移動体システム用の IKEv1 の構成
ソースと宛先を識別するために、IPsec と IKE は一意の ID を必要とします。一意の IP アドレスを持たない遠隔地のシステムまたは移動体システムの場合、別の種類の ID を使用する必要があります。システムを一意に識別するために、DNS、DN、または email などの ID の種類を使用できます。
一意の IP アドレスを持つ遠隔地のシステムまたは移動体システムで、別の種類の ID で構成するようにします。たとえば、システムが NAT 越しに中央システムに接続しようとした場合、そのシステムの一意なアドレスは使用されません。NAT ボックスが任意の IP アドレスを割り当てるため、中央システムは認識できません。
事前共有鍵は固定 IP アドレスを必要とするため、事前共有鍵も移動体システム用の認証メカニズムとしては機能しません。自己署名付き証明書、または CA からの証明書を使用すると、移動体システムは中央サイトと通信できます。
次のタスクマップは、リモートから中央サイトにログインするシステムを処理するために IKEv1 を構成する手順を一覧表示したものです。
表 10-2 移動体システム用の IKEv1 の構成のタスクマップ
|
|
|
オフサイトから中央サイトへ通信します。
|
遠隔地のシステムが中央サイトと通信できるようにします。遠隔地のシステムは移動体システムの可能性もあります。
|
|
移動体システムからのトラフィックを受信する中央システムで CA の公開証明書と IKEv1 を使用します。
|
固定 IP アドレスを持たないシステムからの IPsec トラフィックを受信するゲートウェイシステムを構成します。
|
|
固定 IP アドレスを持たないシステムで CA の公開証明書と IKEv1 を使用します。
|
中央サイト (会社の本社など) とのトラフィックを保護するように、移動体システムを構成します。
|
|
移動体システムからのトラフィックを受信する中央システムで自己署名付き証明書と IKEv1 を使用します。
|
移動体システムから IPsec トラフィックを受信するように、ゲートウェイシステムを自己署名付き証明書で構成します。
|
|
固定 IP アドレスを持たないシステムで自己署名付き証明書と IKEv1 を使用します。
|
中央サイトとのトラフィックを保護するように、移動体システムを自己署名付き証明書で構成します。
|
|
|