異機種との相互接続に関する機能

IPsec/IKEは標準プロトコルであるため、異機種との接続も基本的に可能ですが、実装の差異により設定値をすり合わせる必要がある場合があります。

IKE Phase-2 ID

ルーティングベースIPsec(IPsecインタフェース)使用時に、IKE Phase-2 ID(Proxy ID)に任意の値を設定できます。

トランスポートモードのIPsecの折衝に使用されるIKE Phase-2 ID(Proxy ID)の実装はベンダごとに差異があるため、異機種間の相互接続時にIKE Phase-2 IDの不一致によりSAが確立できない場合があります。

SEILはルーティングベースIPsecの折衝時に、デフォルトではIKE Phase-2 IDとして固定値(Local: 0.0.0.0/0, Remote 0.0.0.0/0, Protocol 0(any)) を送信しますが、任意の値を送信するよう設定可能です。対向機器が特定の値を期待する(SEILのデフォルト値では接続できない)場合には、IKE Phase-2 IDを明示的に設定することで接続できます。

注: IKE Phase-2 ID(Proxy ID)を明示的に設定する場合、IPsecインタフェース上の通信はIPv4に限られます。

IPv6通信の無効化

ルーティングベースIPsec(IPsecインタフェース)使用時に、IPsecトンネル上でのIPv6通信を無効化するよう設定できます。

SEILはルーティングベースIPsecのトンネルを接続するとき、IPsecインタフェース上でIPv4とIPv6の両方が利用可能となるよう折衝しますが、対向機器がIPv6をサポートしない場合は、折衝が一部完了せず接続が不安定な状態になる場合があります。このようなケースでは、IPsecインタフェース上でのIPv6通信を無効化することで接続が安定する可能性があります。

ヒント: 副次的な効果として、IPsecインタフェース上でのIPv6通信を無効化すると若干システムリソースの占有量が減るため、多数の拠点と接続し、かつ、IPv6通信が不要である場合にも活用できます。
不安定な様子の例
  1. 接続したトンネル上でのIPv4の折衝が完了する
  2. SEILは同時にIPv6の折衝を行う
  3. 対向機器はIPv6の折衝に応答しない
  4. SEILは接続失敗と見なしIPsecトンネルを切断して再接続する(以下繰り返し)

新しいIKEフェーズ1の優先的使用

IKEフェーズ1が更新されたとき、既存のIKEフェーズ2(IPsec SA)を新しいIKEフェーズ1に関連付けることができます。

ike peer add . . . prefer-new-phase1 enable
  • 異機種間でのIKEフェーズ1の再折衝が安定しないときに使用することで安定が見込める場合があります。