ポリシーベースIPsec
IPsecによる暗号化トンネルとセキュリティポリシーを組み合わせて拠点間VPNを構築するポリシーベースIPsec機能を提供します。
| 項目 | 値 |
|---|---|
| IPsec-SAの対向数の上限 |
64対向 |
| IKE | IKEv1 |
| 機能 | IPv4 | IPv6 | 備考 |
|---|---|---|---|
| IPsec/IKEの接続 | ○ | ○ | |
| セキュリティポリシーの対象 | ○ | × |
| 機能 | 状態 | 備考 |
|---|---|---|
| ポリシーベースIPsec | 無効 |
IPsecセキュリティアソシエーション(IPsec-SA)
IPsecセキュリティアソシエーションは、暗号パケットの送受信を行うVPNトンネルを定義します。
- 暗号化モード
- トンネルモードに対応します。トランスポートモードは使用できません。
- 暗号化プロトコル
- ESPに対応します。AHは使用できません。
- IPsec-SAのアドレス構成
- VPN対向のIPアドレスが固定か否かに合わせて、IPsec-SAを静的または動的に構成できます。
- 特殊なIPsec-SA
- 特定の通信を暗号化対象から除外する目的で使用する特殊なIPsec-SAが内部的に定義されています。
- これらのIPsec-SAは設定数にカウントされません。
- "pass"
- このIPsec-SAに関連付けたセキュリティポリシーにマッチしたパケットは、暗号化せず経路表に従って転送します。
- "block"
- このIPsec-SAに関連付けたセキュリティポリシーにマッチしたパケットは、暗号化せず破棄します。
IPsecセキュリティポリシー(IPsec-SP)
IPsecセキュリティポリシーは、暗号化対象とするパケットと、暗号化に使用するIPsec-SAの関連付けを定義します。- セキュリティポリシーのマッチング
-
以下のパラメータを組み合わせてパケットのマッチ条件を指定できます。条件にすべてマッチしたパケットに、関連付けられたIPsec-SAを適用します。
- プロトコル
- 送信元アドレス(インタフェース名での指定も可能。その場合はインタフェースに付与された先頭のIPv4アドレスに追従する)
- 送信先アドレス
- 送信元ポート番号
- 送信先ポート番号
- セキュリティポリシーの適用優先順位
- インデックス番号の順(昇順)で評価し、最初にマッチしたポリシーを適用します。
注:
- ブロードキャストパケットおよびマルチキャストパケットはセキュリティポリシーにマッチしません。
- マッチ条件に特定のプロトコルを指定した場合、フラグメントパケット(他のルータがフラグメント化したパケット)はセキュリティポリシーにマッチしません。
IKE
- IKE鍵交換モード
- メインモードとアグレッシブモードに対応します。
- メインモード
- 識別子にIPアドレスを使用します。
- アグレッシブモード
- 識別子にFQDN形式またはUser-FQDN形式の文字列を使用します。
- 認証方式
-
事前共有鍵(Pre-Shared Key)による認証方式に対応します。
- DPD(Dead Peer Detection)
- IKEピアの死活監視を行うDPD機能を使用できます。
- NAT Traversal
- IPsecのESPパケットをUDPでカプセル化する、NAT Traversal 機能を提供します。
- 通常時
- NATによるアドレス書換を検知すると、NAT Traversalを適用します。
- 強制(force)時
- NATによるアドレス書換の検知によらず、NAT Traversalを適用します。
注:- 対向機器がNAT Traversalを使用可能でない場合は適用しません。
- NATによるアドレス書換が行われる場合は、鍵交換モードにアグレッシブモードを使用する必要があります。
- IPsec VPNを構成する片方がNAT環境下の場合に使用できます。両方がNAT環境下の場合には使用できません。
- IPv6のNATには対応していません。
ヒント:NAT TraversalはIPsecのESPパケットをさらにUDPでカプセル化することでNAT環境下でのセッションの識別・維持を実現するのが基本原理です。そのために、セキュリティアソシエーションの始点及び終点を、IPアドレスのみでなく、カプセル化する際のUDPポート番号を含めた、アドレス及びポート番号のペアとして扱うよう拡張されています。(ステータス参照コマンドによる参照結果にも反映されます)