7. Fragment-Behandlung (auf der geschützten Seite der IPsec-Grenze)

Frühere Abschnitte dieses Dokuments beschreiben Mechanismen für (a) die Fragmentierung eines ausgehenden Pakets nach der Anwendung der IPsec-Verarbeitung und dessen Wiederzusammensetzung beim Empfänger vor der IPsec-Verarbeitung und (b) die Behandlung eingehender Fragmente, die von der ungeschützten Seite der IPsec-Grenze empfangen werden.

Um die oben genannten Probleme anzugehen, wurden drei Ansätze definiert:

Tunnelmodus-SAs, die initiale und nicht-initiale Fragmente tragen
Separate Tunnelmodus-SAs für nicht-initiale Fragmente
Zustandsbehaftete Fragmentprüfung

7.1. Tunnelmodus-SAs, die Initiale und Nicht-Initiale Fragmente Tragen

Alle Implementierungen MÜSSEN Tunnelmodus-SAs unterstützen, die so konfiguriert sind, dass sie Verkehr unabhängig von Port-Feldwerten übertragen.

7.2. Separate Tunnelmodus-SAs für Nicht-Initiale Fragmente

Eine Implementierung KANN Tunnelmodus-SAs unterstützen, die nur nicht-initiale Fragmente tragen.

7.3. Zustandsbehaftete Fragmentprüfung

Eine Implementierung KANN eine Form der zustandsbehafteten Fragmentprüfung für eine Tunnelmodus-SA mit nicht-trivialen Port-Feldwerten unterstützen.

7.4. BYPASS/DISCARD-Verkehr

Alle Implementierungen MÜSSEN das Verwerfen von Fragmenten unter Verwendung der normalen SPD-Paketklassifizierungsmechanismen unterstützen.

7.1. Tunnelmodus-SAs, die Initiale und Nicht-Initiale Fragmente Tragen​

7.2. Separate Tunnelmodus-SAs für Nicht-Initiale Fragmente​

7.3. Zustandsbehaftete Fragmentprüfung​

7.4. BYPASS/DISCARD-Verkehr​

7.1. Tunnelmodus-SAs, die Initiale und Nicht-Initiale Fragmente Tragen

7.2. Separate Tunnelmodus-SAs für Nicht-Initiale Fragmente

7.3. Zustandsbehaftete Fragmentprüfung

7.4. BYPASS/DISCARD-Verkehr