最終更新:2020-06-27 (土) 04:30:57 (41d)  

IKE
Top / IKE

Internet Key Exchange

IKEv2

  • KEv1 のプロトコルでは不明確だった動作仕様が明確化されており、事前共有鍵以外の認証方式のサポート、耐障害性を考慮したプロトコル設計などが特徴
  • メインモード、アグレッシブモードという概念はなくなり、動作は共通化されました。
  • Phase1-ID、Phase2-ID も共通化され、一組のlocal-ID, remote-ID だけ

IKEv1

  • RFC 2409?

フェーズ1: IKEを暗号化する前の前準備

  • ID_IPV4_ADDR, ID_IPV6_ADDRIPv4/IPv6 ソースアドレス
    ID_KEY_ID任意文字列
    ID_FQDNドメイン名
    ID_USER_FQDNユーザ名付きドメイン名

メインモード

  • IPアドレスが動的に変化する環境では使えない

アグレッシブモード

  • どの鍵を使用するかをID情報から判断
  • ID

フェーズ2:互いに鍵を生成するための情報を交換

  • クイックモード

用語

IKEポリシー

  • どの通信相手とどのプロポーザルでIKE 処理するか等を決定するもの

SA

メモ

  • IKEv1はIPv4とIPv6で個別にVPNトンネルが必要
  • IKEv2では1本のVPNトンネルでIPv4/IPv6の両方のパケットを扱うことが可能