freeswan/klips/doc/klipsNGreq/requirements/008/requirement008.tex

   1 \subsection{008: decouple SA retrieval from DADDR (don't care how it arrived)}
   2
   3 \subsubsection{008: Definition of requirement }
   4
   5 The desire is that the SA lookup by SPI should not depend upon destination
   6 address. This is in contradiction to IPsec requirements, but an
   7 implementation that assigns unique SPI numbers to all protocols can satisfy
   8 both requirements.
   9
  10 This requirement also helps NAT traversal in some cases.
  11
  12 \subsubsection{008: response}
  13
  14 As SPI values are assigned by the receiver for unicast, we can in general
  15 accomplish this by allocating all SPI values from a single pool. This is
  16 committed to.
  17
  18 This is neutral towards Opportunistic Encryption.
  19
  20