IPsec DPD 外部仕様書
$Date: 2011/09/28 07:46:00 $
概要
DPD(Dead Peer Detection)と呼ばれる機能を提供します。
この機能の役割は、IPsecトンネルの通信断をリアルタイムに検出することであり、
従来からサポートしてきたIKE Heartbeatと同じような効果を発揮します。
IKE Heartbeatの仕様は、Internet-Draftとして提案された後、
RFCにならずに消滅しましたが、DPDの仕様はRFC3706として公開されています。
したがって、相互接続の観点ではDPDの方が問題が少ないといえます。
対応機種とファームウェアリビジョン
以下の機種およびファームウェアで、IPsec DPDが動作します。
| 機種 |
ファームウェア |
| RTX810 |
Rev.11.01.04以降 |
| RTX1200 |
Rev.10.01.07以降 |
| SRT100 |
Rev.10.00.08以降 |
| RTX3000 |
Rev.9.00.15以降 |
| RTX1500 |
Rev.8.03.46以降 |
| RTX1100 |
Rev.8.03.46以降 |
| RT107e |
Rev.8.03.46以降 |
詳細
この機能はRFC3706に基づいています。主に、次のような仕組みを提供します。
- IPsecトンネルの通信断の検出。検出にかかる時間は、
DPDメッセージの送信間隔と送信回数によります。
これらの値は設定で変更することができます。
- 通信断を契機とするバックアップ。トンネルバックアップの設定があれば、
DPDで通信断を検出したときにバックアップへ移行します。同様に、
通信の回復を検出したらバックアップから復帰します。
設定・操作方法
コマンド
ipsec ike keepalive useコマンドで設定します。
- IKEキープアライブの設定
-
[書式]
-
ipsec ike keepalive use GATEWAY_ID SWITCH
ipsec ike keepalive use GATEWAY_ID SWITCH heartbeat
[INTERVAL COUNT [UPWAIT]]
ipsec ike keepalive use GATEWAY_ID SWITCH icmp-echo
IP_ADDRESS [length=LENGTH] [INTERVAL COUNT [UPWAIT]]
ipsec ike keepalive use GATEWAY_ID SWITCH dpd
[INTERVAL COUNT [UPWAIT]]
no ipsec ike keepalive use GATEWAY_ID [ SWITCH ... ]
-
[設定値]
-
| GATEWAY ... |
セキュリティゲートウェイの識別子 |
| SWITCH ... |
動作の有無
- on ... キープアライブを使用する
- off ... キープアライブを使用しない
- auto ...対向のルータがキープアライブを送信するときに限って送信する
(heartbeatのみ)
|
| IP_ADDRESS ... |
ICMP Echoを送信する宛先のIPアドレス(IPv4/IPv6)
|
| LENGTH ... |
TYPEでicmp-echoを設定したときのデータ部の長さ (64..1500) |
| INTERVAL ... |
キープアライブパケットの送信間隔秒数 (1..600) |
| COUNT ... |
キープアライブパケットが届かないときに障害とみなすまでの試行回数
(1..50) |
| UPWAIT ... |
IPsec SA
が生成されてから実際にトンネルインタフェースを有効にするまでの時間
(0..1000000) |
-
[説明]
-
IKEキープアライブの動作を設定する。このコマンドの設定は、
双方のルータで一致させる必要がある。キープアライブの方式としては、
heartbeat、ICMP Echo、DPD(RFC3706)の3種類から選ぶことができる。
キープアライブの方式として、heartbeatを利用するときには、
1行目か2行目の書式を使う。heartbeatに限っては、
SWITCHパラメータとしてautoを設定できる。autoを設定したときには、
相手からheartbeatパケットを受信したときにのみ、
heartbeatパケットを送信する。
なお、双方の設定がautoになっているときには、
IKEキープアライブは動作しない。
キープアライブの方式として、ICMP Echoを利用するときには、
3行目の書式を使い、送信先のIPアドレスを設定する。オプションとして、
ICMP Echoのデータ部の長さを指定できる。
キープアライブの方式として、DPDを利用するときには、
4行目の書式を利用する。
-
[ノート]
-
同じ相手に対して、複数の方法を併用することはできない。
-
[初期値]
-
SWITCH: auto
LENGTH: 64
INTERVAL: 10
COUNT: 6
UPWAIT: 0
Syslog
DPDメッセージを送受信するときに、次のような書式のsyslogを出力します。
これらのsyslogはdebugレベルで出力しますが、ipsec ike keepalive logコマンドで、
出力を止めることができます。
- [IKE] DPD: send コード SA[番号] seq:
シーケンス番号
- [IKE] DPD: receive コード SA[番号] seq:
シーケンス番号
単語の意味は次のようになっています。
- コード ... RFC3706で定義されているもので、
R-U-THEREとR-U-THERE-ACKの2つがあります。
- 番号 ... SAの識別子で、
show ipsec saコマンドで表示されるものと同じです。
- シーケンス番号 ...
R-U-THEREメッセージとR-U-THERE-ACKメッセージを対応づけるために使うものです。
最初だけは乱数で決まり、その後は1つずつ増加していきます。
それぞれのSAについて独立に管理しています。