6/2にIPsec SAコネクション確立に関しての概要を投稿しました。
(投稿)IPsec SAのコネクションの確立(IKE)の概要について【IPsec】 (miraclejob.com)
そこではSAコネクションを確立するIKEv1には、フェーズ1と2の2段階があることを紹介しました。
今回はその中で、フェーズ2について紹介していきます。
以下は、フェーズ1とフェーズ2のざっくりした内容
//////////////////////////////////////////////////////////
フェーズ1:IKEv1によって各種パラメータを交換し合い、ISAKMP SAを生成する
フェーズ2 : フェーズ1で生成されたISAKMP SAで、さらに各種パラメータを交換し合うことによりSAを生成
これによりSAが生成され、コネクションが確立します。
//////////////////////////////////////////////////////////
ではフェーズ2の内容になります。
”各種パラメータを交換し合い”
とありますが、フェーズ1に続いて何を交換してISAKMPを生成するのか?それは以下になります。
交換するパラメータの内容 |
IPsecで使用するセキュリティプロトコル (AH, ESPなど) |
IPsecで使用する暗号化アルゴリズム (DES, 3DES, AESなど) |
IPsecで使用する認証方式 (HMAC-MD5, HMAC-SHA1など) |
IPsec SAのライフタイムとライフタイプ |
IPsecで使用するカプセル化モード (トンネルモード, トランスポートモード) |
鍵交換のパラメータであるDHグループ(1, 2, 5) ※必須ではない |
IKEv1のフェーズ1・2で似たような用語が出ますので、再認識も含めて改めて記載します。
IKEv1のフェーズ1はISAKMP SAを生成するためのパラメータを交換し合う
IKEv1のフェーズ2はIPsec SAを生成するためのパラメータをISAKMP SA上で交換し合う
フェーズ2ではQuickモードと呼ばれる3回のISAKMPメッセージの送受信により、
IPsec SAが生成される。これでIPsec-VPNの通信を行うための必要な経路(IPsec SA)が確立しました。
今回の内容は以上になります。