IKEフェーズ1
IKEフェーズ1では、実際にデータを暗号化して安全な通信を行うためのIPSec SA を作成するためのISAKMP SAを作成します。ISAKMP SAを作成するためには、IPSec を利用するデバイス(VPNゲートウェイ)間でProposal交換します。
IKEフェーズ1のProposal交換では、次のパラメータをネゴシエーションします。
- 暗号化アルゴリズム
ISAKMP SAを暗号化するための暗号化アルゴリズムです。DES-CBCや3DES-CBC などがあります。 - ハッシュアルゴリズム
フェーズ1で利用するハッシュアルゴリズムです。SHA-1やMD5などがありま す。 - 認証方式
VPNゲートウェイ間の認証方式です。事前共有鍵(PSK)認証、デジタル署名認 証、公開鍵認証などがあります。 - Diffie-Hellman交換
IPSec SAで利用する秘密対象鍵を安全に生成するためのDiffie-Hellman交換 のパラメータです。DHグループ1、DHグループ2、DHグループ5などがありま す。 - SAのライフタイム
ISAKMP SAの有効期間です。時間で指定する場合と、データの転送量で指定 する場合があります。
Proposal交換は、IPSecで暗号化するパケットがトリガーとなります。VPNゲー トウェイがIPSec化対象のパケットを受信すると、IKEフェーズ1のProposal交 換を開始します。 Proposalは複数設定することもできます。VPNゲートウェイ間で一致したパラ メータのProposalのうちから選択します。
