Aller au contenu principal

2.25. Exchange Collisions (Collisions d'échanges)

2.25. Exchange Collisions (Collisions d'échanges)

Comme les échanges IKEv2 peuvent être initiés par chaque pair, deux échanges affectant la même SA peuvent se chevaucher partiellement, désynchronisant temporairement l'état; un pair peut recevoir une requête qu'il ne peut traiter normalement.

Une fenêtre supérieure à 1 complique la situation, surtout si les requêtes sont traitées hors ordre. Cette section se concentre sur les problèmes possibles même avec une fenêtre de 1.

Une notification TEMPORARY_FAILURE DEVRAIT être envoyée lorsqu'une requête ne peut être complétée pour une raison temporaire (recléage). Le récepteur NE DOIT PAS réessayer immédiatement; il DOIT attendre. Il PEUT réessayer une ou plusieurs fois sur plusieurs minutes. Si TEMPORARY_FAILURE persiste après plusieurs minutes sur la même IKE SA, il DEVRAIT conclure à une désynchronisation et fermer l'IKE SA.

Une notification CHILD_SA_NOT_FOUND DEVRAIT être envoyée pour une requête de recléage d'une Child SA inexistante. Le SPI dans la Notify est copié depuis REKEY_SA. Le récepteur DEVRAIT supprimer silencieusement la Child SA si elle existe encore et envoyer une demande de création d'une nouvelle Child SA si elle n'existe pas encore.

2.25.1. Collisions while Rekeying or Closing Child SAs

Recléage demandé pendant fermeture de la même Child SA: répondre TEMPORARY_FAILURE. Recléage pendant recléage: répondre normalement et préparer la fermeture des SA redondantes selon les nonces (section 2.8.1). Recléage d'une Child SA inexistante: CHILD_SA_NOT_FOUND.

Fermeture demandée pendant fermeture de la même Child SA: répondre sans Delete (section 1.4.1). Fermeture pendant recléage: répondre avec Delete. Fermeture d'une Child SA inexistante: répondre sans Delete.

Recléage IKE SA pendant création, recléage ou fermeture d'une Child SA de cette IKE SA: TEMPORARY_FAILURE.

2.25.2. Collisions while Rekeying or Closing IKE SAs

Recléage IKE SA pendant recléage IKE SA: répondre normalement, préparer fermeture et migration des Child SA selon les nonces (section 2.8.2). Recléage pendant tentative de fermeture IKE SA: TEMPORARY_FAILURE.

Fermeture IKE SA pendant recléage IKE SA: répondre normalement, abandonner sa propre demande de recléage. Fermeture pendant fermeture: répondre normalement, abandonner sa propre fermeture.

Création ou recléage Child SA pendant recléage IKE SA: TEMPORARY_FAILURE. Suppression Child SA pendant recléage IKE SA: répondre normalement avec Delete.

Dernière mise à jour le