4.4.1.3. Plus d'informations concernant les champs associés aux protocoles de couche suivante (More Regarding Fields Associated with Next Layer Protocols)
Des sélecteurs supplémentaires sont souvent associés aux champs dans l'en-tête du protocole de couche suivante. Un protocole de couche suivante particulier peut avoir zéro, un ou deux sélecteurs. Il peut y avoir des situations où il n'y a pas à la fois des sélecteurs locaux et distants pour les champs qui dépendent du protocole de couche suivante. L'en-tête de mobilité IPv6 n'a qu'un type de message d'en-tête de mobilité. AH et ESP n'ont pas d'autres champs de sélecteur. Un système peut être disposé à envoyer un type et un code de message ICMP qu'il ne souhaite pas recevoir.
Note: Dans les descriptions ci-dessous, "port" est utilisé pour désigner un champ qui dépend du protocole de couche suivante.
A. Protocoles sans sélecteurs de port
Si un protocole de couche suivante n'a pas de sélecteurs "port", alors les sélecteurs "port" locaux et distants sont définis sur OPAQUE dans l'entrée SPD pertinente, par exemple:
Exemple - Protocole AH:
Local
next layer protocol = AH
"port" selector = OPAQUE
Distant (Remote's)
next layer protocol = AH
"port" selector = OPAQUE
B. Protocoles avec un sélecteur
Même si un protocole de couche suivante n'a qu'un seul sélecteur, par exemple le type d'en-tête de mobilité, alors les sélecteurs "port" locaux et distants sont utilisés pour indiquer si un système est disposé à envoyer et/ou recevoir du trafic avec les valeurs "port" spécifiées.
Exemple 1: Envoi et réception
Si les en-têtes de mobilité d'un type spécifié sont autorisés à être envoyés et reçus via une SA, alors l'entrée SPD pertinente serait définie comme suit:
Local
next layer protocol = Mobility Header
"port" selector = Mobility Header message type
Distant (Remote's)
next layer protocol = Mobility Header
"port" selector = Mobility Header message type
Exemple 2: Envoi uniquement
Si les en-têtes de mobilité d'un type spécifié sont autorisés à être envoyés mais PAS reçus via une SA, alors l'entrée SPD pertinente serait définie comme suit:
Local
next layer protocol = Mobility Header
"port" selector = Mobility Header message type
Distant (Remote's)
next layer protocol = Mobility Header
"port" selector = OPAQUE
Exemple 3: Réception uniquement
Si les en-têtes de mobilité d'un type spécifié sont autorisés à être reçus mais PAS envoyés via une SA, alors l'entrée SPD pertinente serait définie comme suit:
Local
next layer protocol = Mobility Header
"port" selector = OPAQUE
Distant (Remote's)
next layer protocol = Mobility Header
"port" selector = Mobility Header message type
C. Protocoles avec deux sélecteurs - Envoi uniquement
Si un système est disposé à envoyer du trafic avec une valeur "port" particulière mais PAS à recevoir du trafic avec ce type de valeur de port, les sélecteurs de trafic du système sont définis comme suit dans l'entrée SPD pertinente:
Local
next layer protocol = ICMP
"port" selector = <specific ICMP type & code>
Distant (Remote's)
next layer protocol = ICMP
"port" selector = OPAQUE
D. Protocoles avec deux sélecteurs - Réception uniquement
Pour indiquer qu'un système est disposé à recevoir du trafic avec une valeur "port" particulière mais PAS à envoyer ce type de trafic, les sélecteurs de trafic du système sont définis comme suit dans l'entrée SPD pertinente:
Local
next layer protocol = ICMP
"port" selector = OPAQUE
Distant (Remote's)
next layer protocol = ICMP
"port" selector = <specific ICMP type & code>
Exemple pratique: ICMP Traceroute
Par exemple, si une passerelle de sécurité est disposée à permettre aux systèmes derrière elle d'envoyer des traceroutes ICMP, mais n'est pas disposée à laisser les systèmes extérieurs exécuter des traceroutes ICMP vers les systèmes derrière elle, alors les sélecteurs de trafic de la passerelle de sécurité sont définis comme suit dans l'entrée SPD pertinente:
Local
next layer protocol = 1 (ICMPv4)
"port" selector = 30 (traceroute)
Distant (Remote's)
next layer protocol = 1 (ICMPv4)
"port" selector = OPAQUE