ip xfrm 状態更新は認証/enc キーを変更しません。

ip xfrm 状態更新は認証/enc キーを変更しません。

コマンドでxfrmフレームワークをテストしていますが、ジョブのip xfrmテスト中にstate update暗号化キーまたは認証キーを変更できませんでした。同様の質問は、以下にあります。協会

これがSADエントリがカーネルにインストールされる方法を保護するための意図的な動作であるのか、それともバグなのかはわかりません。

私のGoogleの研究では、次のものが見つかりました。協会彼らは問題をバグとして定義して修正しました。これが意図的な動作であるのか、それともまだ修正されていないLinuxカーネルの問題なのかはまだわかりません。

答え1

XFRM_MSG_UPDSA()の主なユースケースip xfrm state updateは更新中です。記入SPIが割り当てられたSAを介してのみ可能ですXFRM_MSG_ALLOCSPI。後者は次のように再現できますip xfrm state allocspi

Usage: ip xfrm state allocspi ID [ mode MODE ] [ mark MARK [ mask MASK ] ]
    [ reqid REQID ] [ seq SEQ ] [ min SPI max SPI ]

これは、アルゴリズムとキーがピアとネゴシエートされる前にSPIが必要なため、IKEを使用する場合に必要です。この一時状態は、後で失われたすべての情報(アルゴリズムとキーを含む)で更新できます。

XFRM_MSG_NEWSAただし、たとえば(ip xfrm state add)が追加された状態の場合国を離れるローカルに割り当てられたSPIを持たないSAまたは一度更新されたSAの場合、カーネルは非常に具体的な情報への変更のみを許可します。この記事を書いている時点(たとえば、カーネルバージョン6.3/6.4)には、次のものが含まれます。

  • UDPカプセル化ポート(ただし、カプセル化またはIPを使用するかどうかではありません)
  • MIPv6委託アドレス(利用可能な場合)
  • 一生
  • XFRMインターフェースID
  • 処理されたパケットにSAによって設定された表示

ただし、そのSAのアルゴリズムやキーなどの基本情報は変更できません。

関連情報