Zum Hauptinhalt springen

2.25. Exchange Collisions (Austauschkollisionen)

2.25. Exchange Collisions (Austauschkollisionen)

Da IKEv2-Austausche von beiden Peers gestartet werden können, können zwei Austausche dieselbe SA teilweise überlappen. Der SA-Zustand kann vorübergehend desynchronisiert sein; ein Peer kann eine Anfrage erhalten, die er nicht normal bearbeiten kann.

Ein Fenster größer als 1 verkompliziert die Situation, besonders bei außer-der-Reihe-Verarbeitung. Dieser Abschnitt behandelt Probleme schon bei Fenster 1.

Bei vorübergehender Unmöglichkeit (z. B. Rekeying) SOLL eine TEMPORARY_FAILURE-Benachrichtigung gesendet werden. Der Empfänger DARF nicht sofort wiederholen; er MUSS warten. Er KANN über mehrere Minuten ein- oder mehrfach wiederholen. Bleibt TEMPORARY_FAILURE auf derselben IKE SA nach mehreren Minuten, SOLL er Desynchronisation annehmen und die IKE SA schließen.

Bei Rekey-Anfrage für nicht existierende Child SA SOLL CHILD_SA_NOT_FOUND gesendet werden. Der SPI in Notify stammt aus REKEY_SA. Der Empfänger SOLL die Child SA still löschen (falls vorhanden) und eine neue Child-SA-Erstellung anfordern (falls noch nicht vorhanden).

2.25.1. Collisions while Rekeying or Closing Child SAs

Rekey während Schließen derselben Child SA: TEMPORARY_FAILURE. Rekey während Rekey: normal antworten, später redundante SAs per Nonces schließen (2.8.1). Rekey nicht existierender Child SA: CHILD_SA_NOT_FOUND.

Schließen während Schließen: ohne Delete antworten (1.4.1). Schließen während Rekey: mit Delete. Schließen nicht existierender Child SA: ohne Delete.

IKE-SA-Rekey während Erstellen, Rekey oder Schließen einer Child SA dieser IKE SA: TEMPORARY_FAILURE.

2.25.2. Collisions while Rekeying or Closing IKE SAs

IKE-SA-Rekey während IKE-SA-Rekey: normal antworten, später per Nonces bereinigen und Child SAs übernehmen (2.8.2). Rekey während IKE-SA-Schließversuch: TEMPORARY_FAILURE.

IKE-SA-Schließen während IKE-SA-Rekey: normal antworten, eigenes Rekey vergessen. Schließen während Schließen: normal antworten, eigenes Schließen vergessen.

Child-SA-Erstellung oder -Rekey während IKE-SA-Rekey: TEMPORARY_FAILURE. Child-SA-Löschung während IKE-SA-Rekey: normal mit Delete.

Letztes Update am