4.3. Kombination von SAs (Combining SAs)

Dieses Dokument erfordert keine Unterstützung für verschachtelte Sicherheitsassoziationen oder für das, was RFC 2401 [RFC2401] „SA-Bündel (SA bundles)" nannte. Diese Funktionen können weiterhin durch entsprechende Konfiguration sowohl der SPD als auch der lokalen Weiterleitungsfunktionen (für eingehenden und ausgehenden Verkehr) erreicht werden, aber diese Fähigkeit liegt außerhalb des IPsec-Moduls und damit außerhalb des Umfangs dieser Spezifikation. Infolgedessen ist die Verwaltung verschachtelter/gebündelter SAs potenziell komplexer und weniger gesichert als unter dem von RFC 2401 [RFC2401] implizierten Modell. Eine Implementierung, die Unterstützung für verschachtelte SAs bietet, SOLLTE (SHOULD) eine Verwaltungsschnittstelle bereitstellen, die es einem Benutzer oder Administrator ermöglicht, die Verschachtelungsanforderung auszudrücken und dann die entsprechenden SPD-Einträge und Weiterleitungstabelleneinträge zu erstellen, um die erforderliche Verarbeitung zu bewirken. (Siehe Anhang E für ein Beispiel zur Konfiguration verschachtelter SAs.)