7.2. SSM and RFC 2401 IPsec Caveats

7.2. SSM与RFC 2401 IPsec注意事项

对于RFC 2401 IPsec的现有实现（现已被[RFC4301]取代），存在一些与SSM相关的注意事项。它们在此列出。在RFC 2401 IPsec中，源地址不用作SAD查找中的密钥的一部分。结果，恰好使用相同SSM目标地址和相同安全参数索引(SPI)的两个发送者将在正在接收两个信道的任何主机的SAD中"冲突"。由于信道地址和SPI都由发送者自主分配，因此没有合理的方法来确保每个发送者使用唯一的目标地址或SPI。

如果接收器同时订阅两个使用IPsec的不相关信道，其源恰好使用相同的IP目标地址(IPDA)和相同的IPsec SPI，则会出现问题。由于信道目标地址由发送者自主分配，任何两个主机都可以同时使用相同的目标地址，并且没有合理的方法来确保这不会发生。然而，<IPDA,SPI>元组由通常随机选择的56位组成（IP目标的24位和SPI的32位），通过随机机会发生冲突的可能性不大。

如果发生这样的冲突，接收器将无法同时接收来自两个冲突源的受IPsec保护的流量。接收器可以通过注意到它正在接收来自两个不同源的具有相同SPI和相同SSM目标地址的流量来检测这种情况。