IKE

IPsecで使用する暗号鍵を自動的に交換するIKE(Internet Key Exchange)機能を提供します。

図: 使用可能な交換モードと識別子の組み合わせ

モード ADDRESS FQDN USER-FQDN
MAIN × ×
AGGRESSIVE
注:
  • トンネルインタフェースモードのセキュリティアソシエーションを利用するためには peerパラメータにトンネルインタフェースモードを設定する必要があります。
  • 対向ホスト/ルータアドレスとして dynamic を指定することで、動的IPアドレスを持つホスト/ルータとの間でIKEにより鍵交換を行うことができる。この際、対向ホスト/ルータを識別するためにFQDNまたはUSER-FQDNを識別子として指定しなくてはりません。同時に、交換モードはAGGRESSIVEを指定する必要があります。
  • ike peerにdynamicが指定されている場合は、L2TP/IPsec簡易設定を同時に利用できません。
  • 同一NATの配下からのIPsecとL2TP/IPsec簡易設定を利用した接続は同時に利用できません。

DPD(Dead Peer Detection)

DPDを有効化すると、自身がIKE Phase 1(ISAKMP-SA)を保持しているとき、対向側がIKE Phase 1を保持しているか相互に監視し、対向が保持していないことを検知するとIKE Phase 1を再折衝します。

Commit bit

本機が自発的にCommit bitをセットする機能は提供しません。ただし、IKEの折衝中に対向機器がCommit bitをセットする場合はこれに追従します。