RTシリーズのIPsec機能は、 IPsecをつかったVPNを構築するときに必要な機能を提供します。 基本的な動作はRFC2401〜RFC2409、RFC2451にしたがい、これに加えて、 動的なIPアドレスの変化に対応する「ダイアルアップVPN」、 VPNの障害を検出してバックアップ回線へ接続する「トンネルバックアップ」 などの機能を持っています。 主な機能は以下のとおりです。
機能の名前 | 利用できるファームウェア |
---|---|
トンネルインタフェース | Rev.3.00.09〜 |
IKE | Rev.3.00.09〜 |
ESP | Rev.3.00.09〜 |
AH | Rev.3.00.09〜 |
ダイヤルアップVPN | Rev.4.00.33〜 |
IPComp | Rev.4.00.33〜 |
IPv6対応 | Rev.4.02.07〜、Rev.6.02.03〜 |
IKEキープアライブ | Rev.4.02.09〜、Rev.6.02.07〜 |
トンネルバックアップ | Rev.4.02.09〜、Rev.6.02.07〜 |
ESPのカプセル化 | Rev.6.03.04〜 |
常時接続モード | Rev.6.03.04〜 |
AES(Rijndael) | Rev.6.03.04〜 |
※ 同じ機能でも、ファームウェアによって、細かな違いがある場合があります。 ファームウェアの細かい情報は、リリースノートを確認してください。
IPsecでは、暗号化されたIPパケットがインターネットを経由して送受信されますが、 このように暗号によって実現される安全な通信経路をトンネルとよびます。 現実のトンネルが硬いコンクリートで覆われるように、 VPNのトンネルも強固な暗号によって守られているので、 トンネルは仮想的な専用回線とみなすことができます。
RTシリーズでは、トンネルを「仮想的な専用回線」とみなし、 この回線に相当するインタフェースをトンネルインタフェース とよんでいます。RTシリーズには、 LANインタフェースやPPインタフェースというインタフェースがありますが、 トンネルインタフェースも、これらと同様に扱うことができます。 たとえば、トンネルインタフェースで次のことが実現できます。
トンネルインタフェースの最大数は機種によって次のように 決められています。ヤマハルータでは、同時に設定できる最大数と、 同時に動作する最大数は同じです。
vRX (通常モード) | 6000 |
vRX (コンパクトモード) | 1000 |
RTX5000 | 3000 |
RTX3510 | 1000 (※) |
RTX3500 | 1000 |
RTX3000 | 1000 |
RTX2000 | 500 |
RTX1500 | 100 |
RTX1300 | 100 |
RTX1220 | 100 |
RTX1210 | 100 |
RTX1200 | 100 |
RTX1100 | 30 |
RTX1000 | 30 |
RTX830 | 20 (※) |
RTX810 | 6 |
RT300i + VPNアクセラレータ | 500 |
RT300i | 100 |
RT200i | 20 |
RT140シリーズ | 20 |
RT107e | 6 |
RT105e | 30 |
RT105i、RT105p | 20 |
RT103i | 10 |
RT100i/RT102i | 10 |
FWX120 | 30 |
SRT100 | 10 |
NVR700W | 6 |
20 (Rev.15.00.10以降) |
(※)拡張ライセンスをインポートすることで拡張可能です。詳細は拡張ライセンスの技術資料を参照してください。
IKEは、Rev.3.00.09以降のすべてのファームウェアでサポートしています。 対応するRFCは以下のとおりです。
なお、IKEについては、頻繁に機能が更新されているため、 なるべく新しいファームウェアをつかってください。 この文書では「リリース3」という最近のファームウェアの仕様を説明します。 「リリース3」については ファームウェアの準備という文書を参照してください。
※ IKEの仕様を説明するためには多くの専門用語に頼らざるを得ません。しかし、 通常の使用では、これらの用語を理解する必要はありません。以下の仕様の説明は、 相互接続などの特別な目的で参照する必要があるものです。
フェーズ1については、メインモード(main mode)、アグレッシブモード (aggressive mode)に対応しています。また、フェーズ2については、 クイックモード(quick mode)に対応しています。
フェーズ1を開始するときには、 ダイアルアップVPN(後述)のときにはアグレッシブモードが、 それ以外のときにはメインモードが自動的に選択されます。 これらのモードを自由に選択することはできません。 また、フェーズ1の要求を受け付けるときには、 相手の提案したモードにしたがって動作します。
事前共有鍵(pre-shared key)による認証方式をサポートしています。 また、 Rev.7.00.14以降のファームウェアではXAUTHのクライアントに対応しています。 XAUTHが動作するのはaggressive modeの始動側(initiator)のみです。
IKEのメッセージを暗号化するために、DES-CBCと3DES-CBCをつかうことができます。 AESに対応するファームウェアでは、AES-CBCも利用できます。
IKEのメッセージに対するハッシュアルゴリズムとして、 MD5とSHA-1をつかうことができます。 SHA-256に対応するファームウェアでは、SHA-256も利用できます。
グループ1(MODP768)とグループ2(MODP1024)に対応しています。
IDのタイプはRFC2407 4.6.2.1で定義されています。RTシリーズでは、 下記のタイプをサポートしています。
ESPは、Rev.3.00.09以降のすべてのファームウェアでつかうことができます。 アルゴリズムとしては、DES-CBC、3DES-CBCを利用できます。 AESに対応するファームウェアではAES-CBCを利用できます。対応するRFCは、 以下のとおりです。
AHは、Rev.3.00.09以降のすべてのファームウェアでつかうことができます。 アルゴリズムとしては、HMAC-MD5、HMAC-SHA-1を利用できます。 HMAC-SHA-256に対応するファームウェアでは、HMAC-SHA-256も利用できます。 対応するRFCは、以下のとおりです。
ダイヤルアップVPNは、ルータのIPアドレスが動的に変化するような環境で、 VPNを構築するための仕組みを提供するものです。この機能をサポートする以前は、 ルータをIPアドレスで識別していたので、 IPアドレスが変化すると通信ができなくなるという問題がありましたが、 この機能を使うと、ルータを「名前」で認識することができ、 IPアドレスが変化しても通信を継続できます。
ダイアルアップVPNの使い方については、 ダイアルアップVPNの設定ガイド を参照してください。
IPCompは、IPパケットを圧縮するプロトコルで、RFC2393で規定されています。 IPCompをIPsec機能と併用すると、通信のスループットを改善できる場合があります。 特に、低速な回線では、スループットに対するデータ量の影響が大きいため、 IPCompが効果的に機能します。 圧縮のアルゴリズムにはdeflate(zlib)を使用しています。
IPCompに関する詳しい説明は、IPCompの仕様 を参照してください。
IPv6とIPsecの両方の機能を持つファームウェアでは、 IPv6のIPsecを使用することができます。すなわち、IPv6で動作するIKEと、 IPv6の2つの拡張ヘッダ(AH、ESP)に対応します。 コマンドや動作は、基本的にIPv4のIPsecに準じ、 大きな違いはありません。
IKEキープアライブは、IKEの通信に関する鍵交換の失敗を検出する機能です。 この機能は通常、トンネルバックアップ機能と組み合わせて、 トンネルインタフェースの障害を検出するために用います。この機能は、 heartbeatという独自の仕様に基づいています。
IKEキープアライブを使用するためには、次のようにコマンドを設定します。 このコマンドを設定するときには、 双方のルータで同じように設定する必要があります。
# ipsec ike keepalive use 1 on
IKEキープアライブのログはdebugレベルのsyslogとして出力されます。 このログの出力を止めたいときには、次のように設定します。
# ipsec ike keepalive log 1 off
なお、Rev.6.03.11以降のファームウェアでは、次の2点の機能追加があります。
例えば、pingを使って障害を検出し、送信間隔を5秒、 送信回数を3回に設定するためには、次のように設定します。
# ipsec ike keepalive use 1 on icmp-echo 172.16.0.1 5 3
heartbeat方式でも送信間隔と送信回数を指定できます。 例えば、次のように設定します。
# ipsec ike keepalive use 1 on heartbeat 5 3
※ コマンドの詳細はRev.6.03.11のリリースノートを参照してください。
トンネルバックアップは、トンネルインタフェースに障害が発生したときに、 バックアップの回線として、ISDN回線に切り替えるものです。 ISDN回線に切り替えたときには、IPsecは動作させず、暗号化しないで通信します。 この機能を使うためには、IKEキープアライブを設定して、 トンネルインタフェースの障害を検出する必要があります。
詳しい使い方については、 回線バックアップの設定例をご覧ください。
ESPのカプセル化は、ESPパケットをUDPに乗せて送信する機能です。 ポート番号としてUDPの500番を使うので、 見た目はIKEのパケットとして見えます。 この機能を使うと、NATやフィルタの影響でESPが通過しない場合でも、 IPsecの通信を確立することができます。
RTシリーズでは、下記のInternet-Draftのうち、IKEのネゴシエーションや、 NAT-Keepaliveの機能を除いたものを実装しています。
IKEで鍵交換に失敗したときには、一度、鍵交換をあきらめ、休止状態に入ります。 一度、休止状態に入ると、IPsecで処理すべきパケットが流れるか、 相手側から要求がない限り、鍵交換を始めることはありません。
この機能は、通常のISDN回線のように、 接続のたびに課金される回線では有効ですが、定額料金の回線では意味がありません。 そこで、新しいファームウェアでは、鍵交換が失敗しても、 永久に鍵交換を継続する仕組みを追加しています。
この仕組みを働かせるためには、次のようにコマンドを設定します。
# ipsec ike always-on 1 on
AES(Advanced Encryption Standard)は、 DESに代わる暗号アルゴリズムとして急速に普及しつつあります。 AESは3DESよりも強力でDESよりも高速であるため、 DES、3DESの両方の置き換えとして使うことができます。
AESを使用するためには、次のコマンドで"aes-cbc"を指定します。
設定例) ipsec ike encryption 1 aes-cbc
設定例) ipsec sa policy 101 1 esp aes-cbc sha-hmac
※ RT300iのVPNアクセラレータは、AESに対応していません。
[関連ドキュメント]
|