IPsec の設定


暗号化により IP 通信に対するセキュリティを保証する IPsec 機能を実装しています。IPsec では、鍵交換プロトコル IKE(Internet Key Exchange) を使用します。必要な鍵は IKE により自動的に生成されますが、鍵の種となる事前共有鍵はipsec ike pre-shared-key コマンドで事前に登録しておく必要があります。この鍵はセキュリティ・ゲートウェイごとに設定できます。また、鍵交換の要求に応じるかどうかは、ipsec ike remote address コマンドで設定します。
鍵や鍵の寿命、暗号や認証のアルゴリズムなどを登録した管理情報は、SA(Security Association) で管理します。SA を区別する ID は自動的に付与されます。SA の ID や状態はshow ipsec sa コマンドで確認することができます。SA には、鍵の寿命に合わせた寿命があります。SA の属性のうちユーザが指定可能なパラメータをポリシーと呼びます。またその番号はポリシーID と呼び、ipsec sa policy コマンドで定義し、ipsec ike duration ipsec-saipsec ike duration isakmp-sa コマンドで寿命を設定します。
SA の削除はipsec sa delete コマンドで、SA の初期化はipsec refresh sa コマンドで行います。ipsec auto refresh コマンドにより、SA を自動更新させることも可能です。


IPsec による通信には、大きく分けてトンネルモードとトランスポートモードの 2 種類があります。
トンネルモードは IPsec による VPN(Virtual Private Network) を利用するためのモードです。ルーターがセキュリティ・ゲートウェイとなり、LAN 上に流れる IP パケットデータを暗号化して対向のセキュリティ.ゲートウェイとの間でやりとりします。ルーターが IPsec に必要な処理をすべて行うので、LAN 上の始点や終点となるホストには特別な設定を必要としません。
トンネルモードを用いる場合は、トンネルインタフェースという仮想的なインタフェースを定義し、処理すべき IP パケットがトンネルインタフェースに流れるように経路を設定します。個々のトンネルインタフェースはトンネルインタフェース番号で管理されます。設定のためにトンネル番号を切替えるにはtunnel select コマンドを使用します。トンネルインタフェースを使用するか使用しないかは、それぞれtunnel enabletunnel disable コマンドを使用します。

相手先情報番号による設定   トンネルインタフェース番号による設定
  • pp enable
  • pp disable
  • pp select
<==>
  • tunnel enable
  • tunnel disable
  • tunnel select

トランスポートモードは特殊なモードであり、ルーター自身が始点または終点になる通信に対してセキュリティを保証するモードです。ルーターからリモートのルーターへ TELNET で入るなどの特殊な場合に利用できます。トランスポートモードを使用するにはipsec transport コマンドで定義を行い、使用をやめるにはno ipsec transport コマンドで定義を削除します。

セキュリティ・ゲートウェイの識別子とトンネルインタフェース番号はモデルにより異なり、以下の表のようになります。
モデル セキュリティ・ゲートウェイの識別子 トンネルインタフェース番号
RTX5000 1-3000 1-3000
RTX3510 1-1000 1-1000
RTX3500 1-1000 1-1000
RTX1300 1-100 1-100
RTX1220 1-100 1-100
RTX1210 1-100 1-100
RTX830 1-20 1-20

本機はメインモード (main mode) とアグレッシブモード (aggressive mode) に対応しています。VPN を構成する両方のルーターが固定のグローバルアドレスを持つときにはメインモードを使用し、一方のルーターしか固定のグローバルアドレスを持たないときにはアグレッシブモードを使用します。


メインモードを使用するためには、ipsec ike remote address コマンドで対向のルーターの IP アドレスを設定する必要があります。アグレッシブモードを使用するときには、固定のグローバルアドレスを持つかどうかによって設定が異なります。固定のグローバルアドレスを持つルーターには、ipsec ike remote name コマンドを設定し、ipsec ike remote address コマンドで any を設定します。固定のグローバルアドレスを持たないルーターでは、ipsec ike local name コマンドを設定し、ipsec ike remote address コマンドで IP アドレスを設定します。
メインモードでは、ipsec ike local name コマンドやipsec ike remote name コマンドを設定することはできません。また、アグレッシブモードでは、ipsec ike local name コマンドとipsec ike remote name コマンドの両方を同時に設定することはできません。このように設定した場合には、正しく動作しない可能性があります。