仕様変更に伴う注意

IPsec/IKEに関して、相互接続性に影響のある仕様変更があります。

HMAC-SHAアルゴリズムの仕様変更

IPsec IKEで使用可能なハッシュアルゴリズムのうち、HMAC-SHA256 / 384 /512 は、ファームウェアver.5.00以降、これより古いファームウェアと互換性がありません。

ver.5.00未満のファームウェアでは、HMAC- SHA256 / 384 / 512について実装当時のInternet Draftに基づいていたため、現在のRFCに基づく実装と互換性がありませんでした。そこで、ver.5.00においてSEIL以外の機種との相互接続性を向上させるためにRFCに基づく実装に変更されました。

  • HMAC-SHA384 / 512のハッシュブロック長の扱いをRFC6234に適合するよう変更
  • HMAC-SHA256 / 384 / 512を利用するIPsec認証(ESP-Auth, AH)においてパケットに付与されるハッシュ長をRFC4868に適合するよう変更

この変更により、IPsec/IKEにおいてHMAC-SHA256 / 384 / 512を利用している場合、ver.5.00以降のSEILと、これより古いファームウェアのSEILとの相互接続性が失われました。

ver.5.00未満からver.5.00以降へのファームウェア更新を、拠点ごとに順次実施する場合には、一時的にHMAC-SHA1やHMAC-MD5等の、仕様変更の影響を受けないアルゴリズムに変更するなどの対処が必要です。

また、コールドスタンバイ機を用意されている場合は、これについても稼動機器とバージョンを揃えておく(ver.5.00以降または未満)必要があります。

該当するコンフィグの例
ike proposal ... hash sha(256|384|512) ...
ipsec security-association proposal add ... authentication-algorithm hmac-sha(256|384|512) ...