2.25. IKEv2/IPsecの設定
UNIVERGE IX-R/IX-V シリーズでは、IKEv2が利用できます。IKEv2はIKEv1との互換性はありませんが、IKEv1のプロトコルでは不明確だった動作仕様が明確化されており、事前共有鍵以外の認証方式のサポート、耐障害性を考慮したプロトコル設計などが特徴となっています。
またIKEv2機能のサポートにあたり、コンフィグ体系の見直しや常時接続などの機能を追加しています。IKEv1とIKEv2は異なる点が多いので注意してください。
2.25.1. IKEv2/IPsecの概要
IKEv1を利用していた方を対象に、IKEv2機能の概要を説明します。
IKEv2はIKEv1と互換性がなく、使われる用語も異なります。
ISAKMP-SA, IPsec-SA相当の機能は、それぞれIKE-SA, Child-SAとなります。
ハッシュアルゴリズム相当の機能は、認証アルゴリズムと擬似乱数アルゴリズムです。
メインモード、アグレッシブモードという概念はなくなり、動作は共通化されました。
Phase1-ID, Phase2-IDも共通化され、一組のlocal-ID, remote-IDだけになります。
2.25.1.1. IKEv2/IPsecのサポート機能一覧
IKEv2でサポートしている機能は以下のとおりです。認証方式は、事前共有鍵方式のみになります。
ID/認証方式
項目
説明
認証方式
事前共有鍵方式
ID
ID_IPV4_ADDRID_FQDNID_RFC822_ADDRID_IPV6_ADDRID_KEY_IDアルゴリズム関係
項目
説明
暗号アルゴリズム(enc)
ENCR_AES_CBC(256bit)ENCR_AES_CBC(192bit)ENCR_AES_CBC(128bit)ENCR_3DESENCR_AES_GCM(128bit)ENCR_AES_GCM(256bit)認証アルゴリズム(integrity)
AUTH_HMAC_SHA2_512AUTH_HMAC_SHA2_384AUTH_HMAC_SHA2_256AUTH_HMAC_SHA1_96擬似乱数アルゴリズム(prf)
PRF_HMAC_SHA2_512PRF_HMAC_SHA2_384PRF_HMAC_SHA2_256PRF_HMAC_SHA1DHグループ(DH)
MODP-3072MODP-2048MODP-1536MODP-1024MODP-768その他の新規サポート機能
常時接続(オートコネクト)に対応しました。
ポリシーの一括設定手段を用意し、多対地環境のコンフィグを軽減しました。
IKEv2ではIPv4とIPv6を1つのトンネルインタフェースで併用できます。
送信インタフェースを固定できます。WANインタフェースダウン時にIPsecパケットを迂回させないように制御できます。
2.25.1.2. IKEv2/IPsecの未サポート機能一覧
UNIVERGE IX-R/IX-V シリーズのIKEv2では以下の機能をサポートしておりません。
項目
説明
IKEv1でサポートしている機能
トランスポートモード
その他の代表的なIKEv2機能
2.25.1.3. その他のIKEv1との主な違い
IKEv1とIKEv2のプロトコルに互換性はなく、設定、表示コマンドもすべて異なります。
IKE-SAが削除されると常にChild-SAも削除されます。
SAの削除条件の変更
インタフェースダウンやコンフィグ変更でSAは削除されません。
clear ikev2 saのコマンドでも即座にSAは削除されません。削除を通知し、その応答確認後に削除します(応答がない場合、タイムアウトするまで削除されません)。
トリガパケットは廃棄されません。
lifetimeがネゴシエーションされません。個別に値を設定することができます。
2.25.2. 事前共有鍵による設定例
IKEv2の事前共有鍵の設定では、ポリシーの設定、事前共有鍵の設定、および接続先の設定が必要です。拠点間をIKEv2で暗号化する場合のサンプルコンフィグは以下のとおりです。
注釈
以下の設定例ではIPアドレスやルーティングなどの設定は除外しています。
ikev2 authentication psk id keyid site1 key char secret1 ikev2 authentication psk id keyid site2 key char secret2 ! ikev2 default-profile child-pfs 2048-bit child-proposal enc aes-cbc-256 child-proposal integrity sha1 dpd interval 10 local-authentication psk id keyid site1 sa-proposal enc aes-cbc-256 sa-proposal integrity sha1 sa-proposal prf sha1 ! interface Tunnel1.0 tunnel mode ipsec-ikev2 ip unnumbered GigaEthernet1.0 ikev2 outgoing-interface GigaEthernet0.0 10.0.0.254 ikev2 peer 10.2.0.1 authentication psk id keyid site2 no shutdownikev2 authentication psk id keyid site1 key char secret1 ikev2 authentication psk id keyid site2 key char secret2 ! ikev2 default-profile dpd interval 10 local-authentication psk id keyid site2 ! interface Tunnel0.0 tunnel mode ipsec-ikev2 ip unnumbered GigaEthernet1.0 ikev2 outgoing-interface GigaEthernet0.0 10.0.1.254 ikev2 peer 10.1.0.1 authentication psk id keyid site1 no shutdown
以下、順番に設定方法を説明します。
2.25.2.1. IKEv2ポリシーの設定(認証や暗号の設定)
はじめにIKEv2ポリシーを設定します。IKEv2では全体のポリシーを一括で設定するデフォルトプロファイルや、一部のポリシーをまとめて設定するIKEv2プロファイル、またトンネル単位でポリシーをインタフェースに直接設定する方法など、3種類の設定方法があります。
通常、装置で利用するポリシーは1つであるため、ここではデフォルトプロファイルの設定を説明します。その他の設定は、後述の項を参照してください。
なお、ポリシー設定はすべての項目が省略可能です。暗号や認証の設定は、省略しても高いセキュリティの設定が利用されるようにデフォルト動作を設定しています。省略した場合のポリシーは次のとおりです。
項目
説明
IKE-SAプロポーザル
Child-SAプロポーザル
接続モード
トリガモード(パケット送受信時にSA作成)
DPD(キープアライブ)
無効
ネゴシエーション方向
双方向
リプレイ攻撃検出
有効
トラフィックセレクタ
any固定(IPv4, IPv6すべて)
イニシャルコンタクト
有効(変更不可)
出力インタフェース
固定しない
ソースアドレス
固定しない
再送とタイムアウト
2, 4, 8秒間隔で再送し、16秒後にタイムアウト(合計30秒)
IKE-SAライフタイム
86400秒(1日)
Child-SAライフタイム
28800秒(8時間)
フラグメント動作
強制フラグメント設定
なし
2.25.2.1.1. デフォルトプロファイルの設定
デフォルトプロファイルは、以下のコマンドで設定します。
項目
説明
ikev2 default-profile
デフォルトプロファイルの設定
このプロファイルで設定したものは、すべてのIKEv2/IPsec通信に適用されます。ただし、デフォルトプロファイル以外の方法でポリシー設定を行っている場合は、そちらが優先されます。
2.25.2.1.2. 自装置の認証設定
詳細は次の事前共有鍵の設定で説明します。
項目
説明
local-authentication
自装置の認証設定
2.25.2.1.3. プロポーザルの変更
暗号や認証の設定を1つまたはいくつかの組み合わせに限定できます。以下の設定で変更可能です。
sa-proposalはIKEv1のike proposal、child-proposalはIKEv1のipsec autokey-proposal相当のコマンドです。また、IKEv1のhash相当の設定はintegrityとprfを使います。
項目
説明
sa-proposal enc
IKEv2プロポーザル 暗号化アルゴリズム設定
sa-proposal integrity
IKEv2プロポーザル 認証アルゴリズム設定
sa-proposal prf
IKEv2プロポーザル PRFアルゴリズム設定
sa-proposal dh
IKEv2プロポーザル DHグループ設定
child-proposal enc
Childプロポーザル 暗号化アルゴリズム設定
child-proposal integrity
Childプロポーザル 認証アルゴリズム設定
child-pfs
Child PFS設定
IKE-SAやChild-SAのプロポーザルで複数のアルゴリズムが選択されている場合、イニシエータ側は選択したすべてを提案します。レスポンダ側の場合は提案されたものの中から1つ選択しますが、選択肢が複数ある場合はセキュリティが高いものを優先して利用します。
このためIKE-SAやChild-SAのプロポーザルを固定したい場合も、どちらかの装置で設定すれば他方の装置では設定を省略できます。
2.25.2.1.4. Lifetimeの変更
Lifetimeの変更は以下のコマンドで行います。
項目
説明
sa-lifetime
IKEv2 SAライフタイム設定(デフォルト:1日)
child-lifetime
Child SAライフタイム設定(デフォルト:8時間)
IKEv2ではlifetimeはネゴシエーションされません。このため接続装置間で一致させる必要はありません。リキーはIKE-SAではlifetimeの30秒前、Child-SAではlifetimeの60秒前に実行します。
なお、相手が動的アドレス環境の場合はリキーを開始しないため、動的アドレス側のlifetimeを長くしないでください。
2.25.2.1.5. DPDの変更
DPD(キープアライブ)の設定は以下のコマンドで行います。
項目
説明
dpd
キープアライブの設定
IKEv1ではDPDの設定を行っても、パケット受信中は通信可能と判断して、監視パケットの送信を抑制していました。IKEv2では常に設定間隔で監視パケットを送信します(何らかのIKEv2のネゴシエーションパケットを送受信している場合のみ送信が抑制されます)。
この機能かネットワークモニタ機能の、どちらかは有効にしておくことを推奨します。
2.25.2.1.6. アンチリプレイ機能
アンチリプレイ機能の設定は以下のコマンドで行います。
項目
説明
anti-replay
リプレイ検出 有効/無効設定
アンチリプレイの機能はデフォルト有効ですが、QoSの影響などでパケットの到着順序が入れ替わる可能性があるネットワークで利用される場合、アンチリプレイ機能が原因でパケットが破棄される可能性があります。そのような環境で利用する場合は、無効化してください。
2.25.2.2. 事前共有鍵の設定
次に事前共有鍵の設定を行います。IDと鍵の設定は以下のコマンドで設定します。
項目
説明
ikev2 authentication
認証情報の設定
ikev2 default-profile
デフォルトプロファイルの設定
local-authentication
IKE自装置情報設定
ikev2 peer
接続先登録
それぞれの装置で自装置を認証するための鍵と、接続相手が認証に使う鍵を設定します。
図 2.25.1 認証で用いられる鍵
まず、自装置およびすべての接続先の装置のIDと鍵の組み合わせ(データベース)をikev2 authenticationコマンドで用意します。次に、自装置の鍵をlocal-authentication pskで、接続先装置の鍵をikev2 peerコマンドのauthentication pskでそれぞれ設定します。
それぞれの装置のlocal-authenticationの鍵と、その装置に接続している装置のpeerの鍵が一致するようにすべての装置を設定します。
ikev2 authentication psk id keyid site1 key char secret1 ikev2 authentication psk id keyid site2 key char secret2 ikev2 authentication psk id keyid site3 key char secret3 ! ikev2 default-profile local-authentication psk id keyid site1 (拠点1のIDの鍵を自装置の鍵に指定) ! interface Tunnel1.0 ikev2 peer <拠点2> authentication psk id keyid site2 (拠点2の鍵を指定) ! interface Tunnel2.0 ikev2 peer <拠点3> authentication psk id keyid site3 (拠点3の鍵を指定)ikev2 authentication psk id keyid site1 key char secret1 ikev2 authentication psk id keyid site2 key char secret2 ! ikev2 default-profile local-authentication psk id keyid site2 (拠点2のIDの鍵を自装置の鍵に指定) ! interface Tunnel0.0 tunnel mode ipsec-ikev2 ip unnumbered GigaEthernet0.0 ikev2 peer <拠点1> authentication psk id keyid site1 (拠点1の鍵を指定) no shutdown
注釈
local-authenticationを個別に設定する必要がある場合は、プロファイルやトンネルインタフェースに設定できます。
2.25.2.3. 接続先の設定
接続先ごとの設定は主にトンネルインタフェースで行います。一部プロファイルでも設定可能です。
interface Tunnel0.0 tunnel mode ipsec-ikev2 ip unnumbered GigaEthernet1.0 ikev2 outgoing-interface GigaEthernet0.0 auto ikev2 peer 10.1.0.1 authentication psk id keyid site1 no shutdown
2.25.2.3.1. IKEv2トンネルの設定と接続先の設定
以下の2つのコマンドはIKEv2で必須の設定です。
項目
説明
tunnel mode ipsec-ikev2
IKEv2/IPsec用のトンネル設定
ikev2 peer
接続先登録
tunnel mode ipsec-ikev2でトンネルをIKEv2専用に設定します。IKEv2では、従来のIKEv1/IPsecで使用していたトンネルモード(tunnel mode ipsec)は利用しません。
接続先はikev2 peerコマンドを使用します。固定アドレスの場合はアドレスとIDを、不定アドレスの場合はanyとIDを設定します。anyの設定については動的アドレスの項目を参照してください。
宛先をFQDNで指定することが可能です。指定したFQDNの名前解決を行い対応したアドレスを宛先として使用します。宛先のFQDN指定を利用することにより、不定アドレス同士での接続が可能となります。詳細はDNSの項を参照してください。
名前解決の契機、アドレス更新時の動作、未解決時の動作は以下のとおりです。
項目
説明
名前解決の契機
定期的な更新
アドレス更新時の動作
該当するSAを削除
名前未解決時の動作
SA作成不可
宛先をFQDN指定時にIDを設定していない場合、宛先のFQDNをIDとして使用します。
2.25.2.3.2. 常時接続(オートコネクト)の設定
IPsecを常時接続する場合は以下のコマンドを設定してください。IPsecトンネルは通常は通信が発生したときにネゴシエーションを開始してSAを生成しますが(トリガ接続)、通信がなくても常にSAを作成、維持します。
項目
説明
ikev2 connect-type
SA生成タイプ設定
常時接続の設定では、通信の有無に関わらず10秒間隔でIPsecトンネルのSAを周期的に監視し、SAが存在しない場合にはSAを生成します。SAが存在しない状態でトンネルインタフェースはdownとなり、トンネル宛の経路は無効化されます。
2.25.2.3.3. 出力先インタフェース、送信元アドレス固定設定
出力先インタフェースと送信元アドレスの固定設定は以下のコマンドで行います。
項目
説明
出力先設定
送信元アドレスの設定
出力先インタフェースは次のように決定されます。また、トンネルのup条件もそれぞれ異なります。
項目
説明
出力先I/F設定なし
送信元アドレスは次のように決定されます。
項目
説明
送信元アドレス設定なし
イニシエータ時は送信インタフェースのアドレス、レスポンダ時は受信したアドレス
送信元アドレス設定あり
設定したアドレス。設定したアドレスがインタフェースダウン等で無効になった場合は通信不可
出力先インタフェースを固定すると、これにより障害検出時にデフォルトルートを迂回させるような設定でもIPsecトンネルが迂回しなくなります。さらにネクストホップを設定すれば、障害検出による経路切り替えの際にIPsecトンネルが送信先を決定するためにルーティングテーブルを参照する必要がなくなるため、負荷が軽減されます。
outgoing-interfaceとsource-addressコマンドが受信インタフェースの選択にも使用されます。同一のpeerアドレスに対して複数のインタフェースからIKEv2/IPsecトンネルを張ることも可能です。また、設定をプロファイル上で行うことも可能です。プロファイルを利用するすべてのインタフェースに適用されます。
2.25.2.3.4. 強制フラグメント設定
IPsecで暗号化したことにより送信インタフェースのMTUを超えた場合に、常にフラグメントを実行する設定です(IKEv1のmtu ignoreと同様)。以下のコマンドで設定します。
項目
説明
ikev2 ipsec mtu ignore
MTU無視設定
デフォルトではdf-bitがついているパケット、およびIPv6のパケットについてはICMPエラーを返します。TCPについてはip tcp adjust-mss autoの設定でフラグメントの発生そのものを抑止できますので、設定しておくことを推奨します。
なお、自生成のパケット(Pingなど)は常に強制的にフラグメントを行います。
2.25.2.3.5. フラグメント順序の設定
IPsecでフラグメントする場合に、暗号化を先に実行してからフラグメント処理を行うか(ポストフラグメント)、暗号化してもMTUを超えないようにフラグメントしてから暗号化を実行するか(プリフラグメント)を指定することができます。
項目
説明
ikev2 ipsec pre-fragment
プリフラグメントの設定
なお、自生成パケットは本コマンドの設定によらず、プリフラグメント動作となります。
2.25.2.3.6. トラフィックセレクタの設定
イニシエータ時に通知するトラフィックセレクタを指定することができます。トラフィックセレクタは、相手装置と折衝することにより決定します。指定した場合、折衝した範囲に該当するパケットのみ送受信し、それ以外のパケットは廃棄します。トラフィックセレクタには、IPアドレス、プロトコル番号、ポート番号を指定することができます。
トラフィックセレクタは以下のコマンドで設定します。
項目
説明
ローカル側トラフィックセレクタの設定
リモート側トラフィックセレクタの設定
SA作成時、イニシエータの装置は、設定されたトラフィックセレクタを相手装置に提案します。設定しない場合はIPv4/IPv6の全範囲を通知します。
レスポンダの装置は、設定に関係なくイニシエータが提案したトラフィックセレクタを使用します。
パケット送受信時は、トラフィックセレクタに該当する範囲以外のパケットは廃棄します。アドレス、ポートは送信時にはローカル側が送信元、リモート側が送信先になります。受信時は、ローカル側が送信先、リモート側が送信元となります。
NATトラバーサル、トランスポートモードを併用する場合は、設定に関係無くIKE-SAで使用するアドレスを使用します。
2.25.3. NATトラバーサル機能
NATトラバーサル機能を使用できます。NAT/NAPTを使用している環境でも、NAPT内部の複数のIPsecクライアントが、1つのNAPTアドレスを使用して同時にIPsecを利用できるようになります。
NATトラバーサルは以下のコマンドで設定します。NAPTの変換テーブルを維持するため、keepaliveは必ず設定してください。
項目
説明
ikev2 nat-traversal
NATトラバーサルの設定
ikev2 nat-traversal keepalive
NATトラバーサル キープアライブ送信間隔設定
IPsec接続中に以下のコマンドを実行することにより、NATトラバーサルで接続されていることを確認することができます。
項目
説明
show ikev2 sa
SA情報表示
Interface Tunnel0.0 : NAT detection : local side NAT-T keepalive interval[sec] : 20 :
2.25.4. DELETE・REKEY送信抑止設定
SA削除時のDELETEメッセージの送信を抑止することができます。
また、REKEYメッセージの送信も抑止することができます。
項目
説明
DELETE送信抑止の設定
REKEY送信抑止の設定
上記のコマンドを使用するときはsuppress send-deleteとsuppress send-rekeyの両方の設定を推奨しています。
suppress send-deleteのみ設定するとrekeyによる鍵の更新が失敗し、通信ができなくなります。
2.25.5. 注意事項
2.25.5.1. フィルタ機能、NAPT機能
IKEv2のIPsecを送受信するインタフェースにフィルタやNAPTを設定する場合、IKE(UDPポート番号:500, 4500)とESP(プロトコル番号:50)を遮断しないように注意してください。
interface GigaEthernet0.0 ip address 10.0.0.1/24 ip napt enable ip napt static GigaEthernet0.0 udp 500 ip napt static GigaEthernet0.0 udp 4500 ip napt static GigaEthernet0.0 50 no shutdown
2.25.5.2. 同じ宛先にIKEv2のIPsecを複数設定する場合
2つの装置間に複数のIKEv2を設定する場合、片方の拠点のpeerアドレスをanyにしてください。各トンネルは異なるIDを設定してください。
図 2.25.2 同じ宛先にIKEv2のIPsecを複数設定する場合
interface Tunnel0.0 ikev2 local-authentication psk id keyid site1A ikev2 peer <拠点2> authentication psk id keyid site2A ! interface Tunnel1.0 ikev2 local-authentication psk id keyid site1B ikev2 peer <拠点2> authentication psk id keyid site2Binterface Tunnel0.0 ikev2 local-authentication psk id keyid site2A ikev2 peer any authentication psk id keyid site1A ! interface Tunnel1.0 ikev2 local-authentication psk id keyid site2B ikev2 peer any authentication psk id keyid site1B
注釈
通常の設定とは異なる箇所のみ表示しています。
2.25.6. 複数ポリシーの設定
2.25.6.1. IKEv2プロファイルの設定
複数のポリシーでIKEv2を利用したい場合は、IKEv2プロファイルを設定します。複数のIKEv2プロファイルでそれぞれポリシーを設定し、Tunnelインタフェースで利用したいプロファイルを指定することで、複数の設定が利用できます。
項目
説明
ikev2 profile
IKEv2プロファイルの設定
ikev2 binding
IKEv2プロファイルの割り当て
ikev2 profile prof1 child-proposal enc aes-cbc-256 child-proposal integrity sha1 dpd interval 10 sa-proposal enc aes-cbc-256 sa-proposal integrity sha1 ! interface Tunnel0.0 tunnel mode ipsec-ikev2 ip unnumbered GigaEthernet0.0 ikev2 binding prof1 ikev2 peer 10.1.0.1 authentication psk id keyid site1
2.25.6.2. Tunnelインタフェースでの設定
Tunnelインタフェースに直接ポリシー設定を記述することも可能です(コマンドはすべて先頭にikev2を付けます)。トンネルの設定をまとめて確認しやすくなります。
interface Tunnel0.0 tunnel mode ipsec-ikev2 ip unnumbered GigaEthernet0.0 ikev2 child-proposal enc aes-cbc-256 ikev2 child-proposal integrity sha1 ikev2 dpd interval 10 ikev2 sa-proposal enc aes-cbc-256 ikev2 sa-proposal integrity sha1 ikev2 sa-proposal prf sha1 ikev2 peer 10.1.0.1 authentication psk id keyid site1
2.25.6.3. 設定の優先度
同じ設定を複数の設定方法で行った場合は以下の順に設定が参照されます。
Tunnelインタフェースの設定
IKEv2プロファイルの設定
デフォルトプロファイルの設定
デフォルト動作
2.25.7. IPsecリモートアクセス機能(拠点側動的アドレス対応)
拠点側のアドレスが不定の場合の設定方法について説明します。
基本的な設定は固定アドレスの場合と同じです。センタルータ側のikev2 peerコマンドは、拠点側のアドレスを特定しないのでanyとし、拠点ごとのIDを設定してください。
ikev2 authentication psk id keyid center key char secret-c ikev2 authentication psk id keyid site1 key char secret-s1 ikev2 authentication psk id keyid site2 key char secret-s2 : ikev2 default-profile local-authentication psk id keyid center ! interface Tunnel1.0 tunnel mode ipsec-ikev2 ip unnumbered GigaEthernet0.0 ikev2 peer any authentication psk id keyid site1 no shutdown ! interface Tunnel2.0 tunnel mode ipsec-ikev2 ip unnumbered GigaEthernet0.0 ikev2 peer any authentication psk id keyid site2 no shutdown :ikev2 authentication psk id keyid center key char secret-c ikev2 authentication psk id keyid site1 key char secret-s1 ! ikev2 default-profile local-authentication psk id keyid site1 ! interface Tunnel0.0 tunnel mode ipsec-ikev2 ip unnumbered GigaEthernet0.0 ikev2 peer 10.0.0.1 authentication psk id keyid center no shutdown
動的アドレス環境の場合、各種ポリシーの設定はデフォルトプロファイルに記載してください。IKEv2のイニシエータが送信する最初のパケットにはID情報が含まれないため、最初のパケット受信では受信インタフェースの設定を参照できないためです。
2.25.8. その他の認証方式
2.25.8.1. デジタル署名認証
IX-Rルータがサポートしているデジタル署名認証の機能は、認証局が発行するCA証明書を使って接続先装置を認証する機能と、機器証明書を使ってIX-Rルータ自身を接続先装置に認証させる機能があります。
デジタル署名認証では、pki cert importコマンドもしくはpki pkcs12 importコマンドでルータに事前に証明書をインポートする必要があります。
注釈
Ver1.2.15ではIKEv2デジタル署名認証は使用が制限されています。
2.25.8.1.1. 動作概要
拠点側ルータが接続するセンタ側ルータを認証する場合のデジタル署名認証は次のように動作します。
最初に拠点側ルータからセンタ側ルータへ認証要求を行います。拠点側ルータはCA証明書内の公開鍵を使ってセンタ側ルータへCERTREQペイロードを含めて認証要求を送信します。
CERTREQペイロードを含む認証要求を受けたセンタ側ルータでは、CERTREQペイロードを解析してCAを特定し、そのCA証明書に署名された証明書と秘密鍵でCERTペイロードを生成して認証応答に含めて応答します。
CERTペイロードを含む認証応答を受けた拠点側ルータは、CA証明書のデジタル署名と公開鍵でCERTペイロードを検証し、問題がなければ認証が成功します。
センタ側ルータが拠点側ルータを認証する場合のデジタル署名認証は上記と逆の動作になります。
2.25.8.1.2. 証明書の取得
証明書の取得/削除は以下のコマンドで行います。
項目
説明
pki cert import
証明書のインポート
pki cert erase
証明書の削除
証明書のインポートはfileプロトコルで指定したローカル環境のURLからインポートする方法のみをサポートしています。
pki cert import pem name caCert url file:caCert.pem
取得した証明書は、装置内部ストレージに保存されます。show pki certコマンドで表示可能で、pki cert eraseコマンドで削除可能です。
2.25.8.1.3. 設定例
拠点側はセンタ側の認証にデジタル署名を使用し、センタ側は拠点側の認証にPre-Shared Key方式を使用する構成の、拠点側のコンフィグ例は下記です。
IKEv2以外の設定や、IKEv2のプロファイル設定は省略しています。
ikev2 authentication psk id fqdn site1.example.com key char secret1 interface Tunnel0.0 tunnel mode ipsec-ikev2 ip unnumbered GigaEthernet0.0 ikev2 cert cacert name caCert ikev2 local-authentication psk id fqdn site1.example.com ikev2 peer 192.168.0.1 authentication rsa id fqdn center.example.com no shutdown
センタ側は拠点側の認証にデジタル署名を使用し、拠点側はセンタ側の認証にPre-Shared Key方式を使用する構成の、拠点側のコンフィグ例は下記です。
IKEv2以外の設定や、IKEv2のプロファイル設定は省略しています。
ikev2 authentication psk id fqdn site1.example.com key char secret1 interface Tunnel0.0 tunnel mode ipsec-ikev2 ip unnumbered GigaEthernet0.0 ikev2 cert mycert name myCert ikev2 local-authentication rsa id fqdn center.example.com ikev2 peer 192.168.0.1 authentication psk id fqdn site1.example.com no shutdown
2.25.9. 表示コマンド/イベントログ
IKEv2の動作確認のためのコマンドについて説明します。
2.25.9.1. show ikev2 sa
show ikev2 saでIKE-SAの状態を表示できます。
表示される内容は以下のとおりです。
Interface Tunnel0.0 SPI (I)0xf633bdfd0188a348 (R)0xc35d1aa6e0ce1c67 Remain lifetime[sec] : 86381 Serial : 11 Direction : initiator Local Addr : 10.1.0.1:500 Remote Addr : 10.2.0.1:500 Local ID : IPv4-ADDR 10.1.0.1 Peer ID : IPv4-ADDR 10.2.0.1 Status : establish Local message ID : 2 Peer message ID : 0 Encryption alg : AES-CBC-256 initiator key : 0xa4610bea… responder key : 0x0fdae963… Integrity alg : HMAC-SHA1-96 initiator key : 0xf1f246b6... responder key : 0x6e32c07a… PRF alg : HMAC-SHA1 DH group : MODP-1536 PFS : MODP-2048 DPD : disable Child Prot SPI(IN) SPI(OUT) Lifetime[sec] ESP 0x1511ab8e 0x571a182d 28780
2.25.9.2. show ikev2 child-sa
show ikev2 child-saでChild-SAの状態を表示できます。
また、SAが生成された場合とすべて削除された場合について、過去10回分の履歴を表示します。
Interface Tunnel0.0 IKE Peer ID : IPv4-ADDR 10.2.0.1 IKE SPI (I)0xf633bdfd0188a348 (R)0xc35d1aa6e0ce1c67 IKE SA serial : 11 Child SA Protocol : ESP Local Addr : 10.1.0.1 Peer Addr : 10.2.0.1 Enc alg : AES-CBC-256 Hash alg : HMAC-SHA1-96 Remain lifetime[sec] : 28776 Anti-replay : on Direction is outbound SPI : 0x571a182d Serial : 4 Authkey : 0x4dd70b5f… Enckey : 0xace632bd… Direction is inbound SPI : 0x1511ab8e Serial : 3 Authkey : 0x5cf49660… Enckey : 0xba70b368… Local TS: TS type : IPV4-ADDR-RANGE Protocol 0 Address Range 0.0.0.0 to 255.255.255.255 Port Range 0 to 65535 Peer TS: TS type : IPV4-ADDR-RANGE Protocol 0 Address Range 0.0.0.0 to 255.255.255.255 Port Range 0 to 65535 Statistics Outbound 9 packets, 756 octets 0 cipher failure, 0 out of memory, 0 ts unacceptable 122 misc error Inbound 9 packets, 756 octets 0 invalid sa, 0 replay detected, 0 integrity failure 0 cipher failure, 0 packet truncated, 0 invalid padding, 0 unknown protocol, 0 out of memory, 0 ts unacceptable 0 misc error History Time Event 2011/01/01 09:00:40 Create 2011/01/01 19:22:03 Delete : Delete IKE SA by command 2011/01/01 19:22:29 Create
show ikev2 saでは現在通信に使用している鍵の内容も表示します。キャプチャデータを復号して解析する場合などに利用します。
2.25.9.3. イベントログ
IKEv2のイベントログはsyslog設定時の機能名としてikev2を使用しますが、IPsecについてのイベントログは、IKEv1によるIPsecのイベントログと同様に機能名IPsecを使用します。イベントログ設定についての説明は別途遠隔設定と監視の章を参照ください。
ikev2のイベントログは主に以下のように構成されています。
項目
説明
Error / Warning
SAの生成削除および何らかの異常が発生した場合
Notice
ネゴシエーションの開始、終了、タイムアウト(DPDを除く)
Info
DPD, Cookieなどの情報
Debug
送受信パケットの詳細情報、作成した鍵情報
通常はWarningで利用し、問題が発生した場合に適宜Notice, Infoなどの設定を検討してください。Debugについては大量にログが表示されますので通常は利用しないでください。