インフラまわりのプロになりたい

---

はじめに

まずはじめに、IKE Keepalive についてメモする理由（経緯）を書きます。

いつぞや、「NGN 網で v6 オプションをつかった IPsec VPN 構築」 に頭を抱えていることを、過去の記事で書いたことがありました。 しかしながら最近は NGN 網と IPv6 の特性、そして IPsec に馴染んできたこともあり、おかげ様であまり頭を抱えなくなりました。

ところがこの IPsec VPN を構築していく中で、久しぶりに頭を抱えたことがありました。
それは IPsec VPN を確立中に 「ルータを再起動するとトンネルが再確立しない」 というものでした。

この問題を解決してくれたのが、今回の "IKE Keepalive" だったのです。



↑図1：再起動をすると VPN トンネルがアップしない


ヤマハルータでは、この IKE Keepalive を [ ipsec ike keepalive use 1 on ] といったコマンドで実現します。
確かにこのコマンドをヤマハルータに設定したところ、IPsec トンネルが確立中のルータを再起動しても、復旧後は自動的にトンネルアップをしてくれるようになりました。 けれども……


　・なぜこのコマンドを実行すると IPsec トンネルが自動的にアップするの？
　・そもそも Keepalive ってなんぞや？


という疑問がいつものように残りました。

この Keepalive は、コンピュータネットワークの業務に携わっている人なら、わりと知っていて当たり前のような仕組みで、現に僕も使ったことはありませんでしたが、過去に何度も耳にはしていました。 ただ、前述のように漠然としてしかイメージが掴めていなかったので、しっかりと理解するためにも今回メモするに至りました。

でも……正直に言うと、この記事を書くことに少し迷いもあります。

IKE Keepalive を理解するには IPsec の仕組み、いわゆる "SA (Security Associate)" や "IKE (Internet Key Exchange)" などの前提知識が必要です。 もちろん表面上の理解なら前提知識は不要ですが、インフラまわりのプロを目指す限りには、これらの前提知識を疎かにしてはイケマセン。

本来なら IPsec の概念を理解した後に IKE Keepalive をメモすることが理想ですが、冒頭にも書きましたように IPsec の概念を理解するには、（個人的に） 時間がとても多くかかってしまいますので、今回は IPsec をあまり知らなくとも理解できるようなメモが書ければと思っています。

---

検証環境

今回の検証環境は、ヤマハルータ (RTX1500) を2台使いました。
ルータ同士を1本の LAN ケーブルで繋ぐといった、とてもシンプルな構造にしています。

あと Config も至ってシンプル。 ヤマハのコマンド例をそっくりそのまま書き写したようなものですので、特に記載する必要はないと思いました。 けれども今回の IPsec 通信は NGN 網を意識していることもあって、仮想 WAN 側のアドレスを IPv6 アドレスにしています。

その点が混乱を招くかもしれませんので、以下に構成図と Config をメモします。


↑図2：仮想 WAN 側には IPv6 アドレスを使う

Config

ip route default gateway tunnel 1 ipv6 default gateway 2001:db8:1:1::2%2 ip lan1 address 192.168.0.254/24 ipv6 lan1 address 2001:db8:1:1::1/64 ipv6 lan2 address 2001:db8:1:2::1/64 tunnel select 1 　ipsec tunnel 101 　ipsec sa policy 101 1 esp aes-cbc sha-hmac 　ipsec ike local address 1 2001:db8:1:1::1 　ipsec ike pre-shared-key 1 text genchan 　ipsec ike remote address 1 2001:db8:1:3::1 　ip tunnel tcp mss limit auto tunnel enable 1

上記の Config は図2でいう LANa ルータのものですが、LANb にも IP アドレスを変更した上で設定してあげると、お互いに IPsec トンネルが確立してくれます。

Config には IPv6 アドレスが混じっておりますので、見慣れていない人が一見すると （まじかよ!!） と思うかもしれませんが、そんなに難しいものではありません。 IPv4 ではプレフィックス /24 がよく使われますが、今回はそれが /64 になっただけです。 ……と余裕しゃくしゃくで申しておりますが、実は未だに IPv6 アドレスに混乱するワタクシ。。。

あと上記のコマンドには、以下の2点をあえて設定していません。


　1． IKE Keepalive が未設定　[ ipsec ike keepalive use 1 on ]
　2． IPsec 通信を開始するトリガーがない　[ ipsec auto refresh on ]


1．IKE Keepalive が未設定

これについては本メモの主旨ですが、現時点では未設定にしています。

今回の検証では、まず始めに IPsec が確立される動きを確認します。 その動きを把握できたところで、次に本題の IKE Keepalive を設定してトンネル通信を監視する流れになります。 ……IKE Keepalive の記事を書こうとしているのに、のっけからの Keepalive の設定を保留にするという、この素晴らしいカンジ。。。


2．IPsec 通信を開始するトリガーがない

本メモでは触れませんが、IPsec ではトンネリングを確立する前に "IKE" という仕組みによって 「鍵」 を交換し合います。 その鍵交換を始めるためのトリガー設定が [ ipsec auto refresh on ] です。 けれどもこの設定を双方のルータに設定すると、双方どちらのルータから IKE を開始したかが分からなくなってしまうので、まずはこのコマンドも未設定です。


………。


IKE Keepalive をメモしようとしているのに、「Keepalive が未設定」 とか 「IKE のトリガーがナイ」 とか、なぜそんなことをしているのかを さっそく忘れそうになったお馬鹿なワタクシ がおりましたので、以下に本メモの大まかな流れを書いていきます。


　1．IPsec トンネルの確立パターンを確認
　2．ルータ再起動すると IPsec がトンネルダウンする理由
　3．IKE Keepalive の動作を確認
　4．Keepalive パケットの解析


「1．IPsec トンネル確立のパターンを確認」 とありますが、いうまでもなくこれらは 「ざっくり」 と書きます。 IPsec 特有の Phase 1～2 の仕組みはガン無視です。 …え、なぜって？ そこまで理解できていないからに決まってるじゃないの (///)

ということで、IKE Keepalive のことだけを知りたい方は、「1」 をすっ飛ばして頂けるとよろしいかと思います。

---

IPsec トンネルの確立

では初めに、IPsec トンネルの確立についてメモを残します。

「そもそも IPsec トンネルってなに？」

と思った方は Google 検索エンジンあたりで 「ipsec　とは」 とか 「ipsec　wikipedia」 といった具合に Web 検索した方が早く理解できますが、今回の IPsec トンネルの定義を以下に書きます。


ここでいう IPsec トンネルとは、IPsec という暗号化プロトコルを使った VPN トンネルのことを指しています。

IP-VPN や Entry VPN などは閉域網を使うために IPsec などの暗号化技術は基本的には不要です。 ところがインターネットを経由した Internet VPN では、誰もがアクセスしているインターネット網を経由して VPN を構築することから、VPN のセキュリティを向上させなければなりません。 そこで IPsec プロトコルが大活躍してくれるのです。

早い話 Internet VPN では、男なら誰しもが大好きなサイト（僕含む） へアクセスするための回線と、まったく同じ回線を使って VPN を構築します。 そんな回線と一緒にしちゃさすがにマズイっしょ、ということで VPN トンネルには暗号化を張るのですよん。


↑図3：こうやって見るとインターネットって世紀末状態


それでは、以下に IPsec トンネルを張る流れをザックリと書きます。

図2 に書きました構成と Config をヤマハルータに設定することで、さっそく IPsec トンネルが確立する環境が構築します。 ただし、この状態だと双方のルータが IKE のトリガー処理を止めて ( ipsec auto refresh off) いることから、IPsec トンネルはアップしません。

そこで片方のルータ （図2でいう右側 LANb とします） に IKE のトリガー処理 ( ipsec auto refresh on ) を書き加えてあげると、LANb ルータから IKE 処理を開始し、その結果 IPsec トンネルがアップします。 ここでのポイントは、IPsec トンネルの正しい設定を施していても、IKE 処理を始めない限り IPsec トンネルは確立しない という点です。

ちなみに、この IKE 処理を始める側のルータ (LANb) を "Initiator" と呼び、IKE 処理を受ける側を "Responder" と呼びます。


↑図4： IPsec トンネルの確立は IKE によって始まる


「ところで IKE ってなに？」

という疑問につきましては、「IPsec トンネルを張る準備作業」 だと思ってください。
IKE を理解するには膨大な時間を （僕は） 要してしまうので、今回は準備段階という認識で大丈夫です。

とっても極端に書いてしまえば、オナゴにメールする経路が IPsec トンネル だとしたら、オナゴからメールアドレスを聞き出す作業が IKE だと思えばヨロシイかと。 ……というか、今はメールじゃなくて LINE の時代なんだっけ。。 僕はガラケーユーザーなので、それを理由に 「メアド持ってないんだよねー」 っていつもアドレス交換を拒否されるんだよね。 じゃぁスマホ持ってたら LINE 交換してくれるのか、っつー話。(´；ω；`)


さて、悲しい話は置いといて。 動作の話に戻りましょう。 OTL


今回の検証では諸事情により IKE トリガー処理を LANb ルータにしか施していませんが、双方のルータに IKE トリガー処理を設定しても問題ありません。 むしろ双方のルータに設定することが理想でしょうな。

IPsec トンネルが確立すると、Ping などを実行することで疎通確認が取れますが、これらトンネルの実体は SA と呼ばれる概念によって実現しています。 ヤマハルータでは [ show ipsec sa ] コマンドから、それらの情報を確認できます。


↑図5：SA が確認できれば、IPsec トンネルは確立している


「SA ってなにさ？」

という疑問につきましては、ここでは 「IPsec トンネルの実体」 だと思ってください。
厳密には少し違うのですが、本メモでは SA ＝ IPsec トンネル、といった認識で問題ありません。

図5 に show ipsec sa の結果を書きましたが "sa" という項目があります。 これが SA を意味しています。 １～3 まで sa が存在しますが、これは IPsec トンネルが 3本のトンネルで確立されている ためです。 IPsec トンネルは仮想的な１本のトンネルとして理解されがちですが、裏では 「鍵交換用トンネル (ISAKMP SA)」、「データ送受信トンネル (IPsec SA)×2」 の合計３本の仮想トンネルが確立されています。


↑図6：IPsec は3つの SA で構成される


と、まずはこれくらいで IPsec トンネルが繋がる仕組みは十分だと思います。

「長すぎじゃボケ!!」 と思った方、いやいやとんでもございません。 これでもザックリ書いた方だと思います。 少なくとも僕が理解している IPsec は、こんな文字数だけでは書ききれないシロモノ、いや バケモノ です。 でもネットワーク業界にゃ、これよりも奥深い複雑なプロトコルが沢山あることを考えると、胸熱ならぬ胸寒。 けれどもインフラまわりのプロを目指すには、ここは立ち向かっていかねばならない!! ――と奮起して、本項を終えますw

---

SA の消失

次に、本題の IKE Keepalive に出会ったキッカケとなった 「ルータを再起動するとトンネルが再確立しない」 という問題について、またもや ザックリ とメモしていきます。

図5 でも書きましたが、IPsec トンネルが確立している相互のルータは SA を持ちます。 この SA はトンネルを認識する情報が入っていますが、お互いに 同じ値 （鍵と SPI） を持っている と思っていただいて大丈夫です。 この場合は、そういう モン だと思ってください。 ちなみに 「値」 （鍵と SPI） は [ show ipsec sa gateway 1 detail ] から確認ができます。


↑図7：お互いに同じ 「値」 を持ち合う


これらの SA を持ち合うことで IPsec トンネルは繋がりますが、言い換えれば SA が無ければ （SA の値が異なると） IPsec トンネルは繋がりません。 普通に IPsec トンネルを張っていれば SA が無くなることは少ないのですが、何か特別な動作を行うことで SA が削除されてしまうことがあります。 その例が今回の 「ルータ再起動」 です。

たとえば 図2 の LANa / LANb ルータ同士が IPsec トンネルを張り合っているとします。 このとき LANa ルータを再起動しますと LANa ルータは保持している SA を破棄します。 LANa ルータに IKE トリガーのコマンドが設定されていれば話は別ですが、今回は無効化しているため LANa ルータは IKE 処理を始められず、SA 無しの状態となり IPsec トンネルを張ることができません。 よって LANa ルータはトンネルダウン状態になります。 この状態を SA の消失 と呼びます。

一方 LANb ルータは、LANa ルータが再起動する前に保持していた SA を使って通信を継続します。 この SA は消失しているため既に使われていませんが、LANb ルータはそのことを知る由がないため、無効化された IPsec トンネルを使い続けてしまうのです。

…この状態を言い換えれば、電話を一方的に切られても、まだ相手がいると信じて受話器に語りかける人でしょうか。 ツーツーって鳴っていることに気づかず、話しかける人なんかいないと思いますが、とにかく 未練たらたら なルータさんのようですね。


↑図8：SA の消失


もしこのように SA が消失してしまったときは、SA を新規生成 することで IPsec トンネルを再確立します。

ヤマハルータの場合は IKE トリガー処理 (ipsec auto refresh on) が設定されていることを前提として、LANb ルータの対向が存在しない SA を削除 (ipsec sa delete SA) すれば、自動的に IKE 処理が始まり IPsec トンネルが確立してくれます。 または SA の 「寿命 (Duration)」 が尽きる直前にも、新しい SA を確立するための IKE 処理を行なってくれますので、これでも大丈夫です。 ちなみにこの動作を "Re-key" と呼びます。

けれども SA が消失するたびに毎回 SA を手動で削除、もしくは SA の Duration が尽きて Re-key が始まるまで待つのはタマランので、本来は LANa / LANb 双方のルータに IKE トリガー処理を設定します。 こうすれば双方から IKE 処理を開始しますので、LANa / LANb どちらのルータを再起動させても IPsec トンネルが自動的にアップしてくれます。


↑図9：新しい SA を生成してトンネルアップ


ところが NGN v6 オプションの 「ネーム」 を使った IPsec トンネルが確立しているときに、ある条件下でルータを再起動すると、IKE トリガー設定を施しているのになぜか IKE トリガーが働いてくれず IPsec トンネルがアップしない現象に陥りました。

この NGN 網でトンネルアップしない症状ですが、ローカル環境にて IKE トリガー処理が未設定の LANa ルータを再起動したときに IPsec トンネルが再確立されない症状と、とても良く似ていました。 検証環境の項目にて 「2． IPsec 通信を開始するトリガーがない」 という表記をしたのは、このようにローカル環境で似た環境を作るためだったのです。



↑図10：NGN 網だと SA 自動生成に失敗する


以上が SA の消失についてのメモでした。
とっても早い話を書いてしまえば――

　1．IPsec は双方のルータが SA を持たなければならない
　2．ローカル環境では、ルータを再起動しても SA が自動生成される
　3．しかし 「NGN 網 + ある条件」 だと、ルータを再起動すると SA が自動生成されない
　4．片方のルータだけ SA を持たない状態になり、IPsec トンネルが使えなくなる （SA の消失）

――といったところでございます。

そんなときに救世主として現れたのが……そうです、本メモで追及する IKE Keepalive だったのです。 ということで SA の不一致をメモしたところで、次にようやく本題の IKE Keepalive について書いていこうと思います。


※ あと本項ではテスト機材の関係により触れられませんでしたが、異なるベンダーの VPN 機器同士で IPsec トンネルを張った際に、Re-key が行なわれると参照する SA が異なり IPsec トンネルがダウンすることがあるようです。 これらにつきましてはテスト機材がそろい次第検証してみる予定です。

---

IKE Keepalive

前置きがやたら長かったですが、ここから IKE Keepalive を追って行きます。

「IKE Keepalive ってなに??」 という疑問を簡単に書きますが、IKE Keepalive とは IPsec トンネルがダウンしたことを検知して、自動的にトンネル再アップをしてくれる仕組み のことをいいます。 ただし今は難しく考えず、とりあえず IKE Keepalive を動かしながら理解を深めます。

さっそく以下から IKE Keepalive を動作させます。 環境につきましては 図2 と 図4 をベースにしており、加えて LANb ルータに以下の IKE Keepalive コマンドを追加した状態で、この検証を実施しています。

IKE Keepalive コマンド

ipsec ike keepalive use 1 on

先ほどと同様、この状態で LANa ルータを再起動 （または ipsec refresa sa コマンド） すると、前項の SA の消失により IPsec トンネルがダウンし、自動的にアップすることはありません。 なぜなら LANb ルータが古い SA を使い続けてしまうからですね。

けれども今回は自動的にトンネルアップしました。 どうやら IKE Keepalive が働いてくれたようです。

IKE Keepalive が正しく動作すると、内部的には通常どおり IKE 処理が始まりますが、このとき IKE 処理を開始する Initiator は IKE Keepalive 設定を施してある LANb です。 LANa は Responder として動作しますが、当たり前といえば当たり前ですね。

また、IKE Keepalive が動作中に LANb ルータのログを確認したところ、"heartbeat: dead peer detection" というメッセージが記録されていました。 この "Heartbeat" と "Dead peer Detection (DPD)" の2つが IKE Keepalive にとっての重要なキーワードになりますが、今は 「dead peer detection というメッセージがログに出てきたら IKE Keepalive が働くんだな」 程度に思ってください。


↑図11：IKE Keepalive はトンネルダウンを検知


では次に IKE Keepalive の細かな動きについて理解を深めていきますが、その前にひとつメモします。 今回はヤマハルータを使って IKE Keepalive を実現させていますが、ヤマハルータではこの仕組みを実現させるために、以下3種類のプロトコルのいずれかを使います。

　・ Heartbeat
　・ DPD
　・ ICMP echo

厳密には IKE のバージョン (IKEv1, IKEv2) によって動作内容が異なるようですが、今回は IKEv1 をメインにメモしていきます。 また、IKE Keepalive の動きをしっかりと理解するために、上記3種類のプロトコルの中でも一番なじみ深い "ICMP echo" を使って、まずは検証します。 そして ICMP echo で大雑把かつ細かな IKE Keepalive の動きが理解できた上で、なじみの浅い 「心音センサー（違」 と 「D.A.D（違」 についてメモしようと思っています。

ちなみに 「なぜ IKEv2 を取り上げないのか？」 と言いますと、その理由はとても簡単。 なぜなら僕がまだ IKEv1 と IKEv2 の 違いが理解できていないからです。 早く違いの分かる男になりたい…。OTL


■ IKE Keepalive (type: ICMP echo)

IKE Keepalive に ICMP echo ……いわずもがな Ping ですが、この ICMP echo を使うには以下のコマンド形式を指定します。 先ほども設定しましたが、このコマンドを on のみ指定すると heartbeat プロトコルが自動的に選ばれるようですね。

IKE Keepalive コマンド (ICMP echo)

ipsec ike keepalive use 1 on icmp-echo 192.168.0.254

ICMP Echo では、対向ルータの IP アドレスを指定します。 上記コマンドで指定した 192.168.0.254 は LANa ルータの LAN1 インターフェースアドレスですので、この設定では LANb ルータが LANa ルータの LAN1 インターフェースに向かって Ping を投げつけることになります。

この Ping の意味は 「生存確認」 です。 LANa ルータから Ping のレスポンスがあれば、IPsec トンネルは確立しているとみなし、既に確立している SA を継続して使います。



↑図12：Ping を投げて生存確認


ここで LANa ルータの SA を削除すると SA の消失現象により IPsec トンネルがダウンしますが、同時に LANb ルータが発した Ping パケットが LANa に届かなくなります。 LANb ルータは LANa ルータへ向けて繰り返し Ping を送りつづけますが、一定時間が経過しても Ping レスポンスがない場合、LANb ルータは 「LANa ルータへ Ping が届かない ＝ IPsec トンネルがダウンしている」 と判断し、IKE 処理を再開して新 SA の生成を始めます。

ちなみにですが、ICMP echo により IKE Keepalive が働いたとき、LANb ルータのログには "ICMP: dead peer detection" というメッセージが記録されていました。 これも当たり前といえば当たり前なのですが、こういった変化を発見すると 「おおっ!?」 っとなりますね。 ちょっとした楽しみかもw (^ω^*)


↑図13：Ping レスポンスがなければ IKE やりなおし


繰り返すようですが、このように IKE Keepalive は IPsec トンネルの確立状態を常に監視して、ダウンを検知したら IKE を始める仕組みのことを指します。 こうやっていざ動かしてみると、とても分かりやすいですね。



■茶番タイム

ICMP echo の IKE Keepalive を検証中、ひとつ疑問がわきました。

それは 「ルータ以外の IP アドレスを指定しても Keepalive って働く？」 といったものでした。

本当に しょーーーもない疑問 ですが、そもそも人間とは しょーもないコトを楽しめる生き物です。 とくに僕なんか 「しょーもないコトこそが生きがい」 みたいなノリで日々を生きておりますので、ここは 「茶番タイム」 という名前を使って前述の疑問を検証します。


それではさっそく、以下のような環境で IKE Keepalive を動かしてみます。



↑図14：Welcome to the chaban time !!


基本的には今までのネットワーク構成と変わりありませんが、LANa ネットワークに PCa が1台追加されました。 この PCa の IP アドレスを 192.168.0.101 に設定し、それから LANb ルータの IKE Keepalive 設定コマンドに PCa の IP アドレスを指定しました。

これらの設定を有効化させたあと、PCa から Wireshark を起動させると…LANb ルータ発の Ping パケットが定期的に飛んできました。 どうやら ICMP echo の IKE Keepalive は、ルータのインターフェース以外の IP アドレスを指定しても問題ナイようですね。

そして PCa の LAN ケーブルを引っこ抜き、LANb に対する Ping レスポンスを停止します。 その結果……IPsec トンネルは正常に確立しているのに、LANb に有効化した IKE Keepalive が機能して 新しい SA が生成されました。 もちろん LAN ケーブルを外さなくとも、ファイアウォールなどでパケットを遮断させられれば同じ結果になります。


↑図15：古い SA が健在なのに新しい SA を作り始める


ということで、茶番タイムの結果は…

　結論：　ルータ以外の IP 機器に IKE Keepalive の Ping 宛先を指定しても大丈夫

…となりました。 どうやら本当に茶番だったようです。。


――と、横道にそれてしまった茶番タイムでしたが、まずはこれくらい動かすことができれば IKE Keepalive の掴みとしては十分だと思っています。

ちなみに今回は IKE Keepalive としてメモしていますが、前述もしましたが "Keepalive" という仕組みそのものはルータ以外にも色々なところで活用されています。 細かな動きは覚えなくても問題ないと思いますが、Keepalive の存在は知っておいて損はないですね。

---

DPD

IKE Keepalive を実現させるには、ICMP echo の他に Heartbeat と DPD のプロトコルが存在することを前述しました。 ここでは DPD についてメモしていきます。

本当は Heartbeat についてのメモも残したかったのですが、DPD について色々と調べていくうちに 「Heartbeat よりも DPD の方が重要(?)」 な気がしてきました。 もちろん両方理解することが理想ですが、「なぜそう思ったのか」 などの理由も含めて、まず始めに Heartbeat と DPD の違いについてメモします。


■ Heartbeat と DPD の違い

以下に URL を貼りますが、こちらはヤマハの技術情報ページでして DPD についての仕様などが書かれています。

　- IPsec DPD -
　http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/dpd.html

こちらのページを読んでいくと、「DPD は IPsec トンネルの通信断をリアルタイムに検出。 IKE Heartbeat と同様の効果を発揮する」 と書かれているように、なんとなく似たようなプロトコルであることが分かります。

ところが続けて 「IKE Heartbeat の仕様は RFC ならず消滅。 一報の DPD は RFC3706 として公開した」 とも書かれています。 この文面から理解するには、これら二つのプロトコルを以下のように区別することができそうです。

　・IKE Heartbeat　 …　 規格化されていない。 ベンダーごとに仕様が異なる。
　・DPD 　…　 RFC3706 によって規格化。

前述の技術情報ページにも書かれていますが 「相互接続では DPD の方が問題が少ない」 ともあるように、異なるベンダー間で IPsec トンネルを組む場合は IKE Heartbeat よりも DPD の方が宜しいようです。


このように IKE Heartbeat は規格化されていない、ということは言葉を変えればベンダーの数だけ IKE Heartbeat の種類が存在するともいえます。 となればその一つ、ヤマハルータの IKE Heartbeat を追うよりも DPD を追った方が効率が良い気がしてきたこともあり、今回は DPD についてのメモを残すことを決めた次第でした。

……正直なところ、ヤマハルータの "Heartbeat" と "IKE Heartbeat" が同じだと信じて疑わずに Heartbeat の検証していたのに、（もしかしてこの二つって全然違うモンじゃね？） って不安になってきてしまい、徐々に混乱していった挙句に （もう DPD に逃げよう…） という心境にたどり着き、そして IKE Heartbeat についてのメモに筆を置いたのが本音です。。。OTL


■ DPD (Dead peer Detection)

それでは、さっそく DPD を動作させます。

前項の検証環境に続いて以下の DPD コマンドを実行しますが、今回は双方のルータに設定する必要があります。 これは DPD では "R-U-THERE" メッセージを相互にやりとりするように定義されているからです。

IKE Keepalive コマンド (DPD)

ipsec ike keepalive use 1 on dpd

この DPD を有効化させた状態で、今に至るまでに頻繁に行ってきた LANa ルータの SA 削除を行うと、今までと同様に無事に IPsec トンネルが再確立してくれました。 これらの再アップに関してはメモする必要もありませんね。

次に 「断絶の検知」 についてですが、ICMP echo プロトコルでは Ping を使って IPsec 通信のトンネルダウンを検知していました。では今回の DPD ではどのようなプロトコルを使って回線の断絶を検知するのでしょうか。 それは先ほど少しだけ名前が出てきた R-U-THERE / R-U-THERE-ACK メッセージを使ってダウン検知を行います。


ところで "R-U-THERE" という文字を見て、すぐに 「あぁ、なるほどね」 と理解できた人は インターネット中毒の疑い があります。 なぜなら R-U-THERE は "Are You There" の略語、インターネットスラングですので、普通の人ならすぐには分からないからです。

ちなみに僕は "R-U-THERE" という文字を見て、すぐには理解できませんでした。 「あ、おまえ逃げやがったな!!」 など思った方、とんでもございません。 僕はそれ以前に （Are You There ってどういう意味だっけ？） という、とても根本的なところが理解できなかった 阿呆 なのですから。 (///)


さて、話を戻します。。

R-U-THERE メッセージは、その名のとおり Hello パケットとして使われており、R-U-THERE-ACK メッセージにいたっては ACK という文字から分かるように、Hello パケットに対する確認レスポンスとして使われます。 「やぁ生きてる？」 「うん、生きてるよん」 といったメッセージを相互にやり取りしあいながら、DPD は IKE Keepalive を実現させます。



↑図16：R-U-THERE / ACK メッセージ


上記は R-U-THERE メッセージを書き写したものです。
このメッセージの中で重要なフィールドをメモするなら、以下の3つでしょうか。

　・ Domain of Interpretation (DOI)
　・ Security Parameter Index (SPI)
　・ Notification Data

DOI については、残念ながら今の僕には知識を持ち合わせていません。 いつかメモすることになるとは思いますが、今のところは 「SA で使用されるパラメータを定めているモノ （マスタリング IPsec 参考）」 といった漠然とした認識にとどめておきます。 SPI は本メモの SA の消失にて 「値」 という書き方をしましたが、こちらもこの程度のメモでとどめます。

DPD の IKE Keepalive で重要なのは、3つ目の "Notification Data" です。


■ R-U-THERE / ACK の動き

LANa / LANb ルータ同士を例に挙げ、R-U-THERE / ACK メッセージを交換する動きをメモします。

1．まず LANa ルータが R-U-THERE メッセージを用意します。 このメッセージに IPsec 情報を各フィールドに書き込んだ上で、先ほどの Notification Data フィールドに シーケンス番号 を指定します。 このシーケンス番号はランダムに決められます。

2．LANa ルータは R-U-THERE メッセージを LANb ルータへ向けて送信します。 LANb ルータはそれを受信すると、レスポンス用の R-U-THERE-ACK を同じく生成して LANa ルータへ投げ返します。 この R-U-THERE-ACK のシーケンス番号は受信したメッセージと同じものを指定します。

3．R-U-THERE-ACK メッセージを受信した LANa ルータは、対向ルータが生存していることを確認します。 この生存を確認した LANa ルータは、続けて LANb ルータへ向けて投げる次の R-U-THERE メッセージを生成しますが、このとき指定されるシーケンス番号は R-U-THERE メッセージで指定した シーケンス番号に1を加算したものです。



↑図17：R-U-THERE のやり取りをクローズアップ


これらの動作をヤマハルータのログを確認します。

DPD の動作を開始させたあと [ show log ] コマンドからログを表示させると、以下のようなメッセージが確認できます。 このメッセージを見てみると、5cc561e2 (黄色)　と　6e078c1d (赤色) から始まるシーケンス番号が指定された2種類の R-U-THERE / ACK メッセージがやり取りされていることが分かります。 LANa ルータでは 5cc561e2 を、LANb ルータでは 6e078c1d のシーケンス番号に1を加算していますので、ルータ間では2種類の R-U-THERE メッセージがやり取りするようです。


↑図18：R-U-THERE / ACK のログ


では最後に DPD の IKE Keepalive 動作を確認します。
以下は IPsec トンネルが張られている状態で LANb ルータの LAN ケーブルを抜いてから SA の削除、そして IKE が行われるまでの流れをメモしたものです。

1．LANa / LANb ルータが R-U-THERE / ACK メッセージを交換し合い、対向の生存を確認します。

2．ここで LANb ルータの LAN ケーブルを抜きます。 すると IPsec トンネルは一時断絶状態になりますので R-U-THERE メッセージを送ることができません。 R-U-THERE-ACK レスポンスが受け取れない LANa ルータは、シーケンス番号に 1 を加算した R-U-THERE メッセージを再送し続けます。

3．R-U-THERE-ACK レスポンスを受け取れないと判断した LANa ルータでは IKE Keepalive の動作が始まります。 このときログでは "DPD: detected dead peer" というメッセージが残ります。 同時に保持していた SA をすべて解放し、Phase 1 からの IKE を開始します。



↑図19：タイムアウトから IKE 開始まで

以上、DPD についてのメモでございました。


今回は IKE Keepalive についてメモしましたが、振り返ってみるとダウン検知の仕組み自体は、なんらかのパケットを使って対向ルータの生存を定期的に確認し、それがタイムアウトを起こした状態をダウン検知とみなす、といったわりとシンプルな仕組みであることが分かりました。

もしかしたら上記以外の仕組みによる IKE Keepalive が存在するかもしれませんが、それらに関しては存在を発見したときに別途追究することにします。 今回はこのあたりでオシマイといたしますw (^ω^*)

---

最後に


「最近はクラウドのビッグウェーブが来てますよ」

先日、知り合いのエンジニアさんとそんなお話をしました。
クラウドの進化速度がめまぐるしいようで、その波に取り残されないように必死だとか。
日々勉強をされているのでしょう。 心から感嘆します。

まさに 「流行最先端」 ともいえるクラウドサービスが世に浸透している反面。
僕は 「レガシー」 ともいえるネットワークの基礎概念を学んでいます。

今回の IKE Keepalive にいたっては、
参考のひとつにした書籍 （実践 Cisco IPsecVPN 教科書） が 2003年 に発行されたほどでした。
10年以上前の技術情報がまだまだ全然活用できるというこの事実は、色々と考えさせられます。


なぜ、僕は 「流行最先端」 の技術に足を踏み込まないのか。

そもそもどうして、基礎概念だけを勉強しているのか。


それは基礎概念が、それほど大切だからです。





――というのは建前で、




本当は サボリ癖 のある僕にとって、


流行最先端の技術は、確実に 置いてけぼり にされます。


たぶん、僕とウサインボルトが 100m を競争するレベル。


取り残される 自信アリ 。




大アリ




という、理由から。

もうしばらく、いろいろ言い訳しながらマイペースに基礎を学んで行こうと思います。

なにごとも、マイペース （無理しないこと） が一番ですわよ。(///)