IPsec を使用した OSPFv3 認証サポートに関する情報
ここでは、IPsec および OSPFv3 仮想リンクを使用した OSPFv3 認証サポートについて説明します。
IPsec を使用した OSPFv3 認証サポートの概要
OSPFv3 パケットが変更されてデバイスに再送信されることにより、デバイスがシステム管理者にとって望ましくない動作をすることにならないように、OSPFv3 パケットを認証する必要があります。OSPFv3 は、IPsec セキュアソケットを使用して OSPFv3 パケットに認証を追加します。
OSPFv3 では、認証をイネーブルにするために IPsec を使用する必要があります。OSPFv3 で使用するために必要な IPsec は暗号イメージのみに含まれるため、認証を使用するには暗号イメージが必要です。
OSPFv3 では、認証フィールドが OSPFv3 パケット ヘッダーから削除されています。IPv6 で OSPFv3 を実行する場合、ルーティング変更の整合性、認証、および機密性を確保するために、OSPFv3 には IPv6 認証ヘッダーまたは IPv6 カプセル化セキュリティペイロード(ESP)ヘッダーが必要です。IPv6 認証ヘッダーおよび ESP 拡張ヘッダーを使用すると、OSPFv3 に認証および機密性を提供できます。
IPsec 認証ヘッダーを使用するには、ipv6 ospf authentication コマンドをイネーブルにする必要があります。IPsec ESP ヘッダーを使用するには、ipv6 ospf encryption コマンドをイネーブルにする必要があります。ESP ヘッダーは、単独で適用することも、認証ヘッダーとともに適用することもできます。ESP を使用した場合、暗号化と認証の両方が提供されます。セキュリティ サービスは、通信する 1 組のホスト、通信する 1 組のセキュリティ ゲートウェイ、またはセキュリティ ゲートウェイとホストの間に提供できます。
IPsec を設定するには、セキュリティポリシーを設定する必要があります。これは、Security Policy Index(SPI)とキーの組み合わせです(このキーはハッシュ値の作成および検証に使用されます)。OSPFv3 の IPsec は、インターフェイスまたは OSPFv3 エリアに対して設定できます。セキュリティを強化するには、IPsec を設定する各インターフェイスで異なるポリシーを設定する必要があります。OSPFv3 エリアに対して IPsec を設定した場合、ポリシーはそのエリア内のすべてのインターフェイス(IPsec が直接設定されているインターフェイスを除く)に適用されます。OSPFv3 に対して IPsec を設定すると、IPsec は見えなくなります。
アプリケーションは、IPsecure ソケットを使用することで、セキュアソケットのオープン、リッスン、およびクローズが可能になり、トラフィックが保護されます。また、アプリケーションと Secure Socket Layer の間のバインディングにより、Secure Socket Layer は、接続のオープンやイベントのクローズなど、ソケットへの変更をアプリケーションに通知できます。IPsecure ソケットは、ソケットを識別できます。つまり、セキュリティを必要とするトラフィックを伝送するローカルおよびリモートのアドレス、マスク、ポート、およびプロトコルを識別できます。
各インターフェイスのセキュア ソケット ステートは、次のいずれかになります。
-
NULL:エリアに対して認証が設定されていれば、インターフェイスに対してセキュア ソケットを作成しません。
-
DOWN:インターフェイス(またはインターフェイスが含まれるエリア)に対して IPsec は設定されていますが、OSPFv3 がこのインターフェイスに対するセキュアソケットの作成を IPsec に要求していないか、またはエラー条件が存在します。
(注)
DOWN 状態の間は、OSPFv3 はパケットを受け入れたり、送信したりすることはありません。
-
GOING UP:OSPFv3 はセキュア ソケットを IPsec に要求し、IPsec からの CRYPTO_SS_SOCKET_UP メッセージを待っています。
-
UP:OSPFv3 は IPsec から CRYPTO_SS_SOCKET_UP メッセージを受信しました。
-
CLOSING:インターフェイスのセキュア ソケットはクローズされています。インターフェイスに対して新しいソケットがオープンされることがあります。この場合、現在のセキュア ソケットは DOWN ステートに移行します。オープンされない場合、インターフェイスは UNCONFIGURED となります。
-
UNCONFIGURED:インターフェイス上に認証は設定されていません。
OSPFv3 仮想リンク
仮想リンクごとに、プライマリセキュリティ情報データブロックが作成されます。各インターフェイスでセキュア ソケットをオープンする必要があるため、トランジット エリア内のインターフェイスごとに、対応するセキュリティ情報データブロックが存在することになります。セキュアソケットステートは、インターフェイスのセキュリティ情報データブロック内に保持されます。プライマリセキュリティ情報データブロック内のステートフィールドは、対応する仮想リンクに対してオープンされたすべてのセキュアソケットのステータスを示します。すべてのセキュアソケットが UP の場合、仮想リンクのセキュリティステートは UP に設定されます。
IPsec が設定された仮想リンク上を送信されるパケットは、事前に決定された送信元アドレスと宛先アドレスを使用する必要があります。エリアのデバイスのエリア内プレフィックス リンクステート アドバタイズメント(LSA)で見つかった最初のローカルエリアアドレスが、送信元アドレスとして使用されます。この送信元アドレスはエリアのデータ構造に保存されます。セキュアソケットがオープンされ、パケットが対応する仮想リンク経由で送信されるときにこの送信元アドレスが使用されます。送信元アドレスが選択されるまで、仮想リンクはポイントツーポイント ステートに移行しません。また、送信元アドレスまたは宛先アドレスが変更された場合は、以前のセキュア ソケットをクローズして、新しいセキュア ソケットをオープンする必要があります。
(注) |
仮想リンクは、IPv4 アドレスファミリについてはサポートされません。 |