SA 関連の設定 - IPsec の設定 - RT57i・RTV700 コマンドリファレンス

11. IPsec の設定

11.25 SA 関連の設定

再起動されるとすべての SA がクリアされることに注意しなくてはいけない。

[ 適用 Revision] RT57i 使用不可 RTV700 全リビジョン

[ 適用 Revision] RT57i 使用不可 RTV700 8.00.53以降

122 11.IPsec の設定

11.25.1 SA のポリシーの定義

[ 書式 ] ipsec sa policy policy_id gateway_id ah ah_algorithm [local-id=local_id] [remote-id=remote_id] ipsec sa policy policy_idgateway_id esp esp_algorithm [ah_algorithm] [local-id=local_id] [remote-id=remote_id]

no ipsec sa policy policy_id [gateway_id] [ 設定値 ] ^○ policy_id ... ポリシー ID ( 1..2147483647)

○ gateway_id... セキュリティ・ゲートウェイの識別子

○ ah... 認証ヘッダ (Authentication Header) を示すキーワード

○ esp... 暗号ペイロード (Encapsulating Security Payload) を示すキーワード

○ ah_algorithm

● md5-hmac... HMAC-MD5

● sha-hmac... HMAC-SHA

○ esp_algorithm

● 3des-cbc... 3DES-CBC

● des-cbc... DES-CBC

● aes-cbc... AES-CBC

○ local_id... 自分側のプライベートネットワーク

○ remote_id... 相手側のプライベートネットワーク

[ 説明 ] SA のポリシーを定義する。この定義はトンネルモードおよびトランスポートモードの設定に必要であ

る。この定義は複数のトンネルモードおよびトランスポートモードで使用できる。

[ ノート ] 双方で設定する local_idと remote_idは一致している必要がある。

[ 設定例 ] # ipsec sa policy 101 1 esp aes-cbc sha-hmac

11.25.2 SA の寿命の設定

[ 書式 ] ipsec ike duration sagateway_id second [kbytes] no ipsec ike duration sagateway_id [second [kbytes]]

[ 設定値 ] ^○ sa

● ipsec-sa... IPsec SA

● isakmp-sa... ISAKMP SA

○ gateway_id... セキュリティ・ゲートウェイの識別子

○ second ... 秒数 ( 300..691200)

○ kbytes ... キロ単位のバイト数 ( 100..100000)

[ 説明 ] IKE で提案する IPsec SA または ISAKMP SA の寿命を設定する。

kbytesパラメータを指定した場合には、 secondパラメータで指定した時間を経過するか指定したバイト数

のデータが処理された後に SA は消滅する。なお、 kbytesパラメータは saが ipsec-saの場合のみ有効。

[ 初期値 ] 28800秒

11.25.3 ダングリング SA の動作の設定

[ 書式 ] ipsec ike restrict-dangling-sa gateway_idaction no ipsec ike restrict-dangling-sa gateway_id[action] [ 設定値 ] ^○ gateway_id... セキュリティ・ゲートウェイの識別子

○ action

● auto... アグレッシブモードの始動側でのみ IKE SA と IPsec SA を同期させる

● off... IKE SA と I Psec SA を同期させない。

[ 適用 Revision] RT57i 使用不可 RTV700 全リビジョン

[ 説明 ] このコマンドはダングリング SA の動作に制限を設ける。

ダングリング SA とは、IKE SA を削除するときに対応する IPsec SA を削除せずに残したときの状態を指す。RT シリーズでは基本的にはダングリング SA を許す方針で実装しており、IKE SA と I Psec SA を独立のタイミングで削除する。

autoを設定したときには、アグレッシブモードの始動側でダングリング SA を排除し、IKE SA と IPsec SA を同期して削除する。この動作は IKE keepalive が正常に動作するために必要な処置である。

offを設定したときには、常にダングリング SA を許す動作となり、IKE SA と IPsec SA を独立なタイミングで削除する。

ダイヤルアップ VPN のクライアント側ではない場合には、このコマンドの設定に関わらず常に IKE SA と IPsec SA は独立に管理され、削除のタイミングは必ずしも同期しない。

[ ノート ] ダングリング SA の強制削除が行なわれても、通常は新しい IKE SA に基づいた新しい IPsec SA が存在するので通信に支障が出ることはない。

ダイヤルアップ VPN のクライアント側でダングリング SA を許さないのは、IKE キープアライブを正しく機能させるために必要なことである。

IKE キープアライブでは、IKE SA に基づいてキープアライブを行なう。ダングリング SA が発生した場合には、その SA についてはキープアライブを行なう IKE SA が存在せず、キープアライブ動作が行なえない。そのため、IKE キープアライブを有効に動作させるにはダングリング SA が発生したら強制的に削除して、通信は対応する IKE SA が存在する IPsec SA で行なわれるようにしなくてはいけない。

ダングリング SA の扱いについては、動作モードとリビジョンによって動作が異なる。

(A) ダングリング SA が発生しても何もせず通信を続ける

(B) ダングリング SA が発生した時にはそれを消去し、必要であれば新しい SA を作成して通信を行なう

11.25.4 SA の削除

[ 書式 ] ipsec sa delete id [ 設定値 ] ^○ id

●SA の ID

● all... すべての SA

[ 説明 ] 指定した SA を削除する。

SA の ID は自動的に付与され、 show ipsec saコマンドで確認することができる。

11.25.5 SA の手動更新

[ 書式 ] ipsec refresh sa

[ 設定値 ] なし

[ 説明 ] SA を手動で更新する。

リビジョン 7.01.05 以前 7.01.08 7.01.15 7.01.16 以降

ダイヤルアップ VPN

のクライアント側 (A) (B) (C)

それ以外 (A) (B) (A)

[ 適用 Revision] RT57i 使用不可 RTV700 全リビジョン

124 11.IPsec の設定

[ ノート ] 管理されている SA をすべて削除して、IKE の状態を初期化する。

このコマンドでは、SA の削除を相手に通知しないので、通常の運用では ipsec sa delete allコマンドの方が望ましい。

11.25.6 IKE の鍵交換を始動するか否かの設定

[ 書式 ] ipsec auto refresh [gateway_id] switch no ipsec auto refresh [gateway_id]

[ 設定値 ] ^○ gateway_id... セキュリティ・ゲートウェイの識別番号

○ switch

● on... 鍵交換を始動する

● off... 鍵交換を始動しない

[ 説明 ] IKE の鍵交換を始動するかどうかを設定する。このコマンドの設定が onの場合には、IPsec の通信に必

要な鍵を作るために、必要に応じて鍵交換を始動する。このコマンドの設定が offの場合には、鍵交換を始動することはない。なお、このコマンドの設定に関係なく、他のルータが始動した鍵交換については、

常に受け付ける。

[ 初期値 ] ipsec auto refresh off

ipsec auto refresh gateway_id on

ドキュメント内 RT57i・RTV700 コマンドリファレンス (ページ 121-124)