4.3. 组合 SA (Combining SAs)

本文档不要求支持嵌套安全关联或 RFC 2401 [RFC2401] 所称的"SA 捆绑包 (SA bundles)"。这些功能仍然可以通过适当配置 SPD 和本地转发功能(用于入站和出站流量)来实现,但此功能位于 IPsec 模块之外,因此超出了本规范的范围。因此,嵌套/捆绑 SA 的管理可能比 RFC 2401 [RFC2401] 暗示的模型更复杂且不太可靠。提供嵌套 SA 支持的实现应该 (SHOULD) 提供管理接口,使用户或管理员能够表达嵌套要求,然后创建适当的 SPD 条目和转发表条目以实现必要的处理。(有关如何配置嵌套 SA 的示例,请参见附录 E。)