<div>Hi, Martin</div><div><br></div>Thank you for your generous reply. I have a question about the field 'spi' in the 'tmpl' structure. <span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:14px;background-color:rgb(255,255,255)">When an IPsec policy triggers the establishment of an SA, </span><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:14px;background-color:rgb(255,255,255)">charon always</span><br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:14px;background-color:rgb(255,255,255)">
<span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:14px;background-color:rgb(255,255,255)">tries to negotiate a CHILD_SA, and then sends the new SA and also the updated policy (adding the 'tmpl' structure) to the kernel through netlink or PF_key socket. But, at this time, seems the charon doesn't assign the field 'tmpl->id.spi' (with the proper value from structure ipsec_sa_t), jsut leave the field 'spi' with the value 0? If strongswan doesn't support PFP, there is 1:1 mapping between the policy and SA</span><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:14px;background-color:rgb(255,255,255)"> bundle, right ? So, giving the 'tmpl->id.spi' with </span><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:14px;background-color:rgb(255,255,255)">the proper value </span><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:14px;background-color:rgb(255,255,255)"> will make sense when updating the policy after  a new SA has been established, right ? Any other considerations about transferring the field 'tmpl->id.spi' between charon and kernel?</span><div>
<font color="#222222" face="arial, sans-serif"><span style="font-size:14px"><br></span></font></div><div><font color="#222222" face="arial, sans-serif"><span style="font-size:14px">Best Regards,</span></font></div><div><font color="#222222" face="arial, sans-serif"><span style="font-size:14px">Allen<br>
</span></font><br><div class="gmail_quote">2013/1/10 Martin Willi <span dir="ltr"><<a href="mailto:martin@strongswan.org" target="_blank">martin@strongswan.org</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im"><br>
> From the strongswan view, how to treat this PFP feature? Is there any<br>
> plan to implement this PFP feature for strongswan?<br>
<br>
</div>We currently have no plans to implement such a functionality.<br>
<div class="im"><br>
> Does also Linux Kernel need to be updated to support PFP<br>
> feature?<br>
<br>
</div>Probably not. XFRM sends the details of the packet triggering the SA to<br>
the keying daemon. Based on that, charon could negotiate SAs specific to<br>
this traffic selector.<br>
<br>
Regards<br>
<span class="HOEnZb"><font color="#888888">Martin<br>
<br>
</font></span></blockquote></div><br></div>