IKEパラメータの既定値

本装置が用いるIKEパラメータの既定値を紹介します。

ヒント: IPsec/IKEを使用して他の機種とVPNを接続する場合は、一時的にVPN通信が可能であっても実装上の差異(値の解釈や挙動の違いなど)により突然通信不能に陥る可能性があるため、IKEパラメータの同一性について注意する必要があります。
IKEバージョン
IKEv1(IKEv2非対応)

ルーティングベースIPsec

表 1. IPsec/IKEの折衝で使用する調整項目
パラメータ 項目

IKEの調整項目

(IKE Phase-1)

暗号アルゴリズム AES256, AES128, 3DES
ハッシュアルゴリズム SHA-256, SHA-1
DHグループ MODP1536
ライフタイム 24h(86400秒)

IPsecの調整項目

(IKE Phase-2)

暗号アルゴリズム AES256, AES128, 3DES
メッセージ認証アルゴリズム HMAC-SHA-256, HMAC-SHA-1
ライフタイム 8h(28800秒, イニシエータに従う)
PFSグループ なし(イニシエータに従う)
暗号化対象プロトコル IPv4のみ
IKEの対向との調整項目 鍵交換モード:既定値 メインモード
鍵交換モード:アドレス書き換え検知使用時 アグレッシブモード
ポート番号 UDP 500
値の同一性確認の厳密さ イニシエータに従う
INITIAL-CONTACTメッセージ 送信する
自己識別子 IPアドレス
相手識別子 IPアドレス
Nonce値の大きさ 16 bytes
DPD(Dead Peer Detection) 有効
パディング値のランダム化 有効
パディング長のランダム化 無効
ランダム化したパディング長の最大値 20 bytes
パディングの末尾のパディング長の検査 無効
パディングの末尾のパディングに自身の長さを含める 有効
再送回数 5回
再送間隔 10秒
Phase-1のタイムアウト 30秒
Phase-2のタイムアウト 30秒
1回の送信で送るパケット数 1個
DPDの送信間隔 20秒
DPDで接続断と見なす連続無応答回数 5回
IPsecセキュリティアソシエーション セキュリティプロトコル ESP有効, AH無効

ポリシーベースIPsec

表 2. IPsec/IKEの折衝で使用する調整項目
パラメータ 項目

IKEの調整項目

(IKE Phase-1)

暗号アルゴリズム AES256, AES128, 3DES
ハッシュアルゴリズム SHA-256, SHA-1
DHグループ MODP1536
ライフタイム 86400秒

IPsecの調整項目

(IKE Phase-2)

暗号アルゴリズム AES256, AES128, 3DES
メッセージ認証アルゴリズム HMAC-SHA-256, HMAC-SHA-1
ライフタイム 28800秒(イニシエータに従う)
PFSグループ なし(イニシエータに従う)
暗号化対象プロトコル IPv4のみ
IKEの対向との調整項目 鍵交換モード コンフィグで指定必須(メインモード, アグレッシブモード)
ポート番号 UDP 500
値の同一性確認の厳密さ イニシエータに従う
INITIAL-CONTACTメッセージ 送信する
自己識別子 IPアドレス
相手識別子 IPアドレス
Nonce値の大きさ 16 bytes
DPD(Dead Peer Detection) 無効
パディング値のランダム化 有効
パディング長のランダム化 無効
ランダム化したパディング長の最大値 20 bytes
パディングの末尾のパディング長の検査 無効
パディングの末尾のパディングに自身の長さを含める 有効
再送回数 5回
再送間隔 10秒
Phase-1のタイムアウト 30秒
Phase-2のタイムアウト 30秒
1回の送信で送るパケット数 1個
DPDの送信間隔 20秒
DPDで接続断と見なす連続無応答回数 5回
IPsecセキュリティアソシエーション セキュリティプロトコル ESP有効, AH無効

L2TPv3 + IPsec

表 3. IPsec/IKEの折衝で使用する調整項目
パラメータ 項目

IKEの調整項目

(IKE Phase-1)

暗号アルゴリズム AES256, AES128, 3DES
ハッシュアルゴリズム SHA-256, SHA-1
DHグループ MODP1536
ライフタイム 24h(86400秒)

IPsecの調整項目

(IKE Phase-2)

暗号アルゴリズム AES256, AES128, 3DES
メッセージ認証アルゴリズム HMAC-SHA-256, HMAC-SHA-1
ライフタイム 8h(28800秒, イニシエータに従う)
PFSグループ なし(イニシエータに従う)
暗号化対象プロトコル IPv4のみ
IKEの対向との調整項目 鍵交換モード:既定値 メインモード
鍵交換モード:アドレス書き換え検知使用時 アグレッシブモード
ポート番号 UDP 500
値の同一性確認の厳密さ イニシエータに従う
INITIAL-CONTACTメッセージ 送信する
自己識別子 IPアドレス
相手識別子 IPアドレス
Nonce値の大きさ 16 bytes
DPD(Dead Peer Detection) 有効
パディング値のランダム化 有効
パディング長のランダム化 無効
ランダム化したパディング長の最大値 20 bytes
パディングの末尾のパディング長の検査 無効
パディングの末尾のパディングに自身の長さを含める 有効
再送回数 5回
再送間隔 10秒
Phase-1のタイムアウト 30秒
Phase-2のタイムアウト 30秒
1回の送信で送るパケット数 1個
DPDの送信間隔 20秒
DPDで接続断と見なす連続無応答回数 5回
IPsecセキュリティアソシエーション セキュリティプロトコル ESP有効, AH無効

L2TP/IPsec (PPPAC)

表 4. IKE Phase-1プロポーザル
DHグループ 暗号アルゴリズム ハッシュアルゴリズム ライフタイム
MODP2048 AES256 SHA-1 8時間
MODP1024 AES256 SHA-1 8時間
MODP1536 AES256 SHA-1 8時間
MODP1024 3DES SHA-1 8時間
MODP1024 3DES MD5 8時間
表 5. IKE Phase-2プロポーザル
PFSグループ 暗号アルゴリズム メッセージ認証アルゴリズム ライフタイム
なし AES256, AES128, 3DES HMAC-SHA-1, HMAC-MD5 1時間
表 6. IPsecセキュリティポリシー
送信元IPアドレス : ポート番号 送信先 : ポート番号 プロトコル AH ESP モード ポリシー
自身のIPアドレス : 1701 any : any UDP なし あり トランスポート IPsec必須
any : any 自身のIPアドレス : 1701 UDP なし あり トランスポート IPsec必須
表 7. IKEの調整項目
項目
鍵交換モード メインモード
ポート番号 UDP 500, 4500
値の同一性確認の厳密さ イニシエータに従う
INITIAL-CONTACTメッセージ 送信する
自己識別子 IPアドレス
相手識別子 IPアドレス
Nonce値の大きさ 16 bytes
DPD(Dead Peer Detection) 無効
パディング値のランダム化 有効
パディング長のランダム化 無効
ランダム化したパディング長の最大値 20 bytes
パディングの末尾のパディング長の検査 無効
パディングの末尾のパディングに自身の長さを含める 有効
再送回数 5回
再送間隔 10秒
Phase-1のタイムアウト 30秒
Phase-2のタイムアウト 30秒
1回の送信で送るパケット数 1個