Cisco Cisco Packet Data Interworking Function (PDIF) Documentation Roadmaps

 

  Mobile IP registration revocation is also supported for proxy mobile IP. However, in this 

implementation, only the HA can initiate the revocation. 

  For more information, see Mobile-IP Registration Revocation in the System Enhanced Feature 

Configuration Guide. 

 

During Child SA (Security Association) rekeying, there exists momentarily (500ms or less) two Child SAs. This is to 
make sure that transient packets for the old Child SA are still processed and not dropped. 

PDIF-initiated rekeying is disabled by default. This is the recommended setting, although rekeying can be enabled 
through the Crypto Configuration Payload mode commands. By default, rekey request messages from the MS are 
ignored. 

 

There are several known Denial of Service (DoS) attacks associated with IKEv2. Through a configurable option in the 

 mode, the PDIF can implement the IKEv2 ―cookie challenge‖ payload method as 

described in [RFC 4306]. This is intended to protect against the PDIF creating too many half-opened sessions or other 
similar mechanisms. The default is not enabled. If the IKEv2 cookie feature is enabled, when the number of half-opened 
IPSec sessions exceeds the reasonable limit (or the trigger point with other detection mechanisms), the PDIF invokes the 
cookie challenge payload mechanism to insure that only legitimate subscribers are initiating the IKEv2 tunnel request, 
and not a spoofed attack. 

 

If the IKEv2 cookie feature is enabled, and the number of half-opened IPSec sessions exceeds the configured limit of 
any integer between 0 and 100,000, the call setup is as shown in the figure below.