Japan

関連リンク

関連リンク

関連リンク

関連リンク

サイト内の現在位置を表示しています。

UNIVERGE IXシリーズ FAQ

IPsec/IKEに関するFAQ

装置仕様

Q.1-1 ハードウェア処理に対応している暗号/認証アルゴリズムを教えてください。
Q.1-2 最大の対地数を教えてください。
Q.1-3 対応しているRFCとI-D(インターネットドラフト)を教えてください。
Q.1-4 IPsecトンネルでルーティングプロトコルを動作させることができますか?
Q.1-5 IKEキープアライブとは、どのような機能ですか?
Q.1-6 トンネルを通るパケットのアドレスをNAT/NAPTで変換することができますか?
Q.1-7 IPsecによるインターネットVPNと、NAPTによるインターネット接続を同時にできますか?
Q.1-8 IPsec使用時のトンネルインタフェースのMTU長と、TCP MSS値の適切な値を教えて下さい。
Q.1-9 IPsecカプセル化によりフラグメントが必要になる場合、IPsecカプセル化の前にフラグメントしますか、それとも、フラグメント後にカプセル化が行われますか?
Q.1-10 動的アドレス環境でのインターネットVPNの場合、センタルータはインターネット側にデフォルトルートを向ける必要がありますが、外部サイト宛パケットをLAN側のファイアウォールへ転送したい場合、どのように設定すれば良いですか?
Q.1-11 IPsec SAが常に存在する状態に維持したいのですが、方法は有りますか?
Q.1-12 インターネットVPNでQoSを行う場合の、実現手段と注意点について教えてください。
Q.1-13 IPsecのネゴシエーションで生成されたSAをコンソールに表示することはできますか?
Q.1-14 IPsecのネゴシエーションで生成されたSAをコマンドで消去することはできますか?
Q.1-15 IPsecトンネルの対地毎に QoSのシェーピング機能を使って帯域制御することができますか?
Q.1-16 IPsec/IKE SAはデフォルトで自動更新が行われますが、更新のタイミングを教えてください。
Q.1-17 NATトラバーサル機能に対応していますか?
Q.1-18 離れた拠点間をIXルータのIPsec機能を使ってトンネル接続するのですが、このトンネル内部でIPsecを使用したいユーザがいます。設定上注意が必要でしょうか?
Q.1-19 ISDN回線上でもIPsecトンネルを確立することはできますか?

トラブルシューティング

Q.1-1 ハードウェア処理に対応している暗号/認証アルゴリズムを教えてください。

下表の通りです。

なお、AESでは3つの鍵長(128/192/256bit)をサポートしていますが、いずれの鍵長でもほぼ同等の性能を実現しています。

機種
IX3015(販売終了)
暗号
DES,3DES,AES(128/192/256)
認証
MD5,SHA1(※)
秘密鍵生成(IKE)
Diffie-Hellman
  • SHA2(256/384/512)はソフトウェア処理。

機種
IX2106/IX2107/IX2215/
IX2235/IX2310/IX3315
暗号
DES,3DES,AES(128/192/256)
認証
MD5,SHA1,SHA2(256/384/512)
秘密鍵生成(IKE)
Diffie-Hellman
機種
IX3110(販売終了)
暗号
DES,3DES,AES(128/192/256)
認証
MD5,SHA1,SHA2(256)(※)
秘密鍵生成(IKE)
Diffie-Hellman
  • SHA2(384/512)はソフトウェア処理。

Q.1-2 最大の対地数を教えてください。

IPv4利用時の対地数は下表の通りです。IPv6利用時の対地数は「機能説明書」をご確認ください。

装置名 IPsec対地数
IX2106 128
IX2107 128
IX2215 128
IX2235 256
IX2310 256
IX3315 5,000

Q.1-3 対応しているRFCとI-D(インターネットドラフト)を教えてください。

「UNIVERGE IXシリーズ」のIPsec/IKEは以下のRFC/インターネットドラフトに対応しております。

■対応RFC

番号
タイトル
RFC2401
Security Architecture for the internet Protocol
RFC2402
IP Authentication Header
RFC2403
The Use of HMAC-MD5-96 within ESP and AH
RFC2404
The Use of HMAC-SHA-1-96 within ESP and AH
RFC2405
The ESP DES-CBC Cipher Algorithm With Explicit IV
RFC2406
IP Encapsulating Security Payload(ESP)
RFC2407
The Internet IP Security Domain of Interpretation for ISAKMP
RFC2408
Internet Security Association and Key Management Protocol(ISAKMP)
RFC2409
The Internet Key Exchange(IKE)
RFC2410
The NULL Encryption Algorithm and Its Use With IPSec
RFC2412
The OAKLEY Key Determination Protocol
RFC2451
The ESP CBC-Mode Cipher Algorithms
RFC2709
Security Model with Tunnel-mode IPSec for NAT Domains
RFC3602
The AES-CBC Cipher Algorithm and Its Use with IPSec
RFC3706
A Traffic-Based Method of Detecting Dead Internet Key Exchange (IKE) Peers
RFC3947
Negotiation of NAT-T Traversal in the IKE
RFC3948
UDP Encapsulation of IPsec ESP Packets
RFC4868
Using HMAC-SHA-256, HMAC-SHA-384, and HMAC-SHA-512 with IPsec

■対応インターネットドラフト一覧

ファイル名
タイトル
draft-ietf-ipsec-flow-monitoring-mib-01.txt IPSec Flow Monitoring MIB
draft-knight-ppvpn-ipsec-dynroute-02.txt A Method to Provide Dynamic Routing in IPSec VPNs
draft-ietf-ipsec-nat-t-ike-02.txt
draft-ietf-ipsec-nat-t-ike-03.txt
Negotiation of NAT-Traversal in the IKE
draft-ietf-ipsec-udp-encaps-02.txt
draft-ietf-ipsec-udp-encaps-03.txt
UDP Encapsulation of IPSec Packets

Q.1-4 IPsecトンネルでルーティングプロトコルを動作させることができますか?

はい、IPsecトンネルでRIP、OSPFv2、BGP4を動作させることが可能です。IPv6ルーティングプロトコル(RIPng、OSPFv3)についても同様に可能です。

詳しい設定例は、「設定事例集」をご参照ください。

Q.1-5 IKEキープアライブとは、どのような機能ですか?

RFC3706に規定されている機能で、VPNピアに対してIKE SAを使ってHELLO(R-U-THERE)を送信し、ACK(R-U-THERE-ACK)の受信確認によりSAの状態をモニタリングします。

本装置のデフォルト設定では、ACK(R-U-THERE-ACK)を返す機能のみ動作しますが、ike keepaliveコマンドを設定すると、VPNピアに対してHELLO(R-U-THERE)の送信を開始します。

また、ver.6.3 以降のソフトウェアを使用すると、ネットワークモニタ機能の ICMP Echo を使った監視機能と連携し、到達性の喪失を検出したときに IPsec SA を削除する機能を使用することもできます。

Q.1-6 トンネルを通るパケットのアドレスをNAT/NAPTで変換することができますか?

可能です。TunnelインタフェースでNAT/NAPTの設定が必要になります。

詳しい設定例は、「設定事例集」をご参照ください。

Q.1-7 IPsecによるインターネットVPNと、NAPTによるインターネット接続を同時にできますか?

可能です。その制御はルーティングにより行います。
例えば、PPPoE回線でIPsecトンネルによるVPN接続を行う場合、以下のように設定します。

  • VPNピアの内部ネットワーク宛パケットは、Tunnelインタフェースへ転送してIPsecでカプセル化。

ip route [対向ネットワーク] Tunnel0.0

  • デフォルトルートにより、VPNピアの内部ネットワーク宛以外のパケットは、直接PPPoEインタフェースから出力するように設定。

ip route default [PPPoEインタフェース]

  • PPPoEインタフェースでNAPTを有効化。

詳しい設定例は、「設定事例集」をご参照ください。

Q.1-8 IPsec使用時のトンネルインタフェースのMTU長と、TCP MSS値の適切な値を教えて下さい。

本装置は、IPsecパケットを出力するインタフェースのMTU長と、使用するカプセル化方式や暗号/認証アルゴリズムの種類に基づいて、TunnelインタフェースのMTUを最適な値に自動調整します。

[TunnelインタフェースのMTU]

カプセル化
の方式
出力インタ
フェースの
MTU長
Tunnelインタ
フェースの
MTU長
Tunnelインタ
フェースの
MSS値(※)
ESP-3DES/DES
ESP-SHA1/MD5
1500
1446
1406
1492
1438
1398
1454
1398
1358
1438
1382
1342
ESP-AES
ESP-SHA1/SHA256/MD5
1500
1438
1398
1492
1422
1382
1454
1390
1350
1438
1374
1334
ESP-AES
ESP-SHA384
1500
1422
1382
1492
1422
1382
1454
1374
1334
1438
1358
1318
ESP-AES
ESP-SHA512
1500
1422
1382
1492
1406
1366
1454
1374
1334
1438
1358
1318
  • Tunnelインタフェースにip tcp adjust-mss autoコマンドを設定すると、Tunnelインタフェースを通過するTCPパケットのMSS値は表の値に書き換えられます。

なお、TunnelインタフェースのMTUを算出する計算式は下記の通りです(ESPのみ使用時)。

  • X + B + C + D + E = 出力回線MTUサイズ
  • X = TunnelインターフェースMTU + A
  • A = 2byte(固定値):パディング長(1byte) + 次ヘッダ番号(1byte)
  • B = 認証データ:MD5/SHA1(12byte)
  • :SHA256(16byte)
  • :SHA384(24byte)
  • :SHA512(32byte)
  • C = Initial Vector:DES/3DES(8byte)、AES(16byte)
  • D = ESPヘッダ:8byte固定
  • E = IPヘッダ:IPv4(20byte)、IPv6(40byte)

【計算例】

出力回線がフレッツ 光/ADSL(MTU=1454)、3DES/SHA1使用時

  • X = 1454 - 12(SHA1) - 8(3DES) - 8(ESP) - 20(IPv4)
  • X = 1406

  • TunnelインターフェースMTU = ( 1406 / 8 の整数部 ) × 8 - 2
  • = 1398byte

  • TCP MSS調整値 = TunnelインターフェースMTU - 40(TCP/IPヘッダ)
  • = 1398 - 40
  • = 1358byte

暗号アルゴリズムがAESの場合、

  • TunnelインターフェースMTU = ( 1398 / 16 の整数部 ) × 16 - 2
  • = 1390byte

Q.1-9 IPsecカプセル化によりフラグメントが必要になる場合、IPsecカプセル化の前にフラグメントしますか、それとも、フラグメント後にカプセル化が行われますか?

デフォルトでは、IPsecでカプセル化した後にフラグメントを実行します(post-fragment)。

設定により、カプセル化の前にフラグメント処理を行うことも可能です(pre-fragment)。

ipsec policy tunnel MAP-NAME pre-fragment

Q.1-10 動的アドレス環境でのインターネットVPNの場合、センタルータはインターネット側にデフォルトルートを向ける必要がありますが、外部サイト宛パケットをLAN側のファイアウォールへ転送したい場合、どのように設定すれば良いですか?

センタルータは、各拠点から受信した外部サイト宛パケットを、ポリシールーティングを使ってファイアウォールに転送します。デフォルトルートは、インターネットVPNの回線側へ向けます。

【設定パラメータ】

ファイアウォール 10.0.0.1
デフォルトルート GigaEthernet0.1
Tunnelインタフェース Tunnel0.0
VPNピア内部ネットワーク 10.0.2.0/24
自局内部ネットワーク 10.0.1.0/24

【IX2106の設定例】

  1. デフォルトルートを設定します。
  2. VPNピアの内部ネットワーク宛パケットはTunnelインタフェースに 転送します。
  3. 自局内部ネットワーク宛以外の通信をアクセスリストで指定します。
  4. ルートマップを作成し、先ほど作成したアクセスリストの関連付けを行います。アクセスリストの条件に一致するパケットは全てファイアウォールに転送します。
  5. IPsec通信に使用するTunnelインタフェースにルートマップを登録し、ポリシールーティングの動作を有効化します。受信したIPsecパケットの復号化後のパケットがポリシールーティングの対象になります。

(1)  ip route default GigaEthernet0.1
(2)  ip route 10.0.2.0/24 Tunnel0.0
(3)  ip access-list r-list deny ip src any dest 10.0.1.0/24
       ip access-list r-list permit ip src any dest any
(4)  route-map firewall permit 10
           match ip address access-list r-list
           set ip next-hop 10.0.0.1
(5)  interface Tunnel0.0
           ip policy route-map firewall

詳しい設定例は、「設定事例集」をご参照ください。

Q.1-11 IPsec SAが常に存在する状態に維持したいのですが、方法は有りますか?

本装置は、ある IPsec SAを生成してから、その SAを使ってカプセル化されたパケットが全く流れていない場合、次のSAの更新処理を実行しません。

そのため、ユーザ通信の有無に関わらず常にSAを存在させたい場合は、ネットワークモニタのホスト監視によりVPNピアへ定期的にICMP Echoパケットを送信する設定を行います。

以下に設定例を紹介します。

【設定パラメータ】

IPsec対象パケット 送信元 10.0.0.0/24
宛先 10.0.1.0/24
自局 内部ネットワーク 10.0.0.0/24
インタフェースアドレス 10.0.0.1
VPNピア 内部ネットワーク 10.0.1.0/24
インタフェースアドレス 10.0.1.1/24

【設定例】

  1. ウォッチグループ(host)を作成し、ホスト監視の宛先、出力インタフェース、ソースアドレスに使用するインタフェース名を設定します。また、ホスト監視の監視周期を設定します(デフォルトは5秒)。(※)グループ名は任意。
  2. ネットワークモニタ機能を有効にします。

(1)watch-group host 10
         event 10 ip unreach-host 10.0.1.1 Tunnel0.0 source [ソースアドレスに使用するI/F名]
         probe-timer restorer 60
         probe-timer variance 60
         exit
(2)network-monitor host enable

Q.1-12 インターネットVPNでQoSを行う場合の、実現手段と注意点について教えてください。

入力インタフェース、もしくは TunnelインタフェースでオリジナルパケットのToS値を書き換え、出力インタフェースでToS値に基づく送信優先制御の設定を行ってください。

出力インタフェースでは、IPsecでカプセル化されたパケットの中身を見て優先度を分けることができませんが、ToS値はオリジナルパケットの値がカプセルヘッダに引き継がれるため、ToS値を見てクラス分けを行うことが可能です。

なお、IPsecパケットに対して送信優先制御を適用した場合、優先度の高い IPsecパケットから順に出力されるため、受信側でIPsecパケットに付与されているシーケンス番号により受信確認を行う機能(アンチリプレイ機能)を有効にしていると、優先度の低いパケットが受信側で廃棄されてしまう可能性が有ります。

そのため、IPsecと QoSを併用するときは、必ずアンチリプレイ機能(※)を無効化(no ipsec anti-replayコマンド)してください。

詳しい設定例は、「設定事例集」をご参照ください。

  • アンチリプレイ機能:IPsecでカプセル化されたパケットのシーケンス番号を監視し、重複して受け取ったパケットを廃棄することにより、リプレイ攻撃からの防御を行う機能。

Q.1-13 IPsecのネゴシエーションで生成されたSAをコンソールに表示することはできますか?

はい、IPsecのフェーズ1で生成されたSA(IKE SA)を表示する場合はshow ike saコマンドを、フェーズ2で生成されたSA(IPsec SA)を表示する場合はshow ipsec saコマンドを使用します。

【表示例-IKE SA】

  1. コンフィグ上の設定数/実際に生成されているIKE SA数
  2. トンネル始点アドレス(ポート番号)
  3. トンネル終端アドレス(ポート番号)
  4. IKEポリシー名
  5. 自装置の動作モード:イニシエータ/レスポンダ
  6. イニシエータ・クッキー
  7. レスポンダ・クッキー
  8. モード:メイン/アグレッシブ
  9. 状態(“established”はSA確立を指す)
  10. 事前共有鍵方式
  11. 暗号アルゴリズム
  12. 認証アルゴリズム
  13. DHグループ、ライフタイム

Router(config)# show ike sa
ISAKMP SA -  1 configured,  1 created ←(1)
Local address is  10.0.0.2 , port is 500 ←(2)
Peer address is  10.0.0.1 , port is 500 ←(3)
    IKE policy name is  ike-policy ←(4)
    Direction is  Initiator ←(5)
    Initiator's cookie is  0x**************** ←(6)
    Responder's cookie is  0x**************** ←(7)
    Exchange type is  main mode ←(8)
    State is  established ←(9)
    Authentication method is  pre-shared ←(10)
    Encryption algorithm is  aes-256 ←(11)
    Hash algorithm is  sha1 ←(12)
    DH group is  modp2048 , lifetime is  2879 seconds ←(13)
    #ph1 success: 1, #ph1 failure: 0
    #ph1 hash err: 0, #ph1 timeout: 0, #ph1 resend: 0
    #ph2 success: 1, #ph2 failure: 0
    #ph2 hash err: 0, #ph2 timeout: 0, #ph2 resend: 0

【表示例-IPsec SA】

  1. コンフィグ上の設定数/実際に生成されているIPsec SA数
  2. トンネルインタフェース名
  3. IPsecポリシー名
  4. トンネル始点アドレス
  5. トンネル終端アドレス
  6. 出力インタフェース
  7. トンネルMTU
  8. 受信用SPI値:16進数(10進数)
  9. カプセル化方式
  10. ライフタイム
  11. アンチリプレイ機能の起動/停止
  12. 送信用SPI値
  13. PFSの使用ON/OFF

Router(config)# show ipsec sa
IPSec SA -  1 configured,  2 created ←(1)
Interface is  Tunnel0.0 ←(2)
    Key policy map name is  ipsec-policy ←(3)
        Tunnel mode, 4-over-4, autokey-map
        Local address is  10.0.0.2 ←(4)
        Remote address is  10.0.0.1 ←(5)
        Outgoing interface is  GigaEthernet0.0 ←(6)
        Interface MTU is  1390 , path MTU is 1454 ←(7)
        Inbound:
            ESP, SPI is  0x********(********) ←(8)
                Transform is  ESP-3DES-HMAC-SHA-96 ←(9)
                Remaining lifetime is  3592 seconds ←(10)
            Replay detection support is  on ←(11)
        Outbound:
            ESP, SPI is  0x********(********) ←(12)
                Transform is ESP-3DES-HMAC-SHA-96
                Remaining lifetime is 3592 seconds
            Replay detection support is on
        Perfect forward secrecy is  off ←(13)

Q.1-14 IPsecのネゴシエーションで生成されたSAをコマンドで消去することはできますか?

はい、IKE SAを全て消去する場合は以下のコマンドを使用します。

clear ike sa

IPsec SAを全て消去する場合は以下のコマンドを使用します。

clear ipsec sa

複数生成されたSAを個別に消去したい場合は、下記のコマンドを使用します。

clear ike sa [IKEポリシー]
clear ipsec sa tunnel [トンネルインタフェース]

ただし、SAを消去する場合、消す順序によっては対向装置に不要なSAが残ってしまい、通信断の原因となる可能性があります。全てのSAを消去する場合は、必ずIPsec SAを消去してからIKE SAを消去するようにしてください。

Q.1-15 IPsecトンネルの対地毎に QoSのシェーピング機能を使って帯域制御することができますか?

可能です。機種毎の対地数については、「QoSに関するFAQ」のQ.1-5をご参照下さい。

Q.1-16 IPsec/IKE SAはデフォルトで自動更新が行われますが、更新のタイミングを教えてください。

デフォルトでは、IPsec SAはライフタイム満了の60秒前、IKE SAは30秒前に自動更新を行います。

ver.8.1以降では、コマンドで更新タイミングを変更することができます。

【IPsec SA更新タイミング変更】 (デフォルト:60秒)

ipsec rekey remaining-lifetime [default/policy] second [30-691200]

【IKE SA更新タイミング変更】 (デフォルト:30秒)

ike rekey remaining-lifetime [default/policy] second [30-691200]

Q.1-17 NATトラバーサル機能に対応していますか?

ソフトウェア ver.7.5以降で対応しています(「IX2004」除く)。

Q.1-18 離れた拠点間をIXルータのIPsec機能を使ってトンネル接続するのですが、このトンネル内部でIPsecを使用したいユーザがいます。設定上注意が必要でしょうか?

IPsec(ESP、AH)パケットについては特別な設定は不要ですが、IKEパケットをIPsecカプセル化するためには以下の設定追加が必要です。

Router(config)# no ipsec ike-passthru

Q.1-19 ISDN回線上でもIPsecトンネルを確立することはできますか?

可能です。IPsec機能は、物理回線(イーサネット、専用線、ISDN)の種類を問わず使用することが可能です。

なお、ISDN回線でIPsec機能を使用される場合には、不要な発呼を抑制するために、SA自動更新の無効化の設定を推奨しています。

Router(config)# no ipsec sa-autorefresh

Q.2-1 インターネットVPNでLAN間通信ができないため、調査したところトンネルインタフェースがdownしていました。トンネルインタフェースがdownしている原因について教えてください。

以下の原因が考えられます。

  • トンネルのピア(対向装置のWAN側アドレス)への到達経路が「ルーティングテーブル」上に無い。
  • トンネルのピアへの到達経路がトンネルインタフェースから出力させるような設定になっている。
  • トンネルパケットの出力インタフェースがdownしている。
  • トンネルインタフェースにIPアドレスが設定されていない(アンナンバードでも可)。
  • トンネルインタフェースにno shutdownコマンドが設定されていない。

Q.2-2 トンネル経由でサーバに接続したときに、通信が異常終了してしまう場合があります。

Path-MTU-Black-Hole問題の影響が考えられます。pingをDFビットをセットして実行し、応答が返る最大サイズを確認してください。最大サイズを特定できた時点で、TCP MSS調整機能を使用します。

設定する値は下記の式で計算します。

最大MSS設定値 = ping 最大サイズ + 28(IP/ICMPヘッダ) - 40

IPsecを使用する場合、パケットのカプセル化によるオーバーヘッドが存在しますので、フラグメントされずに送信できるパケットサイズが通常よりも小さくなります。

また、MSS調整はインタフェースで以下のコマンドを使用します。

ip tcp adjust-mss

IPsecを適用するTCPパケットのMSS値を書き換えるときは、TCPパケットを受信するインタフェースか、TunnelインタフェースにMSS調整コマンドを設定してください。IPsecパケットを出力するインタフェースにMSS調整コマンドを設定しても、カプセル化対象のTCPパケットのMSS値を書き換えることはできません。

IPsec使用時のMSS値はQ.1-8の回答を参考にしてください。

資料請求・お問い合わせ

Escキーで閉じる 閉じる