$Date: 2024/03/07 11:44:46 $
ヤマハルーターに搭載されているIKEv2の機能について説明します。
本機能は以下のRFCを基にして実装されています。
・RFC4306 : | Internet Key Exchange (IKEv2) Protocol |
・RFC4718 : | IKEv2 Clarifications and Implementation Guidelines |
・RFC5996 : | Internet Key Exchange Protocol Version 2 (IKEv2) |
・RFC3748 : | Extensible Authentication Protocol (EAP) |
・RFC3280 : | Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile |
なお、IKEv2では鍵交換時の認証方式として、新たにデジタル署名方式とEAP-MD5認証方式が追加されます。これらの詳細については以下のドキュメントをご覧ください。
機種 | 拠点間接続対応ファームウェア | リモートアクセスVPN対応ファームウェア |
---|---|---|
vRX VMware ESXi版 | すべてのリビジョン | - |
vRX Amazon EC2版 | ||
RTX3510 | すべてのリビジョン | |
RTX1300 | Rev.23.00.05以降 | |
RTX1220 | Rev.15.04.05以降 | |
RTX830 | Rev.15.02.27以降 | |
NVR510 | - | Rev.15.01.25 以降 |
NVR700W | すべてのリビジョン | Rev.15.00.24 以降 |
RTX1210 | - | |
RTX5000 | Rev.14.00.34 以降 | |
RTX3500 | Rev.14.00.34 以降 | |
FWX120 | - | |
RTX810 | - | |
RTX1200 | Rev.10.01.22以降 | - |
RTX3000 | Rev.9.00.50以降 | - |
IKEv2の設定には従来のIKEv1と同様にipsec ike 〜コマンド群を使用します。IKEv1とIKEv2に直接的な互換性はありませんが、設定すべき項目そのものはほぼ共通している為です。しかしながら細かな仕様の違いなどから、IKEv2として動作する場合には、一部の既存コマンドで設定内容が反映されない、もしくは設定内容の解釈の仕方が若干異なる場合があります。これらの詳細についてはコマンド仕様を参照してください。
IKEv2ではSA (Security Association) を構築するために必要な各折衝パラメーターの複数同時提案が容易になっています。
RTのIKEv2実装ではこれを利用し、イニシエーターである場合はサポート範囲内でできるだけ多くの折衝パラメーターを同時に提案します。
ただし、ipsec ike proposal-limitationコマンドに対応する機種では、ipsec ike proposal-limitationコマンドをonに設定することで特定の折衝パラメーターのみを提案することができます。
また、レスポンダーの場合は提案内容からできるだけ安全な組み合わせを選択する方式をとります。
なお、折衝されるパラメーターは以下となります。
なお、イニシエーターとして動作する場合にIKE_SA_INIT交換で送信するKEペイロードは、ipsec ike groupコマンドで設定したグループを使用します。
これまでIPsec(IKEv1)を運用されてきた場合は、既存の設定を流用しながらIKEv2へ移行することができます。主な違いは、ipsec ike remote nameコマンドとipsec ike local nameコマンドの設定が共に必須になっている点と、ipsec ike versionコマンドで明示的にIKEv2の使用を宣言する必要があるという点です。
以下に示すコマンドは、IKEv2で動作する場合に設定内容が考慮されません。
また以下のコマンドについても、ipsec ike proposal-limitationコマンドをonに設定してイニシエーターとして動作する場合を除いて、設定内容が考慮されません。
IKEv2に関する主な機能のうち、対応するものを以下に挙げます。
※以下は最新リビジョンに基いています。古いリビジョンでは一部対応していない場合があるのでご注意ください。
以下の機能には対応していません。
Notifyメッセージタイプの対応状況について以下にまとめます。
※以下は最新リビジョンに基いています。古いリビジョンでは一部対応していない場合があるのでご注意ください。
エラータイプ
種類 | 対応状況 |
---|---|
UNSUPPORTED_CRITICAL_PAYLOAD | 送信に対応。受信した場合はそのメッセージを破棄する |
INVALID_IKE_SPI |
送信に対応。受信した場合はそのメッセージを破棄する ※RTX1200 Rev.10.01.59以降、RTX810 Rev.11.01.21以降、FWX120 Rev.11.03.13以降、RTX3500/RTX5000 Rev.14.00.18以降、 RTX1210 Rev.14.01.09以降、および、Rev.15系以降は送受信に対応。受信した場合は対応するIKE SAを削除する |
INVALID_MAJOR_VERSION | 送信しない。受信した場合はそのメッセージを破棄する |
INVALID_SYNTAX | 送信に対応。受信した場合はそのメッセージを破棄する |
INVALID_MESSAGE_ID | 送信しない。受信した場合はそのメッセージを破棄する |
INVALID_SPI | 送信しない。受信した場合はそのメッセージを破棄する |
NO_PROPOSAL_CHOSEN | 送信に対応。受信した場合はそのメッセージを破棄する |
INVALID_KE_PAYLOAD | 送信に対応。受信した場合はリトライ時のKEペイロードを指定のグループに切り替える |
AUTHENTICATION_FAILED | 送信に対応。受信した場合はそのメッセージを破棄する |
SINGLE_PAIR_REQUIRED | 送信しない。受信した場合はそのメッセージを破棄する |
NO_ADDITIONAL_SAS | 送信しない。受信した場合はそのメッセージを破棄する |
INTERNAL_ADDRESS_FAILURE | 送信しない。受信した場合はそのメッセージを破棄する |
FAILED_CP_REQUIRED | 送信しない。受信した場合はそのメッセージを破棄する |
TS_UNACCEPTABLE | 送信しない。受信した場合はそのメッセージを破棄する |
INVALID_SELECTORS | 送信しない。受信した場合はそのメッセージを破棄する |
TEMPORARY_FAILURE | 送信しない。受信した場合はそのメッセージを破棄する |
CHILD_SA_NOT_FOUND | 送信に対応。受信した場合はそのメッセージを破棄する |
ステータスタイプ
種類 | 対応状況 |
---|---|
INITIAL_CONTACT | 送信しない。受信した場合は無視する |
SET_WINDOW_SIZE | 送信しない。受信した場合は無視する |
ADDITIONAL_TS_POSSIBLE | 送信しない。受信した場合は無視する |
IPCOMP_SUPPORTED | 送信しない。受信した場合は無視する |
NAT_DETECTION_SOURCE_IP | 送受信共に対応 |
NAT_DETECTION_DESTINATION_IP | 送受信共に対応 |
COOKIE | レスポンダとして送信はしない。イニシエータとして受信した場合はリトライ時のリクエストにCOOKIEを追加して送信する |
USE_TRANSPORT_MODE | 送信しない。受信した場合は無視する |
HTTP_CERT_LOOKUP_SUPPORTED | 送信しない。受信した場合は無視する |
REKEY_SA | 送受信共に対応 |
ESP_TFC_PADDING_NOT_SUPPORTED | 送信に対応。受信の有無に関わらず、TFCパディングには対応しない |
NON_FIRST_FRAGMENTS_ALSO | 送信に対応。受信の有無に関わらず、第2フラグメント以降も送信する |
RTX1200 Rev.10.01.59以降、RTX810 Rev.11.01.21以降、FWX120 Rev.11.03.13以降、RTX3500/RTX5000 Rev.14.00.18以降、RTX1210 Rev.14.01.09以降、および、Rev.15系以降のファームウェアでは、IKEv2でipsec ike keepaliveコマンドをonに設定しているとき、対象のゲートウェイを使用するトンネルに対してshow status tunnelコマンドを実行することで、自機から送信するIKEキープアライブの状態を取得することができます。
取得できる情報は以下の通りです。
# show status tunnel 1 TUNNEL[1]: 説明: インタフェースの種類: IPsec トンネルインタフェースは接続されています 開始: 2014/04/16 15:28:05 通信時間: 11分4秒 受信: (IPv4) 112 パケット [10304 オクテット] (IPv6) 0 パケット [0 オクテット] 送信: (IPv4) 115 パケット [10580 オクテット] (IPv6) 0 パケット [0 オクテット] IKEキープアライブ: [タイプ]: icmp-echo [アドレス]: 192.168.200.1 [状態]: OK [次の送信]: 13 秒後
IPsec動作の設定
IKEバージョンの設定
事前共有鍵の登録
IKEの鍵交換を始動するか否かの設定
設定が異なる場合に鍵交換を拒否するか否かの設定
IKEの鍵交換に失敗したときに鍵交換を休止せずに継続するか否かの設定
鍵交換の再送回数と間隔の設定
相手側のセキュリティ・ゲートウェイの名前の設定
相手側セキュリティ・ゲートウェイのIPアドレスの設定
相手側のIDの設定
自分側のセキュリティ・ゲートウェイの名前の設定
自分側セキュリティ・ゲートウェイのIPアドレスの設定
自分側のIDの設定
IKEキープアライブ機能の設定
IKEキープアライブに関するSYSLOGを出力するか否かの設定
IKEが用いる暗号アルゴリズムの設定
受信したIKEパケットを蓄積するキューの長さの設定
IKEが用いるグループの設定
IKEが用いるハッシュアルゴリズムの設定
折衝パラメーターを制限するか否かの設定
IKEのメッセージID管理の設定
CHILD SA作成方法の設定
受信したパケットのSPI値が無効な値の場合にログに出力するか否かの設定
IKEペイロードタイプの設定
IKEの情報ペイロードを送信するか否かの設定
PFSを用いるか否かの設定
IKEのログの種類の設定
ESPをUDPでカプセル化して送受信するか否かの設定
SAの寿命の設定
SAのポリシーの定義
SAの手動更新
ダングリングSAの動作の設定
IPsec NATトラバーサルを利用するための設定
SAの削除
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
事前共有鍵を設定する。設定されていない場合には、事前共有鍵方式による鍵交換は行われない。
鍵交換を行う相手ルーターには同じ事前共有鍵が設定されている必要がある。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
IKEの鍵交換を始動するかどうかを設定する。他のルーターが始動する鍵交換については、このコマンドに関係なく常に受け付ける。
GATEWAY_IDパラメータを指定しない書式は、ルーターの全体的な動作を決める。この設定がoffのときにはルーターは鍵交換を始動しない。
GATEWAY_IDパラメータを指定する書式は、指定したセキュリティ・ゲートウェイに対する鍵交換の始動を抑制するために用意されている。
例えば、次の設定では、1番のセキュリティ・ゲートウェイのみが鍵交換を始動しない。
ipsec auto refresh on
ipsec auto refresh 1 off
ipsec auto refresh off の設定では、GATEWAY_IDパラメータ指定する書式は効力を持たない。例えば、次の設定では、1番のセキュリティ・ゲートウェイでは鍵交換を始動しない。
ipsec auto refresh off (デフォルトの設定)
ipsec auto refresh 1 on
なお、GATEWAY_IDパラメータの指定ができるのは、Rev.7.01.15以降のファームウェアに限られる。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
IKEv1として動作する際、設定が異なる場合に鍵交換を拒否するか否かを設定する。
このコマンドの設定が off のときには、相手の提案するパラメータが自分の設定と異なる場合でも、そのパラメータをサポートしていれば、それを受理する。このコマンドの設定が on のときには、同様の状況で相手の提案を拒否する。このコマンドが適用されるパラメータと対応するコマンドは以下の通りである。
パラメータ 対応するコマンド 暗号アルゴリズム ipsec ike encryption グループ ipsec ike group ハッシュアルゴリズム ipsec ike hash PFS ipsec ike pfs フェーズ1のモード ipsec ike local nameなど
本コマンドはIKEv2としての動作には影響を与えない。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
IKEの鍵交換に失敗したときに鍵交換を休止せずに継続するか否かを設定する。IKEキープアライブが有効 (ipsec ike keepalive useコマンドのSWITCHパラメータが on)である場合は、このコマンドに設定に関わらず、常に鍵交換を継続する。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
鍵交換のパケットが相手に届かないときに実施する再送の回数と間隔を設定する。
また、MAX_SESSIONパラメータは、IKEv1において同時に動作するフェーズ1の最大数を指定する。ルーターは、フェーズ1が確立せずに再送を継続する状態にあるとき、鍵の生成を急ぐ目的で、新しいフェーズ1を始動することがある。このパラメータは、このような状況で、同時に動作するフェーズ1の数を制限するものである。なお、このパラメータは、始動側のフェーズ1のみを制限するものであり、応答側のフェーズ1に対しては効力を持たない。
IKEv2では、COUNTパラメータの数だけCREATE_CHILD_SA交換によるIKE SAのリキーを連続して行い、その次のリキーではIKE_SA_INIT、IKE_AUTH交換を行う。
MAX_SESSIONパラメータはRev.7.01.47以降で使用可能。
相手側のセキュリティ・ゲートウェイの名前とIDの種類を設定する。 その他、動作するIKEのバージョンによって異なる、本コマンドの影響、注意点については以下の通り。
○IKEv1
このコマンドの設定は、フェーズ1のアグレッシブモードで使用され、メインモードでは使用されない。
また、TYPEパラメータの設定は相手側セキュリティ・ゲートウェイの判別時に考慮されない。
○IKEv2
相手側セキュリティ・ゲートウェイの判別時にはNAME、TYPE パラメータの 設定が共に一致している必要がある。TYPE パラメータが'tel'の場合、 相手側IPv6アドレス(ID_IPV6_ADDR)を相手側セキュリティ・ゲート ウェイの判別に使用する。TYPE パラメータが'tel-key'の場合、設定値を ID_KEY_IDとして相手側セキュリティ・ゲートウェイの判別に使用する。 TYPE パラメータが'key-id'以外の場合、NAMEから相手側セキュリティ・ゲート ウェイの IP アドレスの特定を試み、特定できれば、そのホストに対して鍵交換を始動する。 この場合、ipsec ike remote address コマンドの設定は不要である。 ただし、ipsec ike remote address コマンドが設定されている場合は、そちらの 設定にしたがって始動時の接続先ホストが決定される。
TYPE パラメータは、RTX3000 Rev.9.00.50 以降、RTX1200 Rev.10.01.22 以降のファームウェア、および、Rev.11.01 系以降のすべてのファームウェアで指定可能。
'tel'および'tel-key'は、RTX3000 Rev.9.00.50以降、RTX1200 Rev.10.01.29 以降のファームウェア、および、Rev.11.01 系以降のすべてのファームウェアで指定可能であり、データコネクト拠点間接続機能でのみ使用する。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
相手側セキュリティ・ゲートウェイのIP アドレスまたはホスト名を設定する。ホスト名で設定した場合には、鍵交換の始動時にホスト名からIPアドレスをDNSにより検索する。
その他、動作するIKEのバージョンによって異なる、本コマンドの影響、注意点については以下の通り。
○IKEv1
応答側となる場合、本コマンドで指定したホストは相手側セキュリティ・ゲートウェイの判別に使用される。
'any' が設定された場合は、相手側セキュリティ・ゲートウェイとして任意のホストからの鍵交換を受け付ける。その代わりに、自分から鍵交換を始動することはできない。 例えば、アグレッシブモードで固定のグローバルアドレスを持つ側の場合などに利用する。
○IKEv2
このコマンドで指定したホストは、鍵交換を始動する際の接続先としてのみ使用される。'any' は自分側から鍵交換を始動しないことを明示的に示す。
応答側となる場合、本コマンドの設定による相手側セキュリティ・ゲートウェイの判別は行わない。相手側セキュリティ・ゲートウェイの判別はipsec ike remote nameコマンド等の設定によって行われる。
ホスト名を指定する場合には、dns serverコマンドなどで必ずDNSサーバーを設定しておくこと。
IPsecメインモード接続では、相手側セキュリティ・ゲートウェイの IP アドレスおよびホスト名を重複して設定しない。
相手側セキュリティ・ゲートウェイの IP アドレスおよびホスト名を重複して設定した場合の動作は保証されない。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
IKEv1のフェーズ2で用いる相手側のIDを設定する。
このコマンドが設定されていない場合は、フェーズ2でIDを送信しない。
MASKパラメータを省略した場合は、タイプ1のIDが送信される。また、MASKパラメータを指定した場合は、タイプ4のIDが送信される。
本コマンドはIKEv2としての動作には影響を与えない。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
自分側のセキュリティゲートウェイの名前とIDの種類を設定する。
なお、IKEv1として動作する際に TYPE パラメータが 'ipv4-addr'、 'ipv6-addr'、'tel'、'tel-key' に設定されていた場合は 'key-id' を設定したときと同等の動作となる。IKEv2かつ TYPE パラメータが 'tel'の場合、自分側IPv6アドレス(ID_IPV6_ADDR)を鍵交換に使用する。 IKEv2かつ TYPE パラメータが'tel-key'の場合、設定値 をID_KEY_IDとして 鍵交換に使用する。
'ipv4-addr'および'ipv6-addr'は、RTX3000 Rev.9.00.50以降、RTX1200 Rev.10.01.22以降のファームウェア、および、Rev.11.01 系以降のすべてファームウェアで指定可能。
'tel'および'tel-key'は、RTX3000 Rev.9.00.50以降、RTX1200 Rev.10.01.29以降のファームウェア、および、Rev.11.01 系以降のすべてファームウェアで指定可能であり、データコネクト拠点間接続機能でのみ使用する。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
自分側セキュリティ・ゲートウェイのIPアドレスを設定する。
vrrpキーワードを指定する第2書式では、VRRPマスターとして動作している場合のみ、指定したLANインタフェース/VRRPグループIDの仮想IPアドレスを自分側セキュリティ・ゲートウェイアドレスとして利用する。
VRRP マスターでない場合には鍵交換は行わない。
ipv6キーワードを指定する第3書式では、IPv6のダイナミックアドレスを指定する。
ipcpキーワードを指定する第4書式では、IPCPアドレスを取得するPPインタフェースを指定する。
本コマンドが設定されていない場合には、相手側のセキュリティ・ゲートウェイに近いインタフェースのIPアドレスを用いてIKEを起動する。
第4書式はRev.8.03系以降で使用可能。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
ライセンス名 | 拡張後の上限値 |
---|---|
YSL-VPN-EX1 | 100 |
IKEv1のフェーズ2で用いる自分側のIDを設定する。
このコマンドが設定されていない場合にはフェーズ2でIDを送信しない。
MASKパラメータを省略した場合は、タイプ1のIDが送信される。また、MASKパラメータを指定した場合は、タイプ4のIDが送信される。
本コマンドはIKEv2としての動作には影響を与えない。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
IKEのキープアライブ動作を設定する。
本コマンドは、動作するIKEのバージョンによって以下のように動作が異なる。
○IKEv1
キープアライブの方式として、heartbeat、ICMP Echo、DPD (RFC3706)の3種類から選ぶことができる。第1書式は自動的にheartbeat方式となる。
heartbeat方式を利用するには第1、第2書式を使用する。heartbeat方式においてSIWTCHパラメータが auto に設定されている場合は、相手からheartbeatパケットを受信したときだけheartbeatパケットを送信する。従って、双方の設定が auto になっているときには、IKEキープアライブは動作しない。
ICMP Echoを利用するときには第3書式を使用し、送信先のIPアドレスを設定する。オプションとして、ICMP Echoのデータ部の長さを指定することができる。この方式では、SWITCHパラメータが auto でも on の場合と同様に動作する。
DPDを利用するときには第4書式を使用する。この方式では、SWITCHパラメータが auto でも on の場合と同様に動作する。
その他、IKEv1で対応していない方式(書式)が設定されている場合は、代替方式としてheartbeatで動作する。このとき、SWITCH、COUNT、INTERVAL、UPWAITパラメータは設定内容が反映される。
○IKEv2
キープアライブの方式として、RFC4306 (IKEv2標準)、ICMP Echoの2種類から選ぶことができる。第1書式は自動的にRFC4306方式となる。
SWITCHパラメータが auto の場合は、RFC4306方式のキープアライブパケットを受信したときだけ応答パケットを送信する。なお、IKEv2ではこの方式のキープアライブパケットには必ず応答しなければならないため、SWITCHパラメータが off の場合でも auto と同様に動作する。
ICMP Echoを利用するときには第3書式を使用し、送信先のIPアドレスを設定する。オプションとして、ICMP Echoのデータ部の長さを指定することができる。この方式では、SWITCHパラメータが auto でも on の場合と同様に動作する。
その他、IKEv2で対応していない方式(書式)が設定されている場合は、代替方式としてRFC4306で動作する。このとき、SWITCH、COUNT、INTERVAL、UPWAITパラメータは設定内容が反映される。
相手先が PP インタフェースの先にある場合、down オプションを指定することができる。
down オプションを指定すると、キープアライブダウン検出時と IKE の再送回数満了時に PP インタフェースの切断を行うことができる。
網側の状態などで PP インタフェースの再接続によりトンネル確立状態の改善を望める場合に利用することができる。
キープアライブの方式として heartbeat を使用する場合、IKEv1ではsend-only-new-sa オプションを指定することができる。
send-only-new-sa オプションに on を設定すると、鍵交換後の新旧のSAが混在するときに新しい SA のみに対してキープアライブパケットを送信するようになり、鍵交換時の負荷を軽減することができる。
ただし、send-only-new-sa オプションに対応していないファームウェアとトンネルを構築する場合は、send-only-new-sa オプションを off に設定しておかなければトンネルがダウンする。
LENGTHパラメータで指定するのはICMPデータ部分の長さであり、IPパケット全体の長さではない。LENGTHパラメータは、Rev.7.01系以降で指定可能である。
同じ相手に対して、複数の方法を併用することはできない。
DPD (RFC3706)を利用できるのはRev.8.03以降のファームウェアである。
down オプションは RTX1200 Rev.10.01.16 以降のファームウェア、および、Rev.11.01 系以降のすべてのファームウェアで利用できる。
send-only-new-sa オプションは RTX5000/RTX3500 Rev.14.00.29 以降のファームウェア、および、 Rev.14.01 系以降のすべてのファームウェアで利用できる。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
IKEキープアライブに関するSYSLOGを出力するか否かを設定する。このSYSLOGはDEBUGレベルの出力である。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
IKEが用いる暗号アルゴリズムを設定する。
始動側として働く場合に、本コマンドで設定されたアルゴリズムを提案する。応答側として働く場合は本コマンドの設定に関係なく、サポートされている任意のアルゴリズムを用いることができる。
ただし、IKEv1でipsec ike negotiate-strictlyコマンドがonの場合は、応答側であっても設定したアルゴリズムしか利用できない。
'aes256-cbc'は RTX3000 Rev.9.00.50以降、RTX1200 Rev.10.01.32以降のファームウェア、および、Rev.11.01系以降のすべてのファームウェアで指定可能。
IKEv2でipsec ike proposal-limitation コマンドがonに設定されているとき、本コマンドで設定されたアルゴリズムを提案する。ipsec ike proposal-limitationコマンドがoffに設定されているとき、または、ipsec ike proposal-limitationコマンドに対応していない機種では、本コマンドの設定にかかわらず、サポートするすべてのアルゴリズムを同時に提案し、相手側セキュリティ・ゲートウェイに選択させる。
また応答側として働く場合は、提案されたものからより安全なアルゴリズムを選択する。
IKEv2でサポート可能な暗号アルゴリズム、および応答時の選択の優先順位は以下の通り。
AES256-CBC > AES192-CBC > AES128-CBC > 3DES-CBC > DES-CBC
※IKEv2でのみAES192-CBCをサポートする。ただし、コマンドでAES192-CBCを選択することはできない。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
6000..24000 (vRX VMware ESXi版 (通常モード)、vRX Amazon EC2版 (通常モード))
3000..12000 (RTX5000、RTX3510)
1100..4400 (RTX1300 (Rev.23.00.09以降))
1000..4000 (vRX VMware ESXi版 (コンパクトモード)、vRX Amazon EC2版 (コンパクトモード)、RTX3500)
1000..2000 (RTX3000)
100..200 (RTX1300、RTX1220、RTX1210、RTX1200、RTX830 (Rev.15.02.22以降))
30..60 (FWX120、NVR700W)
20..40 (RTX830)
10..20 (SRT100)
6..12 (RTX810)
8..64 (上記以外の機種)
受信したIKEパケットを蓄積するキューの長さを設定する。
この設定は、短時間に集中してIKEパケットを受信した際のルーターの振る舞いを決定する。設定した値が大きいほど、IKEパケットが集中したときにより多くのパケットを取りこぼさないで処理することができるが、逆にIKEパケットがルーターに滞留する時間が長くなるためキープアライブの応答が遅れ、トンネルの障害を間違って検出する可能性が増える。
通常の運用では、この設定を変更する必要はないが、多数のトンネルを構成しており、多数のSAを同時に消す状況があるならば値を大きめに設定するとよい。
Rev.7.01.15以前のファームウェアでは、このキューの長さは8で固定されていた。
キューの長さを長くすると、一度に受信して処理できるIKEパケットの数を増やすことができる。しかし、あまり大きくすると、ルーター内部にたまったIKEパケットの処理が遅れ、対向のルーターでタイムアウトと検知されてしまう可能性が増える。そのため、このコマンドの設定を変更する時には、慎重に行う必要がある。
通常の運用では、この設定を変更する必要はない。
IKEで用いるグループを設定する。
始動側として働く場合には、このコマンドで設定されたグループを提案する。応答側として働く場合には、このコマンドの設定に関係なく、サポート可能な任意のグループを用いることができる。
その他、動作するIKEのバージョンによって異なる本コマンドの影響、注意点については以下の通り。
○IKEv1
2種類のグループを設定した場合には、1つ目がフェーズ1、2つ目がフェーズ2で提案される。グループを1種類しか設定しない場合は、フェーズ1、フェーズ2の両方で同じグループが提案される。
また、ipsec ike negotiate-strictlyコマンドが on の場合は、応答側であっても設定したグループしか利用できない。
○IKEv2
常に1つ目に設定したグループのみが使用される。2つ目に設定したグループは無視される。
また、始動側として提案したグループが相手側に拒否され、別のグループを要求された場合は、そのグループで再度提案する (要求されたグループがサポート可能な場合)。
以後、IPsecの設定を変更するか再起動するまで、同じ相手側セキュリティ・ゲートウェイに対しては再提案したグループが優先的に使用される。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
IKEが用いるハッシュアルゴリズムを設定する。
始動側として働く場合に、このコマンドで設定されたアルゴリズムを提案する。応答側として働く場合はこのコマンドに関係なく、サポートされている任意のアルゴリズムを用いることができる。
ただし、IKEv1でipsec ike negotiate-strictlyコマンドがonの場合は、応答側であっても設定したアルゴリズムしか利用できない。
IKEv2では、IKEv1のハッシュアルゴリズムに相当する折衝パラメーターとして、認証アルゴリズム (Integrity Algorithm)とPRF(Pseudo-Random Function)がある。
IKEv2でipsec ike proposal-limitation コマンドがonに設定されているとき、本コマンドで設定されたアルゴリズムを提案する。ipsec ike proposal-limitationコマンドがoffに設定されているとき、または、ipsec ike proposal-limitationコマンドに対応していない機種では、本コマンドの設定にかかわらず、サポートするすべてのアルゴリズムを同時に提案し、相手側セキュリティ・ゲートウェイに選択させる。
また応答側として働く場合は、提案されたものからより安全なアルゴリズムを選択する。
IKEv2でサポート可能な認証アルゴリズム、および応答時の選択の優先順位は以下の通り。
HMAC-SHA2-512-256 > HMAC-SHA2-384-192 > HMAC-SHA2-256-128 > HMAC-SHA-1-96 > HMAC-MD5-96
※HMAC-SHA2-256-128はRev.9.00.50、Rev.10.01.32以降、および、Rev.11.01系以降で対応。
※HMAC-SHA2-512-256、HMAC-SHA2-384-192はRev.23.00系以降で対応。
また、IKEv2でサポート可能なPRF、および応答時の選択の優先順位は以下の通り。
HMAC-SHA2-512 > HMAC-SHA2-384 > HMAC-SHA2-256 > HMAC-SHA-1 > HMAC-MD5
※HMAC-SHA2-256はRev.9.00.50、Rev.10.01.32以降、および、Rev.11.01系以降で対応。
※HMAC-SHA2-512、HMAC-SHA2-384はRev.23.00系以降で対応。
ALGORITHMパラメーターの sha256 キーワードは RTX3000 Rev.9.00.50以降、RTX1200 Rev.10.01.32以降のファームウェア、および、Rev.11.01系以降のすべてのファームウェアで指定可能。
sha384、および sha512 キーワードは Rev.23.00系以降のファームウェアで指定可能。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
IKEv2で鍵交換を始動するときに、SAを構築するための各折衝パラメーターを、
特定のコマンド設定値に限定して提案するか否かを設定する。このコマンドの設定がoffのときは、サポート可能な折衝パラメーター全てを提案する。
このコマンドが適用されるパラメーターと対応するコマンドは以下の通りである。
本コマンドはIKEv1としての動作には影響を与えない。
RTX1200 Rev.10.01.59以降、RTX810 Rev.11.01.21以降、FWX120 Rev.11.03.13以降、RTX5000/RTX3500 Rev.14.00.18以降、RTX1210 Rev.14.01.09以降、および、NVR700W、RTX830、RTX1220、RTX1300、RTX3510、vRX Amazon EC2版、vRX VMware ESXi版で使用可能。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
自機からIKEv2のリクエストメッセージを送信するときのメッセージID管理方法を設定する。
このコマンドの設定がonのときは、同じIKE SAを使用して送信済みのIKEメッセージに対する全てのレスポンスメッセージを受信していない場合、新しいIKEメッセージは送信しない。
本コマンドはIKEv1としての動作には影響を与えない。
RTX1200 Rev.10.01.59以降、RTX810 Rev.11.01.21以降、FWX120 Rev.11.03.13以降、RTX5000/RTX3500 Rev.14.00.18以降、RTX1210 Rev.14.01.09以降、および、NVR700W、RTX830、RTX1220、RTX1300、RTX3510、vRX Amazon EC2版、vRX VMware ESXi版で使用可能。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
IKEv2のCHILD SA作成方法を設定する。
このコマンドに対応する機種同士で接続する場合、TYPEを同じ設定にして接続する必要がある。
本コマンドはIKEv2でのみ有効であり、IKEv1としての動作には影響を与えない。
RTX1200 Rev.10.01.71以降、RTX810 Rev.11.01.28以降、FWX120 Rev.11.03.22以降、RTX5000/RTX3500 Rev.14.00.18以降、RTX1210 Rev.14.01.11以降、および、NVR700W、RTX830、RTX1220、RTX1300、RTX3510、vRX Amazon EC2版、vRX VMware ESXi版で使用可能。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
IPsecで、受信したパケットのSPI値が無効な値の場合に、その旨をログに出力するか否かを設定する。SPI値と相手のIPアドレスがログに出力される。
無効なSPI値を含むパケットを大量に送り付けられることによるDoSの可能性を減らすため、ログは1秒あたり最大10種類のパケットだけを記録する。実際に受信したパケットの数を知ることはできない。
鍵交換時には、鍵の生成速度の差により一方が新しい鍵を使い始めても他方ではまだその鍵が使用できない状態になっているためにこのログが一時的に出力されてしまうことがある。
IKEv1およびIKEv2ペイロードのタイプを設定する。
IKEv1でヤマハルーターの古いリビジョンと接続する場合には、TYPE1を1に設定する必要がある。
IKEv2でヤマハルーターの以下のリビジョンと接続する場合には、TYPE2を1に設定する必要がある。
Rev.7.01.08以降で、TYPE1パラメーターのタイプ3が指定可能。
TYPE2パラメーターの設定値が異なるルーター同士で相互接続する場合、キープアライブやリキーに失敗してトンネルダウンしたり、リキー後にデータの送受信ができなくなる。
RTX1200 Rev.10.01.47以降、RTX810 Rev.11.01.09以降のファームウェア、および、Rev.11.03 系以降のすべてのファームウェアでTYPE2パラメーターが指定可能。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
IKEv1動作時に、情報ペイロードを送信するか否かを設定する。受信に関しては、この設定に関わらず、すべての情報ペイロードを解釈する。
このコマンドは、接続性の検証などの特別な目的で使用される。定常の運用時はonに設定する必要がある。
本コマンドはIKEv2としての動作には影響を与えない。IKEv2では常に、必要に応じて情報ペイロードの送受信を行う。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
IKEの始動側として働く場合に、PFS (Perfect Forward Security)を用いるか否かを設定する。応答側として働く場合は、このコマンドの設定に関係なく、相手側セキュリティ・ゲートウェイのPFSの使用有無に合わせて動作する。
ただし、IKEv1として動作し、且つipsec ike negotiate-strictlyコマンドが on の場合は、本コマンドの設定と相手側セキュリティ・ゲートウェイのPFSの使用有無が一致していなければならない。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
出力するログの種類を設定する。ログはすべて、debugレベルのSYSLOGで出力される。
GATEWAY_IDを省略した設定は、応答側として働く際、セキュリティ・ゲートウェイが特定できない時点での通信に対して適用される。
このコマンドが設定されていない場合には、最小限のログしか出力しない。複数のTYPEパラメータを設定することもできる。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
NATなどの影響でESPが通過できない環境でIPsecの通信を確立するために、ESPをUDPでカプセル化して送受信できるようにする。このコマンドは双方のルーターで一致させる必要がある。
本コマンドは、IKEv2により確立されたSAを伴うIPsec通信には影響を与えない。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
各SAの寿命を設定する。
KBYTESパラメーターを指定した場合には、SECONDパラメーターで指定した時間が経過するか、指定したバイト数のデータを処理した後にSAは消滅する。KBYTESパラメーターはSAパラメーターとしてipsec-sa (child-sa)を指定したときのみ有効である。SAの更新はKBYTESパラメーターに設定したバイト数の75%を処理したタイミングで行われる。また、IPsec SA (CHILD SA)が更新されたとき、古くなった既存のIPsec SA (CHILD SA)の寿命が30秒以上である場合は、寿命が30秒に短縮される。
REKEYパラメーターはSAを更新するタイミングを決定する。例えば、SECONDパラメーターで20000を指定し、REKEYパラメーターで75%を指定した場合には、SAを生成してから15000秒経過したときに新しいSAを生成する。REKEYパラメーターはSECONDパラメーターに対する比率を表すもので、KBYTESパラメーターの値とは関係がない。
SAパラメーターでisakmp-sa(ike-sa)を指定したときに限り、REKEYパラメーターで 'off' を設定できる。このとき、IPsec SA (CHILD SA)を作る必要がない限り、ISAKMP SA (IKE SA)の更新を保留するので、ISAKMP SA (IKE SA)の生成を最小限に抑えることができる。
その他、動作するIKEのバージョンによって異なる、本コマンドの影響、注意点については以下の通り。
○IKEv1
始動側として働く場合に、このコマンドで設定した寿命値が提案される。応答側として働く場合は、このコマンドの設定に関係なく相手側から提案された寿命値に合わせる。
また、ISAKMP SAに対するREKEYパラメーターを off に設定した場合、その効果を得るためには、次の2点に注意して設定する必要がある。
- IPsec SAよりもISAKMP SAの寿命を短く設定する。
- ダングリングSAを許可する。すなわち、ipsec ike restrict-dangling-saコマンドの設定を off にする。
以下の機種およびリビジョンが始動側になる場合は、最大で2147483647KBのバイト寿命値を相手側へ提案可能であるが、相手側機器が以下の機種およびリビジョン以外の場合は2GBを超えるバイト寿命値を正しく認識できないため、以下の機種およびリビジョン以外と接続する場合は必ず2GB以下に設定する必要がある。
- NVR510 Rev.15.01.25以降
- NVR700W Rev.15.00.24以降
- RTX830 Rev.15.02.27以降
- RTX1220 Rev.15.04.05以降
- RTX1300
- RTX3510
- RTX5000、RTX3500 Rev.14.00.34以降
- vRX Amazon EC2版
- vRX VMware ESXi版
○IKEv2
IKEv2ではSA寿命値は折衝されず、各セキュリティ・ゲートウェイが独立して管理するものとなっている。従って、確立されたSAには、常にこのコマンドで設定した寿命値がセットされる。ただし、相手側セキュリティ・ゲートウェイの方がSA更新のタイミングが早ければ、SAはその分早く更新されることになる。
forced-reductionオプションに時間を指定すると、SAを更新した際に古くなった既存のSAの寿命を強制的に設定値に変更し、消滅までの時間を早めることができる。ただし、IPsec SA (CHILD SA)でKBYTESパラメーターにバイト寿命値を指定している場合は、DEL_TIMEパラメーターで31秒以上の値を設定していても、短縮される値は30秒となる。また、IKEv1では寿命が設定値よりも短い場合は変更しない。
ISAKMP SA (IKE SA)の寿命がIPsec SA (CHILD SA)の寿命より先に尽きた場合は、ISAKMP SA (IKE SA)の寿命値をIPsec SA (CHILD SA)の寿命値に合わせる。
なお、このコマンドを設定しても、すでに存在するSAの寿命値は変化せず、新しく作られるSAにのみ、新しい寿命値が適用される。
forced-reductionオプションは以下の機種およびリビジョンで使用可能。
NVR510 は Rev.15.01.25 以降。
NVR700W は Rev.15.00.24 以降。
RTX830 は Rev.15.02.27 以降。
RTX1220 は Rev.15.04.05 以降。
RTX1300 は Rev.23.00.05 以降。
RTX5000、RTX3500 は Rev.14.00.34 以降。
Rev.23.01 系以降のすべてのファームウェアで使用可能。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
SAのポリシーを定義する。この定義はトンネルモードおよびトランスポートモードの設定に必要である。この定義は複数のトンネルモードおよびトランスポートモードで使用できる。
LOCAL-ID、REMOTE-IDには、カプセル化したいパケットの始点/終点アドレスの範囲をネットワークアドレスで記述する。これにより、1つのセキュリティ・ゲートウェイに対して、複数のIPsec SAを生成し、IPパケットの内容に応じてSAを使い分けることができるようになる。
CHECK = 'on' の場合、受信パケット毎にシーケンス番号の重複や番号順のチェックを行い、エラーとなるパケットは破棄する。破棄する際にはdebugレベルで
[IPSEC] sequence difference
[IPSEC] sequence number is wrong
といったログが記録される。
相手側が、トンネルインタフェースでの優先/ 帯域制御を行っている場合、シーケンス番号の順序が入れ替わってパケットを受信することがある。その場合、実際にはエラーではないのに上のログが表示され、パケットが破棄されることがあるので、そのような場合には設定を off にするとよい。
IKEv2では、ipsec ike proposal-limitationコマンドがonに設定されているとき、本コマンドのAH_ALGORITHM、およびESP_ALGORITHMパラメーターで設定されたアルゴリズムを提案する。ipsec ike proposal-limitation コマンドがoffに設定されているとき、または、ipsec ike proposal-limitationコマンドに対応していない機種では、本コマンドの設定にかかわらず、サポートするすべてのアルゴリズムを同時に提案し、相手側セキュリティ・ゲートウェイに選択させる。
また応答側として働く場合は受け取った提案から以下の優先順位でアルゴリズムを選択する。
※HMAC-SHA2-256はRev.9.00.50、Rev.10.01.32以降、および、Rev.11.01系以降で対応。
※HMAC-SHA2-512、HMAC-SHA2-384はRev.23.00系以降で対応。
※IKEv2でのみAES192-CBCをサポートする。ただし、コマンドでAES192-CBCを選択することはできない。
また、IKEv2ではLOCAL-ID、REMOTE-IDパラメーターに関しても効力を持たない。
LOCAL-IDとREMOTE-IDはRev.6.03.18以降、Rev.7.00.14以降で使用可能。
双方で設定するLOCAL-IDとREMOTE-IDは一致している必要がある。
CHECKパラメーターはRev.7.01.26以降で使用可能。
ESP_ALGORITHMパラメーターの aes256-cbc キーワードは RTX3000 Rev.9.00.50以降、RTX1200 Rev.10.01.32以降のファームウェア、および、Rev.11.01 系以降のすべてのファームウェアで指定可能。
AH_ALGORITHMパラメーターの sha256-hmac キーワードは RTX3000 Rev.9.00.50以降、RTX1200 Rev.10.01.32以降のファームウェア、および、Rev.11.01 系以降のすべてのファームウェアで指定可能。
sha384-hmac、および sha512-hmac キーワードは Rev.23.00 系以降のファームウェアで指定可能。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
管理されているSAをすべて削除して、IKEの状態を初期化する。
このコマンドでは、SAの削除を相手に通知しないので、通常の運用ではipsec sa delete allコマンドの方が望ましい。
このコマンドは、IKEv1のダングリングSAの動作に制限を設ける。
ダングリングSAとは、IKE SAを削除するときに対応するIPsec SAを削除せずに残したときの状態を指す。
RTシリーズのIKEv1実装では基本的にはダングリングSAを許す方針となっており、IKE SAとIPsec SAを独立のタイミングで削除する。
auto を設定したときには、アグレッシブモードの始動側でダングリングSAを排除し、IKE SAとIPsec SA を同期して削除する。この動作はIKEキープアライブを正常に動作させるために必要な処置である。
off を設定したときには、常にダングリングSA を許す動作となり、IKE SA とIPsec SA を独立なタイミングで削除する。
ダイヤルアップVPN のクライアント側ではない場合には、このコマンドの設定に関わらず常にIKE SA とIPsec SA は独立に管理され、削除のタイミングは必ずしも同期しない。
ダングリングSA の強制削除が行われても、通常は新しいIKE SA に基づいた新しいIPsec SA が存在するので通信に支障が出ることはない。
ダイヤルアップVPN のクライアント側でダングリングSA を許さないのは、IKE キープアライブを正しく機能させるために必要なことである。
IKE キープアライブでは、IKE SA に基づいてキープアライブを行う。ダングリングSA が発生した場合には、そのSA についてはキープアライブを行うIKE SA が存在せず、キープアライブ動作が行えない。そのため、IKE キープアライブを有効に動作させるにはダングリングSA が発生したら強制的に削除して、通信は対応するIKE SA が存在するIPsec SA で行われるようにしなくてはいけない。
ダングリングSA の扱いについては、動作モードとリビジョンによって動作が異なる。
リビジョン 7.01.15以前 7.01.08 7.01.15 7.01.16以降 ダイヤルアップVPNのクライアント側 (A) (B) (C) それ以外 (A) (B) (A) (A) ダングリングSA が発生しても何もせず通信を続ける
(B) ダングリングSA が発生した時にはそれを消去し、必要であれば新しいSA を作成して通信を行う
(C) このコマンドにより動作を変更できる
本コマンドはIKEv2の動作には影響を与えない。IKEv2では仕様として、ダングリングSAの存在を禁止している。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
NATトラバーサルの動作を設定する。この設定があるときには、IKEでNATトラバーサルの交渉を行う。
相手がNATトラバーサルに対応していないときや、通信経路上にNATの処理がないときには、NATトラバーサルを使用せず、ESPパケットを使って通信する。
対向のルーターや端末でもNATトラバーサルの設定が必要である。いずれか一方にしか設定がないときには、NATトラバーサルを使用せず、ESPパケットを使って通信する。
IKEv2では、イニシエータとして動作する場合のみSWITCHパラメータが影響する。レスポンダとして動作する場合は、SWITCHパラメータに関係なく常に相手からの交渉に応じる。いずれの場合も、NATトラバーサルが有効になった際にはNATキープアライブを設定に従って送信する。
forceオプションはIKEv2のイニシエータとして動作する場合のみ影響する。このオプションは、通信経路上にNAT処理がなくてもNATトラバーサル動作が必要な対向機器と接続する場合に使用する。なお、通常は'off'にしておくことが望ましい。
ipsec ike esp-encapsulation コマンドとの併用はできない。
また、IPComp が設定されているトンネルインタフェースでは利用できない。
IKEv1では、アグレッシブモードでESPトンネルを確立する場合のみ利用できる。メインモードやAHでは利用できず、トランスポートモードでも利用できない。
IKEv2ではESPトンネルを確立する場合のみ利用できる。AHでは利用できず、トランスポートモードでも利用できない。
本コマンドはRev.8.03.43 以降で使用可能。
forceオプションは RTX3000 Rev.9.00.50 以降、RTX1200 Rev.10.01.22 以降のファームウェア、および、Rev.11.01 系以降のすべてのファームウェアで使用可能。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
指定したSAを削除する。
SAのIDは自動的に付与され、 show ipsec saコマンドで確認することができる。
IPアドレス不定 IPアドレス固定 PC---+ 10.0.0.1 +-----PC | +------------+ +------------+ | PC---+------- | RTX1200(1) | ----(VPN)--- | RTX1200(2) |-----------+-----PC | +------------+ +------------+ | . 192.168.100.1 192.168.0.1 . . . 192.168.100.0/24 192.168.0.0/24 暗号アルゴリズム:AES256-CBC 認証アルゴリズム:HMAC-SHA1 IKE認証方式:事前共有鍵 |
・RTX1200(1) ... Initiator ip route default gateway tunnel 1 ip lan1 address 192.168.100.1/24 ip lan2 address dhcp tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp ipsec ike version 1 2 ipsec ike pre-shared-key 1 text himitsu ipsec ike local name 1 kyoten-xxx key-id ipsec ike remote name 1 10.0.0.1 ipv4-addr tunnel enable 1 ipsec auto refresh on ・RTX1200(2) ... Responder ip route 192.168.100.0/24 gateway tunnel 1 ip lan1 address 192.168.0.1/24 ip lan2 address 10.0.0.1/24 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp ipsec ike version 1 2 ipsec ike pre-shared-key 1 text himitsu ipsec ike local name 1 10.0.0.1 ipv4-addr ipsec ike remote name 1 kyoten-xxx key-id tunnel enable 1 ipsec auto refresh on
# show ipsec sa Total: isakmp:1 send:1 recv:1 sa sgw isakmp connection dir life[s] remote-id ----------------------------------------------------------------------------- 1 1 - ike - 28780 10.0.0.1 2 1 1 tun[001]esp send 28781 10.0.0.1 3 1 1 tun[001]esp recv 28781 10.0.0.1 # # show ipsec sa gateway 1 detail SA[1] 状態: 確立済 寿命: 28762秒 プロトコル: IKEv2 ローカルホスト: 10.0.0.11:500 ※LAN2(WAN側)に割り当てられたIPアドレス リモートホスト: 10.0.0.1:500 ※アドレス解決後の相手側IPアドレス 暗号アルゴリズム: AES_CBC(256) PRF : HMAC_SHA1 認証アルゴリズム: HMAC_SHA1_96 DHグループ: MODP_1024 SPI: 6e 7f 6d a2 8a 37 d3 a8 a0 15 63 61 de 1e 8b 2b 鍵 : 63 29 da f4 7d 5b 84 ef d0 f1 39 0e 0e 14 aa 32 ※IKE SAのKEYMAT ---------------------------------------------------- SA[2] 状態: 確立済 寿命: 28763秒 送受信方向: 送信 プロトコル: ESP (モード: tunnel) ローカルID: 85 15 ff 8e 13 dc 2c 62 (KEY_ID) ※自分側のIDペイロードで使用したID リモートID: 10.0.0.1 (IPv4_ADDR) ※相手側のIDペイロードで使用したID 暗号アルゴリズム: AES_CBC(256) 認証アルゴリズム: HMAC_SHA1_96 ESN: DISABLE 始点トラフィック セレクタ (タイプ / プロトコル / ポート / アドレス) IPv4-range / any / 0-65535 / 0.0.0.0-255.255.255.255 IPv6-range / any / 0-65535 / ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 終点トラフィック セレクタ (タイプ / プロトコル / ポート / アドレス) IPv4-range / any / 0-65535 / 0.0.0.0-255.255.255.255 IPv6-range / any / 0-65535 / ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff SPI: ad 53 8f 7e 鍵 : d2 89 7c 70 49 e2 04 20 8b 0b 14 ff 8b 9f 5c 67 ---------------------------------------------------- SA[3] 状態: 確立済 寿命: 28763秒 送受信方向: 受信 プロトコル: ESP (モード: tunnel) ローカルID: 85 15 ff 8e 13 dc 2c 62 (KEY_ID) リモートID: 10.0.0.1 (IPv4_ADDR) 暗号アルゴリズム: AES_CBC(256) 認証アルゴリズム: HMAC_SHA1_96 ESN: DISABLE SPI: 85 bc 7c 25 鍵 : c6 cc ea 63 1a 06 80 b7 42 e1 2e e8 84 84 b8 e3 ---------------------------------------------------- #
本機能において出力されるSYSLOGメッセージを以下に示します。なお、実際に出力される各メッセージの先頭には"[IKE2]"というプレフィックスが付与されます。また、ログの内容に応じて更に以下のサブプレフィックスのいずれかが付与されることがあります。
サブプレフィックス | 説明 |
---|---|
SA:xx/IKE | IKE SAに関するログ |
SA:xx/CHLD_SEND | CHILD SA(送信側)に関するログ |
SA:xx/CHLD_RECV | CHILD SA(受信側)に関するログ |
GW:xx/SA:xx/INIT | IKE_SA_INIT交換に関するログ。 同時に、このメッセージ交換に関連付けられているゲートウェイ設定、SA番号も示される。 なお、関連付けるべきゲートウェイIDがまだ未定の場合は「GW:*/SA:xx/INIT」のように表示される |
GW:xx/SA:xx/AUTH | IKE_AUTH交換に関するログ |
GW:xx/SA:xx/CHLD | CREATE_CHILD_SA交換に関するログ |
GW:xx/SA:xx/INFO | INFORMATIONAL交換に関するログ |
GW:xx | ゲートウェイ設定に関するログ |
TN:xx/PY:xx | ポリシー設定(トンネルモード)に関するログ |
主に出力されるSYSLOGメッセージについては以下の通りです。
レベル | SYSLOG | 説明 |
---|---|---|
[INFO] | temporarily assigned | SAが新しく生成(仮登録)された |
established | SAが確立された | |
dead peer detection | IKEキープアライブにより、相手側ゲートウェイのダウンを検出した | |
deleted | SAが削除された | |
[DEBUG] | not configured COMMAND | COMMANDの設定が不足している、もしくは不適切なため、鍵交換の準備に失敗した |
invalid xxxxx | ipsec ike local/remote nameコマンドで設定した文字列がTYPEパラメータに対して不適切である | |
bound on SA:xx/IKE bound on SA:xx/IKE (changed) |
CHILD SAがIKE SA(SA番号xx)に関連付けられた | |
assigned gateway GW:xx | IKE SAとゲートウェイ設定が関連付けられた | |
assigned policy TN:xx/PY:xx | CHILD SAとポリシー設定が関連付けられた | |
exchange started | メッセージ交換を開始した | |
exchange terminated | メッセージ交換を終了した | |
inhibited rekey (newer SA exists) | より新しいSAがすでに存在するので、このSAによるリキーを抑制した | |
[no] NAT box detected at local side [no] NAT box detected at remote side |
ローカル側ゲートウェイでNAT処理を検出した(しなかった) リモート側ゲートウェイでNAT処理を検出した(しなかった) |
|
iWindow retransmit request[msgID:xx cnt:xx] rWindow retransmit request[msgID:xx cnt:xx] |
リクエストメッセージを再送した | |
iWindow retransmission timed out[msgID:xx] rWindow retransmission timed out[msgID:xx] |
リクエストメッセージの再送を終了した | |
iWindow retransmit response[msgID:xx] rWindow retransmit response[msgID:xx] |
同じメッセージIDのリクエストを受信したのでレスポンスを再送した | |
iWindow dropped message[msgID:xx] rWindow dropped message[msgID:xx] |
レスポンスを受信/受理していない古いメッセージを破棄した | |
cannot find or create IKE SA | 受信したIKEメッセージに対応するIKE SAが見つからなかった、もしくは新たに作成できなかった | |
not exists SKEYs | IKE SAの共通鍵がまだ作成されていないため、受信した暗号ペイロードの認証チェック、復号化ができない | |
authentication is wrong | 受信した暗号ペイロードに付与された認証データが正しくない | |
cannot find or create exchange | 受信したメッセージに対応する交換セッションが見つからなかった、もしくは新たに作成できなかった | |
cannot process xxxxx payload | 受信メッセージのペイロードデータフィールドのフォーマットが不正 | |
xxxxx payload is not contained | 受信メッセージに必須のペイロードが含まれていない | |
cannot accept xxxxx payload | 受信メッセージの折衝内容が受理できなかった | |
too few payload length | 共通ペイロードヘッダが示すペイロード長より実際のデータ長が短い | |
too match payload length, ignores extra data | 共通ペイロードヘッダが示すペイロード長より実際のデータ長が長い | |
encrypted payload already exists | 暗号ペイロードが複数存在している | |
IKE header size is not enough xx/xx | 解析中の実データ長がヘッダ/ペイロード/フィールドの固定ヘッダ長より短い | |
payload header size is not enough xx/xx | ||
field header size is not enough xx/xx | ||
message size is not enough xx/xx | 解析中の実データ長がヘッダ/ペイロード/フィールド長より短い | |
payload size is not enough xx/xx | ||
field size is not enough xx/xx | ||
message size unmatched xx/xx | 解析中の実データ長がヘッダ/ペイロード/フィールド長と一致していない | |
payload size unmatched xx/xx | ||
field size unmatched xx/xx | ||
not contained xxx payload | 解析したIKEメッセージ内に必須のペイロードが含まれていない | |
unmatched auth method | Authペイロードの認証方式が一致しなかった | |
unmatched auth data | Authペイロードの認証データが再計算した結果と一致しなかった | |
not found CHILD SA, ignored(SPI:xxxxxxxx) | 受信したDeleteペイロードで指定されたSPIと合致するCHILD SAが見つからなかった | |
[DEBUG] × message-info |
send message: ・・・ |
送信するIKEメッセージ |
receive message: ・・・ |
受信したIKEメッセージ | |
encrypting message: (pad size:xx): ・・・ |
暗号ペイロードとして暗号化する平文データ(パディング領域含む) | |
decrypted message: (pad size:xx): ・・・ |
暗号ペイロードから復号化した平文データ(パディング領域含む) | |
[DEBUG] × payload-info |
initiator x responder x |
現在処理している交換セッションがイニシエータ/レスポンダであることを示す |
generate IKE header[msgID:xx] generate xxx payload |
IKEヘッダ、および各種ペイロードを生成していることを示す。種類に応じてペイロードデータの内容も出力される。 | |
process IKE header[msgID:xx] process xxx payload |
IKEヘッダ、および各種ペイロードを解析していることを示す。種類に応じてペイロードデータの内容も出力される。 | |
[DEBUG] × key-info |
Diffie-Hellman value: ・・・ |
Diffie-Hellman共有値 |
Ni: ・・・ Nr: ・・・ SKEYSEED: ・・・ |
イニシエータ/レスポンダのNonceデータ、およびSKEYSEEDの計算結果 | |
SPIi: ・・・ SPIr: ・・・ |
IKE SAのKey Material生成に使用するイニシエータ/レスポンダのSPI | |
SK_d: ・・・ SK_ai: ・・・ SK_ar: ・・・ SK_ei: ・・・ SK_er: ・・・ SK_pi: ・・・ SK_pr: ・・・ |
IKE SAの共有鍵 | |
calculate xAuth data msg-octets: ・・・ prf(secret, key-pad): ・・・ prf(prf(secret, key-pad), msg-octets): ・・・ |
Authペイロードのデータフィールドの計算結果 | |
calculate KEYMAT SPI(send): ・・・ encryption key(send): ・・・ authentication key(send): ・・・ SPI(recv): ・・・ encryption key(recv): ・・・ authentication key(recv): ・・・ |
CHILD SAのKEYMATの計算結果 | |
[DEBUG] × keepalive log |
send keepalive | IKEキープアライブの要求メッセージを送信 |
received keepalive | IKEキープアライブの応答メッセージを受信した |
その他、鍵交換に失敗した場合等に、そのエラー内容に応じたSYSLOGが出力されることがあります。