ike peer
IKE peerを設定する。
- 実行権限
- admin
- 対象機種
- SEIL/B1, SEIL/X1, SEIL/X2, SEIL/x86 Fuji, SEIL BPV4
ike peer add
IKE peerの設定を追加する。
- 設定上限
-
機種 上限 SEIL/B1 64 SEIL/X1 256 SEIL/X2 512 SEIL/x86 Fuji 512 SEIL BPV4 512
ike peer add <name>
exchange-mode { main | aggressive }
proposals <proposal>,...
address { <IPaddress> | dynamic }
[port { <port> | system-default }]
[check-level { obey | claim | strict | exact | system-default }]
[initial-contact { enable | disable | system-default }]
[my-identifier { fqdn <identifier> | user-fqdn <identifier> | address | system-default }]
[peers-identifier { fqdn <peers-identifier> | user-fqdn <peers-identifier> | address | system-default }]
[nonce-size { <size> | system-default }]
[variable-size-key-exchange-payload { enable | disable | system-default }]
[tunnel-interface { enable | disable | system-default }]
[dpd { enable | disable | system-default }]
[esp-fragment-size { none | system-default | <size> }]
[nat-traversal { enable | disable | force | system-default }]
[send-transport-phase2-id { disable | enable | system-default }]
[responder-only { on | off | system-default }]
[prefer-new-phase1 { enable | disable | system-default }]
- <name>
- IKE peerの設定名
設定範囲 予約語 1-16文字 all
- exchange-mode
- フェーズ1の鍵交換モード
- aggressive
- アグレッシブモードを使用する
- main
- メインモードを使用する
- proposals
- 使用するIKEプロポーザル名のリスト
- <proposal>
- プロポーザル名を指定する
- カンマ区切りで複数(8個まで)指定できます。
- address
- IKE対向のIPアドレス
- <IPaddress>
- 指定したIPアドレスからの接続を受け付ける
- dynamic
- 動的IPアドレスからの接続を受け付ける
- port
- 使用するポート番号
- <port>
- ポート番号を指定する
設定範囲 1-65535 - system-default
- 既定値を使用する
既定値 500
- check-level
- パラメータの同一性確認の厳密さ
- obey
- フェーズ2のlifetime及びPFSは始動側に従う
- claim
- フェーズ2のlifetimeは短いものを、PFSは一致したものを使う
- strict
- フェーズ2のlifetimeは始動側が短ければ使用し、PFSは一致したものを使う
- exact
- フェーズ2のlifetime及びPFSは一致したもののみを使う
- system-default
- 既定値を使用する
既定値 strict
- initial-contact
- INITIAL-CONTACTメッセージの送信
- enable
- 有効にする
- disable
- 無効にする
- system-default
- 既定値を使用する
既定値 enable
- my-identifier
- 自己識別子の指定
- fqdn
- FQDN形式の文字列を使用する
- user-fqdn
- ユーザーFQDN形式の文字列を使用する
- address
- IPアドレスを使用する
- <identifier>
- 自己識別子
設定範囲 書式 1-256文字 FQDNまたはユーザーFQDN - system-default
- 既定値を使用する
既定値 address
- peers-identifier
- 相手識別子の指定
- fqdn
- FQDN形式の文字列を使用する
- user-fqdn
- ユーザーFQDN形式の文字列を使用する
- address
- IPアドレスを使用する
- <peers-identifier>
- 相手識別子の文字列
- "ike preshared-key"コマンドで設定済みの、対向の識別子を指定します
- system-default
- 既定値を使用する
既定値 address
- nonce-size
- Nonce 値の大きさ
- <size>
- 大きさを指定する
設定範囲 単位 8-256 Byte - system-default
- 既定値を使用する
既定値 16
- variable-size-key-exchange-payload
- 可変長の鍵交換ペイロードの使用
- enable
- 有効にする
- disable
- 無効にする
- system-default
- 既定値を使用する
既定値 disable
- tunnel-interface
- IPsecインタフェースでの使用
- enable
- 有効にする
- disable
- 無効にする
- system-default
- 既定値を使用する
既定値 disable
- dpd
- DPD(Dead Peer Detection)の使用
- enable
- 有効にする
- disable
- 無効にする
- system-default
- 既定値を使用する
既定値 disable
- esp-fragment-size
- パケット暗号化前のフラグメント処理
- <size>
- 指定したサイズでフラグメントする
設定範囲 単位 576-1500 Byte - none
- フラグメントしない
- system-default
- 既定値を使用する
既定値 none
- nat-traversal
- NAT-Traversalの使用
- enable
- 有効にする
- disable
- 無効にする
- force
- NATを検出しない場合でもUDPによるカプセル化を行う
- system-default
- 既定値を使用する
既定値 disable
- send-transport-phase2-id
- IKEフェーズ2においてトランスポートモードであってもIDペイロードを送信する
- enable
- 有効にする
- disable
- 無効にする
- system-default
- 既定値を使用する
既定値 disable
- responder-only
- IKEフェーズ1の開始を待ち受けのみとする
- on
- 使用する
- off
- 使用しない
- system-default
- 既定値を使用する
既定値 off
- prefer-new-phase1
- IKEフェーズ1が更新されたとき、既存のIKEフェーズ2(IPsec SA)を新しいIKEフェーズ1に関連付ける
- 異機種間でのIKEフェーズ1の再折衝が安定しないとき、有効化することで安定が見込める場合があります。
- enable
- 有効にする
- disable
- 無効にする
- system-default
- 既定値を使用する
既定値 disable
Note
IKE フェーズ1の折衝で使用するパラメータとなります。
addressにdynamicを設定することで、動的IPアドレスからの接続を受け付けることができます。 この場合、鍵交換モードはアグレッシブモードにのみ対応します。また、IPアドレスにより接続相手を選択できないため、必ずfqdnまたはuser-fqdnをpeers-identifierとして 設定する必要があります。
ipsecインタフェースを利用する場合は、tunnel-interfaceをenableにする必要があります。
DPDまたはNAT-Traversalを利用する場合は、対向側装置もDPDまたはNAT-Traversalに対応している必要があります。
NAT-Traversalを利用する場合は、portパラメータは無視されます。また、実際のアドレス書換の有無によらず、鍵交換モードはアグレッシブモードを指定する必要があります。
同一NATの配下からのIPsecとL2TP/IPsec簡易設定を利用した接続は同時に利用できません。
ルーティングベースIPsec利用時は、IPv4かつフロートリンク併用時のみ適用可能。
responder-only onを指定した場合、ポリシーに一致する通信の発生や、auto-initiation enableの場合にもphase1の折衝を開始しません。ただし、phase1が既に確立している場合のphase2の折衝は開始します。
注: ike peerにdynamicが指定されている場合は、L2TP/IPsec簡易設定を同時に利用できません。
ike peer delete
IKE peerの設定を削除する。
ike peer delete { <name> ... | all }
- <name>
- 対象の設定名
- 空白区切りで列挙可能
- all
- すべて
ike peer modify
IKE peerの設定を変更する。
ike peer modify <name>
[exchange-mode { main | aggressive }]
[proposals <proposal>,...]
[address { <IPaddress> | dynamic }]
[port { <port> | system-default }]
[check-level { obey | claim | strict | exact | system-default }]
[initial-contact { enable | disable | system-default }]
[my-identifier { fqdn <identifier> | user-fqdn <identifier> | address | system-default }]
[peers-identifier { fqdn <peers-identifier> | user-fqdn <peers-identifier> | address | system-default }]
[nonce-size { <size> | system-default }]
[variable-size-key-exchange-payload { enable | disable | system-default }]
[tunnel-interface { enable | disable }]
[dpd { enable | disable | system-default }]
[esp-fragment-size { none | system-default | <size> }]
[nat-traversal { enable | disable | force | system-default }]
[send-transport-phase2-id { disable | enable | system-default }]
[responder-only {on | off | system-default }]
[prefer-new-phase1 { enable | disable | system-default }]
- <name>
- 対象の設定名
- パラメータの詳細はike peer addを参照