フロートリンクとIPsec/IKEを併用する時の注意
VPN設定にフロートリンクを使用し、かつ、IPsec/IKEを使用する場合、IPsec/IKEのパラメータの多くは自動的に設定されます。
IPsec/IKEパラメータ
| パラメータ | 項目 | 値 |
|---|---|---|
|
IKEの調整項目 (IKE Phase-1) |
暗号アルゴリズム | AES256, AES128 |
| 認証アルゴリズム | SHA-1(変更可能) | |
| DHグループ | MODP1536 | |
| ライフタイム | 86400秒 | |
|
IPsecの調整項目 (IKE Phase-2) |
暗号アルゴリズム | AES256, AES128 |
| メッセージ認証アルゴリズム | HMAC-SHA-1(変更可能) | |
| ライフタイム | 28800秒 | |
| PFSグループ | なし | |
| IKEの対向との調整項目 | 鍵交換モード:既定値 | メインモード |
| 鍵交換モード:アドレス書き換え検知使用時 | アグレッシブモード | |
| ポート番号 | UDP 500 | |
| 値の同一性確認の厳密さ | 始動側に従う | |
| INITIAL-CONTACTメッセージ | 送信する | |
| 自己識別子 | IPアドレス | |
| 相手識別子 | IPアドレス | |
| Nonce値の大きさ | 16 bytes | |
| DPD(Dead Peer Detection) | 有効 | |
| 受動側専用モード | 使用しない | |
| 自動始動モード | 有効 | |
| トンネルインタフェースモード | 有効 | |
| パディング値のランダム化 | 有効 | |
| パディング長のランダム化 | 無効 | |
| ランダム化したパディング長の最大値 | 20 bytes | |
| パディングの末尾のパディング長の検査 | 無効 | |
| パディングの末尾のパディングに自身の長さを含める | 有効 | |
| 再送回数 | 5回 | |
| 再送間隔 | 10秒 | |
| Phase-1のタイムアウト | 30秒 | |
| Phase-2のタイムアウト | 30秒 | |
| 1回の送信で送るパケット数 | 1個 | |
| DPDの送信間隔 | 20秒 | |
| DPDで接続断と見なす連続無応答回数 | 5回 | |
| IPsecセキュリティアソシエーション | セキュリティプロトコル | ESP有効, AH無効 |
非フロートリンクのIPsec/IKEも併用する場合
フロートリンクを使用するinterface <ipsec>と非フロートリンクのinterface <ipsec>が終端アドレス共用する場合、clear floatlinkで非フロートリンク側も切断します。
非フロートリンク側の切断を避けたい場合、終端アドレスを分離するなど、ネットワーク構成を見直してください。