IKEv1 - UNIVERGE IX 2000シリーズ の各バージョン追加項目についてメモ
< 当記事は NEC様 よりマニュアルの転載許可を頂いた上で公開しております >
公式のマニュアルに記載してある事なので直接見ればいいのだが
自分が見やすいように纏めたかったのでカキコ
主にバージョンで追加された機能や一部細かい動作をまとめた。
それぞれの機能がどういう動きをするのかの詳細はマニュアル見ればいいと思う。
尚、2017/09/25時点の情報です。
用法
- 自分のIXのバージョンでどこまで出来るか確認する際にどうぞ(最新版入れれば全てが解決)
- 自分用にメモしただけなので他に用法はない
各機能追加順序
IPsecはこっち(まだかいてない)
IKEv2はこっち(まだかいてない)
バージョン対応
Ver 4.0 以降
Ver 4.1 以降
- ike initial-contact payload
- 機能説明書に記載はないが、おそらくalwaysは元からあった
Ver 4.3 以降
- ike commit-bit
- NEC独自
- aggressive mode + Responderでのみ有効、initiatorやmain modeではサポートしてない
- 対向がIXじゃない場合は使わない方が良いかも
- ike retransmit-count, ike retransmit-interval
- commit-bitに付随する奴、多分これも独自
Ver 5.0 以降
- ike keepalive
- passive mode出来るようになった
- 自身がkeepaliveを設定してなくても、対向が設定していれば keepalive-ack を送る
- IKE 自動再接続機能
- commit-bit再送終了時に行う、設定コマンドはない
Ver 6.2 以降
- ike suppress-dangling
- これを入れると Continuous-channel SA 型 になる、IPsecSAに連動してIKESAも落ちる
- デフォルトは Dangling SA 型、連動しない
Ver 8.1 以降
Ver 8.6 以降
- IKE HMAC-sha2 256,384,512bit
- 認証アルゴリズムにSHA2が追加
Ver 8.8 以降
名前解決の契機 | 定期的な更新 - 名前解決前:60秒 - 名前解決後:depend on TTL 全てのSAが削除された場合 |
---|---|
アドレス更新時の動作 | 該当するSAを削除 |
名前未解決時の動作 | SA作成不可 |
Ver 9.0.54 以降
- ike interoperability unprotected-aggressive-mode
- aggressive modeのinitiatorとして動作する際、Phase 1の最後のパケットが暗号化されない事を期待する装置と接続を可能とする
- デフォルトは暗号される状態
- Phase 2以降は保護される
Ver 9.4 以降
- no ike send-delete
- SA削除時のDELETEmessageの送信を抑止
非対応
NewGroup mode : サポートしてない