Security Gateway and IPsec release 3


IPsecリリース3とIPsecリリース2の接続性


作成日1999/Jul/23
最終変更日2018/Nov/06
文書サイズ4.9KB


このドキュメントでは、IPsecリリース2との相互接続する際の注意点を説明する。

  1. IPsecリリース2
  2. IKEのパラメータ
  3. IPsecの認証アルゴリズム
  4. Rev.3.01系ファームウェアに固有の問題


1. IPsecリリース2


2. IKEのパラメータ

IPsecリリース2では、IKEのパラメータが固定されているため、 それに合わせる必要がある。具体的な設定例を以下に示す。各コマンドの 仕様は、こちらの 「IPsecリリース3のコマンド仕様」に記載されている。

ipsec ike encryption ゲートウェイ番号 des-cbc (デフォルト)
ipsec ike hash ゲートウェイ番号 md5 (デフォルト)
ipsec ike group ゲートウェイ番号 modp768 (デフォルト)
ipsec ike local id ゲートウェイ番号 clear (デフォルト)
ipsec ike payload type ゲートウェイ番号 1
ipsec ike pfs ゲートウェイ番号 on
ipsec ike remote id ゲートウェイ番号 clear (デフォルト)
ipsec ike send info ゲートウェイ番号 on (デフォルト)

これらのパラメータは、IPsecリリース2では、 固定に設定されているため、 これ以外の引数を与えた場合には、正しく動作しない。


3. IPsecの認証アルゴリズム

IPsecリリース2では、IPsecの認証アルゴリズムとして、HMAC-SHAを使用することができないため、 以下のように、HMAC-MD5を設定する必要がある。

ipsec sa policy 101 192.168.1.1 esp des-cbc md5-hmac
ipsec sa policy 102 192.168.1.1 ah md5-hmac

4. Rev.3.01系ファームウェアに固有の問題

RT100i/102iでRev.3.01系ファームウェアを使用する場合には、 以下の問題が発生する。

この問題点を回避するためには、IPマスカレード機能を使用しないか、 Rev.4系(Rev.4.00.24以降)のファームウェアを使用する必要がある。 ただし、RT100i/102iではRev.4系のファームウェアを利用できないため、 RT103iなどの機種を用意しなければならない。