6/1に投稿した内容の中から、SA(Security Association)について詳しく見ていきます。
6/1の投稿 : https://www.miraclejob.com/recommend/detail?cd=3871
【投稿内容】
///////////////////////////////////////////////////////////////////////////////////
またIPsecでは、AHやESPを実装するためにVPN間でコネクションを確立する必要がありますが、このコネクションの事をSA(Security association)と言います。
SAコネクションを確立後、認証(AH)、暗号化(AH/ESP)などを行えるようになります。
SAのコネクションを確立する段階では、鍵交換(IKEv1/v2)を使用します。
※厳密に言うと、更にフェーズ1(ISAMPの生成)とフェーズ2(IPsec SAの生成)に分けられます。
///////////////////////////////////////////////////////////////////////////////////
今回はSAコネクションを確立した後に、SAがどんな挙動するのかを確認しましょう。
※SAのコネクションの確立方法は別途投稿
以下は、AHとESPのパケットの内部です。
一旦AHかESPかは、SPIで確認できるんだなということを覚えてもらえたら大丈夫です。
AHパパケットの内部
Next Header |
Payload Length |
Reserved |
SPI (Security Parameters Index) |
||
Sequence Number |
||
Authentication Data |
ESPパケットの内部
SPI (Security Parameters Index) |
||
Sequence Number |
||
Payload Data |
||
Padding |
Pad Length ※Padding内 |
Next Header ※Padding内 |
Authentication Data |
VPNゲートウェイは、SAD(SA Database)というをローカルでのDB内に、確立したSAコネクションを保存します。
SADを双方が適切に管理されていることにより、IPsecによるパケット通信が可能になります。
今回は、SAコネクションを確立した後のSAの挙動について見ていきました。
次回はこのSAコネクションがどうやって確立できるのか、見ていきしょう。
※IKEv1/v2を使います
以上です。