<div dir="ltr"><p class="MsoNormal" style>Hi,</p><p class="MsoNormal" style><br></p>

<p class="MsoNormal" style><span style="font-size:10pt;font-family:Arial,sans-serif">We have a doubt
regarding behavior of Responder during initial tunnel setup where IKE_AUTH
request’s proposal substructure(in SA Payload) does not contain SPI for
child-sa creation.</span></p>

<p class="MsoNormal" style><span style="font-size:10pt;font-family:Arial,sans-serif">From RFC 5996
:</span><b><span style="font-size:12pt;font-family:'Courier New';color:black"></span></b></p><p class="MsoNormal" style><a href="http://tools.ietf.org/search/rfc5996#section-3.3.1"><b><span style="font-family:'Courier New';color:black">3.3.1</span></b></a><b><span style="font-size:12pt;font-family:'Courier New';color:black">.  Proposal
Substructure</span></b><br></p>

<p class="MsoNormal" style><span style="font-size:12pt;font-family:'Courier New';color:black">                       
1                  
2                  
3</span></p>

<p class="MsoNormal" style><span style="font-size:12pt;font-family:'Courier New';color:black">    0 1 2 3 4 5 6
7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1</span></p>

<p class="MsoNormal" style><span style="font-size:12pt;font-family:'Courier New';color:black">   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+</span></p>

<p class="MsoNormal" style><span style="font-size:12pt;font-family:'Courier New';color:black">   | 0 (last) or 2
|   RESERVED   
|         Proposal
Length       |</span></p>

<p class="MsoNormal" style><span style="font-size:12pt;font-family:'Courier New';color:black">  
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+</span></p>

<p class="MsoNormal" style><span style="font-size:12pt;font-family:'Courier New';color:black">   | Proposal Num 
|  Protocol ID  |    SPI Size   |Num 
Transforms|</span></p>

<p class="MsoNormal" style><span style="font-size:12pt;font-family:'Courier New';color:black">  
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+</span></p>

<p class="MsoNormal" style><span style="font-size:12pt;font-family:'Courier New';color:black">  
~    
                   SPI
(variable)                        
~</span></p>

<p class="MsoNormal" style><span style="font-size:12pt;font-family:'Courier New';color:black">  
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+</span></p>

<p class="MsoNormal" style><span style="font-size:12pt;font-family:'Courier New';color:black">  
|                                                              
|</span></p>

<p class="MsoNormal" style><span style="font-size:12pt;font-family:'Courier New';color:black">  
~                       
<Transforms>                 
         ~</span></p>

<p class="MsoNormal" style><span style="font-size:12pt;font-family:'Courier New';color:black">  
|                                                              
|</span></p>

<p class="MsoNormal" style><span style="font-size:12pt;font-family:'Courier New';color:black">  
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+</span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)"> </span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)"> </span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)">If the above header in IKE_AUTH
REQ  from the Initiator,  contains “</span><span style="font-size:12pt;font-family:'Courier New';color:black">SPI Size” </span><span style="color:rgb(31,73,125)">as zero and SPI is not present, what should be the
behavior of responder.</span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)"> </span></p>

<p class="MsoNormal"><b><span style="color:rgb(31,73,125)">In our opinion it should
return “INVALID_SYNTAX” in the notify payload of the IKE_AUTH Response with no
other payload present in it</span></b><span style="color:rgb(31,73,125)">. Below is
RFC reference.</span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)"> </span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)">Again, from the RFC 5996 :</span></p>

<h4 style><a name="section-3.10.1"></a><a href="http://tools.ietf.org/search/rfc5996#section-3.10.1"><span style="font-family:'Courier New';color:black">3.10.1</span></a><span style="font-family:'Courier New';color:black">.  Notify Message Types</span></h4>


<pre style><span style="font-size:12pt;color:black"><snip></span></pre><pre style><span style="font-size:12pt;color:black">  INVALID_SYNTAX                            7</span></pre><pre style><span style="font-size:12pt;color:black">      Indicates the IKE message that was received was invalid because</span></pre>
<pre style><span style="font-size:12pt;color:black">      some type, length, or value was out of range or because the</span></pre><pre style><span style="font-size:12pt;color:black">      request was rejected for policy reasons.</span></pre>
<pre style><span style="font-size:12pt;color:black"><snip></span></pre>

<p class="MsoNormal"><span style="font-size:10pt;font-family:Arial,sans-serif"> </span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)"> </span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)"> Would be appreciable if someone can provide some pointer where we can confirm our understanding..</span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)"> </span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)">Thanks</span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)">Mukesh</span></p></div>