ポリシーベースIPsec

IPsecによる暗号化トンネルとセキュリティポリシーを組み合わせて拠点間VPNを構築するポリシーベースIPsec機能を提供します。

1. 仕様概要
項目
IPsec-SAの対向数の上限

512対向

IKE IKEv1
2. IPv4/IPv6対応状況
機能 IPv4 IPv6 備考
IPsec/IKEの接続
セキュリティポリシーの対象
3. デフォルトの動作状態
機能 状態 備考
ポリシーベースIPsec 無効

IPsecセキュリティアソシエーション(IPsec-SA)

IPsecセキュリティアソシエーションは、暗号パケットの送受信を行うVPNトンネルを定義します。

暗号化モード
トンネルモードに対応します。トランスポートモードは使用できません。
暗号化プロトコル
ESPに対応します。AHは使用できません。
IPsec-SAのアドレス構成
VPN対向のIPアドレスが固定か否かに合わせて、IPsec-SAを静的または動的に構成できます。
注:
  • リモートアドレスが静的(固定)であるか、動的であるか、で判断します。
  • ポリシーベースIPsecはフロートリンクに対応していません。
  • ローカルアドレスとリモートアドレスの両方が動的割当の拠点間は接続できません。
特殊なIPsec-SA
特定の通信を暗号化対象から除外する目的で使用する特殊なIPsec-SAが内部的に定義されています。
  • これらのIPsec-SAは設定数にカウントされません。
"pass"
このIPsec-SAに関連付けたセキュリティポリシーにマッチしたパケットは、暗号化せず経路表に従って転送します。
"block"
このIPsec-SAに関連付けたセキュリティポリシーにマッチしたパケットは、暗号化せず破棄します。

IPsecセキュリティポリシー(IPsec-SP)

IPsecセキュリティポリシーは、暗号化対象とするパケットと、暗号化に使用するIPsec-SAの関連付けを定義します。
セキュリティポリシーのマッチング

以下のパラメータを組み合わせてパケットのマッチ条件を指定できます。条件にすべてマッチしたパケットに、関連付けられたIPsec-SAを適用します。

  • プロトコル
  • 送信元アドレス(インタフェース名での指定も可能。その場合はインタフェースに付与された先頭のIPv4アドレスに追従する)
  • 送信先アドレス
  • 送信元ポート番号
  • 送信先ポート番号
セキュリティポリシーの適用優先順位
インデックス番号の順(昇順)で評価し、最初にマッチしたポリシーを適用します。
注:
  • ブロードキャストパケットおよびマルチキャストパケットはセキュリティポリシーにマッチしません。
  • マッチ条件に特定のプロトコルを指定した場合、フラグメントパケット(他のルータがフラグメント化したパケット)はセキュリティポリシーにマッチしません。

IKE

IKE鍵交換モード
メインモードとアグレッシブモードに対応します。
メインモード
識別子にIPアドレスを使用します。
相互の拠点で設定された識別子と実際のIPアドレスが一致する必要があるため、IPアドレスの固定割当が必要です。
アグレッシブモード
識別子にFQDN形式またはUser-FQDN形式の文字列を使用します。
提示された文字列によって接続元を識別するため、IPアドレスの固定割当が必要ありません。
認証方式

事前共有鍵(Pre-Shared Key)による認証方式に対応します。

DPD(Dead Peer Detection)
IKEピアの死活監視を行うDPD機能を使用できます。
自身がIKE Phase 1(ISAKMP-SA)を保持しているとき、対向側がIKE Phase 1を保持しているか相互に監視し、対向が保持していないことを検知するとIKE Phase 1を再折衝します。
NAT Traversal
IPsecのESPパケットをUDPでカプセル化する、NAT Traversal 機能を提供します。
通常時
NATによるアドレス書換を検知すると、NAT Traversalを適用します。
強制(force)時
NATによるアドレス書換の検知によらず、NAT Traversalを適用します。
ESPパケットが途中経路で転送されない場合に有効です。
注:
  • 対向機器がNAT Traversalを使用可能でない場合は適用しません。
  • NATによるアドレス書換が行われる場合は、鍵交換モードにアグレッシブモードを使用する必要があります。
  • IPsec VPNを構成する片方がNAT環境下の場合に使用できます。両方がNAT環境下の場合には使用できません。
  • IPv6のNATには対応していません。
ヒント:
NAT TraversalはIPsecのESPパケットをさらにUDPでカプセル化することでNAT環境下でのセッションの識別・維持を実現するのが基本原理です。そのために、セキュリティアソシエーションの始点及び終点を、IPアドレスのみでなく、カプセル化する際のUDPポート番号を含めた、アドレス及びポート番号のペアとして扱うよう拡張されています。(ステータス参照コマンドによる参照結果にも反映されます)