Skip to main content

4.4.3.1. PAD 条目 ID 和匹配规则 (PAD Entry IDs and Matching Rules)

PAD 排序

PAD 是一个有序数据库,其顺序由管理员定义(或在单用户终端系统的情况下由用户定义)。通常,同一管理员将负责 PAD 和 SPD,因为这两个数据库必须协调。PAD 的排序要求与 SPD 的原因相同,即因为使用"星号名称"条目允许可能匹配特定条目的 IKE ID 集合中的重叠。

六种支持的 ID 类型

PAD 条目支持六种类型的 ID,与用于识别 SPD 条目的符号名称类型和 IP 地址一致。每个条目的 ID 充当 PAD 的索引,即用于选择条目的值。所有这些 ID 类型都可用于匹配 IKE ID 载荷类型。

六种类型为

  • DNS 名称(特定或部分)
  • 识别名称 (Distinguished Name)(完整或子树约束)
  • RFC 822 电子邮件地址(完整或部分限定)
  • IPv4 地址(范围)
  • IPv6 地址(范围)
  • 密钥 ID (Key ID)(仅精确匹配)

子树匹配

DNS 名称

前三种名称类型可以容纳子树匹配以及精确匹配。DNS 名称可以是完全限定的,从而精确匹配一个名称,例如 foo.example.com。或者,名称可以通过部分指定来包含一组对等方,例如,字符串 .example.com 可用于匹配以这两个域名组件结尾的任何 DNS 名称。

识别名称

同样,识别名称可以指定完整的识别名称以精确匹配一个条目,例如 CN = Stephen, O = BBN Technologies, SP = MA, C = US。或者,条目可以通过指定子树来包含一组对等方,例如,形式为 C = US, SP = MA 的条目可用于匹配包含这两个属性作为前两个相对识别名称 (RDN) 的所有 DN。

RFC 822 电子邮件地址

对于 RFC 822 电子邮件地址,存在相同的选项。完整地址(如 [email protected])匹配一个实体,但子树名称(如 @example.com)可用于匹配 @ 右侧以这两个域名结尾的所有实体。

实现要求

实现用于容纳识别名称、域名或 RFC 822 电子邮件地址的子树匹配的特定语法是本地问题。但至少必须 (MUST) 支持上述类型的子树匹配。(可以 (MAY) 支持 DN、DNS 名称或 RFC 822 地址内的子串匹配,但不是必需的。)

IP 地址范围

对于 IPv4 和 IPv6 地址,必须 (MUST) 支持用于 SPD 条目的相同地址范围语法。这允许指定:

  • 单个地址(通过平凡范围)
  • 地址前缀(通过选择遵守无类别域间路由 (CIDR) 风格前缀的范围)
  • 任意地址范围

密钥 ID

密钥 ID 字段在 IKE 中定义为八位字节字符串。对于此名称类型,必须 (MUST) 仅支持精确匹配语法(因为此 ID 类型没有显式结构)。可以 (MAY) 支持此 ID 类型的其他匹配功能。

Last updated on