23.3 IPsec-Sicherheitsassoziationsattribut
23.3 IPsec-Sicherheitsassoziationsattribut
Dieses Dokument definiert ein neues IPsec-Sicherheitsassoziationsattribut zur Aushandlung der ECN-Unterstützung in IPsec-Tunneln, wie in Abschnitt 9.2.1.2 beschrieben.
ECN-Tunnelattribut
- Attributname: ECN_TUNNEL
- Attributtyp: [von IANA zuzuweisen]
- Attributformat: Basic (feste Länge)
- Attributwerte:
- 0: ECN im äußeren Header nicht zulässig (Option mit eingeschränkter Funktionalität)
- 1: ECN im äußeren Header zulässig (Option mit voller Funktionalität)
Dieses Attribut wird während der IPsec-SA-Aushandlung (zum Beispiel IKE Phase 2 Quick Mode) verwendet, damit Tunnelendpunkte aushandeln können, ob ECN-Funktionalität im äußeren Header von SAs im Tunnelmodus zulässig ist.
Das Attribut ist OPTIONAL. Falls es in einer SA-Aushandlung nicht vorhanden ist, ist das Standardverhalten, dass ECN im äußeren Header nicht zulässig ist (Option mit eingeschränkter Funktionalität).
IANA hat diesem SA-Attribut einen Attributtypwert aus dem in [RFC2407] definierten Register IPsec Security Association Attributes zugewiesen.
Diese Spezifikation aktualisiert RFC 2401 [RFC2401] und RFC 2407 [RFC2407], indem sie dieses neue SA-Attribut hinzufügt und die SA Database so ändert, dass sie das in Abschnitt 9.2.1.1 beschriebene Feld ECN_TUNNEL enthält.
Die Hinzufügung dieses Attributs stellt einen Mechanismus für die sichere Aushandlung der ECN-Nutzung in IPsec-Tunneln bereit. Sicherheitsadministratoren können so auf Grundlage ihrer Sicherheitsrichtlinien fundierte Entscheidungen über den Einsatz von ECN treffen.