IKE と DHCP または動的割り当てアドレスの併用
オペレーティング・システムで IP セキュリティーを使用する一般的なシナリオの例として、 リモート・システムがサーバーとの IKE セッションを開始するときに、その ID を特定の IP アドレスに結び付けることができない場合があります。
これは、ローカル・エリア・ネットワーク (LAN) 環境において、 IP セキュリティーを使用して LAN 上のサーバーに接続し、データを暗号化するような場合に生じます。 その他の一般的な使用としては、リモート・クライアントがサーバーにダイヤルするときに、 リモート ID の識別に完全修飾ドメイン名 (FQDN) または電子メール・アドレス (user@FQDN ) を使用している場合の例を挙げることができます。
鍵管理フェーズ (フェーズ 1) においては、非 IP アドレスを ID としてメインモードを使用する場合、
RSA 署名がサポートされる唯一の認証モードです。 換言すれば、
事前共有鍵認証を使用したい場合は、アグレッシブ・モード、または IP アドレスを ID として、
メインモードを使用する必要があります。 事実、IPsec トンネルを確立したい DHCP クライアントの数が
大きい場合、それぞれの DHCP クライアントに対して固有の、事前共有鍵を定義することは非現実的です。したがって、このシナリオでは RSA 署名認証を使用することをお勧めします。 また、グループ ID をトンネル定義のリモート ID として使用することで、すべての DHCP クライアント (トンネル定義サンプル・ファイル /usr/samples/ipsec/group_aix_responder.xml を参照) でトンネルを一度定義するだけで済みます。 グループ ID はAIX®IPsec のユニークな機能である。 任意の IKE ID (単一 IP アドレスのような)、FQDN、ユーザー FQDN、
ある範囲内の、または一連の IP アドレスなどを含めるために 1 つのグループ ID を定義し、
その後、このグループ ID を、トンネル定義におけるフェーズ 1 またはフェーズ 2 リモート ID として使用することができます。
注: グループ ID を使用する場合、トンネルは応答者の役割としてのみ定義する必要があります。 つまり、
このトンネルを DHCP クライアント側から起動する必要があることを意味します。
IP セキュリティー・アソシエーションが作成され、 TCP または UDP トラフィックが暗号化されるデータ管理フェーズ (フェーズ 2) では、 汎用データ管理トンネルを構成できます。 このため、フェーズ 1 で認証された要求はいずれも、IP アドレスがデータベースに明示的に構成されていないとき、 定義済みデータ管理フェーズ用の汎用トンネルを使用します。 これにより、いずれのアドレスも汎用トンネルに一致させることができ、 フェーズ 1 において厳密な公開鍵ベースのセキュリティー検証が正常に行われている限り、 そのアドレスを使用することができます。