2011/04/05

IKEv2 は SP1 の新機能? SP1 がまた誤解か? それとも 私の誤解か!?

IT プロフェッショナルの方向けの下記のイベントに、スピーカーとして登壇することになりました。Microsoft MVP による技術情報の解説セミナーだそうです。

2011 Microsoft Community Open Day with GITCA 
~ 仮想化技術・最新動向を理解する:IT プロフェッショナル編 ~

「Windows 7 & Windows Server 2008 R2 SP1 で何が変わった !? 
~ Dynamic Memory, RemoteFX, and etc. ~」(14:20 - 15:20)

イベントの詳細: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032484397&culture=ja-jp

東北新幹線がまだ全線開通していませんが、今週からぼちぼちとプレゼンテーション資料の作成を始めています。

ところで、Windows 7 および Windows Server 2008 R2 SP1 の変更点を「Notable Changes in Windows 7 and Windows Server 2008 R2 Service Pack 1 (Windows 7 および Windows Server 2008 R2 の Service Pack 1 での重要な変更)」(http://go.microsoft.com/fwlink/?LinkId=194725)で確認した方も多いと思います。その中で、Windows 7 および Windows Server 2008 R2 SP1 の共通の変更点の 1 つに以下の記述があります。この記述が誤解を生んでいるような...



Enhanced support for additional identities in RRAS and IPsec
Support for additional identification types has been added to the Identification field in the IKEv2 authentication protocol. This allows for a variety of additional forms of identification (such as E-mail ID or Certificate Subject) to be used when performing authentication using the IKEv2 protocol.


この記述を情報ソースとして「RRAS と IPSec で新たに IKEv2 認証プロトコルがサポートされる(た)」のようなニュース記事やブログ記事を目にすることがあります。ちょっと待ってください。IKEv2 (MOBIKE) は、Windows 7 および Windows Server 2008 R2 で最初からサポートされています。以下のドキュメントは、現時点では SP1 以前の情報です。

TechNet Library > VPN Tunneling Protocols (Windows 7 and Windows Server 2008 R2)

「Tunneling enables the encapsulation of a packet from one type of protocol within the datagram of a different protocol. For example, VPN uses Point-to-Point Tunneling Protocol (PPTP) to encapsulate IP packets over a public network, such as the Internet. You can configure a VPN solution based on PPTP, Layer Two Tunneling Protocol (L2TP), Secure Socket Tunneling Protocol (SSTP), or Internet Protocol security (IPsec) using Internet Key Exchange version 2 (IKEv2).

Notable Changes in... の「Identification field in the IKEv2 authentication protocol.」とは、文字通り、IKEv2 メッセージの ID ペイロード フィールドにセットされる値の変更 (拡張?) の話だと思います。具体的には、次のサポート技術情報で説明されている問題に対する改善です。サポート技術情報の記述と、Notable Changes in... の記述を比較すると、これが正解のような気がしています。

A Cisco VPN server does not provide differential services if you connect to the VPN server through a VPN connection that is based on the IKEv2 protocol from a computer http://support.microsoft.com/kb/975488

This issue occurs because the VPN client only sends the client IP address in the Identification payload field of the IKEv2 message. However, the Cisco VPN server expects the Identification payload field also to contain user name and domain name information. This behavior prevents the Cisco VPN server from forwarding an authentication request to the corresponding RADIUS server. Therefore, unexpectedly, the VPN server cannot group connected users. 

ちなみに、VPN クライアントのプロパティや RRAS の管理インターフェイスをいろいろ比較しましたが、SP1 ありとなしで IKEv2 に関する違いは見つけられませんでした。やっぱり、RFC 標準にちゃんと従うようにしたということだと思います。IKEv2 対応 VPN サーバーとの互換性が向上するのではないかと期待しています。

0 件のコメント: