9.2.1.1 ECN_TUNNEL SA 数据库字段
9.2.1.1 ECN_TUNNEL SA 数据库字段
本文档在 IPsec Security Association Database (SAD) 中定义一个名为 ECN_TUNNEL 的新字段. 该字段用于指示 IPsec tunnel mode SA 的外层头部中是否允许 ECN 功能.
ECN_TUNNEL 字段可以具有以下值:
-
Not permitted: 外层头部中不允许 ECN. 隧道 MUST 使用 limited-functionality option, 无论内层头部的 ECN 字段如何, 都在外层头部中设置 not-ECT.
-
Permitted: 外层头部中允许 ECN. 隧道 MAY 使用 full-functionality option, 将 ECN 字段从内层头部复制到外层头部 (并按照第 9.1.1 节规定进行适当修改).
ECN_TUNNEL 字段在 SA 建立期间设置, 可以通过手动配置, 也可以通过使用 ECN Tunnel SA attribute 进行协商 (下一节描述).
如果 ECN_TUNNEL 字段不存在或未在 SA 中设置, 默认行为 MUST 为 "not permitted", 以确保与较旧 IPsec 实现向后兼容.
安全管理员可以基于对在其 IPsec 隧道中使用 ECN 的风险和收益评估来配置该字段. 在关注隐蔽信道的高安全环境中, 管理员可以选择始终将该字段设置为 "not permitted".