ヤマハルーターでのIPsec IKEv1とIKEv2の接続表示

ヤマハルーターでのIPsec IKEv1とIKEv2の接続表示


いつもアクセスありがとうございます。匠技術研究所の谷山 亮治です。
今回は「ヤマハルーターでのIPsec IKEv1とIKEv2の接続表示」について紹介します。

IPsecの実装は安定度の向上と安全性の向上のために時代とともに変化してきました。
IPsecの暗号経路の確立を司るIKE(Internet Key Exchange)にはIKEv1とIKEv2があります。
ヤマハルーターでは、概ねRTX1200発売以降に登場した機種がIKEv1とIKEv2両方に対応しており、それ以前のRTX/SRT機はIKEv1のみの対応です。
IKEv2とIKEv1とは互換性がなく、IKEv1の接続先は必ずIKEv1対応の機種。IKEv2の接続先は必ずIKEv2に対応した機種になります。
また、IKEv2があるからIKEv1が不要かといえばそうではなく、これまでの機種との互換性のためとモバイルデバイスの接続のためにIKEv1は必要です。このように、適材適所で両方を使い続けることになります。

ヤマハルーターのマニュアルでの表記ではIKEv1のころから「IKE、ike」を使っており、IKEv2で拡張した事柄はその旨記述されています。
マニュアルを読むときには、「ike」は以下の三つの場合があることに注意が必要です。

1.ike=IKEv1のみを指す
2.ike=IKEv1またはIKEv2を指す
3.ike＝IKEv2のみを指す

設定を読むときも"ipsec ike"で始まるIKEを設定するコマンドは”ike”というキーワードだけではIKEv1とIKEv2の違いが判りません。IKEv1での動作を指定しているのにIKEv2のみに有効な設定を入れても効果ありません。その逆も同様です。

■ヤマハルーターのIKE対応状況
IKEv1/IKEv2共に使える機種
RTX5000,RTX3500,RTX3000,RTX1210,RTX1200,RTX810
IKEv1のみ使える機種
RTX1100,RTX1000など

■ヤマハルーターで表示したIKEv1とIKEv2のSAの確立状況
ヤマハルーターはIPsec tunnel毎にIKEv1かIKEv2かの種別を指定することができます。以下の例は、SGW=2は192.168.0.49とIKEv2で接続しており、SGW=1は10.10.10.211とIKEv1で接続しています。
100# show ipsec sa
Total: isakmp:2 send:2 recv:2

sa sgw isakmp connection dir life[s] remote-id
-----------------------------------------------------------------------------
1 2 - ike - 8541 192.168.0.49
2 2 1 tun[002]esp send 8541 192.168.0.49
3 2 1 tun[002]esp recv 8541 192.168.0.49
7 1 - isakmp - 8027 10.10.10.211
8 1 7 tun[001]esp send 8029 10.10.10.211
9 1 7 tun[001]esp recv 8029 10.10.10.211
（*）このブログでは等幅フォントの指定ができないので表示が乱れています。

次回は、ヤマハルーターのコマンドでIPsec接続状況を確認するものを紹介します。
（＊）匠技術研究所ではRTX1210が2014年11月下旬に発売開始となることに対応し、スクール講座内容を改訂中です。詳細はこのブログやヤマハルーター設定スクールのサイトで案内の予定です。