Appendix C. Exchanges and Payloads (Austausche und Nutzlasten)
Appendix C. Exchanges and Payloads (Austausche und Nutzlasten)
Dieser Anhang enthält eine kurze Zusammenfassung der IKEv2-Austausche und welche Nutzlasten in welcher Nachricht vorkommen können. Der Anhang ist rein informativ; bei Widersprüchen zum Hauptteil dieses Dokuments gilt der übrige Text als maßgeblich.
Vendor-ID-Nutzlasten (V) können an beliebiger Stelle in beliebigen Nachrichten enthalten sein. Die hier gezeigte Reihenfolge entspricht den logisch sinnvollsten Positionen.
C.1. IKE_SA_INIT-Austausch
Anfrage --> [N(COOKIE),]
SA, KE, Ni,
[N(NAT_DETECTION_SOURCE_IP)+,
N(NAT_DETECTION_DESTINATION_IP),]
[V+][N+]
normale Antwort <-- SA, KE, Nr,
(ohne Cookie) [N(NAT_DETECTION_SOURCE_IP),
N(NAT_DETECTION_DESTINATION_IP),]
[[N(HTTP_CERT_LOOKUP_SUPPORTED),] CERTREQ+,]
[V+][N+]
Cookie-Antwort <-- N(COOKIE),
[V+][N+]
anderer <-- N(INVALID_KE_PAYLOAD),
Diffie-Hellman- [V+][N+]
Gruppe erforderlich
C.2. IKE_AUTH-Austausch ohne EAP
Anfrage --> IDi, [CERT+,]
[N(INITIAL_CONTACT),]
[[N(HTTP_CERT_LOOKUP_SUPPORTED),] CERTREQ+,]
[IDr,]
AUTH,
[CP(CFG_REQUEST),]
[N(IPCOMP_SUPPORTED)+,]
[N(USE_TRANSPORT_MODE),]
[N(ESP_TFC_PADDING_NOT_SUPPORTED),]
[N(NON_FIRST_FRAGMENTS_ALSO),]
SA, TSi, TSr,
[V+][N+]
Antwort <-- IDr, [CERT+,]
AUTH,
[CP(CFG_REPLY),]
[N(IPCOMP_SUPPORTED),]
[N(USE_TRANSPORT_MODE),]
[N(ESP_TFC_PADDING_NOT_SUPPORTED),]
[N(NON_FIRST_FRAGMENTS_ALSO),]
SA, TSi, TSr,
[N(ADDITIONAL_TS_POSSIBLE),]
[V+][N+]
Fehler bei <-- IDr, [CERT+,]
Child-SA-Erzeugung AUTH,
N(error),
[V+][N+]
C.3. IKE_AUTH-Austausch mit EAP
erste Anfrage --> IDi,
[N(INITIAL_CONTACT),]
[[N(HTTP_CERT_LOOKUP_SUPPORTED),] CERTREQ+,]
[IDr,]
[CP(CFG_REQUEST),]
[N(IPCOMP_SUPPORTED)+,]
[N(USE_TRANSPORT_MODE),]
[N(ESP_TFC_PADDING_NOT_SUPPORTED),]
[N(NON_FIRST_FRAGMENTS_ALSO),]
SA, TSi, TSr,
[V+][N+]
erste Antwort <-- IDr, [CERT+,] AUTH,
EAP,
[V+][N+]
/ --> EAP
1..N-mal wiederholen |
\ <-- EAP
letzte Anfrage --> AUTH
letzte Antwort <-- AUTH,
[CP(CFG_REPLY),]
[N(IPCOMP_SUPPORTED),]
[N(USE_TRANSPORT_MODE),]
[N(ESP_TFC_PADDING_NOT_SUPPORTED),]
[N(NON_FIRST_FRAGMENTS_ALSO),]
SA, TSi, TSr,
[N(ADDITIONAL_TS_POSSIBLE),]
[V+][N+]
C.4. CREATE_CHILD_SA-Austausch zum Erzeugen oder Erneuern von Child-SAs
Anfrage --> [N(REKEY_SA),]
[CP(CFG_REQUEST),]
[N(IPCOMP_SUPPORTED)+,]
[N(USE_TRANSPORT_MODE),]
[N(ESP_TFC_PADDING_NOT_SUPPORTED),]
[N(NON_FIRST_FRAGMENTS_ALSO),]
SA, Ni, [KEi,] TSi, TSr,
[V+][N+]
normale <-- [CP(CFG_REPLY),]
Antwort [N(IPCOMP_SUPPORTED),]
[N(USE_TRANSPORT_MODE),]
[N(ESP_TFC_PADDING_NOT_SUPPORTED),]
[N(NON_FIRST_FRAGMENTS_ALSO),]
SA, Nr, [KEr,] TSi, TSr,
[N(ADDITIONAL_TS_POSSIBLE),]
[V+][N+]
Fehlerfall <-- N(error)
anderer <-- N(INVALID_KE_PAYLOAD),
Diffie-Hellman- [V+][N+]
Gruppe erforderlich
C.5. CREATE_CHILD_SA-Austausch zur Erneuerung der IKE-SA
Anfrage --> SA, Ni, KEi,
[V+][N+]
Antwort <-- SA, Nr, KEr,
[V+][N+]
C.6. INFORMATIONAL-Austausch
Anfrage --> [N+,]
[D+,]
[CP(CFG_REQUEST)]
Antwort <-- [N+,]
[D+,]
[CP(CFG_REPLY)]