4.4.3.1. PAD-Eintrags-IDs und Matching-Regeln

PAD-Reihenfolge

Die PAD ist eine geordnete Datenbank, wobei die Reihenfolge von einem Administrator definiert wird. Die Reihenfolge-Anforderung für die PAD entsteht aus demselben Grund wie für die SPD.

Sechs unterstützte ID-Typen

Sechs ID-Typen werden für Einträge in der PAD unterstützt. Die ID für jeden Eintrag fungiert als Index für die PAD.

Die sechs Typen sind:

DNS-Name (spezifisch oder partiell)
Distinguished Name (vollständig oder Teilbaum-beschränkt)
RFC 822 E-Mail-Adresse (vollständig oder teilweise qualifiziert)
IPv4-Adresse (Bereich)
IPv6-Adresse (Bereich)
Schlüssel-ID (nur exakte Übereinstimmung)

Teilbaum-Matching

DNS-Namen

Ein DNS-Name kann vollständig qualifiziert sein wie foo.example.com. Die Zeichenfolge .example.com könnte verwendet werden, um jeden DNS-Namen zu matchen, der mit diesen beiden Domänennamen-Komponenten endet.

Distinguished Names

Ein Distinguished Name kann CN = Stephen, O = BBN Technologies, SP = MA, C = US spezifizieren. Ein Eintrag der Form C = US, SP = MA könnte verwendet werden, um alle DNs zu matchen.

RFC 822 E-Mail-Adressen

Eine vollständige Adresse wie [email protected] matched eine Entität, aber ein Teilbaum-Name wie @example.com könnte verwendet werden, um alle Entitäten zu matchen.

Implementierungsanforderungen

Die spezifische Syntax ist eine lokale Angelegenheit. Aber mindestens MUSS Teilbaum-Matching unterstützt werden.

IP-Adressbereiche

Für IPv4- und IPv6-Adressen MUSS dieselbe Adressbereichs-Syntax wie für SPD-Einträge unterstützt werden.

Schlüssel-ID

Das Schlüssel-ID-Feld ist in IKE als OCTET-String definiert. Für diesen Namentyp MUSS nur exakte Übereinstimmungs-Syntax unterstützt werden.

PAD-Reihenfolge​

Sechs unterstützte ID-Typen​

Teilbaum-Matching​

DNS-Namen​

Distinguished Names​

RFC 822 E-Mail-Adressen​

Implementierungsanforderungen​

IP-Adressbereiche​

Schlüssel-ID​