Passa al contenuto principale

2.19. Requesting an Internal Address on a Remote Network (Indirizzo interno su rete remota)

2.19. Requesting an Internal Address on a Remote Network (Indirizzo interno su rete remota)

Spesso nello scenario endpoint-gateway di sicurezza, un endpoint necessita di un indirizzo IP nella rete protetta dal gateway, con assegnazione dinamica. La richiesta può essere in qualsiasi creazione di Child SA (inclusa quella implicita nel messaggio 3) tramite payload CP. Di solito si assegna un solo indirizzo durante IKE_AUTH; persiste almeno fino alla cancellazione dell'IKE SA.

La funzione assegna indirizzi a un client di accesso remoto IPsec (IRAC) che effettua tunnel verso una rete protetta da un server di accesso remoto IPsec (IRAS). Poiché IKE_AUTH crea IKE SA e Child SA, l'IRAC DEVE richiedere l'indiriaggio controllato dall'IRAS (e opzionalmente altre informazioni) in IKE_AUTH. L'IRAS può ottenere indirizzi da DHCP/BOOTP o pool proprio.

Initiator                         Responder
-------------------------------------------------------------------
 HDR, SK {IDi, [CERT,]
    [CERTREQ,] [IDr,] AUTH,
    CP(CFG_REQUEST), SAi2,
    TSi, TSr}  -->
                          <--  HDR, SK {IDr, [CERT,] AUTH,
                                   CP(CFG_REPLY), SAr2,
                                   TSi, TSr}

CP DEVE precedere SA. Con più IKE_AUTH, i CP DEVONO stare nei messaggi con SA.

CP(CFG_REQUEST) DEVE contenere almeno INTERNAL_ADDRESS (IPv4 o IPv6) e PUÒ contenere altri attributi richiesti in risposta.

Esempio iniziatore→rispondente:

CP(CFG_REQUEST)=
  INTERNAL_ADDRESS()
TSi = (0, 0-65535, 0.0.0.0-255.255.255.255)
TSr = (0, 0-65535, 0.0.0.0-255.255.255.255)

NOTA: Traffic Selector = (protocollo, intervallo porte, intervallo indirizzi).

Rispondente→iniziatore:

CP(CFG_REPLY)=
  INTERNAL_ADDRESS(192.0.2.202)
  INTERNAL_NETMASK(255.255.255.0)
  INTERNAL_SUBNET(192.0.2.0/255.255.255.0)
TSi = (0, 0-65535, 192.0.2.202-192.0.2.202)
TSr = (0, 0-65535, 192.0.2.0-192.0.2.255)

I valori dipendono dall'implementazione. L'IRAS PUÒ inviare attributi non richiesti e PUÒ ignorare attributi non obbligatori non supportati.

Il rispondente NON DEVE inviare CFG_REPLY senza aver ricevuto CP(CFG_REQUEST).

Se la configurazione IRAS richiede CP per un dato IDi ma l'IRAC non ha inviato CP(CFG_REQUEST), l'IRAS DEVE fallire con FAILED_CP_REQUIRED. Non è fatale per l'IKE SA. Nessun dato associato.

Ultimo aggiornamento il