Security Gateway and IPsec release 3
作成日 | 1999/Jul/23 |
最終変更日 | 2018/Nov/06 |
文書サイズ | 6.8KB |
このドキュメントでは、 セキュリティ・ゲートウェイ機能を使う際の注意事項をまとめている。
鍵交換の途中でshow ipsec saコマンドを実行すると、表示が遅くなること がある。また、プロトコル(protocol)がIKEと表示されるSAに関しては、 キロバイト寿命は表示されない。
SAが更新されるタイミングは、元の寿命の1/4を経過したときであるが、 更新のタイミングをずらして負荷を下げるために、実際に更新される タイミングにはバラつきがある。
1つの相手セキュリティ・ゲートウェイに対して、最低1つのSAが 必要で、1つのipsec tunnelコマンドについて最低2つ、1つの ipsec transportコマンドについて最低2つのSAが生成される。 これに加えて、SAの更新時には、この2倍のSAが生成される。 また、2つのセキュリティ・ゲートウェイが同時に鍵交換を開始 した場合に、余分なSAが生成されることがある。
IPsecの設定を変更したときには、管理中のSAがすべて削除される。 本来、IPsecの通信が始まっているときに、IPsecの設定を変更すること は好ましくない。設定を変更するときは、なるべく、IPsecで通信を していないときに行う。また、鍵交換の最中に設定を変更することも 好ましくないので、ipsec auto refresh offを設定してから、他の IPsecの設定を変更するべきである。
鍵交換は計算量の大きい処理であるため、鍵が生成される際に通信が 途絶する傾向にある。しかし、以下のような場合には、対策を立てる ことで改善できる可能性がある。
IPsecの処理で暗号化されたパケットは、元のパケットに比べて若干長くなるため、 元のパケットがMTUに近い長さを持つ場合には、パケットのフラグメントが必要に なる。通常は、ルータが暗号化されたパケットをフラグメントして、 相手のセキュリティゲートウェイに送信する。 ところが、元のパケットにDFビットが立っている場合には注意を要する。 DFビットが付いているパケットはフラグメントができないので、送信元に対して、 ICMPメッセージを返す。しかし、ファイアウォールなどの設定により、 このICMPメッセージが何処かで破棄されてしまうと、送信側がこのICMP メッセージを受け取れないために、通信が途絶する場合がある。
高負荷のときに、鍵交換のためのパケットが破棄されてしまって、 鍵交換に失敗する場合がある。このような場合には、他のパケットよりも 鍵交換のパケットを優先させることで、問題を回避できる可能性がある。 鍵交換のパケットは、UDPの500番に向けて送信されるので、 設定は以下のようになる。詳しくは、優先制御の設定方法を 参照する必要がある。
queue class filter 1 4 ip 自分のアドレス 相手のアドレス udp 500 500 pp select leased pp queue class filter list 1 pp queue type priority
「can't activate」は、相手から鍵交換を始動されたときに、こちらの設定が 相手の設定と異なっているときに表示される。対処方法としては、 相手の設定と自分の設定を比較して、整合性が取れているかを確認する。 具体的には、ipsec sa policyのアルゴリズムが同じであるかどうか、 ipsec tunnelコマンドやipsec transportコマンドが設定されているかどうか を確認する。
「can't find pre-shared key」は、 事前共有鍵(pre-shared key)が設定されていないときに表示される。 ipsec ike pre-shared-keyの設定があるかどうか、または正しいか どうかを確認する。
トンネルインタフェースは、鍵交換の終了後に 有効になるインタフェースであるから、 鍵交換の相手先に対する経路は、トンネルインタフェースに向いて いてはならない。このような設定では、鍵交換がいつまでも終了しない。
ipsec ike local addressが設定されていないときには、 自分側のセキュリティゲートウェイのアドレスは、相手に最も 近いインタフェースのアドレスとなる。もし、それ以外の インタフェースのアドレスを自分側のセキュリティゲートウェイの アドレスにしたい場合には、そのアドレスをipsec ike local address コマンドで明示的に指定する必要がある。
ipsec auto refresh onが設定されていないときには、鍵交換を 自分から始めることはないので注意する必要がある。
トンネルインタフェースで処理されたパケットがNATの処理を 受けるとIPアドレスが変化してしまうので、認証情報が無効 になる。すなわち、認証ヘッダ(AH)の処理とNATを併用する ことはできない。