Security Gateway and IPsec release 3
作成日 | 1999/Jul/23 |
最終変更日 | 2018/Nov/06 |
文書サイズ | 5.4KB |
このドキュメントでは、鍵交換とSAの管理について、基本的な動作を説明する。
鍵交換を始動するときには、従来のコマンドでは、 ipsec refresh saというコマンドを実行する。しかし、新しいコマンド仕様では、 ipsec refresh saコマンドで、鍵交換を始動することはできず、 鍵交換のタイミングは、完全に自動化されている。 ただし、ユーザが鍵交換を制御する方法として、 ipsec auto refreshコマンドを使うことができる。 このコマンドの設定がoffのときには鍵交換をこちらから始動することはない。
ipsec auto refreshコマンドの設定がonのときには、必要に応じて、 自動的に鍵交換が始動される。必要に応じて、というのは、 設定されたipsec tunnelコマンドや、 ipsec transportコマンドに相当するSAが存在しないときを意味する。 必要なSAが既に存在するときには、鍵交換を始動しない。
鍵交換が終了すると、SAが作成される。作成されたSAの状態は、 show ipsec saコマンドで知ることができる。このコマンドの表示は、 以下のようになる。
SA[4] 寿命: 124秒 相手ホスト: 192.168.111.218, 送受信方向: 送受信 プロトコル: IKE SPI: b9 2c 6f e9 56 4b 66 97 52 8f 0d e1 60 e2 33 95 鍵 : eb fc 81 25 04 ee b7 e8 ---------------------------------------------------- SA[5] 寿命: 126秒 相手ホスト: 192.168.111.218, 送受信方向: 送信 プロトコル: ESP (モード: tunnel) アルゴリズム: DES-CBC (認証: none) SPI: b3 84 c6 02 鍵 : 85 78 23 e0 2f 89 37 49 4a 69 17 ac 88 92 df ca ----------------------------------------------------
最初に表示される「SA[4]」などの表示は、 SAの管理番号を表している。これらの番号は、 syslogで表示されるものと同じである (「IPsecリリース3のIKEのログ出力」を参照)。 寿命は、秒で計測される「秒寿命」と、 処理したバイト数で計測される「キロバイト寿命」が表示される。 ただし、キロバイト寿命は、ネゴシエーションされていないときには表示されない。
寿命が少なくなったSAは更新される。ただし、寿命が少ないSAが存在しても、 他に代わりとなるSAがあれば、更新されることはない。 寿命が少なくなったと判断されるのは、元の寿命に対して、 残りの寿命が1/4以下になったときである。
更新されても、古いSAがすぐに消されることはなく、寿命が尽きるまで存在する。 RTでは、寿命の長いSAを優先的に使うため、古いSAは使われないで、 そのまま放置される。
なお、例外的な処理として、キロバイト寿命が少なくなった場合には、 秒寿命は強制的に小さな値に変更される。なぜならば、 SAが更新されると新しいSAが優先的に使われるため、 古いSAのキロバイト寿命が減らず、 いつまでも古いSAが消滅しないことがあるためである。
鍵交換は、何度かのメッセージの交換によって終了する。しかし、 何らかの理由で、メッセージが破棄されることもあるので、 メッセージは再送される。再送の回数と間隔は、 ipsec ike retryコマンドで設定することができる。
再送の回数が設定された回数を超えたら、 その対地に対する通信路が落ちたものと判断し、鍵交換を休止する。ただし厳密には、 実行中の鍵交換のすべてについて個別に回数を計っているので、 複数の鍵交換が同時に進行している場合には、直ちに休止しないことがある。
休止した鍵交換は、以下のいずれかの条件で復帰する。