«Введение IKEv2@, описанное в [RFC5996] и его предшественнике RFC 4306@, имеет метод восстановления после перезагрузки одного узла. Пока трафик течет в обоих направлениях@, перезагружаемый узел должен немедленно восстановить туннели. Однако@ во многих случаях@ перезагружаемый узел является VPN-шлюзом, который защищает только серверы@, поэтому весь трафик является входящим.В других случаях@ неперезагружаемый узел имеет динамический IP-адрес@, поэтому перезагружаемый узел не может инициировать IKE, поскольку его текущий IP-адрес неизвестно. В таких случаях@ перезагруженный узел не сможет восстановить туннели. В разделе 2 описывается, как восстановление работает в соответствии с RFC 5996@, и объясняется, почему это может занять несколько минут. Предлагаемый здесь метод заключается в отправке строки октетов@. называется «токеном QCD»»@ в обмене IKE_AUTH, который устанавливает туннель. Этот токен может храниться на узле как часть IKE SA. После перезагрузки@ перезагруженная реализация может повторно сгенерировать токен и отправить его одноранговый узел @, чтобы удалить IKE SA. Удаление IKE SA приводит к быстрому созданию новых туннелей IPsec. Это описано в Разделе 3. Условные обозначения, используемые в этом документе. Ключевые слова ""ДОЛЖЕН""@ ""НЕ ДОЛЖЕН"@ ""ТРЕБУЕТСЯ""@ ""ДОЛЖЕН"@ ""НЕ ДОЛЖЕН""@ ""СЛЕДУЕТ ""@ ""НЕ СЛЕДУЕТ""@ ""РЕКОМЕНДУЕТСЯ""@ ""МОЖЕТ""@ и ""НЕОБЯЗАТЕЛЬНО"" в этом документе следует интерпретировать, как описано в [RFC2119]. Термин «токен» относится к строке октетов, которую реализация может генерировать, используя в качестве входных данных только свойства защищенного сообщения IKE (например, индексы параметров безопасности (SPI) IKE). Соответствующая реализация ДОЛЖНА иметь возможность генерировать один и тот же токен из одного и того же ввода даже после перезагрузки. Термин «создатель токенов» относится к реализации, которая генерирует токен и отправляет его партнеру, как указано в этом документе. Термин «получатель токена» относится к реализации, которая хранит такой токен или его дайджест@, чтобы проверить, что новый токен, который он получает, идентичен старому токену, который он сохранил. Термин «энергонезависимое хранилище» в этом документе относится к модулю хранения данных, который сохраняется при перезапуске производителя токенов. Примеры такого модуля хранения включают в себя внутренний диск@, модуль внутренней флэш-памяти@, внешний диск@ и внешнюю базу данных. Для производителя токенов@ требуется небольшой энергонезависимый модуль хранения, но для повышения производительности@ можно использовать модуль большего размера, как описано в разделе 8.2».
RFC 6290-2011 История
2011RFC 6290-2011 Метод быстрого обнаружения сбоев протокола обмена ключами в Интернете (IKE)