• 締切済み

IPsecのライフタイムについて教えてください

cisco製品(ASR1000シリーズ)のIPsec動作についてお尋ね致します。 IKEv1とv2で異なるのかが分からない為、今回はv1での動作をお尋ねします。 ipsec SAにはハードライフタイムとソフトライフタイムがあると理解しております。 「set security-association lifetime」 上記コマンドはipsec SAのハードライフタイム設定のコマンドだと理解しておりますが合っておりますでしょうか? もう一点は、ソフトライフタイムの設定コマンドはあるのでしょうか? もし無いという事であれば、ソフトライフタイムはどのように決められているのでしょうか? ハードライフタイムの何%~何%という風にジッターを設けて決められるのでしょうか? 質問事項を整理させていただきます (1)「set security-association lifetime」コマンドは ipsec SAのハードライフタイムを設定するコマンドであるかどうか (2)ipsec SAのソフトライフタイムを設定をするコマンドはあるかどうか (3)ipsec SAのソフトライフタイムはどのように決まるのか 以上宜しくお願い致します。 ※機種名やIKEバージョンを書いておりますが、機種やバージョンによって動作が変わる かどうか不明であった為書かせて頂きました。不要な情報であれば無視して頂きたいと思います。

  • yu0002
  • お礼率98% (154/156)

みんなの回答

  • nnori7142
  • ベストアンサー率60% (755/1249)
回答No.1

 先ず、全体のIPSEC-SAのライフタイム設定コマンドについては、「crypto ipsec security-association lifetime」から始まるコマンドになるかと存じます。  ご指摘の「set security-association lifetime」コマンドは、IKE-SAのライフタイムかと存じます。  IPSEC-SAでのライフタイム仕様として、ソフトウェア・ライフタイムが有るという認識が正しい点かと存じます。具体的にはIPSec SAはRe-Keyされるが、IKE SAはRe-Keyされずにハード有効期間を迎えると消去される点が有ります。  IKE SAのハード有効期間を迎えたときの動作は2つ有り、1つ目はIKE SAのハード有効期間を迎えてもIPSec SAは維持される。2つ目はIKE SAのハード有効期間を迎えると、そのIKE SAの保護下で確立したIPSec SAすべてが無効になる。  上記の要素は、ネットワーク装置の仕様による点が有り、大抵のネットワーク装置は、前者の仕様が大半です。  Ciscoのコマンドリファレンスを見ると、グローバル・ライフタイム(全体のIPSEC-SAのライフタイム)が優先され、「set security-association lifetime」コマンドはトンネル別に効かせる事が可能な様です。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • Windows VPN サーバでIPSec VPN

    WindowsサーバーにVPNサーバーを設定してVPN機器からIPSecでVPN接続したいのですが、WindowsサーバーでVPN設定の方法がわかりません。 そもそもWindows VPNサーバーにIPSec VPN接続はできるのでしょうか。 できるのであれば、設定方法を教えてください。 ちなみにVPN機器のIPSec設定はこのようになっています。 Keying Mode: IKE with Preshared key Phase1 DH Group: Group5 Phase1 Encryption: 3DES Phase1 Authentication: MD5 Phase1 SA Life Time: 28800seconds Perfect Forward Secrecy: チェックあり Phase2 DH Group: Group5 Phase2 Encryption: 3DES Phase2 Authentication: MD5 Phase2 SA Life Time: 3600seconds Preshared Key: ********** VPN サーバーはWindows Server 2008 r2です。

  • PCゲーム Half life 2で、動作を軽くする方法

    Half Life 2で、動作を軽くするコマンドのようなものがあるらしいのですが、どのように設定すればいいのでしょうか autoexec.cfgなどを弄ったりするようなのですが よろしくお願いします

  • 「Second Life」について

    カテが違っていたらすみません。 ついさっき「Second Life」の新規アカウントを作成しました。そしてSecond Lifeビュアーのインストーラーをダウンロードしました。 ここまではいいんですが、デスクトップにあるアイコンをクリックしてSecond Lifeに接続しようとすると、セキュリティーソフトの「Norton Internet Security」にひっかかって「プログラム制御」「高危険度」と表示されたものが出てきます。 「どう処理しますか?」で ・常にすべてのポートでこのプログラムからの接続を許可する ・常にすべてのポートでこのプログラムからの接続を遮断する(推奨) ・インターネットアクセスを手動で設定 の3つが出てくるんですが、どうすればいいんでしょうか?接続を許可しても大丈夫ですか?

  • 認証方法として証明書を使用したIPsec通信について

    認証方法として証明書を使用したIPsec通信がうまくいかないので質問させていただきます。 現在IPsecの動作確認として以下のような環境で確認を行っています。 ・ハブを挟んだ2台のPC間でのトランスポートモードによるIPsec通信 ・2台のPCのOSはWindowsXP Proffessionalでそれぞれに固定IPアドレスを割り振る ・相手PCに対してのpingで通信を確認 互いのPCでIPセキュリティーポリシーを作成し、認証方法に事前共有キーを指定した場合には正常に暗号化した通信が行えています。 しかし、その状態で認証方法を証明書使用に変更した場合、通信ができなくなってしまいます。 (使用する証明書はPCにデフォルトで入っているものを何種類か指定してみましたがダメでした) 認証に使用する証明書はデフォルトでPCに入っているものではダメなのでしょうか?それとも何か設定が足りないのでしょうか? ご教授よろしくお願いします。

  • Firefox の Quick Time プラグインについて

    Firefox の Quick Time プラグインが正常に動作していません。 具体的には、Web ページ内で、表示に Quick Time プラグインが必要とされる部分 (アニメーション部分など) に Quick Time のロゴマークに [?] マークが被さった画像が表示されます。 プラグインの設定を色々といじってみましたがどれも上手くいかないので、どなたか詳しい方いらっしゃいましたら知恵をお貸しください。 Firefox のバージョン 1.5.0.4 Quick Time プラグインのバージョン 7.1 宜しくお願い致します。

  • 片側非固定IPアドレス時のIPsec

    以下のような条件でLINUXサーバをルータがわりに使って拠点1-2間でIPsec VPN通信をしたいと思っています。 ・(拠点1ネットワーク)---LINUXサーバ---(インターネット)---LINUXサーバ---(拠点2ネットワーク) ・グローバルIPアドレスは拠点1では非固定、拠点2では固定。 まずは、拠点1側のLinuxにipsec-toolsをインストールして以下のように設定しました。 ・IKE使用 ・セキュリティプロトコルはESP ・カプセル化モードはトンネルモード。 ・phase1の鍵交換タイプはagressiveモード。 ここでSPDの設定時についてお聞きしたいことがあります。 SPDの設定時に spdadd B.B.B.B/24 A.A.A.A/24 any -P out ipsec esp/tunnel/Y.Y.Y.Y-X.X.X.X//require; spdadd A.A.A.A/24 B.B.B.B/24 any -P in ipsec esp/tunnel/X.X.X.X-Y.Y.Y.Y/require; というコマンドを打つ必要があるようなのですが、拠点1では非固定IPアドレスなので、X.X.X.Xの部分を指定できません。ipsec-toolsを使う場合は両側固定グローバルアドレスがないどいけないのでしょうか? ただし、A.A.A.A/24が拠点1ネットワークアドレス、B.B.B.B/24が拠点2ネットワークアドレス、Y.Y.Y.Yを拠点B側の固定グローバルアドレスとします。 わかりにくい説明で申し訳ないのですが、何卒よろしくお願いいたします。

  • Smart Life対応のセンサと防犯端末の設定

    iOSやAndroidで使えるSmart Lifeというアプリに、Smart Lifeに対応したホームセキュリティ端末とZigbeeモーションセンサーを登録しました。 *Zigbeeモーションセンサはそのままではアプリ登録できないので、wifi-zigbee変換端末を追加して、それを経由して登録しています。 Smart Lifeアプリ ---> シーン --->自動化 ---> "+"ボタン この操作でシーンの追加を実施して、 (条件) ”Motion Sensorが検知” &(かつ) ”セキュリティ端末が防犯状態” の時 (動作) セキュリティ端末の"Zone attribute"を"Out Arm Active" このように設定してみたのですが、 なぜかセンサー検知が発生しても、この条件が実行されません。 防犯時にセンサー検知でセキュリティ端末がアラーム音を出せるようにするにはどのように設定するのが良いか、どうぞご教示の程よろしくお願い致します。

  • CISCO のVPNクライアントソフトはNATでも使用可?

    よろしくお願いします。 他社との接続でCISCOのIPSECクライアントソフトを NAT内のPCにインストールしてしたところ簡単に接続しました。 ちょっと気になったので社内環境を確認したり したところ次の点が気になりました。 ・利用したネットワークのルータは数年前の低価格機で 「IPSECパススルー」には対応していないが問題なく接続VPNサーバに接続できた。 ・IPSECパススルー対応の機器(YAMAHA rt57i)で  フィルターの設定(IPSECを通す設定)をしなくても VPNサーバに接続できた。 つまり、ルータのIPSEC設定に無関係で接続できるようなのですが、これは正常な動作なのでしょうか。 Cisco Systems VPN Client Version 3.7 (Rel) Copyright (C) 1998-2002 Cisco Systems, Inc. All Rights Reserved. Client Type(s): Linux

  • RTX1200 L2TP/IPSec 見えない

    自宅のPCから、会社にある YAMAHA のルータ RTX1200 に L2TP/IPsec でVPN接続しようとしているのですが、 RTX1200のルータまでは接続できて、 RTX1200 へのpingは通るのですが、 その先のPCにpingが通らず、またtracert コマンドで確認しても RTX1200まではいくのですが、その先はタイムアウトします。 自宅PC ( IP : 192.168.0.51/24) (Win7 の標準のネットワーク接続でVPN設定)    |    |  [ルータ:NEC Aterm]    |    | ( INTERNET )    |    | WAN ( IP : DDNS )  [ルータ:NTT NXSM-4BRU-2]  udp 500,1701,4500 転送。 192.168.1.254    | LAN ( IP : 192.168.1.1/24)    |    | LAN2 ( IP : 192.168.1.254/24)  [ルータ:YAMAHA RTX1200]    | LAN1 ( IP : 192.168.11.1/24 )    | 会社PC ( IP : 192.168.11.100/24 ) RTX1200 CONFIG ファーム REV.10.1.48 ※テストのためフィルタを解除して全通し --------------------------------------------- ip route default gateway 192.168.1.1 ip route 192.168.1.0/24 gateway dhcp lan2 ip route 192.168.11.0/24 gateway dhcp lan1 tunnel 11 ip lan1 address 192.168.11.1/24 ip lan1 ospf area backbone ip lan1 proxyarp on ip lan1 secure filter in 1099 ip lan1 secure filter out 1099 ip lan2 address 192.168.1.254/24 ip lan2 rip send on version 2 ip lan2 ospf area backbone ip lan2 secure filter in 1099 ip lan2 secure filter out 1099 ip lan2 nat descriptor 1 ip lan2 proxyarp on pp disable all pp select anonymous pp bind tunnel11 pp auth request mschap-v2 pp auth username [user-id] [password] ppp ipcp ipaddress on ppp ipcp msext on ip pp remote address pool 192.168.11.51-192.168.11.59 ip pp mtu 1258 pp enable anonymous no tunnel enable all tunnel select 11 tunnel encapsulation l2tp ipsec tunnel 111 ipsec sa policy 111 11 esp aes-cbc sha-hmac ipsec ike keepalive use 11 off ipsec ike local address 11 192.168.11.1 ipsec ike nat-traversal 11 on ipsec ike pre-shared-key 11 text [公開キー] ipsec ike remote address 11 any l2tp tunnel disconnect time off l2tp keepalive use on 10 3 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 11 ip filter 1000 reject * * udp,tcp 135 * ip filter 1001 reject * * udp,tcp * 135 ip filter 1002 reject * * udp,tcp netbios_ns * ip filter 1003 reject * * udp,tcp * netbios_ns ip filter 1004 reject * * udp,tcp netbios_dgm * ip filter 1005 reject * * udp,tcp * netbios_dgm ip filter 1006 reject * * udp,tcp netbios_ssn * ip filter 1007 reject * * udp,tcp * netbios_ssn ip filter 1008 reject * * udp,tcp 445 * ip filter 1009 reject * * udp,tcp * 445 ip filter 1011 reject 192.168.11.0/24 * * * * ip filter 1012 reject * 192.168.11.0/24 * * * ip filter 1021 reject * * tcp * telnet ip filter 1022 reject * * udp * tftp ip filter 1030 pass * * icmp * * ip filter 1031 pass * * established * * ip filter 1032 pass * * tcp * ident ip filter 1033 pass * * tcp ftpdata * ip filter 1034 pass * * tcp,udp * domain ip filter 1035 pass * * udp domain * ip filter 1036 pass * * udp * ntp ip filter 1037 pass * * udp ntp * ip filter 1071 pass * * udp * 500 ip filter 1072 pass * * esp * * ip filter 1073 pass * * udp * 500 ip filter 1074 pass * * esp * * ip filter 1075 pass * * udp * 4500 ip filter 1076 pass * * udp * 4500 ip filter 1077 pass * * udp * 1701 ip filter 1078 pass * * udp * 1701 ip filter 1099 pass * * * * * ip filter 5000 reject * * * * * ip filter dynamic 10080 * * ftp ip filter dynamic 10081 * * domain ip filter dynamic 10082 * * www ip filter dynamic 10083 * * smtp ip filter dynamic 10084 * * pop3 ip filter dynamic 10098 * * tcp ip filter dynamic 10099 * * udp nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 any nat descriptor masquerade static 1 1 192.168.11.1 esp nat descriptor masquerade static 1 2 192.168.11.1 udp 500 nat descriptor masquerade static 1 3 192.168.11.1 udp 1701 nat descriptor masquerade static 1 4 192.168.11.1 udp 4500 rip use on ospf area backbone ipsec auto refresh on ipsec transport 1 111 udp 1701 syslog notice on syslog debug on tftp host any dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.11.100-192.168.11.179/24 dns server 192.168.1.1 l2tp service on

  • Windows7で環境変数が追加できない?

    Windows7(SP1)で 「コントロールパネル」→「システムとセキュリティ」 「システム」→「システムの詳細設定」→「環境変数」 を開き、新たに変数を追加しても、 コマンドプロンプトの"SET"コマンドを叩いてみると そこに表示されません。 そういうものなのでしょうか??

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する