FAQ一覧に戻る

IKEv1とIKEv2の大きな違いは以下の通りです。

• IKEv2はIKEv1よりシンプルな仕様
• IKEv2はEAP認証等の高度な認証に対応
• IKEv2とIKEv1には互換性は無い

その他の違いや、本装置のIKEv2の詳しい仕様につきましては、「機能説明書」をご参照ください。

本装置のIKEv2は、IKEv2そのものが有する技術的な特徴への対応に加えて、本装置のIKEv1が抱えていた実装上の課題も幾つか解決されています。

• IPv6との親和性
  • IPv4/IPv6デュアルスタックのVPNを構築する場合、IKEv1はIPv4とIPv6で個別にVPNトンネルが必要でしたが、IKEv2では1本のVPNトンネルでIPv4/IPv6の両方のパケットを扱うことが可能です。
• 常時接続方式のサポート(IXルータ独自)
  • IKEv1では、トラフィックが存在する場合のみSAを確立するトラフィックトリガ方式にのみ対応していましたが、IKEv2では本方式に加えて、トラフィックが無くてもSAを常時確立させる「常時接続方式」にも対応しました。
• 送信インタフェース指定機能のサポート(IXルータ独自)
  • IKEv1では、IKE/IPsecパケットを送信するインタフェースをルーティング設定で指定する必要がありましたが、IKEv2では専用のコマンドで送信インタフェースを固定設定することが可能です。ルーティングテーブルの状態により、IPsec/IKEパケットが意図しない経路から送出されてしまう問題を防ぎます。

IKEv2では、以下の認証方式に対応しております。

• 事前共有鍵方式
• デジタル署名方式(※)
• EAP-MD5方式(※)

IKEv1でサポートしていて、IKEv2ではサポートしていない機能は以下の通りです（ソフトウェア ver.9.2以降）。

• AH（Authentication Header）
• DES（暗号アルゴリズム）
• プライベートMIB

IXシリーズでは、ver.9.2ソフトウェアでIKEv2の機能拡張を行い、以下の機能に対応しました。ver.9.1以前のソフトウェアをご利用の場合、以下の機能はご利用いただけませんので、ご注意ください。

• トランスポートモード
• Ethernet over IPsec
• GRE over IPsec
• NATトラバーサル

可能です。

IKEv2の場合、IKEv1のように「メインモード」、「アグレッシブモード」の区別はありませんが、IKEv1と同様に相手装置のIPアドレスが不定の構成でもVPN接続が可能です。

詳しい設定例は「設定事例集」をご参照ください。

IKEv1ではサポートしているが、IKEv2では未サポートの機能が幾つか存在しますので、事前に確認が必要です（Q.1-4参照）。

また、IPsec/IKEパケットを送受信するインタフェースで「フィルタリング」や「NAPT」を使用している場合、IKEのバージョンによりIPsecパケットの扱いが異なりますので、事前に注意が必要です。

• IKEv1を使用している場合
  • IPsecパケットはフィルタリングやNAPT設定の対象になりません。

• IKEv2を使用している場合
  • IPsecパケットはフィルタリングやNAPTの対象になるため、外側から受信したIPsecパケットを許可するためのフィルタリング設定と静的NAPT設定が必要です。

“clear ikev2 sa”コマンドでは、相手装置に削除を通知し、削除通知の応答を受信後にSAを削除します。

障害等によって相手装置に削除通知が届かない場合、デフォルトではSA削除までに約30秒掛かります。