ipsec security-association add(IKEを使用する)

IKEを使用するIPsecセキュリティアソシエーションを設定する。

実行権限
admin
対象機種
SEIL/B1, SEIL/X1, SEIL/X2, SEIL/x86 Fuji, SEIL BPV4

Note

IPsecセキュリティアソシエーションは、VPN装置間の通信をカプセル化し、認証および暗号により保護するトンネルです。カプセル化対象のパケットを選別する方法によって、ポリシーベースまたはルーティングベースの設定方法を選択します。

ポリシーベースIPsec
IPsecセキュリティポリシーにマッチしたパケットをカプセル化対象とします。
ルーティングベースIPsec
経路制御によってIPsecインタフェースをゲートウェイとされたパケットをカプセル化対象とします。別途IPsecインタフェースおよび経路を設定する必要があります。

ipsec security-association add (ポリシーベースIPsec)

ポリシーベースIPsecのIPsecセキュリティアソシエーションを追加する。

設定上限
機種 上限
SEIL/B1 64
SEIL/X1 256
SEIL/X2 512
SEIL/x86 Fuji 512
SEIL BPV4 512
ipsec security-association add <name>
  { tunnel | transport } 
  { <start_IPaddress> <end_IPaddress> | <start_Interface> <end_IPaddress> | dynamic | auto }
  ike <SAP_name> ah { enable | disable } esp { enable | disable }
<name>
IPsecセキュリティアソシエーションの設定名
設定範囲 備考
1-16文字 [a-zA-Z0-9_]
tunnel
トンネルモードを使用する
transport
トランスポートモードを使用する
<start_IPaddress>
IPsecで認証/暗号化するトンネルの始点IPアドレス
<end_IPaddress>
IPsecで認証/暗号化するトンネルの終点IPアドレス
<SAP_name>
使用するSAプロポーザル名
ah
AHの使用/不使用
既定値
disable
enable
有効にする
disable
無効にする
esp
ESPの使用/不使用
既定値
disable
enable
有効にする
disable
無効にする

Note

トンネルモードはSEILを経由する拠点間の通信にIPsecを適用し、トランスポートモードはSEIL自身が他のノードと安全な通信を行うためにIPsecを適用するモードです。

<start_IPaddress>はSEILのIPアドレスでなければなりません。各インタフェースに付けた IPアドレス及びNAPTのグローバルアドレスの設定で指定したIPアドレスを使用できます。

dynamicを指定した場合、動的IPアドレスを持つノードからの接続を受け付けます。ただし、セキュリティポリシーで指定したリモートネットワーク、ローカルネットワーク以外の接続を要求された場合は接続を拒否します。

autoを指定した場合、動的IPアドレスを持つノードからの接続を受け付け、さらに、セキュリティポリシーを自動的に生成するため、あらかじめセキュリティポリシを設定する必要がありません。ただし、接続を受け付けるのはリモートネットワークのプレフィックス長がIPv4の場合32ビット、 IPv6の場合128ビットの場合に限ります。それ以外のプレフィックス長を持つリモートネットワークと接続するためには、 dynamicを指定し、別途にセキュリティポリシを設定してください。

トンネルモードではESPが必須であり、AHは設定によらず常に無効になります。

ipsec security-association add (ルーティングベースIPsec)

ルーティングベースIPsecのIPsecセキュリティアソシエーションを追加する。

ipsec security-association add <name>
  tunnel-interface <IPsec>
  ike <SAP_name> ah { enable | disable } esp { enable | disable }
  [ipv6 { pass | block }]
  [proxy-id-local { <IPaddress/prefixlen> | any }]
  [proxy-id-remote { <IPaddress/prefixlen> | any }]
  [proxy-id-protocol { <protocol> | any }]
<name>
IPsecセキュリティアソシエーションの設定名
設定範囲 備考
1-16文字 [a-zA-Z0-9_]
tunnel-interface
トンネルインタフェースモードを使用する
<IPsec>
IPsecで認証/暗号化するトンネルの終点IPアドレス
<SAP_name>
使用するSAプロポーザル名
ah
AHの使用/不使用
既定値
disable
enable
有効にする
disable
無効にする
esp
ESPの使用/不使用
既定値
disable
enable
有効にする
disable
無効にする
ipv6
IPv6パケットのパス/ブロック
  • proxy-id-* との併用は不可
既定値
pass
pass
パスする(保護する)
block
ブロックする(破棄する)
proxy-id-local
自分側のProxy ID(IKE Phase2 ID)
既定値
any
<IPaddress/prefixlen>
Proxy IDとするIPアドレス形式の文字列
any
Proxy IDを指定しない
proxy-id-remote
相手側のProxy ID(IKE Phase2 ID)
既定値
any
<IPaddress/prefixlen>
Proxy IDとするIPアドレス形式の文字列
any
Proxy IDを指定しない
proxy-id-protocol
Proxy IDのプロトコル
既定値
any
<protocol>
プロトコル番号
any
プロトコルを指定しない

Note

ルーティングベースIPsecでは、トンネルインタフェースモードを使用します。

トンネルインタフェースモードはポリシーベースIPsecのトンネルモードと同様の動作をしますが、IPsecインタフェースと連携する点が異なります。

トンネルインタフェースモードのIPsecセキュリティアソシエーションが設定されると、IPsecインタフェースに対応するIPsecセキュリティポリシーが自動的に生成されます。また、IPsecインタフェースはIP-IPトンネルインタフェースと同様に経路のゲートウェイとして利用できます。

IPv6パケットのパス/ブロック

"ipv6 block" を設定すると、IPsecインタフェースに入力されたIPv6パケットをブロックします。IPv6パケットを保護するためのセキュリティアソシエーションの折衝も行いません。IPv6が必要ない場合は、この設定を行うことでシステム全体のパフォーマンス、およびIPv4のみをサポートする機器との相互接続性が向上します。

"ipv6 pass" を設定すると、IPsecインタフェースに入力されたIPv6パケットをセキュリティアソシエーションにより保護して転送します。

IKE Phase2 ID(Proxy ID)

Proxy IDは、他機種との相互接続に必要となる場合に、対向機器が必要とする値に合わせて設定してください。Proxy IDを設定しない場合のIKE Phase2 IDは、IPv4について "0.0.0.0/0"、IPv6について "::/0" を使用します。

注: IKE Phase-2 ID(Proxy ID)を明示的に設定する場合、IPsecインタフェース上の通信はIPv4に限られます。

ipsec security-association add (pass)

暗号化せずにパス(フォワーディング)する特殊なIPsecセキュリティアソシエーションを追加する。

ipsec security-association add <name> pass
<name>
IPsecセキュリティアソシエーションの設定名
設定範囲 備考
1-16文字 [a-zA-Z0-9_]

ipsec security-association add (block)

暗号化せずにブロック(破棄)する特殊なIPsecセキュリティアソシエーションを追加する。

ipsec security-association add <name> block
<name>
IPsecセキュリティアソシエーションの設定名
設定範囲 備考
1-16文字 [a-zA-Z0-9_]

ipsec security-association delete

IPsecセキュリティアソシエーションを削除する。

ipsec security-association delete { <SA_name> ... | all }
<name>
対象の設定名
  • 空白区切りで列挙可能
all
すべて

Note

対象の設定に基づくIPsec/IKEセッションは切断されます。

対象のセキュリティアソシエーションを使用するセキュリティポリシーの設定も同時に削除されます。

ipsec security-association modify

IPsecセキュリティアソシエーションを変更する。

ipsec security-association modify <name>
  [ike <SAP_name>] [ah { enable | disable }] [esp { enable | disable }]
  [ipv6 { pass | block }]
  [proxy-id-local { <IPaddress/prefixlen> | any }]
  [proxy-id-remote { <IPaddress/prefixlen> | any }]
  [proxy-id-protocol { <protocol> | any }]
<name>
対象の設定名

Note

対象の設定に基づくIPsec/IKEセッションは切断されます。