IPsec キー管理開発者向けの NAT トラバーサル

Solaris 10 5/09 リリースには、IPsec NAT (Network Address Translator) トラバーサルエンドポイントとして機能するユーザーデータグラムプロトコル (UDP) ソケット用の公開 API が含まれています。

UDP_NAT_T_ENDPOINT ソケットオプションを有効にすると、UDP トラフィックの送信トラフィックには先頭に 4 バイトの 0 セキュリティーパラメータインデックス (SPI) 値が付加され、受信トラフィックの 0 SPI は取り除かれます。0 以外の SPI を持つこのようなソケット宛の受信トラフィックは、ESP の UDP カプセル化解除のために IPsec のカプセル化セキュリティーペイロード (ESP) に自動的に転送されます。ESP の UDP カプセル化は、IPsec セキュリティーアソシエーション (SA) のプロパティーによって決定されます。

この機能により、IPsec キー管理ソフトウェアの開発者は、NAT デバイスを通過できるキー管理プロトコルを作成することができます。iked(1M) の Solaris IKE デーモンではこの機能が使用され、このようなソケットは pfiles(1M) コマンドを使用して表示されます。