ローカル動的 VPN ポリシー

ローカル動的 VPN ポリシーが必要なのは、ipsec コマンドでコマンド行からの活動化により IPSec ネゴシエーションを開始する場合、またはローカル動的 VPN ポリシーの更新が原因で自動活動化により IPSec ネゴシエーションが開始される場合のみです。IPSec ネゴシエーションは、以下に示す 4 とおりの方法のいずれかで開始することがで きます。

• オンデマンド

  アウトバウンド IP パケットが、ipsec アクションを伴うフィルター規則に一致すると、ネゴシエーションが開始されます。

• リモートから

  リモート・ピアが要求を開始し、ローカル IKE デーモンがそれに応答します。

• コマンド行からの活動化

  ipsec コマンドを使用して、手動で IPSec ネゴシエーションを開始することができます。(手動トンネルと混同しないでください。手動トンネルは IKE デーモンをまったく使用しません。)

• 自動活動化

  スタックまたは IKE デーモンが初期化され、その両方がアクティブであるとき、またはローカル動的 VPN ポリシーが更新されたときに、ネゴシエーションが開始されます。

ローカル動的 VPN ポリシーが必要なのは、最後の 2 つの場合のみです。

ローカル動的 VPN ポリシーは、ローカル動的 VPN 規則のソートされていないリストから成っています。フェーズ 2 セキュリティー・アソシエーションについてのネゴシエーションで必要とされるのは、互いに通信する 2 つのホストが、セキュリティー・アソシエーションで規定された 2 つのデータ・エンドポイント、セキュリティー・アソシエーションで規定されたプロトコル、およびセキュリティー・アソシエーションで規定されたポートに関して、合意に達することです。この情報はフェーズ 2 セキュリティー・アソシエーションに保管されます。次いでこの情報は、関連の IPSec トラフィックのカプセル化またはカプセル化解除が必要になるたびに、調べられます。ローカル動的 VPN 規則の目的は、構成するそれぞれのセキュリティー・アソシエーションについて、これらの要件を定義することです。

以下の LocalDynVpnRule ステートメント例では、サーバー (9.1.1.1) とクライアント (9.4.4.100) 間の TN3270E Telnet サーバー・トラフィックについて、フェーズ 2 セキュリティー・アソシエーションのネゴシエーションを行うためのパラメーターを定義しています。サンプルの後で、それぞれの行について説明します。

1  LocalDynVpnRule      TelnetSA
2  {
3          LocalIP           9.1.1.1
4          RemoteIP          9.4.4.100
5          LocalDataPort     23
6          RemoteDataPort    0
7          Protocol          tcp
8          Autoactivate      yes
9  }

行

説明

1

LocalDynVpnRule キーワードとユーザー定義の名前。

2

左中括弧 ({) は、LocalDynVpnRule ステートメント・ブロックの始めを示します。

3

このセキュリティー・アソシエーションにより保護する IP トラフィックのローカル・アドレス。これは、単一のアドレスでも、アドレスの範囲でも構いません。ただし、単一のアドレスでない場合は、トンネル・モードについてこのセキュリティー・アソシエーションをネゴシエーションする必要があります。

4

このセキュリティー・アソシエーションにより保護する IP トラフィックのリモート・アドレス。これは、単一のアドレスでも、アドレスの範囲でも構いません。ただし、単一のアドレスでない場合は、トンネル・モードについてこのセキュリティー・アソシエーションをネゴシエーションする必要があります。

5

このセキュリティー・アソシエーションにより保護する IP トラフィック用のローカル・ポート。これは単一ポートか全ポートかの、いずれか一方でなければなりません。ポートの範囲は指定できません。値 0 は全ポートを指示します。

6

このセキュリティー・アソシエーションにより保護する IP トラフィック用のリモート・ポート。これは単一ポートか全ポートかの、いずれか一方でなければなりません。ポートの範囲は指定できません。値 0 は全ポートを指示します。

7

このセキュリティー・アソシエーションにより保護するプロトコル。 この値には数値も指定できます。この値は、単一のプロトコルまたは全プロトコルを指定していなければなりません。

8

スタックおよび IKE デーモンがアクティブのときに、このセキュリティー・アソシエーションを活動化することを示します。 ユーザー介入は必要ありません。

9

右中括弧 (}) は、LocalDynVpnRule ステートメント・ブロックの終わりを示します。

オンデマンド・セキュリティー・アソシエーションには、ローカル動的 VPN 規則定義は不要です。オンデマンドのフェーズ 2 セキュリティー・アソシエーションのネゴシエーションに使用するすべてのパラメーターは、2 つの場所のいずれかからの推論により決定できます。それは、オンデマンドの活動化を開始したパケットか、あるいはパケットが一致したフィルター規則です。パケットは、アドレス、プロトコル、ポート、タイプ、およびコードについて、常に単一の値を提供します。しかし、フィルター規則は、IP アドレス、プロトコル、ポート、タイプ、またはコードについて、値の範囲を許可することがあります。 パケットまたは一致するフィルター規則のどちらから情報がとられるかは、IpLocalStartAction ステートメントの細分性の設定によって決まります。IpLocalStartAction ステートメントについての詳細は、「z/OS Communications Server: IP 構成解説書」を参照してください。

セキュリティー・アソシエーションは、IP アドレスの観点またはポートとプロトコルの観点から見て、「広い」または「狭い」と定義することができます。セキュリティー・アソシエーションが IP アドレスの観点から見て「広い」場合は、同じセキュリティー・アソシエーションを使用して複数のエンドポイント間のデータを保護します。セキュリティー・アソシエーションがポートとプロトコルの観点から見て「広い」場合は、同じセキュリティー・アソシエーションを使用して複数のトラフィック・タイプを保護します。逆に、「狭い」意味で定義されたセキュリティー・アソシエーションは、特定のデータ・エンドポイント (IP アドレスに基づく)、または特定のトラフィック・タイプ (ネットワーク・サービス用に一般的に使われるポートとプロトコルに基づく) を保護するために使用することができます。 IKEv2 とネゴシエーションを行ったセキュリティー・アソシエーションもまた、タイプおよびコードに関しては「狭い」ということができます。