IP セキュリティー構成の保守

IP セキュリティー Internet Key Exchange (IKE) トンネル構成を変更することなく、ネットワーク環境を変更できます。

isakmpd (IKEv1)、ikev2d (IKEv2)、および iked (ブローカー) といった IKE デーモンは、その始動時に、すべての有効なインターフェースおよび IP からのパケットを受け入れるようになります。新しい別名 IP、または IP を持つ新しいインターフェースがデーモンの始動後に構成されても、デーモンは、新しい IP に送信された IKE ネゴシエーション・パケットを受け入れません。デーモンが、新しい IP アドレスおよびインターフェースを介した IKE ネゴシエーション・パケットの受け入れを開始する必要がある場合は、デーモンをリフレッシュすることにより、それらの IP アドレスおよびインターフェースをデーモンに伝達しなければなりません。

IKE デーモンによって使用されている IP を持つ別名またはインターフェースを削除してから、リフレッシュ操作を実行すると、そのインターフェースは IKE デーモンに対して有効にはなりません。

サブシステムを個別にリフレッシュ

startsrc -s コマンドを個別に使用することによって、isakmpd デーモンまたは ikev2d デーモンを始動する場合、次のコマンドを実行して、始動したデーモンによって使用される、対応するサブシステムのみリフレッシュしてください。

refresh -s isakmpd   
または
refresh -s ikev2d

IKE グループのリフレッシュ

startsrc -g ike コマンドを使用して IKE グループ (IKE デーモンのセット) を始動する場合、次のコマンドを実行して、(IKE デーモンによって使用される、対応するサブシステムではなく) IKE グループをリフレッシュしてください。

refresh -g ike

注:

リフレッシュ操作は、必ずデーモンの始動後に実行してください。アクティブでない IKE グループまたはサブシステムに対するリフレッシュ操作によって、デーモンがアクティブ化されることはありません。
以下のコマンドを実行すると、isakmpd デーモンまたは ikev2d デーモンを始動できます。
```
"startsrc -s tmd ; startsrc -s isakmpd " 
または
"startsrc -s tmd; startsrc -s ikev2d"
```
isakmpd デーモンまたは ikev2d デーモンを個別に始動する場合、tmd デーモンを、他のデーモンを始動する前に始動しておく必要があります。 startsrc -g コマンドを使用して IKE グループを始動すると、isakmpd デーモンおよび ikev2d デーモンの始動の前に、tmd デーモンが始動されます。ただし、isakmpd デーモンまたは ikev2d デーモンの個別の refresh 操作は、tmd デーモンの refresh 操作の前に、またはその後でも実行できます。
startsrc -s コマンドを使用してデーモンの IKEv1 または IKEv2 のセットのみ始動する場合、refresh -g ike コマンドを使用してグループ・リフレッシュ操作を実行しないでください。すべての IKE デーモンが、startsrc -g コマンドを使用して始動された場合、refresh -s <daemon> コマンドを使用して IKE デーモンを個別にリフレッシュしようと試みないでください。正しくないリフレッシュ・メカニズムを使用した場合は、まず、lssrc -s <daemon> コマンドまたは lssrc -g <group> コマンドで、リフレッシュしたデーモンが操作不能であるかどうかを確認してください。アクティブな IKE デーモンのいずれかが、正しくないリフレッシュ・メカニズムが使用された後で操作不能になっている場合は、stopsrc コマンドと startsrc コマンドを使用して、それらの IKE デーモンを停止してから始動してください。
IKE デーモンをリフレッシュすると、使用可能な IP アドレスおよびインターフェースの新しいインベントリーが作成されます。デーモンは、これらの IP アドレスおよびインターフェースに対し、listen、/etc/isakmpd.conf ファイルの読み取り、および syslogd サブシステムのリフレッシュを行います。