IPsecセキュリティアソシエーション
IPsec通信に必要なセキュリティパラメータ(暗号アルゴリズムや鍵情報)を定義します。
- 始点アドレスにインタフェースを指定することで、指定したインタフェースのIPアドレスが動的に変更された場合にセキュリティアソシエーションを自動的に更新できる
- 始点アドレスにdynamicを指定した場合、IKEの対向ホストのアドレスに合わせてセキュリティポリシを動的に更新できる。ただし、更新するのはIPsecトンネルの送信元アドレス、送信先アドレスのみである。ローカルネットワーク、リモートネットワークの情報はあらかじめセキュリティポリシとして設定しておく必要がある。 これにより、動的IPアドレスを持つホストとの間でIPsecトンネルを確立できる。この機能を利用するためには、鍵交換をIKEによりおこなわなければならない
- 始点アドレスにautoを指定した場合、IKEの対向ホストのアドレス、及びIKEに通知されたリモートネットワーク、ローカルネットワーク情報をもとにセキュリティポリシを自動的に生成する。ただし、本機からみたリモートネットワークのプレフィックス長はIPv4の場合/32、IPv6の場合/128に限られる。これにより、PC用のVPN Clientソフトウエア等からの接続を受け付けることができる。この機能を利用するためには、鍵交換をIKEによりおこなわなければならない
- トンネルインタフェースモードを指定することで、IPsecトンネルを通常のトンネルインタフェースと同様に扱うことができる。この場合、セキュリティポリシによらず、通常の経路制御機能を利用して暗号化して送受信するパケットを選択できる
- パスモードを指定することで、IPsec 処理をおこなわずにパケットを送受信するための特別なセキュリティアソシエーションを作成できる
- ブロックモードを指定することで、パケットをブロックするための特別なセキュリティアソシエーションを作成できる
サポートするモードとセキュリティプロトコル
| モード | AH | ESP | AH + ESP |
|---|---|---|---|
| トンネルモード | × | ○ | × |
| トランスポートモード | ○ | ○ | ○ |
| トンネルインタフェースモード | ○ | ○ | ○ |
| パス | × | × | × |
| ブロック | × | × | × |
制限事項
- トンネルモードにAHを適用できません。
- トンネルモードでAH + ESPを適用した場合は、AHの設定は無視し、トンネルモードでESPを適用した場合と同じようにESPのトンネルモードでパケットを処理します。
- トンネルインタフェースモードでAH + ESPを適用した場合は、ESPのトンネルモードでパケットを処理した後、AHのトランスポートモードで処理します。