ACLs nas duas extremidades permitem o mesmo tráfego em trânsito, a conexão poderá ser estabelecida. Se o ACLS * bloquear o tráfego, mesmo que a política do IPsec permitir, a conexão falhará - a negociação do IPSEC poderá ter sucesso, mas o tráfego protegido não será capaz de atravessar a rede.

3. Filtragem de tráfego: ACLs atuam como um filtro * antes * e * depois * da criptografia IPSEC. Isso significa:
* Antes do IPSEC: As ACLs verificam se o pacote inicial (antes da criptografia) é permitido. Se estiver bloqueado, o IPSEC nem estará envolvido.
* Após Ipsec: Após a descriptografia, as verificações de recebimento novamente com suas ACLs para garantir que o tráfego descriptografado seja permitido.

4. Sem comparação direta: Não há processo automatizado em que o IPSEC compara explicitamente duas ACLs para verificar se elas são idênticas ou "espelhadas". A segurança da conexão baseia -se na configuração correta de ambas as políticas IPSEC * e * os mecanismos de controle de acesso da rede em cada lado do túnel.

Em suma, o "espelhamento" é efetivamente alcançado, garantindo uma configuração consistente de ambos os lados:ambos os lados devem permitir o tráfego que o IPSEC pretende proteger. Qualquer discrepância (por exemplo, um lado permite o tráfego dos outros blocos) resultará em problemas de conectividade, não um erro IPSec específico indicando uma incompatibilidade. O administrador é responsável por garantir que essas configurações alinhem; O próprio IPSEC não lida diretamente com essa verificação.