IPsec SA 設定では、「切断時動作」 と 「再接続」 は独立した設定です。対向機器から切断パケットを受信したときの挙動は 「切断時動作」 で決まり、SA 有効期限到来時に自身から更新動作を行うかどうかは 「再接続」 で決まります。また、「切断時動作:指定なし」 の場合は、別途設定している 「接続動作」 に応じて実際の挙動が変わります。
質問
IPsec SA 設定で、「切断時動作」「再接続」「接続動作」はどのように動作しますか。
また、IPsec トンネルをできるだけ維持したい場合は、どのような設定が推奨されますか。
対象製品
エッジゲートウェイ
IoTルーター
コンパクトルーター
回答
1. 各設定項目の意味
再接続
有効:IPsec 接続後、SA 有効期限が来ると再接続を行います
無効:自身から SA の更新は行いません
切断時動作
対向側から 切断パケットを受信した場合 の動作を指定します。
指定なし
「接続動作」の設定に応じて動作します。イニシエート
IPsec を接続しにいきますオンデマンド
オンデマンド状態になります
(IPsec 向けのパケットが来た場合に IPsec 接続を行います)
切断時動作が「指定なし」の場合の挙動
この場合は、設定されている 接続動作 に応じて次のように動作します。
接続動作:イニシエータ または ホールド
→ ホールド状態になります
(IPsec の接続動作は行いません)接続動作:オンデマンド
→ オンデマンド状態になります
(IPsec 向けのパケットが来た場合に IPsec 接続を行います)
2. 組み合わせごとの動作
| 切断時動作 | 再接続 | 対向側から切断パケットを受信した場合の動作 | SA 有効期限到来時の動作 |
|---|---|---|---|
| 指定なし | 有効 | 接続動作が イニシエータ / ホールド の場合は ホールド状態。接続動作が オンデマンド の場合は オンデマンド状態。 | 再接続を行います |
| 指定なし | 無効 | 接続動作が イニシエータ / ホールド の場合は ホールド状態。接続動作が オンデマンド の場合は オンデマンド状態。 | 自身から SA の更新は行いません |
| イニシエート | 有効 | IPsec を接続しにいきます | 再接続を行います |
| イニシエート | 無効 | IPsec を接続しにいきます | 自身から SA の更新は行いません |
| オンデマンド | 有効 | オンデマンド状態へ移行します | 再接続を行います |
| オンデマンド | 無効 | オンデマンド状態へ移行します | 自身から SA の更新は行いません |
3. ホールド状態の考え方
ホールド状態 は、対向側からの切断パケット受信時に IPsec の再接続動作を行わない状態です。
このため、「トンネルを維持するために自動再接続し続ける状態」ではありません。
4. IPsec トンネルを維持したい場合の推奨方針
推奨方針
少なくとも片側の機器で「接続動作:オンデマンド」を設定し、スケジュールのキープアライブ機能を併用する構成が推奨されます。
理由
「切断時動作:イニシエート」「再接続:有効」「接続動作:イニシエータ」だけでは、IPsec 接続できない状態が続いた場合に、接続動作がタイムアウトし、接続しにいかない状態になる可能性があるためです。
推奨構成のイメージ
切断時動作:イニシエート
再接続:有効
接続動作:少なくとも片側はオンデマンド
追加設定:スケジュールのキープアライブ機能を設定
5. キープアライブ設定時の考え方
スケジュールのキープアライブ機能では、暗号化された監視パケットを定期的に流して、IPsec トンネルの状態を監視します。
設定時の例:
送信元アドレス:自身の LAN 側 IP アドレス
宛先アドレス:対向 IPsec の LAN 側 IP アドレス
監視間隔やタイムアウト値は、利用環境に応じて調整してください。
コメント
0件のコメント
サインインしてコメントを残してください。