关于 IKE SA 的 IKEv2 通知负载

网络工程 ipsec 艾克
2022-03-04 17:08:35

对 RFC7296 第 3.10 节中关于通知有效负载的两段感到困惑。在那里您可以找到以下内容:

   o  Protocol ID (1 octet) - If this notification concerns an existing
      SA whose SPI is given in the SPI field, this field indicates the
      type of that SA.  For notifications concerning Child SAs, this
      field MUST contain either (2) to indicate AH or (3) to indicate
      ESP.  Of the notifications defined in this document, the SPI is
      included only with INVALID_SELECTORS, REKEY_SA, and
      CHILD_SA_NOT_FOUND.  If the SPI field is empty, this field MUST be
      sent as zero and MUST be ignored on receipt.

   o  SPI Size (1 octet) - Length in octets of the SPI as defined by the
      IPsec protocol ID or zero if no SPI is applicable.  For a
      notification concerning the IKE SA, the SPI Size MUST be zero and
      the field must be empty.

我的问题是:关于 IKE SA 的通知有效负载的正确形式是什么?

第二段说对于 IKE SA,SPI 大小必须为零并且 SPI 字段为空,而第一段说当 SPI 字段为空时协议 ID 必须为零。

在 SA 有效负载中,IKE 的协议 ID 为 1,但据我了解以上段落,在通知有效负载中,我必须将其设置为 0。

1个回答

我在RFC7296 的第 16 页进一步找到了答案

无需发送有关不同 IKE SA 的通知负载。当前的 IKE SA 已经在 IKE 标头中。

第 3.10 节中的第一段说“SPI 仅包含在 INVALID_SELECTORS、REKEY_SA 和 CHILD_SA_NOT_FOUND 中”第 16 页的第 1.3.2 节明确指出,对于 IKE SA 的密钥更新不涉及通知,而子 SA 的密钥更新确实使用通知有效负载。

其它你可能感兴趣的问题
上一篇GNS3 无法从以太网接口 ping 到串行接口 下一篇FortiGate & FortiAuthenticator - 使用 Radius 将用户映射到 VPN 组