Security Gateway and IPsec release 3
作成日 | 1999/Jul/23 |
最終変更日 | 2018/Nov/06 |
文書サイズ | 4.9KB |
このドキュメントでは、IPsecリリース2との相互接続する際の注意点を説明する。
系列 | リビジョン | ハードウェア |
---|---|---|
Rev.3.01系 | Rev.3.01.11以降 | RT100i/RT102i |
Rev.4.00系 | Rev.4.00.02〜Rev.4.00.14 | RT103i/RT140ipef/RT200i |
IPsecリリース2との相互接続は、いくつかの注意事項を守ることで可能となる。
IPsecリリース2では、IKEのパラメータが固定されているため、 それに合わせる必要がある。具体的な設定例を以下に示す。各コマンドの 仕様は、こちらの 「IPsecリリース3のコマンド仕様」に記載されている。
ipsec ike encryption ゲートウェイ番号 des-cbc (デフォルト) ipsec ike hash ゲートウェイ番号 md5 (デフォルト) ipsec ike group ゲートウェイ番号 modp768 (デフォルト) ipsec ike local id ゲートウェイ番号 clear (デフォルト) ipsec ike payload type ゲートウェイ番号 1 ipsec ike pfs ゲートウェイ番号 on ipsec ike remote id ゲートウェイ番号 clear (デフォルト) ipsec ike send info ゲートウェイ番号 on (デフォルト)
これらのパラメータは、IPsecリリース2では、 固定に設定されているため、 これ以外の引数を与えた場合には、正しく動作しない。
IPsecリリース2では、IPsecの認証アルゴリズムとして、HMAC-SHAを使用することができないため、 以下のように、HMAC-MD5を設定する必要がある。
ipsec sa policy 101 192.168.1.1 esp des-cbc md5-hmac ipsec sa policy 102 192.168.1.1 ah md5-hmac
RT100i/102iでRev.3.01系ファームウェアを使用する場合には、 以下の問題が発生する。
この問題点を回避するためには、IPマスカレード機能を使用しないか、 Rev.4系(Rev.4.00.24以降)のファームウェアを使用する必要がある。 ただし、RT100i/102iではRev.4系のファームウェアを利用できないため、 RT103iなどの機種を用意しなければならない。