[RFC7296] Traffic Selector
2022. 4. 29. 21:10Traffic Selector는 문자그대로 트래픽을 선택하는 특정 값을 말한다.
Traffic Selector는 피어들이 IPsec 보안 서비스에 의해 처리하기 위한 패킷, 그것의 흐름을 식별하기 위해 쓰인다.
Traffic Selector 페이로드는 IKE generic 페이로드 해더로 구성된다.
그 IKE generic payload header는 개인적인 Traffic Selector들에 의해 따른다.
하나 혹은 그 이상의 개인적인 Traffic selectore들
Note
Traffic Selectors contain (protocol, port range, address range). (ref. RFC7296 p.57)
TSi = (0, 0-65535, 0.0.0.0-255.255.255.255)
(중요)
예를 들어, original initiator가 Child SA 페어를 생성할 경우, 그리고 모든 트래픽의 터널을 희망할 경우, 서브넷 198.51.100.* 으로부터, (그건 initiator의 사이드) 192.0.2.* (이건 responder의 사이드) 로, 그 때 initiator는 a single Traffic Selector를 각각의 TS 페이로드 안에 포함해야한다.
TSi는 address range로 구체화 된다. (198.51.100.0 - 198.51.100.255) 그리고,
TSr은 구체화된다 (192.0.2.0 - 192.0.2.255).
이 제안이 responder에게 acceptable된다고 가정하면, 동일한(identical) TS 페이로드를 다시 되돌려 보낼 것이다.
따라서, policy들의 몇가지 타입은 각각의 Child SA 쌍들이 필요하다.
예를 들어, 오직 source/destination 포트들 (100, 300) 그리고 (200, 400)을 매칭하는 policy,
하지만 두 개들의 조합은 아닌, 그것은 하나의 Child SA 쌍으로서 네고시에이션이 될 수 없다.
즉, 쉽게말하면, Child SA 한 쌍은 한 방향(source에서 destination)으로만,
traffic selector를 정의할 수 밖에 없다는 것이다.
https://tools.ietf.org/id/draft-ietf-ipsecme-labeled-ipsec-02.xml
CP(CFG_REQUEST)=
INTERNAL_ADDRESS()
TSi = (0, 0-65535, 0.0.0.0-255.255.255.255)
TSr = (0, 0-65535, 0.0.0.0-255.255.255.255)
[Page 57]
Traffic selector 이해하기
Q. Traffic selector는 UDP만 위한 것인가?
Q. 쌍이 어떻게 되는 건가?
For instance, the following Traffic Selectors:
TSi = ((17, 100, 198.51.100.66-198.51.100.66),
(17, 200, 198.51.100.66-198.51.100.66))
TSr = ((17, 300, 0.0.0.0-255.255.255.255),
(17, 400, 0.0.0.0-255.255.255.255))
[Page 107]
'통신 > RFC' 카테고리의 다른 글
| RFC6356 (1) | 2024.02.13 |
|---|---|
| [RFC7296] Private Notify Message - Error Types / Private Notify Message - Status Types (0) | 2022.07.06 |
| [RFC7296] RFC7296: INTERNAL_IP4_ADDRESS 및 INTERNAL_IP6_ADDRESS는 무엇을 의미할까? (0) | 2022.04.29 |
| [RFC7296] IKEv2 IPsec SPI와 IKE SPI (0) | 2022.04.13 |
| [RFC7296] IKEv2 정리 (Main) (0) | 2021.12.12 |