最終更新:2020-06-27 (土) 04:30:57 (1361d)
IKE
Top / IKE
Internet Key Exchange
IKEv2
- KEv1 のプロトコルでは不明確だった動作仕様が明確化されており、事前共有鍵以外の認証方式のサポート、耐障害性を考慮したプロトコル設計などが特徴
- メインモード、アグレッシブモードという概念はなくなり、動作は共通化されました。
- Phase1-ID、Phase2-ID も共通化され、一組のlocal-ID, remote-ID だけ
IKEv1
- RFC 2409?
フェーズ1: IKEを暗号化する前の前準備
ID_IPV4_ADDR, ID_IPV6_ADDR IPv4/IPv6 ソースアドレス ID_KEY_ID 任意文字列 ID_FQDN ドメイン名 ID_USER_FQDN ユーザ名付きドメイン名
メインモード
- IPアドレスが動的に変化する環境では使えない
アグレッシブモード
- どの鍵を使用するかをID情報から判断
- ID
フェーズ2:互いに鍵を生成するための情報を交換
- クイックモード
用語
IKEポリシー
- どの通信相手とどのプロポーザルでIKE 処理するか等を決定するもの
SA
メモ
- IKEv1はIPv4とIPv6で個別にVPNトンネルが必要
- IKEv2では1本のVPNトンネルでIPv4/IPv6の両方のパケットを扱うことが可能