6/2にIPsec SAコネクション確立に関しての概要を投稿しました。

(投稿)IPsec SAのコネクションの確立(IKEv1)の概要について【IPsec】 (miraclejob.com)

そこではSAコネクションを確立するには、フェーズ1とフェーズ2の2段階があることを紹介しました。

今回はその中で、フェーズ1について紹介していきます。

以下は、フェーズ1とフェーズ2のざっくりした内容

//////////////////////////////////////////////////////////

フェーズ1：IKEによって各種パラメータを交換し合い、ISAKMP SAを生成する
フェーズ2 : フェーズ1で生成されたISAKMP SAで、さらに各種パラメータを交換し合うことによりSAを生成
これによってSAが生成され、コネクションが確立します。

//////////////////////////////////////////////////////////

ではフェーズ1の内容になります。

”各種パラメータを交換し合い”

とありますが、何を交換してISAKMPを生成するのか？それは以下になります。

ピア(VPNゲートウェイなど)間で、これらを交換することによりISAKMP SAというものを生成できる。

似たような用語が多いので、少し整理してみる。

・ISAKMPメッセージはISAKMP SAを生成するために必要なもの

・ISAKMP SAは最終的IPsec SAを生成するために必要なもの

※フェーズ2は、ISAKMP SA上でIPSec SAを生成する

どうやってISAKMPメッセージをしあうかにも2種類の方があります。※Oakley(オークレイ)と呼ぶ

①Mainモード

6回のメッセージの送受信でフェーズ1を行う。

1・2回目のメッセージでパラメータを交換

3・4回目のメッセージで鍵交換のパラメータと鍵計算を行う

5・6回目のメッセージでピアとの認証

②Aggressiveモード

3つのISAKMPメッセージの送受信でフェーズ1を行う。

これらの一連の流れを通して、最終的にISAKMP SAが生成されて、

以後のIKEv1のやり取りは暗号化されます。