Passa al contenuto principale

2.1. Use of Retransmission Timers (Uso dei timer di ritrasmissione)

2.1. Use of Retransmission Timers (Uso dei timer di ritrasmissione)

Tutti i messaggi IKE sono coppie richiesta/risposta. L'istituzione di una IKE SA consiste normalmente in due scambi. Una volta stabilita la IKE SA, ciascuna estremità della Security Association può avviare richieste in qualsiasi momento e molte richieste e risposte possono essere « in volo ». Ogni messaggio è etichettato come richiesta o risposta e, per ogni scambio, un'estremità è l'iniziatore e l'altra il risponditore.

Per ogni coppia di messaggi IKE, l'iniziatore è responsabile della ritrasmissione in caso di timeout. Il risponditore NON DEVE MAI ritrasmettere una risposta salvo che riceva una ritrasmissione della richiesta. In tal caso DEVE ignorare la richiesta ritrasmettiva salvo nella misura in cui provoca la ritrasmissione della risposta. L'iniziatore DEVE ricordare ogni richiesta fino alla risposta corrispondente. Il risponditore DEVE ricordare ogni risposta finché non riceve una richiesta con numero di sequenza maggiore o uguale al numero nella risposta più la dimensione della finestra (Sezione 2.3). Per risparmiare memoria, i risponditori POSSONO dimenticare la risposta dopo alcuni minuti. Se riceve una richiesta ritrasmettiva per una risposta già dimenticata, DEVE ignorarla.

IKE è affidabile: l'iniziatore DEVE ritrasmettere fino alla risposta o fino a considerare fallita la IKE SA, eliminando tutto lo stato della IKE SA e dei Child SA negoziati con essa. Una ritrasmissione DEVE essere identica bit a bit alla richiesta originale dall'intestazione IKE in poi; gli elementi prima (IP/UDP) non devono esserlo.

Le ritrasmissioni IKE_SA_INIT richiedono gestione speciale: il risponditore deve distinguere ritrasmissione di una IKE SA semi-aperta, nuova richiesta o IKE SA con IKE_AUTH già ricevuto.

Non basta SPI iniziatore e/o indirizzo IP: due peer dietro lo stesso NAT possono scegliere lo stesso SPI iniziatore. Un risponditore robusto cerca la IKE SA sull'intero pacchetto, hash o payload Ni.

Per i messaggi unidirezionali non c'è ACK: non ha senso ritrasmettere gratuitamente; limitare comunque le ritrasmissioni degli errori.

Ultimo aggiornamento il