ルーティングベースIPsec

IPsecによる暗号化トンネルをネットワークインタフェースとして扱うルーティングベースIPsec機能を提供します。

1. 仕様概要
項目
IPsecインタフェース数の上限

64対向
IKE IKEv1, IKEv2
2. IPv4/IPv6対応状況
機能 IPv4 IPv6 備考
IPsec/IKEの接続
IPsecインタフェースでの送受信 ×
3. デフォルトの動作状態
機能 状態 備考
ルーティングベースIPsec 無効
4. VPN接続手法とIKEの対応
VPN接続手法 IKEv1 IKEv2 トンネルモード トランスポートモード
ルーティングベースIPsec
ルーティングベースIPsec:フロートリンク使用 ×
ポリシーベースIPsec × ×

IPsec/IKEによるPoint to Pointインタフェース

IPsecインタフェースは、IPsec/IKEの折衝によってPoint to Pointインタフェースとして生成されます。

  • PPPoEインタフェース等と同様に経路制御やIPパケットフィルタを適用できます。
  • IPsecインタフェースには任意のIPv4アドレスを付与できます。または、IPv4アドレスを付与せずIP Unnumberedで動作できます。Unnumberedの場合は次のように動作します。
    • 当該インタフェースを送信元とするトンネル内の通信には、いずれかのインタフェースから借りたIPv4アドレスを使用します。
    • IPv4アドレスを借りるインタフェースは設定可能であり、デフォルトではGE1インタフェース(interface.ge1)です。指定したインタフェースにIPv4アドレスが付与されていない場合には、IPv4リンクローカルアドレス(169.254.0.1)を使用します。
  • IPsecインタフェースでは、カプセル化前のパケットのヘッダのToS値をカプセル化後のパケットのヘッダに転記しません。

VPNの自動設定をサポートするフロートリンク機能

「フロートリンク」とは、VPN自動設定機能の一つです。

サービスアダプタのフロートリンク機能を使用すると、ネームサーバとの連携によってVPN接続を行う対向ノード(サービスアダプタ)のIPアドレスを自動的に設定し、IPアドレスが変更された際に自動追従することができます。SMFv2サービスのサービスホストにフロートリンクのネームサーバが含まれています。

インターネット接続時のグローバルIPアドレスが固定でないPPPoE接続サービスや、NTTフレッツ光ネクストのNGN網内で半固定的に割り当てられる(固定であることが保障されない)IPv6アドレス間でのVPN構築に利用できます。

注:
  • フロートリンクを使用しNGN網内での折り返し通信によるVPNを設定する場合でも、サービスホストとの連携のためにインターネット接続の経路も確保する必要があります。
  • フロートリンクはSMFv2サービス独自の仕様に基づきます。他社サービスの類似機能との相互運用はできません。

DPD(Dead Peer Detection)

自身がIKE Phase 1(ISAKMP-SA)を保持しているとき、対向側がIKE Phase 1を保持しているか相互に監視し、対向が保持していないことを検知するとIKE Phase 1を再折衝します。

TCP MSS調整

インタフェースの入出力パケットのTCP MSS値を調整することができます。詳細は「TCP MSS調整機能」を参照してください。

受動モード

受動モードでは、一部の通知メッセージを除き対向機器との鍵交換以外の自発パケットを可能な限り抑制します。これにより、無通信時のパケット流量を軽減できます。

受動モードでは始動者(イニシエータ)として鍵交換を開始することはありません。対向機器から鍵交換が開始されるようにネットワークを構成してください。

制限事項

  • IPsecインタフェースには便宜上IPv6リンクローカルアドレスが付与されますが、IPv6パケットの転送(暗号化)はサポートしていません。

IPsec NAT Traversal の強制適用

IPsecのESPパケットを正常に転送できないネットワークに対処するため、ESPパケットのUDPによるカプセル化を常時適用することができます。
注:
  • 対向機器がNAT Traversalを使用可能でない場合は適用しません。
  • NATが適用されるネットワーク間でのVPN接続にはフロートリンク機能を併用する必要があります。
ヒント:
NAT TraversalはIPsecのESPパケットをさらにUDPでカプセル化することでNAT環境下でのセッションの識別・維持を実現するのが基本原理です。そのために、セキュリティアソシエーションの始点及び終点を、IPアドレスのみでなく、カプセル化する際のUDPポート番号を含めた、アドレス及びポート番号のペアとして扱うよう拡張されています。(ステータス参照コマンドによる参照結果にも反映されます)

NATによるアドレス書換への対応

ローカルアドレスまたはリモートアドレスを固定とせず、IKEの鍵交換モードにアグレッシブモードを使用することができます。

フロートリンクでIPsec VPNを構築する場合に使用でき、VPN対向同士で次のいずれか一方を設定します。
ローカルアドレスを非固定とする
自身がNAT環境下に設置される場合に設定します。
リモートアドレスを非固定とする
相手がNAT環境下に設置される場合に設定します。
  • IPsec VPNを構成する片方がNAT環境下の場合に使用できます。両方がNAT環境下の場合には使用できません。
  • IPv6のNATには対応していません。
ヒント:
フロートリンクを使用するとネームサーバを通じてインタフェースに付与されたIPアドレスを相互に通知することでアドレスの変動には追従できますが、通常はメインモードを使用するため、NATによってアドレスが書き換えられた場合には通知されたアドレスと実際のアドレスが一致せず折衝が成立しません。IKEの鍵交換モードにアグレッシブモードを使用し、かつ、NAT Traversalが適用されることで、NAT環境下の対向との折衝を成立させることができます。

IKEv2の相互接続性

他社製機器または ver.3.40以降のSEILシリーズ(X4, x86 Ayame, CA10)とのIPsec接続にIKEv2を使用する場合は、ver.5.63以降のファームウェアを使用してください。

上記バージョン未満では RFC 7296 2.8.1. Simultaneous Child SA Rekeying の規定と異なる実装になっており、正しい実装の機器との相互接続において同時に鍵交換が発生するとIPsec通信断が発生する可能性があります。

RFC 7296 2.8.1. 準拠のバージョン
SEILシリーズ:ver.3.40以上(リリース予定)
SA-W2シリーズ:ver.5.63以上
RFC 7296 2.8.1. 非準拠のバージョン
SEILシリーズ:ver.3.33以下
SA-W2シリーズ:ver.5.61以下

非準拠バージョンの機器同士でのIKEv2接続では問題は生じません。