7. フラグメントの処理 (Handling Fragments - IPsec境界の保護された側で)
本文書の前のセクションでは、(a)IPsec処理が適用された後にアウトバウンドパケットをフラグメント化し、IPsec処理の前に受信側で再構成するメカニズム、および(b)IPsec境界の保護されていない側から受信したインバウンドフラグメントを処理するメカニズムについて説明しています。このセクションでは、IPsec境界の保護された側でのアウトバウンド平文フラグメントの処理を実装がどのように処理すべきかを説明します。
上記の問題に対処するために、3つのアプローチが定義されています:
- 初期フラグメントと非初期フラグメントを運ぶトンネルモードSA(セクション7.1を参照)
- 非初期フラグメント用の個別のトンネルモードSA(セクション7.2を参照)
- ステートフルフラグメントチェック(セクション7.3を参照)
7.1. 初期フラグメントと非初期フラグメントを運ぶトンネルモードSA
すべての実装は、ポートフィールド(またはICMPタイプ/コードまたはモビリティヘッダータイプ)の値に関係なくトラフィックを通過するように構成されたトンネルモードSAをサポートしなければなりません(MUST)。
7.2. 非初期フラグメント用の個別のトンネルモードSA
実装は、非フラグメント化パケットおよび初期フラグメントとは別に、非初期フラグメントのみを運ぶトンネルモードSAをサポートできます(MAY)。OPAQUE値は、そのようなフラグメントを運ぶSAのポート(またはICMPタイプ/コードまたはモビリティヘッダータイプ)フィールドセレクタを指定するために使用されます。
7.3. ステートフルフラグメントチェック
実装は、非自明なポート(またはICMPタイプ/コードまたはMHタイプ)フィールド値(ANYまたはOPAQUEではない)を持つトンネルモードSAに対して、何らかの形式のステートフルフラグメントチェックをサポートできます(MAY)。
7.4. バイパス/破棄トラフィック
すべての実装は、通常のSPDパケット分類メカニズムを使用してフラグメントの破棄をサポートしなければなりません(MUST)。すべての実装は、非自明なポート範囲が指定されているバイパストラフィックに対応するために、ステートフルフラグメントチェックをサポートしなければなりません(MUST)。
関連セクション: