12. IPsec の設定
12.26 SA 関連の設定
再起動されるとすべての SA がクリアされることに注意しなくてはいけない。
12.26.1 SA の寿命の設定
[ 書式 ] ipsec ike duration sagateway_id second [kbytes] no ipsec ike duration sagateway_id [second [kbytes]]
[ 設定値 ] ○ sa
● ipsec-sa... IPsec SA
● isakmp-sa... ISAKMP SA
○ gateway_id... セキュリティ・ゲートウェイの識別子
○ second... 秒数 (300..691200)
○ kbytes ... キロ単位のバイト数 (100..100000) [ 説明 ] IKE で提案する IPsec SA または ISAKMP SA の寿命を設定する。
kbytesパラメータを指定した場合には、secondパラメータで指定した時間を経過するか指定したバイト数のデー
タが処理された後に SA は消滅する。なお、kbytesパラメータは saが ipsec-saの場合のみ有効。
[ 初期値 ] 28800秒
[ 適用モデル ] RTX3000 RTX1100 RT107e
[ 適用モデル ] RTX3000 RTX1100 RT107e
[ 適用モデル ] RTX3000 RTX1100 RT107e
12.26.2 SA のポリシーの定義
[ 書式 ] ipsec sa policy policy_id gateway_id ah ah_algorithm [local-id=local-id] [remote-id=remote-id] [anti-replay-check=check]
ipsec sa policy policy_idgateway_id esp esp_algorithm [ah_algorithm] [anti-replay-check=check] no ipsec sa policy policy_id [gateway_id]
[ 設定値 ] ○ policy_id ...ポリシー ID (1..2147483647)
○ gateway_id...セキュリティ・ゲートウェイの識別子
○ ah...認証ヘッダ (Authentication Header) を示すキーワード
○ esp...暗号ペイロード (Encapsulating Security Payload) を示すキーワード
○ ah_algorithm
● md5-hmac...HMAC-MD5
● sha-hmac...HMAC-SHA
○ esp_algorithm
● 3des-cbc...3DES-CBC
● des-cbc...DES-CBC
● aes-cbc...AES-CBC
○ local-id...自分側のプライベートネットワーク
○ remote-id...相手側のプライベートネットワーク
○ check
● on...シーケンス番号のチェックを行う
● off...シーケンス番号のチェックを行わない
[ 説明 ] SA のポリシーを定義する。この定義はトンネルモードおよびトランスポートモードの設定に必要である。この定
義は複数のトンネルモードおよびトランスポートモードで使用できる。
check=onの場合、受信パケット毎にシーケンス番号の重複や番号順のチェックを行い、エラーとなるパケットは
破棄する。破棄する際には debug レベルで [IPSEC] sequence difference [IPSEC] sequence number is wrong といったログが記録される。
相手側が、トンネルインタフェースでの優先 / 帯域制御を行っている場合、シーケンス番号の順序が入れ替わっ てパケットを受信することがある。その場合、実際にはエラーではないのに上のログが表示され、パケットが破 棄されることがあるので、そのような場合には設定を offにするとよい。
[ ノート ] 双方で設定する local-idと remote-idは一致している必要がある。
[ 初期値 ] anti-replay-check = on
[ 設定例 ] # ipsec sa policy 101 1 esp aes-cbc sha-hmac
12.26.3 SA の手動更新
[ 書式 ] ipsec refresh sa
[ 設定値 ] なし
[ 説明 ] SA を手動で更新する。
[ ノート ] 管理されている SA をすべて削除して、IKE の状態を初期化する。
このコマンドでは、SA の削除を相手に通知しないので、通常の運用では ipsec sa delete allコマンドの方が望 ましい。
[ 適用モデル ] RTX3000 RTX1100 RT107e
12.26.4 ダングリング SA の動作の設定
[ 書式 ] ipsec ike restrict-dangling-sa gateway_idaction no ipsec ike restrict-dangling-sa gateway_id[action]
[ 設定値 ] ○ gateway_id... セキュリティ・ゲートウェイの識別子
○ action
● auto... アグレッシブモードの始動側でのみ IKE SA と IPsec SA を同期させる
● off... IKE SA と IPsec SA を同期させない。
[ 説明 ] このコマンドはダングリング SA の動作に制限を設ける。
ダングリング SA とは、IKE SA を削除するときに対応する IPsec SA を削除せずに残したときの状態を指す。RT シリーズでは基本的にはダングリング SA を許す方針で実装しており、IKE SA と IPsec SA を独立のタイミングで 削除する。
autoを設定したときには、アグレッシブモードの始動側でダングリング SA を排除し、IKE SA と IPsec SA を同期し て削除する。この動作は IKE keepalive が正常に動作するために必要な処置である。
offを設定したときには、常にダングリング SA を許す動作となり、IKE SA と IPsec SA を独立なタイミングで削除す る。
ダイヤルアップ VPN のクライアント側ではない場合には、このコマンドの設定に関わらず常に IKE SA と IPsec SA は独立に管理され、削除のタイミングは必ずしも同期しない。
[ ノート ] ダングリング SA の強制削除が行われても、通常は新しい IKE SA に基づいた新しい IPsec SA が存在するので通 信に支障が出ることはない。
ダイヤルアップ VPN のクライアント側でダングリング SA を許さないのは、IKE キープアライブを正しく機能さ せるために必要なことである。
IKE キープアライブでは、IKE SA に基づいてキープアライブを行う。ダングリング SA が発生した場合には、そ の SA についてはキープアライブを行う IKE SA が存在せず、キープアライブ動作が行えない。そのため、IKE キープアライブを有効に動作させるにはダングリング SA が発生したら強制的に削除して、通信は対応する IKE SA が存在する IPsec SA で行われるようにしなくてはいけない。
[ 初期値 ] auto
12.26.5 SA の削除
[ 書式 ] ipsec sa delete id
[ 設定値 ] ○ id
● SA の ID
● all... すべての SA
[ 説明 ] 指定した SA を削除する。
SA の ID は自動的に付与され、show ipsec saコマンドで確認することができる。
[ 適用モデル ] RTX3000 RTX1100 RT107e
[ 適用モデル ] RTX3000 RTX1100 RT107e