IPsec機能の仕様


概要

RTシリーズのIPsec機能は、 IPsecをつかったVPNを構築するときに必要な機能を提供します。 基本的な動作はRFC2401〜RFC2409、RFC2451にしたがい、これに加えて、 動的なIPアドレスの変化に対応する「ダイアルアップVPN」、 VPNの障害を検出してバックアップ回線へ接続する「トンネルバックアップ」 などの機能を持っています。 主な機能は以下のとおりです。

機能の名前利用できるファームウェア
トンネルインタフェース Rev.3.00.09〜
IKE Rev.3.00.09〜
ESP Rev.3.00.09〜
AH Rev.3.00.09〜
ダイヤルアップVPN Rev.4.00.33〜
IPComp Rev.4.00.33〜
IPv6対応 Rev.4.02.07〜、Rev.6.02.03〜
IKEキープアライブ Rev.4.02.09〜、Rev.6.02.07〜
トンネルバックアップ Rev.4.02.09〜、Rev.6.02.07〜
ESPのカプセル化 Rev.6.03.04〜
常時接続モード Rev.6.03.04〜
AES(Rijndael) Rev.6.03.04〜

※ 同じ機能でも、ファームウェアによって、細かな違いがある場合があります。 ファームウェアの細かい情報は、リリースノートを確認してください。


トンネルインタフェース

IPsecでは、暗号化されたIPパケットがインターネットを経由して送受信されますが、 このように暗号によって実現される安全な通信経路をトンネルとよびます。 現実のトンネルが硬いコンクリートで覆われるように、 VPNのトンネルも強固な暗号によって守られているので、 トンネルは仮想的な専用回線とみなすことができます。

RTシリーズでは、トンネルを「仮想的な専用回線」とみなし、 この回線に相当するインタフェースをトンネルインタフェース とよんでいます。RTシリーズには、 LANインタフェースやPPインタフェースというインタフェースがありますが、 トンネルインタフェースも、これらと同様に扱うことができます。 たとえば、トンネルインタフェースで次のことが実現できます。

トンネルインタフェースの最大数は機種によって次のように 決められています。ヤマハルータでは、同時に設定できる最大数と、 同時に動作する最大数は同じです。

RTX50003000
RTX35001000
RTX30001000
RTX2000500
RTX1500100
RTX1210100
RTX1200100
RTX110030
RTX100030
RTX83020
RTX8106
RT300i + VPNアクセラレータ500
RT300i100
RT200i20
RT140シリーズ20
RT107e6
RT105e30
RT105i、RT105p20
RT103i10
RT100i/RT102i10
FWX12030
SRT10010
NVR700W6

このドキュメントの先頭へ


IKE

IKEは、Rev.3.00.09以降のすべてのファームウェアでサポートしています。 対応するRFCは以下のとおりです。

なお、IKEについては、頻繁に機能が更新されているため、 なるべく新しいファームウェアをつかってください。 この文書では「リリース3」という最近のファームウェアの仕様を説明します。 「リリース3」については ファームウェアの準備という文書を参照してください。

※ IKEの仕様を説明するためには多くの専門用語に頼らざるを得ません。しかし、 通常の使用では、これらの用語を理解する必要はありません。以下の仕様の説明は、 相互接続などの特別な目的で参照する必要があるものです。

このドキュメントの先頭へ


ESP

ESPは、Rev.3.00.09以降のすべてのファームウェアでつかうことができます。 アルゴリズムとしては、DES-CBC、3DES-CBCを利用できます。 AESに対応するファームウェアではAES-CBCを利用できます。対応するRFCは、 以下のとおりです。

このドキュメントの先頭へ


AH

AHは、Rev.3.00.09以降のすべてのファームウェアでつかうことができます。 アルゴリズムとしては、HMAC-MD5、HMAC-SHA-1を利用できます。 HMAC-SHA-256に対応するファームウェアでは、HMAC-SHA-256も利用できます。 対応するRFCは、以下のとおりです。

このドキュメントの先頭へ


ダイヤルアップVPN

ダイヤルアップVPNは、ルータのIPアドレスが動的に変化するような環境で、 VPNを構築するための仕組みを提供するものです。この機能をサポートする以前は、 ルータをIPアドレスで識別していたので、 IPアドレスが変化すると通信ができなくなるという問題がありましたが、 この機能を使うと、ルータを「名前」で認識することができ、 IPアドレスが変化しても通信を継続できます。

ダイアルアップVPNの使い方については、 ダイアルアップVPNの設定ガイド を参照してください。

このドキュメントの先頭へ


IPComp

IPCompは、IPパケットを圧縮するプロトコルで、RFC2393で規定されています。 IPCompをIPsec機能と併用すると、通信のスループットを改善できる場合があります。 特に、低速な回線では、スループットに対するデータ量の影響が大きいため、 IPCompが効果的に機能します。 圧縮のアルゴリズムにはdeflate(zlib)を使用しています。

IPCompに関する詳しい説明は、IPCompの仕様 を参照してください。

このドキュメントの先頭へ


IPv6対応

IPv6とIPsecの両方の機能を持つファームウェアでは、 IPv6のIPsecを使用することができます。すなわち、IPv6で動作するIKEと、 IPv6の2つの拡張ヘッダ(AH、ESP)に対応します。 コマンドや動作は、基本的にIPv4のIPsecに準じ、 大きな違いはありません。

このドキュメントの先頭へ


IKEキープアライブ

IKEキープアライブは、IKEの通信に関する鍵交換の失敗を検出する機能です。 この機能は通常、トンネルバックアップ機能と組み合わせて、 トンネルインタフェースの障害を検出するために用います。この機能は、 heartbeatという独自の仕様に基づいています。

IKEキープアライブを使用するためには、次のようにコマンドを設定します。 このコマンドを設定するときには、 双方のルータで同じように設定する必要があります。

# ipsec ike keepalive use 1 on

IKEキープアライブのログはdebugレベルのsyslogとして出力されます。 このログの出力を止めたいときには、次のように設定します。

# ipsec ike keepalive log 1 off

なお、Rev.6.03.11以降のファームウェアでは、次の2点の機能追加があります。

例えば、pingを使って障害を検出し、送信間隔を5秒、 送信回数を3回に設定するためには、次のように設定します。

# ipsec ike keepalive use 1 on icmp-echo 172.16.0.1 5 3

heartbeat方式でも送信間隔と送信回数を指定できます。 例えば、次のように設定します。

# ipsec ike keepalive use 1 on heartbeat 5 3

※ コマンドの詳細はRev.6.03.11のリリースノートを参照してください。

このドキュメントの先頭へ


トンネルバックアップ

トンネルバックアップは、トンネルインタフェースに障害が発生したときに、 バックアップの回線として、ISDN回線に切り替えるものです。 ISDN回線に切り替えたときには、IPsecは動作させず、暗号化しないで通信します。 この機能を使うためには、IKEキープアライブを設定して、 トンネルインタフェースの障害を検出する必要があります。

詳しい使い方については、 回線バックアップの設定例をご覧ください。

このドキュメントの先頭へ


ESPのカプセル化

ESPのカプセル化は、ESPパケットをUDPに乗せて送信する機能です。 ポート番号としてUDPの500番を使うので、 見た目はIKEのパケットとして見えます。 この機能を使うと、NATやフィルタの影響でESPが通過しない場合でも、 IPsecの通信を確立することができます。

RTシリーズでは、下記のInternet-Draftのうち、IKEのネゴシエーションや、 NAT-Keepaliveの機能を除いたものを実装しています。

このドキュメントの先頭へ


常時接続モード

IKEで鍵交換に失敗したときには、一度、鍵交換をあきらめ、休止状態に入ります。 一度、休止状態に入ると、IPsecで処理すべきパケットが流れるか、 相手側から要求がない限り、鍵交換を始めることはありません。

この機能は、通常のISDN回線のように、 接続のたびに課金される回線では有効ですが、定額料金の回線では意味がありません。 そこで、新しいファームウェアでは、鍵交換が失敗しても、 永久に鍵交換を継続する仕組みを追加しています。

この仕組みを働かせるためには、次のようにコマンドを設定します。

# ipsec ike always-on 1 on

このドキュメントの先頭へ


AES(Rijndael)

AES(Advanced Encryption Standard)は、 DESに代わる暗号アルゴリズムとして急速に普及しつつあります。 AESは3DESよりも強力でDESよりも高速であるため、 DES、3DESの両方の置き換えとして使うことができます。

AESを使用するためには、次のコマンドで"aes-cbc"を指定します。

※ RT300iのVPNアクセラレータは、AESに対応していません。

このドキュメントの先頭へ


IPsec機能のトップページへ

[関連ドキュメント]


[ YAMAHA RT / ネットボランチ / 検索 / RFC / 技術資料 / 設定例集 / RT's FAQ ]

Copyright (C) 1995〜2006, YAMAHA Corporation.