SA 関連の設定 - IPsec の設定 - RTX/RTシリーズコマンドリファレンス

16. IPsec の設定

16.26 SA 関連の設定

再起動されるとすべての SA がクリアされることに注意しなくてはいけない。

16.26.1 SA の寿命の設定

[ 書式 ] ipsec ike duration sagateway_id second [kbytes] no ipsec ike duration sagateway_id [second [kbytes]]

[ 設定値 ] ^○sa

●ipsec-sa...IPsec SA

●isakmp-sa... ISAKMP SA

○gateway_id... セキュリティ・ゲートウェイの識別子

○second ...秒数 (300..691200)

○kbytes ...キロ単位のバイト数 (100..100000) [ 説明 ] IKE で提案する IPsec SA または ISAKMP SA の寿命を設定する。

kbytesパラメータを指定した場合には、secondパラメータで指定した時間を経過するか指定したバイト数のデー

タが処理された後に SA は消滅する。なお、kbytesパラメータは saが ipsec-saの場合のみ有効。

[ 初期値 ] 28800秒

[ 適用モデル ] RTX3000 RTX2000 RTX1500 RTX1100 RTX1000 RT300i RT250i RT107e

160 16.IPsec の設定

16.26.2 SA のポリシーの定義

[ 書式 ] ipsec sa policy policy_id gateway_id ah ah_algorithm [local-id=local-id] [remote-id=remote-id] [anti-replay-check=check]

ipsec sa policy policy_idgateway_id esp esp_algorithm [ah_algorithm] [anti-replay-check=check] no ipsec sa policy policy_id [gateway_id]

[ 設定値 ] ^○policy_id ...ポリシー ID (1..2147483647)

○gateway_id... セキュリティ・ゲートウェイの識別子

○ah...認証ヘッダ (Authentication Header) を示すキーワード

○esp...暗号ペイロード (Encapsulating Security Payload) を示すキーワード

○ah_algorithm

●md5-hmac...HMAC-MD5

●sha-hmac... HMAC-SHA

○esp_algorithm

●3des-cbc... 3DES-CBC

●des-cbc...DES-CBC

●aes-cbc...AES-CBC

○local-id...自分側のプライベートネットワーク

○remote-id...相手側のプライベートネットワーク

○check

●on... シーケンス番号のチェックを行う

●off... シーケンス番号のチェックを行わない

[ 説明 ] SA のポリシーを定義する。この定義はトンネルモードおよびトランスポートモードの設定に必要である。この定

義は複数のトンネルモードおよびトランスポートモードで使用できる。

check=onの場合、受信パケット毎にシーケンス番号の重複や番号順のチェックを行い、エラーとなるパケットは

破棄する。破棄する際には debug レベルで [IPSEC] sequence difference [IPSEC] sequence number is wrong といったログが記録される。

相手側が、トンネルインタフェースでの優先 / 帯域制御を行っている場合、シーケンス番号の順序が入れ替わってパケットを受信することがある。その場合、実際にはエラーではないのに上のログが表示され、パケットが破棄されることがあるので、そのような場合には設定を offにするとよい。

[ ノート ] local-idと remote-idは Rev.6.03.18 以降、Rev.7.00.14 以降で使用可能。

双方で設定する local-idと remote-idは一致している必要がある。

checkパラメータは Rev.7.01.26 以降で使用可能。

[ 初期値 ] anti-replay-check = on

[ 設定例 ] # ipsec sa policy 101 1 esp aes-cbc sha-hmac

16.26.3 SA の手動更新

[ 書式 ] ipsec refresh sa

[ 設定値 ] なし

[ 説明 ] SA を手動で更新する。

[ ノート ] 管理されている SA をすべて削除して、IKE の状態を初期化する。

このコマンドでは、SA の削除を相手に通知しないので、通常の運用では ipsec sa delete allコマンドの方が望ましい。

[ 適用モデル ] RTX3000 RTX2000 RTX1500 RTX1100 RTX1000 RT300i RT250i RT107e

16.26.4 ダングリング SA の動作の設定

[ 書式 ] ipsec ike restrict-dangling-sa gateway_idaction no ipsec ike restrict-dangling-sa gateway_id[action]

[ 設定値 ] ^○gateway_id... セキュリティ・ゲートウェイの識別子

○action

●auto... アグレッシブモードの始動側でのみ IKE SA と IPsec SA を同期させる

●off... IKE SA と I Psec SA を同期させない。

[ 説明 ] このコマンドはダングリング SA の動作に制限を設ける。

ダングリング SA とは、IKE SA を削除するときに対応する IPsec SA を削除せずに残したときの状態を指す。

RT シリーズでは基本的にはダングリング SA を許す方針で実装しており、IKE SA と IPsec SA を独立のタイミングで削除する。

autoを設定したときには、アグレッシブモードの始動側でダングリング SA を排除し、IKE SA と IPsec SA を同期して削除する。この動作は IKE keepalive が正常に動作するために必要な処置である。

offを設定したときには、常にダングリング SA を許す動作となり、IKE SA と IPsec SA を独立なタイミングで削除する。

ダイヤルアップ VPN のクライアント側ではない場合には、このコマンドの設定に関わらず常に IKE SA と IPsec SA は独立に管理され、削除のタイミングは必ずしも同期しない。

[ ノート ] ダングリング SA の強制削除が行われても、通常は新しい IKE SA に基づいた新しい IPsec SA が存在するので通信に支障が出ることはない。

ダイヤルアップ VPN のクライアント側でダングリング SA を許さないのは、IKE キープアライブを正しく機能させるために必要なことである。

IKE キープアライブでは、IKE SA に基づいてキープアライブを行う。ダングリング SA が発生した場合には、

その SA についてはキープアライブを行う IKE SA が存在せず、キープアライブ動作が行えない。そのため、IKE キープアライブを有効に動作させるにはダングリング SA が発生したら強制的に削除して、通信は対応する IKE SA が存在する IPsec SA で行われるようにしなくてはいけない。

ダングリング SA の扱いについては、動作モードとリビジョンによって動作が異なる。

(A) ダングリング SA が発生しても何もせず通信を続ける

(B) ダングリング SA が発生した時にはそれを消去し、必要であれば新しい SA を作成して通信を行う (C) このコマンドにより動作を変更できる

[ 初期値 ] auto

16.26.5 SA の削除

[ 書式 ] ipsec sa delete id

[ 設定値 ] ^○id

●SA の ID

●all... すべての SA

[ 説明 ] 指定した SA を削除する。

SA の ID は自動的に付与され、show ipsec saコマンドで確認することができる。

リビジョン 7.01.05 以前 7.01.08 7.01.15 7.01.16 以降ダイヤルアップ VPN

のクライアント側 (A) (B) (C)

それ以外 (A) (B) (A)

[ 適用モデル ] RTX3000 RTX2000 RTX1500 RTX1100 RTX1000 RT300i RT250i RT107e

162 16.IPsec の設定

ドキュメント内 RTX/RTシリーズコマンドリファレンス (ページ 159-162)