IP セキュリティー構成の保守
IP セキュリティー Internet Key Exchange (IKE) トンネル構成を変更することなく、ネットワーク環境を変更できます。
isakmpd
(IKEv1)、ikev2d
(IKEv2)、および iked
(ブローカー) といった IKE デーモンは、その始動時に、すべての有効なインターフェースおよび IP からのパケットを受け入れるようになります。
新しい別名 IP、または IP を持つ新しいインターフェースがデーモンの始動後に構成されても、デーモンは、新しい IP に送信された IKE ネゴシエーション・パケットを受け入れません。
デーモンが、新しい IP アドレスおよびインターフェースを介した IKE ネゴシエーション・パケットの受け入れを開始する必要がある場合は、デーモンをリフレッシュすることにより、それらの IP アドレスおよびインターフェースをデーモンに伝達しなければなりません。
IKE デーモンによって使用されている IP を持つ別名またはインターフェースを削除してから、リフレッシュ操作を実行すると、そのインターフェースは IKE デーモンに対して有効にはなりません。
サブシステムを個別にリフレッシュ
startsrc -s
コマンドを個別に使用することによって、isakmpd
デーモンまたは ikev2d
デーモンを始動する場合、次のコマンドを実行して、始動したデーモンによって使用される、対応するサブシステムのみリフレッシュしてください。
refresh -s isakmpd
または
refresh -s ikev2d
IKE グループのリフレッシュ
startsrc -g ike
コマンドを使用して IKE グループ (IKE デーモンのセット) を始動する場合、次のコマンドを実行して、(IKE デーモンによって使用される、対応するサブシステムではなく) IKE グループをリフレッシュしてください。
refresh -g ike
- リフレッシュ操作は、必ずデーモンの始動後に実行してください。 アクティブでない IKE グループまたはサブシステムに対するリフレッシュ操作によって、デーモンがアクティブ化されることはありません。
- 以下のコマンドを実行すると、
isakmpd
デーモンまたはikev2d
デーモンを始動できます。"startsrc -s tmd ; startsrc -s isakmpd " または "startsrc -s tmd; startsrc -s ikev2d"
isakmpd
デーモンまたはikev2d
デーモンを個別に始動する場合、tmd
デーモンを、他のデーモンを始動する前に始動しておく必要があります。startsrc -g
コマンドを使用して IKE グループを始動すると、isakmpd
デーモンおよびikev2d
デーモンの始動の前に、tmd
デーモンが始動されます。 ただし、isakmpd
デーモンまたはikev2d
デーモンの個別のrefresh
操作は、tmd
デーモンのrefresh
操作の前に、またはその後でも実行できます。 -
startsrc -s
コマンドを使用してデーモンのIKEv1
またはIKEv2
のセットのみ始動する場合、refresh -g ike
コマンドを使用してグループ・リフレッシュ操作を実行しないでください。 すべての IKE デーモンが、startsrc -g
コマンドを使用して始動された場合、refresh -s <daemon>
コマンドを使用して IKE デーモンを個別にリフレッシュしようと試みないでください。 正しくないリフレッシュ・メカニズムを使用した場合は、まず、lssrc -s <daemon>
コマンドまたはlssrc -g <group>
コマンドで、リフレッシュしたデーモンが操作不能であるかどうかを確認してください。 アクティブな IKE デーモンのいずれかが、正しくないリフレッシュ・メカニズムが使用された後で操作不能になっている場合は、stopsrc
コマンドとstartsrc
コマンドを使用して、それらの IKE デーモンを停止してから始動してください。 - IKE デーモンをリフレッシュすると、使用可能な IP アドレスおよびインターフェースの新しいインベントリーが作成されます。デーモンは、これらの IP アドレスおよびインターフェースに対し、listen、/etc/isakmpd.conf ファイルの読み取り、および
syslogd
サブシステムのリフレッシュを行います。