SA 関連の設定

再起動されるとすべての SA がクリアされることに注意しなくてはいけない。

14.33.1 SA の寿命の設定

[ 書式 ] ipsec ike duration sagateway_id second [kbytes] [rekey rekey] no ipsec ike duration sagateway_id [second [kbytes] [rekey rekey]]

[ 設定値 ] ^○sa

●ipsec-sa... IPsec SA

●isakmp-sa... ISAKMP SA

○gateway_id... セキュリティ・ゲートウェイの識別子

○second... 秒数 (300..691200)

○kbytes... キロ単位のバイト数 (100..100000)

○rekey... SA を更新するタイミング

●パーセント (70% - 90%)

●off ... 更新しない

(saパラメータで isakmp-saを指定したときのみ設定可能 ) [ 説明 ] IKE で提案する IPsec SA または ISAKMP SA の寿命を設定する。

kbytesパラメータを指定した場合には、secondパラメータで指定した時間が経過するか、指定したバイト数の

データを処理した後に SA は消滅する。kbytesパラメータは saパラメータとして ipsec-saを指定したときのみ 有効である。

rekeyパラメータは SA を更新するタイミングを決定する。 例えば、secondパラメータで 20000 を指定し、

rekeyパラメータで 75% を指定したときには、SA を生成してから 15000 秒経過したときに新しい SA を生成す

る。rekeyパラメータは secondパラメータに対する比率を表すもので、kbytesパラメータの値とは関係がない。

saパラメータで isakmp-saを指定したときに限り、rekeyパラメータで offを設定できる。

この場合には、IPsec SA を作る必要がない限り、ISAKMP SA の更新を保留するので、ISAKMP SA の生成を 最小限に抑えることができる。ただし、この効果を得るためには次の 2 点に注意して設定する必要がある。

1.IPsec SA よりも ISAKMP SA の寿命を短く設定する。

2. ダングリング SA を許可する。 すなわち、ipsec ike restrict-dangling-saコマンドの設定を offにする。

なお、このコマンドを設定しても、すでに存在する SA の寿命値は変化せず、新しく作られる SA にのみ、新し い寿命値が適用される。

[ 初期値 ] second : 28800秒 rekey : 75%

148 14.IPsec の設定

14.33.2 SA のポリシーの定義

[ 書式 ] ipsec sa policy policy_id gateway_id ah ah_algorithm [local-id=local-id] [remote-id=remote-id] [anti-replay-check=check]

ipsec sa policy policy_idgateway_id esp esp_algorithm [ah_algorithm] [anti-replay-check=check] no ipsec sa policy policy_id [gateway_id]

[ 設定値 ] ^○policy_id...ポリシー ID (1..2147483647)

○gateway_id... セキュリティ・ゲートウェイの識別子

○ah...認証ヘッダ (Authentication Header) を示すキーワード

○esp...暗号ペイロード (Encapsulating Security Payload) を示すキーワード

○ah_algorithm

●md5-hmac...HMAC-MD5

●sha-hmac... HMAC-SHA

○esp_algorithm

●3des-cbc... 3DES-CBC

●des-cbc...DES-CBC

●aes-cbc...AES-CBC

○local-id...自分側のプライベートネットワーク

○remote-id...相手側のプライベートネットワーク

○check

●on... シーケンス番号のチェックを行う

●off... シーケンス番号のチェックを行わない

[ 説明 ] SA のポリシーを定義する。この定義はトンネルモードおよびトランスポートモードの設定に必要である。この定

義は複数のトンネルモードおよびトランスポートモードで使用できる。

check=onの場合、受信パケット毎にシーケンス番号の重複や番号順のチェックを行い、 エラーとなるパケットは

破棄する。破棄する際には debug レベルで [IPSEC] sequence difference [IPSEC] sequence number is wrong といったログが記録される。

相手側が、トンネルインタフェースでの優先 / 帯域制御を行っている場合、シーケンス番号の順序が入れ替わっ てパケットを受信することがある。その場合、実際にはエラーではないのに上のログが表示され、パケットが破 棄されることがあるので、そのような場合には設定を offにするとよい。

[ ノート ] 双方で設定する local-idと remote-idは一致している必要がある。

[ 初期値 ] anti-replay-check = on

[ 設定例 ] # ipsec sa policy 101 1 esp aes-cbc sha-hmac

14.33.3 SA の手動更新

[ 書式 ] ipsec refresh sa

[ 設定値 ] なし

[ 説明 ] SA を手動で更新する。

[ ノート ] 管理されている SA をすべて削除して、IKE の状態を初期化する。

このコマンドでは、SA の削除を相手に通知しないので、通常の運用では ipsec sa delete allコマンドの方が望 ましい。

14.33.4 ダングリング SA の動作の設定

[ 書式 ] ipsec ike restrict-dangling-sa gateway_idaction no ipsec ike restrict-dangling-sa gateway_id[action]

[ 設定値 ] ^○gateway_id... セキュリティ・ゲートウェイの識別子

○action

●auto... アグレッシブモードの始動側でのみ IKE SA と IPsec SA を同期させる

●off... IKE SA と I Psec SA を同期させない。

[ 説明 ] このコマンドはダングリング SA の動作に制限を設ける。

ダングリング SA とは、IKE SA を削除するときに対応する IPsec SA を削除せずに残したときの状態を指す。

本製品では基本的にはダングリング SA を許す方針で実装しており、IKE SA と IPsec SA を独立のタイミング で削除する。

autoを設定したときには、アグレッシブモードの始動側でダングリング SA を排除し、IKE SA と IPsec SA を同期 して削除する。この動作は IKE keepalive が正常に動作するために必要な処置である。

offを設定したときには、常にダングリング SA を許す動作となり、IKE SA と IPsec SA を独立なタイミングで削 除する。

ダイヤルアップ VPN のクライアント側ではない場合には、このコマンドの設定に関わらず常に IKE SA と IPsec SA は独立に管理され、削除のタイミングは必ずしも同期しない。

[ ノート ] ダングリング SA の強制削除が行われても、通常は新しい IKE SA に基づいた新しい IPsec SA が存在するので

通信に支障が出ることはない。

ダイヤルアップ VPN のクライアント側でダングリング SA を許さないのは、IKE キープアライブを正しく機能さ せるために必要なことである。

IKE キープアライブでは、IKE SA に基づいてキープアライブを行う。ダングリング SA が発生した場合には、 そ の SA についてはキープアライブを行う IKE SA が存在せず、キープアライブ動作が行えない。そのため、IKE キープアライブを有効に動作させるにはダングリング SA が発生したら強制的に削除して、通信は対応する IKE SA が存在する IPsec SA で行われるようにしなくてはいけない。

ダイヤルアップ VPN のクライアント側：このコマンドにより動作を変更できる。

上記以外：ダングリング SA が発生しても何もせず通信を続ける。

[ 初期値 ] auto

14.33.5 IPsec NAT トラバーサルを利用するための設定

[ 書式 ] ipsec ike nat-traversal gateway switch [ keepalive=interval ] no ipsec ike nat-traversal gateway [ switch [ keepalive=interval ] ]

[ 設定値 ] ^○gateway... セキュリティゲートウェイの識別子

○switch... 動作の有無

●on... NAT トラバーサルの動作を有効にする

●off... NAT トラバーサルの動作を無効にする

○interval... NAT キープアライブの送信間隔

●off... 送信しない

●時間... 30 - 100000[ 秒 ]

[ 説明 ] NAT トラバーサルの動作を設定する。この設定があるときには、IKE で NAT トラバーサルの交渉を行う。

相手が NAT トラバーサルに対応していないときや、通信経路上に NAT の処理がないときには、NAT トラバー サルを使用せず、ESP パケットを使って通信する。

対向のルータや端末でも NAT トラバーサルの設定が必要である。いずれか一方にしか設定がないときには、

NAT トラバーサルを使用せず、ESP パケットを使って通信する。

[ ノート ] ipsec ike esp-encapsulationコマンドとの併用はできない。

また、IPComp が設定されているトンネルインタフェースでは利用できない。

アグレッシブモードの ESP トンネルでのみ利用できる。メインモードや AH では利用できず、 トランスポート モードでも利用できない。

[ 初期値 ] switch = off interval = 300

150 14.IPsec の設定

14.33.6 SA の削除

[ 書式 ] ipsec sa delete id

[ 設定値 ] ^○id

●SA の ID

●all... すべての SA

[ 説明 ] 指定した SA を削除する。

SA の ID は自動的に付与され、show ipsec saコマンドで確認することができる。