Zum Hauptinhalt springen

4.4.3.4. Wie die PAD verwendet wird

Initialer IKE-Austausch

Während des initialen IKE-Austauschs assertieren der Initiator und der Responder jeweils ihre Identität über die IKE-ID-Payload und senden eine AUTH-Payload zur Verifizierung der assertierten Identität.

Kind-SA-Erstellung

Kind-SAs werden basierend auf dem Austausch von Traffic-Selector-Payloads erstellt. Der PAD-Eintrag für den (nun authentifizierten) IKE-Peer wird verwendet, um die Erstellung von Kind-SAs zu beschränken.

Zwei Wahlmöglichkeiten:

  1. Die vom Peer assertierte IKE-ID wird verwendet, um einen SPD-Eintrag über seinen symbolischen Namen zu finden, ODER
  2. In Traffic-Selector-Payloads assertierte Peer-IP-Adressen werden für SPD-Lookups verwendet

Schutz vor Spoofing

Die PAD bietet eine Bindung von Adressbereichen an Peers, um solche Angriffe abzuwehren.

Letztes Update am