IPsecにおけるSA(Security Association)とは？

VPNゲートウェイ間のコネクションのこと。IPsecのすべての通信はこのSAをしよいします。SAは一方通行のトンネルであるため、パケットを送受信するためには送信用のSAと受信用のSAが必要になります。

また、SAはIPsecのカプセルかプロトコルに対して独自のものになるため、AHとESPを併用する場合、4つのSAが必要になります。

この性質により、IPsecの機器の間には多くのSAが発生しますが、あるIPsecのパケットがどのSAかを判断するためには、AHやESPパケットフィールドのSPIで判断ができます。同じパラメータを使用しないとIPsec通信ができないためです。

また、VPNゲートウェイでは、SADというローカールDBのなかに有効なな全てのSAを保存しています。

IPsecの通信において、処理を行うパケット、行わないパケットを決めるルールセットのことをSPDといい、CiscoルータのコンフィグにおいてはIPsec処理の対象を指定するACLを指している。

このSAを自動的に生成、管理、更新することを可能にしたのがIKE。

IKE(Internet Key Exchange)とは？

SAを生成するために、 IKEという鍵交換プロトコルを使用する。

認証用のセッション鍵（HMAC)と暗号化用のセッション鍵の生成、交換、更新を自動的に行う。

IKEによるSAの生成はフェーズ１とフェーズ２に２ステップで、フェーズ１では各種パラメータを交換し、ISAKMP SAを生成する。フェーズ２ではそのISAKMP SA上で各種パラメータを交換してIPsec SAを生成する。