IKE
IPsecで使用する暗号鍵を自動的に交換するIKE(Internet Key Exchange)機能を提供します。
| IKEv1 | IKEv2 |
|---|---|
| 対応 | 非対応 |
| モード | ADDRESS | FQDN | USER-FQDN |
|---|---|---|---|
| MAIN | 〇 | × | × |
| AGGRESSIVE | 〇 | 〇 | 〇 |
注:
- トンネルインタフェースモードのセキュリティアソシエーションを利用するためには peerパラメータにトンネルインタフェースモードを設定する必要があります。
- ike peerにdynamicが指定されている場合は、L2TP/IPsec簡易設定を同時に利用できません。
- 同一NATの配下からのIPsecとL2TP/IPsec簡易設定を利用した接続は同時に利用できません。
認証方式
事前共有鍵(Pre-Shared Key)による認証方式を使用できます。
- フロートリンク使用時を除き、事前共有鍵(ike preshared-key)の設定変更操作は折衝済みのIKEセッションに影響しません。新しい事前共有鍵は次の折衝から使用します。再折衝を促すには clear ike コマンドでセッションをクリアしてください。
IPアドレスが固定でないホストからの接続
動的IPアドレスを持つホストとの間でIKEによる鍵交換を行うことができます。この場合、対向ホストを識別するためにFQDNまたはUSER-FQDNを識別子として指定しなくてはりません。同時に、交換モードはAGGRESSIVEを指定する必要があります。DPD(Dead Peer Detection)
DPDを有効化すると、自身がIKE Phase 1(ISAKMP-SA)を保持しているとき、対向側がIKE Phase 1を保持しているか相互に監視し、対向が保持していないことを検知するとIKE Phase 1を再折衝します。