Security Gateway and IPsec release 3
| 作成日 | 1999/Jul/23 |
| 最終変更日 | 2018/Nov/06 |
| 文書サイズ | 7.0KB |
このドキュメントでは、 他社製品と相互接続を試みるときに注意すべき点を記述している。
RFC2401〜RFC2409と、RFC2451である。
IKEのフェーズ1では、メインモード(main mode)に対応しており、 フェーズ2では、クイックモード(quick mode)に対応している。 アグレッシブモード(aggressive mode)とニューグループモード(new group mode) はサポートしていない。 メインモードの認証方式は、 事前共有鍵(pre-shared key)に基づくものをサポートしている。 その他の認証方式はサポートしない。
IKEが使用できる暗号アルゴリズムは、DES-CBCと3DES-CBCであり、 ハッシュアルゴリズムはMD5-96とSHA-1-96である。 擬似乱数関数には、ハッシュアルゴリズムに基づくHMACを用いる。
クイックモードで用いるIDとしては、 タイプ1(IPアドレス)とタイプ4(IPアドレスとネットマスク)が利用できる。 IDを送信しないことも可能である。 また、PFSを使用するか否かを設定することができる。 グループは、MODP 768bitとMODP 1024bitを用いることができる。
クイックモードで送信するIDペイロードの内容は、ipsec ike local idコマンド とipsec ike remote idコマンドで設定することができる。前者は、 自分側のIDを設定するコマンドであり、後者は、 相手側のIDを設定するコマンドである。 IDペイロードを送信しないときには、 これらのコマンドを設定してはならない。 逆に、IDペイロードを送信するときには、両方のコマンドを設定する必要がある。 IDとして、タイプ1のIDを送信するときには、IPアドレスのみを設定する。また、 タイプ4のIDを送信するときには、ネットマスクを付加する。以下に例を挙げる。
| 送信しないとき | ipsec ike local(remote) id 1 clear |
| タイプ1のIDを送信するとき | ipsec ike local(remote) id 1 192.168.1.1 |
| タイプ4のIDを送信するとき | ipsec ike local(remote) id 1 192.168.1.0/24 |
事前共有鍵は、文字列の場合は32文字、 バイナリの場合は32バイトまでの長さで設定できる。以下に設定例を示す。 バイナリの鍵には、先頭に'0x'を付ける必要がある。
| 設定しないとき | ipsec pre-shared-key 192.168.1.1 clear |
| 文字列の鍵 | ipsec ike pre-shared-key 192.168.1.1 text himitsu |
| バイナリの鍵 | ipsec ike pre-shared-key 192.168.1.1 0x1234567890 |
[ ダイヤルアップVPNに関する補足 ]
PFSを使うか否かの設定は、ipsec ike pfsコマンドで設定することができる。 PFSをonにする場合には、クイックモードで鍵ペイロード(KE payload)が送信される。 PFSをoffにする場合には、クイックモードの鍵ペイロードを認識できなくなるため、 相手の設定でもPFSをoffにする必要がある。
IKEに関してRTが出力するログは、以下の4種類である。 これらのログはすべて、debugレベルのsyslogとして出力される。 1つ目のログを除いて、後者3種類のログは、 ipsec ike logコマンドで出力するか否かを制御することができる。
基本的な情報を表すログについては、 「IPsecリリース3のIKEのログ出力」に説明があるので、 そちらを参照されたい。