IPsec の設定


NVR700W では、暗号化により IP 通信に対するセキュリティーを保証する IPsec 機能を実装しています。IPsec では、鍵交換プロトコル IKE (Internet Key Exchange) を使用します。必要な鍵は IKE により自動的に生成されますが、鍵の種となる事前共有鍵は ipsec ike pre-shared-key コマンドで事前に登録しておく必要があります。この鍵はセキュリティー・ゲートウェイごとに設定できます。また、鍵交換の要求に応じるかどうかは、ipsec ike remote address コマンドで設定します。
鍵や鍵の寿命、暗号や認証のアルゴリズムなどを登録した管理情報は、SA (Security Association) で管理します。SA を区別する ID は自動的に付与されます。SA の ID や状態は show ipsec sa コマンドで確認することができます。SA には、鍵の寿命に合わせた寿命があります。SA の属性のうちユーザーが指定可能なパラメーターをポリシーと呼びます。またその番号はポリシーID と呼び、ipsec sa policy コマンドで定義し、ipsec ike duration ipsec-saipsec ike duration isakmp-sa コマンドで寿命を設定します。
SA の削除は ipsec sa delete コマンドで、SA の初期化は ipsec refresh sa コマンドで行います。ipsec auto refresh コマンドにより、SA を自動更新させることも可能です。


IPsec による通信には、大きく分けてトンネルモードとトランスポートモードの 2 種類があります。
トンネルモードは IPsec による VPN (Virtual Private Network) を利用するためのモードです。ルーターがセキュリティー・ゲートウェイとなり、LAN 上に流れる IP パケットデータを暗号化して対向のセキュリティー・ゲートウェイとの間でやりとりします。ルーターが IPsec に必要な処理をすべて行うので、LAN 上の始点や終点となるホストには特別な設定を必要としません。
トンネルモードを用いる場合は、トンネルインターフェースという仮想的なインターフェースを定義し、処理すべき IP パケットがトンネルインターフェースに流れるように経路を設定します。個々のトンネルインターフェースはトンネルインターフェース番号で管理されます。設定のためにトンネル番号を切替えるには tunnel select コマンドを使用します。トンネルインターフェースを使用するか使用しないかは、それぞれ tunnel enabletunnel disable コマンドを使用します。

相手先情報番号による設定   トンネルインターフェース番号による設定
  • pp enable
  • pp disable
  • pp select
 <==>
  • tunnel enable
  • tunnel disable
  • tunnel select

トランスポートモードは特殊なモードであり、ルーター自身が始点または終点になる通信に対してセキュリティーを保証するモードです。ルーターからリモートのルーターへ TELNET で入るなどの特殊な場合に利用できます。トランスポートモードを使用するには ipsec transport コマンドで定義を行い、使用をやめるには no ipsec transport コマンドで定義を削除します。

セキュリティー・ゲートウェイの識別子とトンネルインターフェース番号は、以下の表のようになります。
モデル セキュリティー・ゲートウェイの識別子 トンネルインターフェース番号
NVR700W
  • 1-20 ( Rev.15.00.10 以降 )
  • 1-6 ( 上記以外 )
  • 1-20 ( Rev.15.00.10 以降 )
  • 1-6 ( 上記以外 )

本機はメインモード (main mode) とアグレッシブモード (aggressive mode) に対応しています。VPN を構成する両方のルーターが固定のグローバルアドレスを持つときにはメインモードを使用し、一方のルーターしか固定のグローバルアドレスを持たないときにはアグレッシブモードを使用します。


メインモードを使用するためには、ipsec ike remote address コマンドで対向のルーターの IP アドレスを設定する必要があります。アグレッシブモードを使用するときには、固定のグローバルアドレスを持つかどうかによって設定が異なります。固定のグローバルアドレスを持つルーターには、ipsec ike remote name コマンドを設定し、ipsec ike remote address コマンドで any を設定します。固定のグローバルアドレスを持たないルーターでは、ipsec ike local name コマンドを設定し、ipsec ike remote address コマンドで IP アドレスを設定します。
メインモードでは、ipsec ike local name コマンドや ipsec ike remote name コマンドを設定することはできません。また、アグレッシブモードでは、ipsec ike local name コマンドと ipsec ike remote name コマンドの両方を同時に設定することはできません。このように設定した場合には、正しく動作しない可能性があります。