7. Traitement des Fragments (du côté protégé de la frontière IPsec)
Les sections précédentes de ce document décrivent les mécanismes pour (a) fragmenter un paquet sortant après l'application du traitement IPsec et le réassembler au récepteur avant le traitement IPsec et (b) traiter les fragments entrants reçus du côté non protégé de la frontière IPsec. Cette section décrit comment une implémentation doit traiter le traitement des fragments de texte en clair sortants du côté protégé de la frontière IPsec.
Pour résoudre les problèmes ci-dessus, trois approches ont été définies:
- SA en mode tunnel qui transportent des fragments initiaux et non initiaux (Voir Section 7.1)
- SA en mode tunnel séparées pour les fragments non initiaux (Voir Section 7.2)
- Vérification de fragments avec état (Voir Section 7.3)
7.1. SA en Mode Tunnel qui Transportent des Fragments Initiaux et Non Initiaux
Toutes les implémentations DOIVENT prendre en charge les SA en mode tunnel configurées pour transmettre le trafic sans tenir compte des valeurs de champ de port (ou type/code ICMP ou type d'en-tête de mobilité).
7.2. SA en Mode Tunnel Séparées pour les Fragments Non Initiaux
Une implémentation PEUT prendre en charge des SA en mode tunnel qui ne transporteront que des fragments non initiaux, séparés des paquets non fragmentés et des fragments initiaux.
7.3. Vérification de Fragments avec État
Une implémentation PEUT prendre en charge une forme de vérification de fragments avec état pour une SA en mode tunnel avec des valeurs de champ de port non triviales.
7.4. Trafic BYPASS/DISCARD
Toutes les implémentations DOIVENT prendre en charge le rejet de fragments en utilisant les mécanismes de classification de paquets SPD normaux.
Sections Connexes: