IPSecのaggressiveモードとmainモード

IPSecにはaggressiveモードとmainモードとがあるかと思いますが、なぜ固定IPならmainモード、動的IPならaggressiveモードとなっているのでしょうか？
ご存知の方いらっしゃいましたら教えてください。

No.1 ベストアンサー 回答者： bship 回答日時： 2003/05/23 00:35

こんにちは。

正確には、「認証方法をPre-Shared Keyとしたときに」は動的IPの場合にはAggressiveモードを使わざるを得ないのです。よって固定IP==Mainモード、動的IP==Aggressiveモードというわけではありません。

Pre-Shared Key認証では、VPN装置毎にPre-Shared Keyを持つ必要があります。その時の装置とKeyの対応はIPで判断します。
MainモードはID情報(IPアドレス)を暗号化して交換します。その暗号化の為にはPre-Shared Keyが必要です。しかしPre-Shared Keyは相手のIPが判らないと特定できず、相手のIPは暗号化が可能になってからでないと入手できない....というループ問題になってしまいます。
よってMainモードでのPre-Shared Key認証ではあらかじめIPが判っている必要があるのです。

AggressiveモードではID情報は暗号化しません。Mainモードより情報交換が簡易化されているので、いきなり(暗号化無しで)ID情報(IP)を交換してしまいます。
よって動的IPでもかまわないのです。
当然にMainモードよりセキュリティレベルは少し下がります。

この回答へのお礼

bshipさん、有難うございます。
以前もご回答いただきまして、本当に助かります。
センチュリーシステムズ社のXR350とSSH社のSSH Sentinelの接続ででトラぶっていまして・・・・・。。
お詳しいですね。メーカーの開発の方ですか？
今後もご教授いただくことがあるかと思いますが、その際は宜しくお願いいたします。

お礼日時：2003/05/26 21:39