IPsec/IKE

IPv4/IPv6ネットワークにおいて、セキュアな通信路を確保するためにIPsecによる暗号化及び認証機能を提供します。また、 IPsecでのVPNセッションを自動的に確立し、定期的に鍵情報を更新するIKE機能を提供します。

表 1. IPv4/IPv6対応状況
機能 IPv4 IPv6
IPsec/IKE 対応 対応
IPsec NAT Traversal 対応 非対応

機能概要

IPsecによる暗号化は、本機がIPv4/IPv6ルータとして通信を中継するとき(トンネルモード)、及び本機がend-to-endでIPv4/IPv6通信を行うとき(トランスポートモード)に適用可能です。

注: RFC 1827 に準拠しないため、IPsec v1のみ対応する機器とは接続できません。

IPsecの構成

IPsec機能は下記のパラメータ群から構成されます。

  • セキュリティアソシエーションプロポーザル
  • セキュリティアソシエーション
  • セキュリティポリシ

IKEの構成

IKE機能は下記のパラメータ群から構成されます。

  • IKEプロポーザル
  • 事前共有鍵
  • peerパラメータ

暗号のハードウェア処理について

ハードウェア処理可能なアルゴリズム

表 2. 暗号アルゴリズムのハードウェア処理対応
アルゴリズム SEIL/B1 SEIL/X1 SEIL/X2 SEIL BPV4 SEIL/x86 Fuji
DES ×
3DES ×
AES128(AES) ×
AES192 ×
AES256 ×
表 3. 認証アルゴリズムのハードウェア処理対応
アルゴリズム SEIL/B1 SEIL/X1 SEIL/X2 SEIL BPV4 SEIL/x86 Fuji
HMAC-MD5 ×
HMAC-SHA-1 ×
HMAC-SHA-256 × ×
HMAC-SHA-384 × ×
HMAC-SHA-512 × ×
表 4. プロトコルの組み合わせによるハードウェア処理可否
プロトコル 送信時 受信時
AH (認証のみ)
ESP (暗号化/復号化のみ)
ESP-Auth (暗号化/復号化と認証)
AH + ESP △ (AHとESPを別々に処理)
AH + ESP-Auth × (ソフトウェア処理) △ (AHとESPを別々に処理)
注:
  • どの組み合わせでも、オプションヘッダを含む場合はソフトウェア処理になります。
  • ESPで認証を行なう場合、暗号アルゴリズムと認証アルゴリズムの両者が表に含まれる場合のみハードウェア処理できます。