メインコンテンツまでスキップ

7.2. SSM と RFC 2401 IPsec の注意事項

7.2. SSM と RFC 2401 IPsec の注意事項

RFC 2401 IPsec の既存の実装(現在は [RFC4301] に置き換えられています)には、SSM に関連するいくつかの注意事項があります。RFC 2401 IPsec では、送信元アドレスは SAD 検索のキーの一部として使用されません。その結果、たまたま同じ SSM 宛先アドレスと同じセキュリティパラメーターインデックス (SPI) を使用する 2 つの送信者は、両方のチャネルを受信している任意のホストの SAD で「衝突」します。チャネルアドレスと SPI の両方が送信者によって自律的に割り当てられるため、各送信者が一意の宛先アドレスまたは SPI を使用することを保証する合理的な方法はありません。

受信者が IPsec を使用する 2 つの無関係なチャネルを同時にサブスクライブしており、それらのソースがたまたま同じ IP 宛先アドレス (IPDA) と同じ IPsec SPI を使用している場合に問題が発生します。チャネル宛先アドレスは送信者によって自律的に割り当てられるため、任意の 2 つのホストが同時に同じ宛先アドレスを使用する可能性があり、これが発生しないことを保証する合理的な方法はありません。ただし、<IPDA, SPI> タプルは通常ランダムに選択される 56 ビット(IP 宛先の 24 ビットと SPI の 32 ビット)で構成されており、ランダムな偶然による衝突の可能性は低いです。

このような衝突が発生した場合、受信者は 2 つの衝突するソースから IPsec で保護されたトラフィックを同時に受信できなくなります。受信者は、同じ SPI と同じ SSM 宛先アドレスを持つ 2 つの異なるソースからトラフィックを受信していることに気づくことでこの状況を検出できます。

最終更新