IKE 鍵管理プロトコルの概要
IKE は、動的 SAを作成する鍵管理プロトコルです。 IPsec のために SA をネゴシエートします。IKE 設定は、ピア セキュリティ ゲートウェイとのセキュアな接続を確立するのに使用されるアルゴリズムと鍵を定義します。
IKE は以下を実行します。
IKE および IPsec パラメータのネゴシエートおよび管理
セキュアな鍵交換の認証
パスワードではなく、共有された秘密鍵と公開鍵による相互ピア認証の提供
ID 保護の提供(メイン モード)
IKE は 2 つのフェーズで発生します。第 1 段階では、セキュリティ属性をネゴシエートし、双方向 IKE SA を形成する共有シークレットを確立します。第 2 フェーズでは、インバウンドおよびアウトバウンドの IPsec SA が確立されます。IKE SA は、第 2 フェーズで交換を保護します。IKE は、キー情報の生成、完全転送機密保持の提供、ID の交換も行います。
Junos OS Release 14.2 以降、jnxIkeTunnelTable テーブル内の jnxIkeTunnelEntry オブジェクトの SNMP ウォークを実行すると、 Request failed: OID not increasing
エラーメッセージが生成されることがありました。この問題は、SA の両端が同時に IKE SA ネゴシエーションを開始するときに、同時にインターネット キー交換セキュリティ アソシエーション (IKE SA) が作成された場合にのみ発生します。IKE SA を表示するために SNMP MIB ウォークが実行される場合、snmpwalk ツールはオブジェクト識別子(OID)の昇順であると想定します。ただし、同時IKE SAの場合、SNMPテーブルのOIDが昇順にならない場合があります。この動作は、OID の一部であるトンネル ID が、IKE SA のイニシエーターに基づいて割り当てられるために発生します。これは、IKE トンネルのどちらの側にも配置できます。
IKE 同時 SA で実行される SNMP MIB ウォークの例を次に示します。
jnxIkeTunLocalRole."ipsec_ss_cust554".ipv4."192.0.2.41".47885 = INTEGER: responder(2) >>> This is Initiator SA jnxIkeTunLocalRole."ipsec_ss_cust554".ipv4."192.0.2.41".47392 = INTEGER: initiator(1) >>> This is Responder's SA
SNMP ウォークがトンネル ID(47885 および 47392)の場合、OID 比較は失敗します。SNMP ウォークの実行時には、トンネルがどちらの側からでも開始される可能性があるため、トンネル ID の昇順であることを保証することはできません。
この問題を回避するために、SNMP MIB ウォークには、増加する OID のチェックを無効にするオプション -Cc が含まれています。以下は、-Ccオプションを使用してjnxIkeTunnelEntryテーブルで実行されるMIBウォークの例です。
snmpwalk -Os -Cc -c public -v 1 vira jnxIkeTunnelEntry
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。
Request failed: OID not increasing
エラーメッセージが生成されることがある。