Japan
サイト内の現在位置を表示しています。
UNIVERGE IXシリーズ FAQ
IPsec/IKEに関するFAQ
装置仕様
トラブルシューティング
Q.1-1 ハードウェア処理に対応している暗号/認証アルゴリズムを教えてください。
下表の通りです。
なお、AESでは3つの鍵長(128/192/256bit)をサポートしていますが、いずれの鍵長でもほぼ同等の性能を実現しています。
機種 |
IX3015(販売終了) |
---|---|
暗号 |
DES,3DES,AES(128/192/256) |
認証 |
MD5,SHA1(※) |
秘密鍵生成(IKE) |
Diffie-Hellman |
- ※
SHA2(256/384/512)はソフトウェア処理。
機種 |
IX2106/IX2107/IX2215/
IX2235/IX2310/IX3315 |
---|---|
暗号 |
DES,3DES,AES(128/192/256) |
認証 |
MD5,SHA1,SHA2(256/384/512) |
秘密鍵生成(IKE) |
Diffie-Hellman |
機種 |
IX3110(販売終了) |
---|---|
暗号 |
DES,3DES,AES(128/192/256) |
認証 |
MD5,SHA1,SHA2(256)(※) |
秘密鍵生成(IKE) |
Diffie-Hellman |
- ※
SHA2(384/512)はソフトウェア処理。
Q.1-2 最大の対地数を教えてください。
IPv4利用時の対地数は下表の通りです。IPv6利用時の対地数は「機能説明書」をご確認ください。
装置名 | IPsec対地数 |
---|---|
IX2106 | 128 |
IX2107 | 128 |
IX2215 | 128 |
IX2235 | 256 |
IX2310 | 256 |
IX3315 | 5,000 |
Q.1-3 対応しているRFCとI-D(インターネットドラフト)を教えてください。
「UNIVERGE IXシリーズ」のIPsec/IKEは以下のRFC/インターネットドラフトに対応しております。
■対応RFC
番号 |
タイトル |
---|---|
RFC2401 |
Security Architecture for the internet Protocol |
RFC2402 |
IP Authentication Header |
RFC2403 |
The Use of HMAC-MD5-96 within ESP and AH |
RFC2404 |
The Use of HMAC-SHA-1-96 within ESP and AH |
RFC2405 |
The ESP DES-CBC Cipher Algorithm With Explicit IV |
RFC2406 |
IP Encapsulating Security Payload(ESP) |
RFC2407 |
The Internet IP Security Domain of Interpretation for ISAKMP |
RFC2408 |
Internet Security Association and Key Management Protocol(ISAKMP) |
RFC2409 |
The Internet Key Exchange(IKE) |
RFC2410 |
The NULL Encryption Algorithm and Its Use With IPSec |
RFC2412 |
The OAKLEY Key Determination Protocol |
RFC2451 |
The ESP CBC-Mode Cipher Algorithms |
RFC2709 |
Security Model with Tunnel-mode IPSec for NAT Domains |
RFC3602 |
The AES-CBC Cipher Algorithm and Its Use with IPSec |
RFC3706 |
A Traffic-Based Method of Detecting Dead Internet Key Exchange (IKE) Peers |
RFC3947 |
Negotiation of NAT-T Traversal in the IKE |
RFC3948 |
UDP Encapsulation of IPsec ESP Packets |
RFC4868 |
Using HMAC-SHA-256, HMAC-SHA-384, and HMAC-SHA-512 with IPsec |
■対応インターネットドラフト一覧
ファイル名 |
タイトル |
---|---|
draft-ietf-ipsec-flow-monitoring-mib-01.txt | IPSec Flow Monitoring MIB |
draft-knight-ppvpn-ipsec-dynroute-02.txt | A Method to Provide Dynamic Routing in IPSec VPNs |
draft-ietf-ipsec-nat-t-ike-02.txt draft-ietf-ipsec-nat-t-ike-03.txt |
Negotiation of NAT-Traversal in the IKE |
draft-ietf-ipsec-udp-encaps-02.txt draft-ietf-ipsec-udp-encaps-03.txt |
UDP Encapsulation of IPSec Packets |
Q.1-4 IPsecトンネルでルーティングプロトコルを動作させることができますか?
はい、IPsecトンネルでRIP、OSPFv2、BGP4を動作させることが可能です。IPv6ルーティングプロトコル(RIPng、OSPFv3)についても同様に可能です。
詳しい設定例は、「設定事例集」をご参照ください。
Q.1-5 IKEキープアライブとは、どのような機能ですか?
RFC3706に規定されている機能で、VPNピアに対してIKE SAを使ってHELLO(R-U-THERE)を送信し、ACK(R-U-THERE-ACK)の受信確認によりSAの状態をモニタリングします。
本装置のデフォルト設定では、ACK(R-U-THERE-ACK)を返す機能のみ動作しますが、ike keepaliveコマンドを設定すると、VPNピアに対してHELLO(R-U-THERE)の送信を開始します。
また、ver.6.3 以降のソフトウェアを使用すると、ネットワークモニタ機能の ICMP Echo を使った監視機能と連携し、到達性の喪失を検出したときに IPsec SA を削除する機能を使用することもできます。
Q.1-6 トンネルを通るパケットのアドレスをNAT/NAPTで変換することができますか?
Q.1-7 IPsecによるインターネットVPNと、NAPTによるインターネット接続を同時にできますか?
可能です。その制御はルーティングにより行います。
例えば、PPPoE回線でIPsecトンネルによるVPN接続を行う場合、以下のように設定します。
- VPNピアの内部ネットワーク宛パケットは、Tunnelインタフェースへ転送してIPsecでカプセル化。
ip route [対向ネットワーク] Tunnel0.0
- デフォルトルートにより、VPNピアの内部ネットワーク宛以外のパケットは、直接PPPoEインタフェースから出力するように設定。
ip route default [PPPoEインタフェース]
Q.1-8 IPsec使用時のトンネルインタフェースのMTU長と、TCP MSS値の適切な値を教えて下さい。
本装置は、IPsecパケットを出力するインタフェースのMTU長と、使用するカプセル化方式や暗号/認証アルゴリズムの種類に基づいて、TunnelインタフェースのMTUを最適な値に自動調整します。
[TunnelインタフェースのMTU]
カプセル化 の方式 |
出力インタ フェースの MTU長 |
Tunnelインタ フェースの MTU長 |
Tunnelインタ フェースの MSS値(※) |
---|---|---|---|
ESP-3DES/DES ESP-SHA1/MD5 |
1500 |
1446 |
1406 |
1492 |
1438 |
1398 | |
1454 |
1398 |
1358 | |
1438 |
1382 |
1342 | |
ESP-AES ESP-SHA1/SHA256/MD5 |
1500 |
1438 |
1398 |
1492 |
1422 |
1382 | |
1454 |
1390 |
1350 | |
1438 |
1374 |
1334 | |
ESP-AES ESP-SHA384 |
1500 |
1422 |
1382 |
1492 |
1422 |
1382 | |
1454 |
1374 |
1334 | |
1438 |
1358 |
1318 | |
ESP-AES ESP-SHA512 |
1500 |
1422 |
1382 |
1492 |
1406 |
1366 | |
1454 |
1374 |
1334 | |
1438 |
1358 |
1318 |
- ※
Tunnelインタフェースにip tcp adjust-mss autoコマンドを設定すると、Tunnelインタフェースを通過するTCPパケットのMSS値は表の値に書き換えられます。
なお、TunnelインタフェースのMTUを算出する計算式は下記の通りです(ESPのみ使用時)。
- X + B + C + D + E = 出力回線MTUサイズ
- X = TunnelインターフェースMTU + A
- A = 2byte(固定値):パディング長(1byte) + 次ヘッダ番号(1byte)
- B = 認証データ:MD5/SHA1(12byte)
- :SHA256(16byte)
- :SHA384(24byte)
- :SHA512(32byte)
- C = Initial Vector:DES/3DES(8byte)、AES(16byte)
- D = ESPヘッダ:8byte固定
- E = IPヘッダ:IPv4(20byte)、IPv6(40byte)
【計算例】
出力回線がフレッツ 光/ADSL(MTU=1454)、3DES/SHA1使用時
- X = 1454 - 12(SHA1) - 8(3DES) - 8(ESP) - 20(IPv4)
- X = 1406
- TunnelインターフェースMTU = ( 1406 / 8 の整数部 ) × 8 - 2
- = 1398byte
- TCP MSS調整値 = TunnelインターフェースMTU - 40(TCP/IPヘッダ)
- = 1398 - 40
- = 1358byte
暗号アルゴリズムがAESの場合、
- TunnelインターフェースMTU = ( 1398 / 16 の整数部 ) × 16 - 2
- = 1390byte
Q.1-9 IPsecカプセル化によりフラグメントが必要になる場合、IPsecカプセル化の前にフラグメントしますか、それとも、フラグメント後にカプセル化が行われますか?
デフォルトでは、IPsecでカプセル化した後にフラグメントを実行します(post-fragment)。
設定により、カプセル化の前にフラグメント処理を行うことも可能です(pre-fragment)。
ipsec policy tunnel MAP-NAME pre-fragment
Q.1-10 動的アドレス環境でのインターネットVPNの場合、センタルータはインターネット側にデフォルトルートを向ける必要がありますが、外部サイト宛パケットをLAN側のファイアウォールへ転送したい場合、どのように設定すれば良いですか?
センタルータは、各拠点から受信した外部サイト宛パケットを、ポリシールーティングを使ってファイアウォールに転送します。デフォルトルートは、インターネットVPNの回線側へ向けます。
【設定パラメータ】
ファイアウォール | 10.0.0.1 |
デフォルトルート | GigaEthernet0.1 |
Tunnelインタフェース | Tunnel0.0 |
VPNピア内部ネットワーク | 10.0.2.0/24 |
自局内部ネットワーク | 10.0.1.0/24 |
【IX2106の設定例】
- デフォルトルートを設定します。
- VPNピアの内部ネットワーク宛パケットはTunnelインタフェースに 転送します。
- 自局内部ネットワーク宛以外の通信をアクセスリストで指定します。
- ルートマップを作成し、先ほど作成したアクセスリストの関連付けを行います。アクセスリストの条件に一致するパケットは全てファイアウォールに転送します。
- IPsec通信に使用するTunnelインタフェースにルートマップを登録し、ポリシールーティングの動作を有効化します。受信したIPsecパケットの復号化後のパケットがポリシールーティングの対象になります。
(1) ip route default GigaEthernet0.1
(2) ip route 10.0.2.0/24 Tunnel0.0
(3) ip access-list r-list deny ip src any dest 10.0.1.0/24
ip access-list r-list permit ip src any dest any
(4) route-map firewall permit 10
match ip address access-list r-list
set ip next-hop 10.0.0.1
(5) interface Tunnel0.0
ip policy route-map firewall
詳しい設定例は、「設定事例集」をご参照ください。
Q.1-11 IPsec SAが常に存在する状態に維持したいのですが、方法は有りますか?
本装置は、ある IPsec SAを生成してから、その SAを使ってカプセル化されたパケットが全く流れていない場合、次のSAの更新処理を実行しません。
そのため、ユーザ通信の有無に関わらず常にSAを存在させたい場合は、ネットワークモニタのホスト監視によりVPNピアへ定期的にICMP Echoパケットを送信する設定を行います。
以下に設定例を紹介します。
【設定パラメータ】
IPsec対象パケット | 送信元 | 10.0.0.0/24 |
宛先 | 10.0.1.0/24 | |
自局 | 内部ネットワーク | 10.0.0.0/24 |
インタフェースアドレス | 10.0.0.1 | |
VPNピア | 内部ネットワーク | 10.0.1.0/24 |
インタフェースアドレス | 10.0.1.1/24 |
【設定例】
- ウォッチグループ(host)を作成し、ホスト監視の宛先、出力インタフェース、ソースアドレスに使用するインタフェース名を設定します。また、ホスト監視の監視周期を設定します(デフォルトは5秒)。(※)グループ名は任意。
- ネットワークモニタ機能を有効にします。
(1)watch-group host 10
event 10 ip unreach-host 10.0.1.1 Tunnel0.0 source [ソースアドレスに使用するI/F名]
probe-timer restorer 60
probe-timer variance 60
exit
(2)network-monitor host enable
Q.1-12 インターネットVPNでQoSを行う場合の、実現手段と注意点について教えてください。
入力インタフェース、もしくは TunnelインタフェースでオリジナルパケットのToS値を書き換え、出力インタフェースでToS値に基づく送信優先制御の設定を行ってください。
出力インタフェースでは、IPsecでカプセル化されたパケットの中身を見て優先度を分けることができませんが、ToS値はオリジナルパケットの値がカプセルヘッダに引き継がれるため、ToS値を見てクラス分けを行うことが可能です。
なお、IPsecパケットに対して送信優先制御を適用した場合、優先度の高い IPsecパケットから順に出力されるため、受信側でIPsecパケットに付与されているシーケンス番号により受信確認を行う機能(アンチリプレイ機能)を有効にしていると、優先度の低いパケットが受信側で廃棄されてしまう可能性が有ります。
そのため、IPsecと QoSを併用するときは、必ずアンチリプレイ機能(※)を無効化(no ipsec anti-replayコマンド)してください。
詳しい設定例は、「設定事例集」をご参照ください。
- ※
アンチリプレイ機能:IPsecでカプセル化されたパケットのシーケンス番号を監視し、重複して受け取ったパケットを廃棄することにより、リプレイ攻撃からの防御を行う機能。
Q.1-13 IPsecのネゴシエーションで生成されたSAをコンソールに表示することはできますか?
はい、IPsecのフェーズ1で生成されたSA(IKE SA)を表示する場合はshow ike saコマンドを、フェーズ2で生成されたSA(IPsec SA)を表示する場合はshow ipsec saコマンドを使用します。
【表示例-IKE SA】
- コンフィグ上の設定数/実際に生成されているIKE SA数
- トンネル始点アドレス(ポート番号)
- トンネル終端アドレス(ポート番号)
- IKEポリシー名
- 自装置の動作モード:イニシエータ/レスポンダ
- イニシエータ・クッキー
- レスポンダ・クッキー
- モード:メイン/アグレッシブ
- 状態(“established”はSA確立を指す)
- 事前共有鍵方式
- 暗号アルゴリズム
- 認証アルゴリズム
- DHグループ、ライフタイム
Router(config)# show ike sa
ISAKMP SA - 1 configured, 1 created ←(1)
Local address is 10.0.0.2 , port is 500 ←(2)
Peer address is 10.0.0.1 , port is 500 ←(3)
IKE policy name is ike-policy ←(4)
Direction is Initiator ←(5)
Initiator's cookie is 0x**************** ←(6)
Responder's cookie is 0x**************** ←(7)
Exchange type is main mode ←(8)
State is established ←(9)
Authentication method is pre-shared ←(10)
Encryption algorithm is aes-256 ←(11)
Hash algorithm is sha1 ←(12)
DH group is modp2048 , lifetime is 2879 seconds ←(13)
#ph1 success: 1, #ph1 failure: 0
#ph1 hash err: 0, #ph1 timeout: 0, #ph1 resend: 0
#ph2 success: 1, #ph2 failure: 0
#ph2 hash err: 0, #ph2 timeout: 0, #ph2 resend: 0
【表示例-IPsec SA】
- コンフィグ上の設定数/実際に生成されているIPsec SA数
- トンネルインタフェース名
- IPsecポリシー名
- トンネル始点アドレス
- トンネル終端アドレス
- 出力インタフェース
- トンネルMTU
- 受信用SPI値:16進数(10進数)
- カプセル化方式
- ライフタイム
- アンチリプレイ機能の起動/停止
- 送信用SPI値
- PFSの使用ON/OFF
Router(config)# show ipsec sa
IPSec SA - 1 configured, 2 created ←(1)
Interface is Tunnel0.0 ←(2)
Key policy map name is ipsec-policy ←(3)
Tunnel mode, 4-over-4, autokey-map
Local address is 10.0.0.2 ←(4)
Remote address is 10.0.0.1 ←(5)
Outgoing interface is GigaEthernet0.0 ←(6)
Interface MTU is 1390 , path MTU is 1454 ←(7)
Inbound:
ESP, SPI is 0x********(********) ←(8)
Transform is ESP-3DES-HMAC-SHA-96 ←(9)
Remaining lifetime is 3592 seconds ←(10)
Replay detection support is on ←(11)
Outbound:
ESP, SPI is 0x********(********) ←(12)
Transform is ESP-3DES-HMAC-SHA-96
Remaining lifetime is 3592 seconds
Replay detection support is on
Perfect forward secrecy is off ←(13)
Q.1-14 IPsecのネゴシエーションで生成されたSAをコマンドで消去することはできますか?
はい、IKE SAを全て消去する場合は以下のコマンドを使用します。
clear ike sa
IPsec SAを全て消去する場合は以下のコマンドを使用します。
clear ipsec sa
複数生成されたSAを個別に消去したい場合は、下記のコマンドを使用します。
clear ike sa [IKEポリシー]
clear ipsec sa tunnel [トンネルインタフェース]
ただし、SAを消去する場合、消す順序によっては対向装置に不要なSAが残ってしまい、通信断の原因となる可能性があります。全てのSAを消去する場合は、必ずIPsec SAを消去してからIKE SAを消去するようにしてください。
Q.1-15 IPsecトンネルの対地毎に QoSのシェーピング機能を使って帯域制御することができますか?
可能です。機種毎の対地数については、「QoSに関するFAQ」のQ.1-5をご参照下さい。
Q.1-16 IPsec/IKE SAはデフォルトで自動更新が行われますが、更新のタイミングを教えてください。
デフォルトでは、IPsec SAはライフタイム満了の60秒前、IKE SAは30秒前に自動更新を行います。
ver.8.1以降では、コマンドで更新タイミングを変更することができます。
【IPsec SA更新タイミング変更】 (デフォルト:60秒)
ipsec rekey remaining-lifetime [default/policy] second [30-691200]
【IKE SA更新タイミング変更】 (デフォルト:30秒)
ike rekey remaining-lifetime [default/policy] second [30-691200]
Q.1-17 NATトラバーサル機能に対応していますか?
ソフトウェア ver.7.5以降で対応しています(「IX2004」除く)。
Q.1-18 離れた拠点間をIXルータのIPsec機能を使ってトンネル接続するのですが、このトンネル内部でIPsecを使用したいユーザがいます。設定上注意が必要でしょうか?
IPsec(ESP、AH)パケットについては特別な設定は不要ですが、IKEパケットをIPsecカプセル化するためには以下の設定追加が必要です。
Router(config)# no ipsec ike-passthru
Q.1-19 ISDN回線上でもIPsecトンネルを確立することはできますか?
可能です。IPsec機能は、物理回線(イーサネット、専用線、ISDN)の種類を問わず使用することが可能です。
なお、ISDN回線でIPsec機能を使用される場合には、不要な発呼を抑制するために、SA自動更新の無効化の設定を推奨しています。
Router(config)# no ipsec sa-autorefresh
Q.2-1 インターネットVPNでLAN間通信ができないため、調査したところトンネルインタフェースがdownしていました。トンネルインタフェースがdownしている原因について教えてください。
以下の原因が考えられます。
- トンネルのピア(対向装置のWAN側アドレス)への到達経路が「ルーティングテーブル」上に無い。
- トンネルのピアへの到達経路がトンネルインタフェースから出力させるような設定になっている。
- トンネルパケットの出力インタフェースがdownしている。
- トンネルインタフェースにIPアドレスが設定されていない(アンナンバードでも可)。
- トンネルインタフェースにno shutdownコマンドが設定されていない。
Q.2-2 トンネル経由でサーバに接続したときに、通信が異常終了してしまう場合があります。
Path-MTU-Black-Hole問題の影響が考えられます。pingをDFビットをセットして実行し、応答が返る最大サイズを確認してください。最大サイズを特定できた時点で、TCP MSS調整機能を使用します。
設定する値は下記の式で計算します。
最大MSS設定値 = ping 最大サイズ + 28(IP/ICMPヘッダ) - 40
IPsecを使用する場合、パケットのカプセル化によるオーバーヘッドが存在しますので、フラグメントされずに送信できるパケットサイズが通常よりも小さくなります。
また、MSS調整はインタフェースで以下のコマンドを使用します。
ip tcp adjust-mss
IPsecを適用するTCPパケットのMSS値を書き換えるときは、TCPパケットを受信するインタフェースか、TunnelインタフェースにMSS調整コマンドを設定してください。IPsecパケットを出力するインタフェースにMSS調整コマンドを設定しても、カプセル化対象のTCPパケットのMSS値を書き換えることはできません。
IPsec使用時のMSS値はQ.1-8の回答を参考にしてください。
資料請求・お問い合わせ