フロートリンクとIPsec/IKEを併用する時の注意
VPN設定にフロートリンクを使用し、かつ、IPsec/IKEを使用する場合、IPsec/IKEのパラメータの多くは自動的に設定されます。
IPsec/IKEパラメータ
パラメータ | 項目 | 値 |
---|---|---|
IKEの調整項目 (IKE Phase-1) |
暗号アルゴリズム | AES256, AES128 |
認証アルゴリズム | SHA-1(変更可能) | |
DHグループ | MODP1536 | |
ライフタイム | 86400秒 | |
IPsecの調整項目 (IKE Phase-2) |
暗号アルゴリズム | AES256, AES128 |
メッセージ認証アルゴリズム | HMAC-SHA-1(変更可能) | |
ライフタイム | 28800秒 | |
PFSグループ | なし | |
IKEの対向との調整項目 | 鍵交換モード:既定値 | メインモード |
鍵交換モード:アドレス書き換え検知使用時 | アグレッシブモード | |
ポート番号 | UDP 500 | |
値の同一性確認の厳密さ | 始動側に従う | |
INITIAL-CONTACTメッセージ | 送信する | |
自己識別子 | IPアドレス | |
相手識別子 | IPアドレス | |
Nonce値の大きさ | 16 bytes | |
DPD(Dead Peer Detection) | 有効 | |
受動側専用モード | 使用しない | |
自動始動モード | 有効 | |
トンネルインタフェースモード | 有効 | |
パディング値のランダム化 | 有効 | |
パディング長のランダム化 | 無効 | |
ランダム化したパディング長の最大値 | 20 bytes | |
パディングの末尾のパディング長の検査 | 無効 | |
パディングの末尾のパディングに自身の長さを含める | 有効 | |
再送回数 | 5回 | |
再送間隔 | 10秒 | |
Phase-1のタイムアウト | 30秒 | |
Phase-2のタイムアウト | 30秒 | |
1回の送信で送るパケット数 | 1個 | |
DPDの送信間隔 | 20秒 | |
DPDで接続断と見なす連続無応答回数 | 5回 | |
IPsecセキュリティアソシエーション | セキュリティプロトコル | ESP有効, AH無効 |
非フロートリンクのIPsec/IKEも併用する場合
フロートリンクを使用するinterface <ipsec>と非フロートリンクのinterface <ipsec>が終端アドレス共用する場合、clear floatlinkで非フロートリンク側も切断します。
非フロートリンク側の切断を避けたい場合、終端アドレスを分離するなど、ネットワーク構成を見直してください。