フロートリンクとIPsec/IKEを併用する時の注意

VPN設定にフロートリンクを使用し、かつ、IPsec/IKEを使用する場合、IPsec/IKEのパラメータの多くは自動的に設定されます。

IPsec/IKEパラメータ

表 1. IPsec/IKEの折衝で使用する調整項目
パラメータ 項目

IKEの調整項目

(IKE Phase-1)

暗号アルゴリズム AES256, AES128
認証アルゴリズム SHA-1(変更可能)
DHグループ MODP1536
ライフタイム 86400秒

IPsecの調整項目

(IKE Phase-2)

暗号アルゴリズム AES256, AES128
メッセージ認証アルゴリズム HMAC-SHA-1(変更可能)
ライフタイム 28800秒
PFSグループ なし
IKEの対向との調整項目 鍵交換モード:既定値 メインモード
鍵交換モード:アドレス書き換え検知使用時 アグレッシブモード
ポート番号 UDP 500
値の同一性確認の厳密さ 始動側に従う
INITIAL-CONTACTメッセージ 送信する
自己識別子 IPアドレス
相手識別子 IPアドレス
Nonce値の大きさ 16 bytes
DPD(Dead Peer Detection) 有効
受動側専用モード 使用しない
自動始動モード 有効
トンネルインタフェースモード 有効
パディング値のランダム化 有効
パディング長のランダム化 無効
ランダム化したパディング長の最大値 20 bytes
パディングの末尾のパディング長の検査 無効
パディングの末尾のパディングに自身の長さを含める 有効
再送回数 5回
再送間隔 10秒
Phase-1のタイムアウト 30秒
Phase-2のタイムアウト 30秒
1回の送信で送るパケット数 1個
DPDの送信間隔 20秒
DPDで接続断と見なす連続無応答回数 5回
IPsecセキュリティアソシエーション セキュリティプロトコル ESP有効, AH無効

非フロートリンクのIPsec/IKEも併用する場合

フロートリンクを使用するinterface <ipsec>と非フロートリンクのinterface <ipsec>が終端アドレス共用する場合、clear floatlinkで非フロートリンク側も切断します。

非フロートリンク側の切断を避けたい場合、終端アドレスを分離するなど、ネットワーク構成を見直してください。