IKE���T�|�[�g���鐻�i�̑�����RFC2401�`RFC2409�ɑΉ����Ă�����̂́A ���ۂɑ��ݐڑ������Ă݂�ƁA�K�������ȒP�ɂ͐ڑ��ł��Ȃ��悤�Ɏv���܂��B ���ݐڑ��������Ă���v���ɂ͊������܂����A��Ȃ��̂Ƃ��āA �ݒ�̓���A���O�̕��͂̓���A�����̖�肪����܂��B
IKE�ɂ́AID�A�A���S���Y���APFS�Ȃǂ̃p�����[�^������܂����A IKE�̃p�����[�^�ɂ́A ���܂�l�S�V�G�[�V�����̗]�n���Ȃ��Ƃ�������������܂��B �܂�A���[�U�́A�����̃p�����[�^�̈Ӗ���c�����āA �������ݒ肷��K�v������܂��B
�܂��AIKE�ɂ́A1�_�̐ݒ�~�X���v���I�ɂȂ�Ƃ�������������܂��B IKE�́A���S�Ɍ����������邽�߂ɑ����̃`�F�b�N�����{���܂����A ����1�̃`�F�b�N�����s���������Ō��������~�߂Ă��܂��܂��B ���������āA�ݒ������v���Z�X�́A�j�̌���ʂ��悤�Ɋ������܂��B
���ݐڑ��̖��_��c�����邽�߂ɂ́A ���O�͂��邱�Ƃ��ł������̂悢���@���Ǝv���܂��B �������Ȃ���A�K�������K�v�ȃ��O�����ׂďo�͂����Ƃ͌���܂���B �܂��A�o�͂��ꂽ�Ƃ��Ă��Ӗ���������Ȃ����Ƃ�����܂��B
���������āA�d�����Ȃ��̂Őݒ�����܂��܂ɕύX���A �z�肳���p�����[�^�̑g�ݍ��킹�����ׂĎ������Ƃ��悭����܂��B
�����ɉ��炩�̖�肪�����āA �ǂ̂悤�ɐݒ���H�v���Ă��ڑ��ł��Ȃ����Ƃ�����܂��B ����́A�����̕ύX��҂ȊO�ɕ��@�͂���܂��A �K����������I�Ɏ�����ӂ߂邱�Ƃ��ł��Ȃ��ꍇ������܂��B ���ɁARFC�̋L�q�����m�łȂ��Ƃ���́A �����ɂ�������邱�Ƃ��������Ă��܂��B
���̕����ł́A�ȏ�̓_���l�����āA ���ݐڑ������݂�Ƃ��ɒ��ӂ��ׂ��_���L�q���܂��B �R�}���h�̐ݒ��Ȃǂ́A���ׂ�Rev.8.01.19�Ɋ�Â��Ă��܂��̂ŁA �Â��t�@�[���E�F�A�ł́A�R�}���h�̏����Ȃǂ��قȂ�ꍇ������܂��B
�܂��A���ݐڑ������݂�O�ɁA �m���Ă����ׂ����Ƃ⏀�����ׂ����Ƃ�������܂��B
�܂��A���i�̊�{�I�Ȏd�l���m�F����K�v������܂��BRFC�ɂ��ẮA RFC2401�`RFC2409�ɑΉ����Ă���悢�Ǝv���܂��B ���������Â�RFC�Ƃ���RFC1825�`RFC1829������܂����A RT�V���[�Y�͂�����RFC�ɂ͑Ή����Ă��܂���B
IKE�̃p�����[�^�ɂ��ẮA�����ɂ���Ă��������܂����A �p�����[�^�̐����������߁A �p���t���b�g�Ȃǂɂ��ׂĂ��L�ڂ��Ȃ����Ƃ������悤�ł��B IKE�Ɋւ����ȃp�����[�^�͎��̂Ƃ���ł��B
�p�����[�^�̍��� �p�����[�^���e �F�ؕ��� �@�@�@�@�@�@ �Í��A���S���Y�� �n�b�V���A���S���Y�� PFS��on/off(�L��) DH(Diffie-Hellman)�O���[�v ISAKMP SA�̎��� IPsec SA�̎��� �������[�h(exchange mode) ID�̎�� Vendor ID
�|�C���g�́A�����̃p�����[�^��ݒ肷����@�ƁA �ݒ�\�Ȓl��m���Ă������Ƃł��B �܂��A�ݒ�ł��Ȃ��p�����[�^������ꍇ�ɂ́A ���̒l�͌Œ�ɂȂ��Ă���͂��Ȃ̂ŁA���̒l��m��K�v������܂��B �Ȃ��A������Ȃ��p�����[�^�ɂ��ẮA ��q���W���I�Ȓl��ݒ肷�邱�ƂŐڑ��ł��邱�Ƃ�����܂��B
�p�����[�^�̌ď̂ɂ͂��������A���Ƃ��A�F�ؕ����ɂ��ẮA �u�F�̕��@�v�uAuthentication Method�v�Ȃǂƕ\�L����܂��B �܂��A�uDH�O���[�v�v�ɂ��ẮA�P�Ɂu�O���[�v�v�Ə����ꍇ������܂��B
�������[�h�́A�������̕��@�̃o���G�[�V�����ŁA ���C�����[�h(main mode)�A�A�O���b�V�u���[�h(aggressive mode)�A �x�[�X���[�h(base mode)�A�N�C�b�N���[�h(quick mode)�Ȃǂ̎�ނ�����܂��B
RT�V���[�Y�ɂ��Ă��A�K�v�ȏ���������܂��B�܂��A�F�ؕ����ɂ��ẮA pre-shared-key(�u���O���L���v�A�u���L�L�[�v�Ȃǂ̌Ăѕ�������) ���T�|�[�g���Ă��܂��B IKE�ɂ́A���4�̔F�ؕ���������܂����A pre-shared-key�ȊO�̔F�ؕ����̓T�|�[�g���Ă��܂���B
�Í��A���S���Y���ɂ��ẮADES-CBC�A3DES-CBC�AAES-CBC���T�|�[�g���Ă���A �n�b�V���A���S���Y���ɂ��ẮAMD5��SHA-1���T�|�[�g���Ă��܂��B SHA-1�͒P��SHA�ƕ\�L����邱�Ƃ�����܂��B �Ȃ��ART�V���[�Y��SHA-2�ɂ͑Ή����Ă��܂���B AES-CBC�̌��̒�����128�r�b�g�ɂ̂ݑΉ����܂��B
PFS�ɂ��Ă�on/off�̗����ɑΉ����Ă��܂��B DH�O���[�v�ɂ��ẮAMODP768(�O���[�v1)�AMODP1024(�O���[�v2)�AMODP1536(�O���[�v5)�AMODP2048(�O���[�v14)�ɑΉ����Ă��܂��B SA�̎����ɂ��Ă͕b�����ƃo�C�g������2��ނ����R�ɐݒ肷�邱�Ƃ��ł��܂��B
�������[�h�ɂ��ẮA���C�����[�h�A�A�O���b�V�u���[�h�A �N�C�b�N���[�h���T�|�[�g���Ă��܂��B
ID�ɂ��ẮA�������G�Ȃ��߁A��Ő������܂��BVendor ID�́A �����̎��ʎq�Ƃ��ē���ȗp�r�Ŏg�p�������̂ł����A RT�V���[�Y��Vendor ID���t�����A���M�����Ȃ��̂ŁA �Ό��̐��i�ł́AVendor ID�𑗐M���Ȃ��悤�ɐݒ肷��K�v������܂��B Vendor ID�Ɋւ���ݒ荀�ڂ��Ȃ��@��ł́A���ɔz������K�v�͂Ȃ��Ǝv���܂��B
�p�����[�^ RT�V���[�Y�̑I���� RT�V���[�Y�̃R�}���h �F�ؕ��� pre-shared-key ipsec ike pre-shared-key �Í��A���S���Y�� DES-CBC, 3DES-CBC ipsec ike encrypt (�t�F�[�Y1)
ipsec sa policy (�t�F�[�Y2)�n�b�V���A���S���Y�� MD5, SHA-1(SHA) ipsec ike hash (�t�F�[�Y1)
ipsec sa policy (�t�F�[�Y2)PFS��on/off(�L��) on, off ipsec ike pfs DH(Diffie-Hellman)�O���[�v 768bit(�O���[�v1), 1024bit(�O���[�v2), 1536bit(�O���[�v5), 2048bit(�O���[�v14) ipsec ike group ISAKMP SA�̎��� �b����, �o�C�g���� ipsec ike duration isakmp-sa IPsec SA�̎��� �b����, �o�C�g���� ipsec ike duration ipsec-sa �������[�h(exchange mode) main mode, aggressive mode, quick mode - ID�̎�� ��q ipsec ike local id Vendor ID �t���Ȃ�&���M���Ȃ� -
2.�Ő��������p�����[�^�ɒ��ӂ��Ȃ���A�ݒ���s���܂��B��{�I�ɂ́A ���҂̃p�����[�^����v����悤�ɐݒ肵�܂��B �ݒ�ł��Ȃ��p�����[�^�ɂ��ẮA�Œ�̒l�ɂȂ��Ă���Ǝv����̂ŁA ���̒l��m��K�v������܂��B������Ȃ��ꍇ�ɂ́A �ȉ��Ɏ����W���I�Ȓl�ɐݒ肷��ΐڑ��ł���\��������܂��B
�p�����[�^ ���ݐڑ����₷���p�����[�^ �F�ؕ��� pre-shared-key (�e�L�X�g�܂��̓o�C�i��) �Í��A���S���Y�� DES-CBC �n�b�V���A���S���Y�� MD5 PFS��on/off(�L��) off DH(Diffie-Hellman)�O���[�v 768bit(�O���[�v1) ISAKMP SA�̎��� 28800�b IPsec SA�̎��� 28800�b �������[�h(exchange mode) main mode, quick mode ID�̎�� ��q Vendor ID ���M���Ȃ�
���ɁApre-shared-key�̐ݒ���s���܂��B����́A�����̋@��ɓ���������A �܂��̓o�C�i�����ݒ肵�܂��B���i�ɂ���ẮA �ǂ��炩��������ݒ�ł��Ȃ����̂�����܂��B RT�V���[�Y�ł́A������̏ꍇ��32�����A �o�C�i���̏ꍇ��32�o�C�g�܂ł̒������ݒ�ł��܂��B
[�ݒ��]
# ipsec ike pre-shared-key 1 text himitsu # ipsec ike pre-shared-key 1 0x1234567890
IKE�ɂ́A�t�F�[�Y1�ƃt�F�[�Y2�Ƃ���2�̌������̃v���Z�X������A ���ꂼ��̃v���Z�X�ŁAID����������܂��B���̂����A �ݒ�ɔz������K�v�̂�����̂́A �t�F�[�Y2�Ō��������ID�ł��B �t�F�[�Y2��ID�́AESP��AH�̃g���q�b�N�����ʂ��邽�߂Ɏg������̂ŁA ����̎�ނ�����܂��B �o���I�ɂ́A �^�C�v1(ID_IPV4_ADDR)�ƃ^�C�v4(ID_IPV4_ADDR_SUBNET)�������̂ŁA ������I������Α��ݐڑ��ł���\���������Ǝv���܂��B
�^�C�v1��IPsec�̒ʐM���������̋@���IP�A�h���X���w�肷����̂ł���A �^�C�v4�͒ʐM������@��̑�����l�b�g���[�N���w�肷����̂ł��B �����̎����ł́A��������ID�Ƒ��葤��ID��ݒ肵�܂��B �����͈ȉ��̐}�Ŏ����悤�ɁA �݂��ɓ������̂�ݒ肷��K�v������܂��B
��������ID: �^�C�v1, 192.168.0.2 ��������ID: �^�C�v4, 192.168.1.0/24
���葤��ID: �^�C�v4, 192.168.1.0/24 ���葤��ID: �^�C�v1, 192.168.0.2
+-------------+ +-------------+
| IKE gateway | <---------------------> | IKE gateway |
+------+------+ IKE +-------+-----+
| |
| |
-----+------+------ -----------+------ 192.168.1.0/24
| �l�b�g���[�N
�[�� 192.168.0.2
�܂��A�����ɂ���ẮAID���������Ȃ������ǍD�ɑ��ݐڑ��ł�����̂�����܂��B �����uID�𑗐M���Ȃ��v�Ƃ����ݒ肪�\�Ȑ��i�ł���A RT�V���[�Y�ł����M���Ȃ��悤�ɐݒ肷�邱�Ƃ��ł��܂��B
RT�V���[�Y��ID��ݒ肷�邽�߂ɂ́Aipsec ike local id�R�}���h�� ipsec ike remote id�R�}���h���g���܂��B �O�҂͎�������ID��ݒ肷��R�}���h�ŁA ��҂͑��葤��ID��ݒ肷��R�}���h�ł��B ID�𑗐M���Ȃ��Ƃ��ɂ́A�����̃R�}���h��ݒ肹���A ID�𑗐M����Ƃ��ɂ́A�����̃R�}���h��ݒ肵�܂��B ID�Ƃ��āA�^�C�v1��ID�𑗐M����Ƃ��ɂ́AIP�A�h���X�݂̂�ݒ肵�A �^�C�v4��ID�𑗐M����Ƃ��ɂ́A�l�b�g�}�X�N��t�����܂��B
[�ݒ��]
# ipsec ike local(remote) id 1 clear ; ���M���Ȃ��Ƃ� # ipsec ike local(remote) id 1 192.168.0.2 ; �^�C�v1��ID�𑗐M����Ƃ� # ipsec ike local(remote) id 1 192.168.1.0/24 ; �^�C�v4��ID�𑗐M����Ƃ�
����̋@����n����(initiator)�A ���������������(responder)�ƌ��߂Ď��������{���A ���̌�A�n�����Ɖ���������サ�ē������������{���܂��B ���s�����Ƃ��ɂ͍Ē��킷�邱�ƂɂȂ�܂����A ���̂Ƃ��ɌÂ�SA���c���Ă���ƁA�������̋������ς���Ă��܂��̂ŁA �����������Ă���Ē��킷�邱�Ƃ��d�v�ł��B
���s�����Ƃ��ɂ́A���O������ĉ�͂��܂��BRT�V���[�Y�ł͈ȉ��̂悤�ɁA IKE�̂��ׂẴ��O���o�͂����悤�Ȑݒ�����Ă����܂��B
[�ݒ��]
# ipsec ike log 1 key-info payload-info message-info
�����ŁAkey-info�́A Diffie-Hellman�l�Ȃǂ̌��̌v�Z���ʂ�\�����邽�߂̃L�[���[�h�ŁA payload-info�́A IKE���b�Z�[�W�Ɋ܂܂��e�y�C���[�h�̏������ʂ�\�����邽�߂̃L�[���[�h�ł��B �܂��Amessage-info�́A����M����IKE���b�Z�[�W��\�����邽�߂̃L�[���[�h�ł��B
�L�[���[�h ���O���e�̐��� payload-info IKE message���\������payload�̉�͌��ʂ��o�͂��܂��B payload�Ƃ́AIKE�Ɋւ�����̒P�ʂł���A���ʁA1�� IKE message�́A������payload���A������č���Ă��܂��B key-info ���ɊW��������o�͂��܂��B�Ⴆ�ADH(diffie-hellman)�� �l�ASKEYID�ADES��IV�Ȃǂł��B message-info ����M���ꂽIKE message��16�i�����o�͂��܂��B
�Ό��̐��i�ɂ��Ă��A�ł�����胍�O�����悤�ɂ��܂��B
�g���u���̎�ނ͑���ɓn��A�S�Ă�ԗ����邱�Ƃ�����̂ŁA �悭������ɂ��Đ������܂��B
�n���������������J�n�����ɂ�������炸�A���������܂������������Ȃ��ꍇ�ŁA �����͉������̐ݒ�̖�肩�A�ʐM�H�̖��ł��B �������ɂ́A�܂��������O���o�͂���Ȃ����A �u�������̗v�������ۂ��ꂽ�v�Ƃ����悤�ȃ��b�Z�[�W���o�͂���܂��B
�������̑�����w�肷��ݒ���������A ���[�^��IP�A�h���X���Ԉ���Ă��Ȃ����Ƃ��m�F���܂��B �܂��A����̃��[�^�ɑ���ping�Ȃǂ𑗐M���A ��{�I�Ȑڑ��������邱�Ƃ��m�F���܂��B
����̋@�킪���M������Ă��A�����̋@��Ŏ���Ȃ��ꍇ�ł��B �n�����Ɖ������͂Ƃ��ɒ�Ă𑗐M����̂ŁA �����̋@�킪���݂ɒ�Ă����Ȃ���A�������͐������܂���B ��Ă����ۂ����@��̃��O�ɂ́A �u���(proposal)���I��Ȃ������v �Ƃ����悤�ȈӖ��̃��b�Z�[�W���o�͂���܂��B �Ȃ��A��Ă����ۂ��ꂽ���̋@��ɂ́A���̃��O���\������Ȃ����Ƃ�����̂ŁA ���ӂ��K�v�ł��B���̏ꍇ�ɂ́A�P�ɍđ����J��Ԃ��Ă��邱�Ƃ������Ǝv���܂��B
���̏ꍇ�ɂ́A�܂��A�p�����[�^�̐��������m�F���܂��B 3.�Ő��������p�����[�^�ɂ��ẮA�Ċm�F���K�v�ɂȂ�܂��B ���邢�́A���̒l�ɕύX���邱�Ƃʼn����ł���\��������܂��B �Ⴆ�AID�Ƃ��ă^�C�v1��ݒ肵�Ă�����A ������^�C�v4�ɕύX������A ID�̑��M���~�߂Ă݂܂��B �܂��A�����̒l��APFS�̒l�Ȃǂ�ύX���Ă݂鉿�l������܂��B �p�����[�^��ύX����Ƃ��ɂ́A�����̋@��œ����悤�ɕύX���܂��B
�������Ƃ́A�Í���(encryption)�̋t�ŁA �Í������ꂽ���b�Z�[�W�����ɖ߂����Ƃł��B IKE�̃��b�Z�[�W�́A���߂��琔����3�Ԗڈȍ~�ɂ��ẮA �Í�������܂��B ���������āA���̃��b�Z�[�W����M�����@��́A �����������K�v������܂����A �����A�������Ɏ��s���邱�Ƃ�����܂��B
���̌��ۂ́A���ʂƑ�����Ƃ������A�ʓ|�Ȃ��̂ł��B�܂��A ���̌��ۂ̌��������́A�n�����ɂ����āA 3�Ԗڂɑ��M�������b�Z�[�W���J��Ԃ��đ�����Ă��邱�Ƃł��B ���̂Ƃ��A�������̃��O������ƁA ���炩�̃G���[���b�Z�[�W���o�Ă���Ǝv���܂��̂ŁA������m�F���܂��B �G���[���b�Z�[�W�̎�ނ͗l�X�ł���A���܂�����I�Ȃ��̂͂���܂���B RT�V���[�Y�̏ꍇ�ɂ́A �u�t�H�[�}�b�g�����������v�Ȃǂ̈Ӗ��̃��b�Z�[�W���o�͂���܂��B
��Ƃ��ẮApre-shared-key�̌�����������K�v������܂��B ���ɒ�������ݒ肵�Ă���Ƃ��ɂ́A���̓~�X�̉\��������܂��B ����ȊO�ɂ́A�����ɋN������ꍇ�������̂ŁA �t�@�[���E�F�A�����ւ��Ȃ�����������Ȃ����Ƃ������悤�ł��B
�Ȃ��A�A�O���b�V�u���[�h���g���ꍇ�ɂ́A ipsec ike payload type�R�}���h��3��ݒ肷�邱�Ƃʼn������邱�Ƃ��悭����܂��B
����̋@�킪���M����ID���ł��Ȃ����Ƃɂ���āA�����������s����ꍇ�ł��B ���̌��ۂ��N����̂́A�قƂ�ǃt�F�[�Y2�ŁA �t�F�[�Y1�ŋN���邱�Ƃ͂��܂肠��܂���B �t�F�[�Y2�ɓ����Ă��邱�Ƃ��m�F���邽�߂ɂ́A ���O�����邩�ASA�̃��X�g�����܂��B ���O�����Ȃ��@��ł��A�t�F�[�Y1�ƃt�F�[�Y2���I�������Ƃ��ɂ́A ���O���o�͂���̂����ʂŁA�t�F�[�Y1���I�����Ă���A 1��SA����������Ă��܂��B
�Ώ��Ƃ��ẮAID�𑗐M���Ȃ��悤�ɐݒ�ł���ꍇ�ɂ́A ���M���Ȃ����Ƃʼn���ł��邱�Ƃ�����܂��B�Ȃ��A���̕����ł́A �p�����[�^�𑵂��邱�Ƃ��������Ă��܂����AID�Ɋւ��ẮA ����݂̂𑗐M���Ȃ��悤�ɐݒ肷�邾���ł��ނ��Ƃ�����܂��B
[�֘A�h�L�������g]
|
|