Security Gateway and IPsec release 3

1. はじめに
2. コマンドの仕様変更点
3. 設定変更の流れ

1.はじめに

IPsecのコマンド仕様が変更されたことに伴って、 既存の設定を変更する必要が生じる。そこで、このドキュメントでは、 設定を移行するときに注意すべき点を説明する。より細かいコマンド仕様については、 「IPsecリリース3のコマンド仕様」に記載する。

今回、書式が変更されたコマンドは、以下の4つである。 以下では、これらのコマンドの変更点を示し、 従来の設定をどのように変更すれば良いかを説明する。

• ipsec pre-shared-key
• ipsec sa duration
• ipsec ike host
• ipsec ike local host

2. コマンドの仕様変更点

• 2.1 概要

  従来のコマンド体系では、相手側のセキュリティ・ゲートウェイを IPアドレスで識別しているが、変更されたコマンド体系では、 新しくゲートウェイ番号という識別子を用意し、セキュリティ・ ゲートウェイを、ゲートウェイ番号によって識別する。 例えば、寿命を設定する新しいコマンドは、以下のような 書式を持つ。ここで、「ゲートウェイ番号」というパラメータが、 寿命を設定すべきセキュリティ・ゲートウェイを表している。

  ipsec ike duration ipsec-sa ゲートウェイ番号 寿命
  

  このように、相手のセキュリティ・ゲートウェイに対して、 あらかじめ、ゲートウェイ番号を割り当てておく必要がある。 ゲートウェイ番号は、RT103iでは1から10までの整数であり、 それ以外の機種では1から20までの整数である。

• 2.2 ipsec pre-shared-key

  このコマンドは、事前共有鍵を設定するためのコマンドであったが、 バイナリ鍵の書式が変更された。従来は、バイナリ鍵を、 1バイトずつ空白で区切って記述する必要があったが、 新しい書式では、空白で区切る必要はなくなった。しかし、 新しい書式では、先頭に'0x'を付けなければならない。

  [入力形式]
          ipsec pre-shared-key IP_ADDRESS clear
          ipsec pre-shared-key IP_ADDRESS text TEXT_KEY
          ipsec pre-shared-key IP_ADDRESS BINARY_KEY
  [パラメータ]
          IP_ADDRESS      相手側のセキュリティゲートウェイのIPアドレス
          TEXT_KEY        テキスト鍵 最大32文字まで
          BINARY_KEY = '0x...'    バイナリ鍵 最大32バイトまで
  

  [ ダイヤルアップVPNに関する補足 ]
  

  • Rev.4.00.33から追加されたダイ ヤルアップVPN機能により、[ipsec pre-shared-key]コマンドの仕様変更 があり、コマンドも[ipsec ike pre-shared-key]へと変更されました。

• 2.3 ipsec sa duration

  このコマンドは、SAの寿命を設定するためのコマンドであったが、 以下のように書式が変更された。従来は、ただ1つの値しか設定できなかったが、 相手のセキュリティ・ゲートウェイごとに設定できるようになった。 なお、このコマンドは必須ではないので、 デフォルトの寿命値(8時間)を使用する場合には、この設定を省略できる。

  [入力形式]
          ipsec ike duration ipsec-sa GATEWAY SECOND [KILOBYTE]
  
  [パラメータ]
          GATEWAY         ゲートウェイ番号
                  1 - 10 (RT103i)
                  1 - 20 (RT140/RT200i)
          SECOND          秒寿命
          KILOBYTE        キロバイト寿命
  

• 2.4 ipsec ike host

  このコマンドは、 相手側のセキュリティ・ゲートウェイの IPアドレスを設定するためのコマンドであったが、以下のように書式が変更された。 従来は複数のIPアドレスを列記できたが、仕様変更により、 各ゲートウェイ番号に対して、ただ1つのIPアドレスを設定することになった。 なお、従来の仕様に含まれていたnoneとallのパラメータは廃止された。 以下に、新しいコマンドの書式を示す。

  [入力形式]
          ipsec ike remote address GATEWAY ADDRESS
          ipsec ike remote address GATEWAY clear
  [パラメータ]
          GATEWAY         ゲートウェイ番号
                  1 - 10 (RT103i)
                  1 - 20 (RT140/RT200i)
          ADDRESS         IPアドレス
  

• 2.5 ipsec ike local host

  このコマンドは、 自分側のセキュリティ・ゲートウェイの IPアドレスを設定するためのコマンドであったが、 以下のように書式が変更された。 従来は、ただ1つのIPアドレスしか設定できなかったが、 今回の仕様変更により、各ゲートウェイ番号に対して IPアドレスを設定できるようになった。 すなわち、相手のセキュリティ・ゲートウェイに応じて、 異なるIPアドレスを名乗ることができる。なお、 このコマンドは必須ではないので、必ずしも設定する必要はない。

  [入力形式]
          ipsec ike local address GATEWAY ADDRESS
          ipsec ike local address GATEWAY clear
  [パラメータ]
          GATEWAY         ゲートウェイ番号
                  1 - 10 (RT103i)
                  1 - 20 (RT140/RT200i)
          ADDRESS         IPアドレス
  

3. 設定変更の流れ

まず、各対地に対して、ゲートウェイ番号を割り当てる。番号は、 RT103iでは1から10までの整数であり、それ以外の機種では1から20までの整数である。

もし、ipsec pre-shared-keyコマンドで、バイナリ鍵を設定している場合には、 以下のように変更する。

        旧：ipsec pre-shared-key IPアドレス 1a de 03 2f ....
        新：ipsec pre-shared-key IPアドレス 0x1ade032f ....

次に、ipsec ike hostの設定を以下のように変更する。

        旧：ipsec ike host IPアドレス1 IPアドレス2 ... 
        新：ipsec ike remote address ゲートウェイ番号1 IPアドレス1
            ipsec ike remote address ゲートウェイ番号2 IPアドレス2
                ・
                ・
                ・

複数のIPアドレスが指定されていた場合には、IPアドレスごとに、 異なるゲートウェイ番号を割り当てなければならない。 次に、ipsec sa durationの設定があれば、以下のように変更する。

        旧：ipsec sa duration 寿命
        新：ipsec ike duration ipsec-sa ゲートウェイ番号 寿命 

もし、複数のセキュリティ・ゲートウェイがあるならば、 その数だけ設定する必要がある。最後に、ipsec ike local hostの設定があれば、 以下のように変更する。

        旧：ipsec ike local host IPアドレス
        新：ipsec ike local address ゲートウェイ番号 IPアドレス

この場合も、IPアドレスに対応したゲートウェイ番号を設定する。