IKE

IPsecで使用する暗号鍵を自動的に交換するIKE(Internet Key Exchange)機能を提供します。

図: 使用可能な交換モードと識別子の組み合わせ

モード ADDRESS FQDN USER-FQDN
MAIN × ×
AGGRESSIVE
注:
  • トンネルインタフェースモードのセキュリティアソシエーションを利用するためには peerパラメータにトンネルインタフェースモードを設定する必要があります。
  • ike peerにdynamicが指定されている場合は、L2TP/IPsec簡易設定を同時に利用できません。
  • 同一NATの配下からのIPsecとL2TP/IPsec簡易設定を利用した接続は同時に利用できません。

認証方式

事前共有鍵(Pre-Shared Key)による認証方式を使用できます。
  • フロートリンク使用時を除き、事前共有鍵(ike preshared-key)の設定変更操作は折衝済みのIKEセッションに影響しません。新しい事前共有鍵は次の折衝から使用します。再折衝を促すには clear ike コマンドでセッションをクリアしてください。

IPアドレスが固定でないホストからの接続

動的IPアドレスを持つホストとの間でIKEによる鍵交換を行うことができます。この場合、対向ホストを識別するためにFQDNまたはUSER-FQDNを識別子として指定しなくてはりません。同時に、交換モードはAGGRESSIVEを指定する必要があります。

DPD(Dead Peer Detection)

DPDを有効化すると、自身がIKE Phase 1(ISAKMP-SA)を保持しているとき、対向側がIKE Phase 1を保持しているか相互に監視し、対向が保持していないことを検知するとIKE Phase 1を再折衝します。

Commit bit

本機が自発的にCommit bitをセットする機能は提供しません。ただし、IKEの折衝中に対向機器がCommit bitをセットする場合はこれに追従します。