ipsec security-association add(IKEを使用する)
IKEを使用するIPsecセキュリティアソシエーションを設定する。
- 実行権限
- admin
- 対象機種
- SEIL/B1, SEIL/X1, SEIL/X2, SEIL/x86 Fuji, SEIL BPV4
Note
IPsecセキュリティアソシエーションは、VPN装置間の通信をカプセル化し、認証および暗号により保護するトンネルです。カプセル化対象のパケットを選別する方法によって、ポリシーベースまたはルーティングベースの設定方法を選択します。
- ポリシーベースIPsec
- IPsecセキュリティポリシーにマッチしたパケットをカプセル化対象とします。
- ルーティングベースIPsec
- 経路制御によってIPsecインタフェースをゲートウェイとされたパケットをカプセル化対象とします。別途IPsecインタフェースおよび経路を設定する必要があります。
ipsec security-association add (ポリシーベースIPsec)
ポリシーベースIPsecのIPsecセキュリティアソシエーションを追加する。
- 設定上限
-
機種 上限 SEIL/B1 64 SEIL/X1 256 SEIL/X2 512 SEIL/x86 Fuji 512 SEIL BPV4 512
ipsec security-association add <name>
{ tunnel | transport }
{ <start_IPaddress> <end_IPaddress> | <start_Interface> <end_IPaddress> | dynamic | auto }
ike <SAP_name> ah { enable | disable } esp { enable | disable }
- <name>
- IPsecセキュリティアソシエーションの設定名
設定範囲 備考 1-16文字 [a-zA-Z0-9_] - tunnel
- トンネルモードを使用する
- transport
- トランスポートモードを使用する
- <start_IPaddress>
- IPsecで認証/暗号化するトンネルの始点IPアドレス
- <end_IPaddress>
- IPsecで認証/暗号化するトンネルの終点IPアドレス
- <SAP_name>
- 使用するSAプロポーザル名
- ah
-
AHの使用/不使用
既定値 disable - enable
- 有効にする
- disable
- 無効にする
- esp
-
ESPの使用/不使用
既定値 disable - enable
- 有効にする
- disable
- 無効にする
Note
トンネルモードはSEILを経由する拠点間の通信にIPsecを適用し、トランスポートモードはSEIL自身が他のノードと安全な通信を行うためにIPsecを適用するモードです。
<start_IPaddress>はSEILのIPアドレスでなければなりません。各インタフェースに付けた IPアドレス及びNAPTのグローバルアドレスの設定で指定したIPアドレスを使用できます。
dynamicを指定した場合、動的IPアドレスを持つノードからの接続を受け付けます。ただし、セキュリティポリシーで指定したリモートネットワーク、ローカルネットワーク以外の接続を要求された場合は接続を拒否します。
autoを指定した場合、動的IPアドレスを持つノードからの接続を受け付け、さらに、セキュリティポリシーを自動的に生成するため、あらかじめセキュリティポリシを設定する必要がありません。ただし、接続を受け付けるのはリモートネットワークのプレフィックス長がIPv4の場合32ビット、 IPv6の場合128ビットの場合に限ります。それ以外のプレフィックス長を持つリモートネットワークと接続するためには、 dynamicを指定し、別途にセキュリティポリシを設定してください。
トンネルモードではESPが必須であり、AHは設定によらず常に無効になります。
ipsec security-association add (ルーティングベースIPsec)
ルーティングベースIPsecのIPsecセキュリティアソシエーションを追加する。
ipsec security-association add <name>
tunnel-interface <IPsec>
ike <SAP_name> ah { enable | disable } esp { enable | disable }
[ipv6 { pass | block }]
[proxy-id-local { <IPaddress/prefixlen> | any }]
[proxy-id-remote { <IPaddress/prefixlen> | any }]
[proxy-id-protocol { <protocol> | any }]
- <name>
- IPsecセキュリティアソシエーションの設定名
設定範囲 備考 1-16文字 [a-zA-Z0-9_] - tunnel-interface
- トンネルインタフェースモードを使用する
- <IPsec>
- IPsecで認証/暗号化するトンネルの終点IPアドレス
- <SAP_name>
- 使用するSAプロポーザル名
- ah
-
AHの使用/不使用
既定値 disable - enable
- 有効にする
- disable
- 無効にする
- esp
-
ESPの使用/不使用
既定値 disable - enable
- 有効にする
- disable
- 無効にする
- ipv6
- IPv6パケットのパス/ブロック
- proxy-id-* との併用は不可
既定値 pass - pass
- パスする(保護する)
- block
- ブロックする(破棄する)
- proxy-id-local
- 自分側のProxy ID(IKE Phase2 ID)
既定値 any - <IPaddress/prefixlen>
- Proxy IDとするIPアドレス形式の文字列
- any
- Proxy IDを指定しない
- proxy-id-remote
- 相手側のProxy ID(IKE Phase2 ID)
既定値 any - <IPaddress/prefixlen>
- Proxy IDとするIPアドレス形式の文字列
- any
- Proxy IDを指定しない
- proxy-id-protocol
- Proxy IDのプロトコル
既定値 any - <protocol>
- プロトコル番号
- any
- プロトコルを指定しない
Note
ルーティングベースIPsecでは、トンネルインタフェースモードを使用します。
トンネルインタフェースモードはポリシーベースIPsecのトンネルモードと同様の動作をしますが、IPsecインタフェースと連携する点が異なります。
トンネルインタフェースモードのIPsecセキュリティアソシエーションが設定されると、IPsecインタフェースに対応するIPsecセキュリティポリシーが自動的に生成されます。また、IPsecインタフェースはIP-IPトンネルインタフェースと同様に経路のゲートウェイとして利用できます。
IPv6パケットのパス/ブロック
"ipv6 block" を設定すると、IPsecインタフェースに入力されたIPv6パケットをブロックします。IPv6パケットを保護するためのセキュリティアソシエーションの折衝も行いません。IPv6が必要ない場合は、この設定を行うことでシステム全体のパフォーマンス、およびIPv4のみをサポートする機器との相互接続性が向上します。
"ipv6 pass" を設定すると、IPsecインタフェースに入力されたIPv6パケットをセキュリティアソシエーションにより保護して転送します。
IKE Phase2 ID(Proxy ID)
Proxy IDは、他機種との相互接続に必要となる場合に、対向機器が必要とする値に合わせて設定してください。Proxy IDを設定しない場合のIKE Phase2 IDは、IPv4について "0.0.0.0/0"、IPv6について "::/0" を使用します。
ipsec security-association add (pass)
暗号化せずにパス(フォワーディング)する特殊なIPsecセキュリティアソシエーションを追加する。
ipsec security-association add <name> pass
- <name>
- IPsecセキュリティアソシエーションの設定名
設定範囲 備考 1-16文字 [a-zA-Z0-9_]
ipsec security-association add (block)
暗号化せずにブロック(破棄)する特殊なIPsecセキュリティアソシエーションを追加する。
ipsec security-association add <name> block
- <name>
- IPsecセキュリティアソシエーションの設定名
設定範囲 備考 1-16文字 [a-zA-Z0-9_]
ipsec security-association delete
IPsecセキュリティアソシエーションを削除する。
ipsec security-association delete { <SA_name> ... | all }
- <name>
- 対象の設定名
- 空白区切りで列挙可能
- all
- すべて
Note
対象の設定に基づくIPsec/IKEセッションは切断されます。
対象のセキュリティアソシエーションを使用するセキュリティポリシーの設定も同時に削除されます。
ipsec security-association modify
IPsecセキュリティアソシエーションを変更する。
ipsec security-association modify <name>
[ike <SAP_name>] [ah { enable | disable }] [esp { enable | disable }]
[ipv6 { pass | block }]
[proxy-id-local { <IPaddress/prefixlen> | any }]
[proxy-id-remote { <IPaddress/prefixlen> | any }]
[proxy-id-protocol { <protocol> | any }]
- <name>
- 対象の設定名
- パラメータの詳細は
ipsec secirity-association add
を参照
Note
対象の設定に基づくIPsec/IKEセッションは切断されます。