ipsec security-association add（IKEを使用する）

IKEを使用するIPsecセキュリティアソシエーションを設定する。

実行権限: admin
対象機種: SEIL/B1, SEIL/X1, SEIL/X2, SEIL/x86 Fuji, SEIL BPV4

Note

IPsecセキュリティアソシエーションは、VPN装置間の通信をカプセル化し、認証および暗号により保護するトンネルです。カプセル化対象のパケットを選別する方法によって、ポリシーベースまたはルーティングベースの設定方法を選択します。

ポリシーベースIPsec: IPsecセキュリティポリシーにマッチしたパケットをカプセル化対象とします。
ルーティングベースIPsec: 経路制御によってIPsecインタフェースをゲートウェイとされたパケットをカプセル化対象とします。別途IPsecインタフェースおよび経路を設定する必要があります。

ipsec security-association add （ポリシーベースIPsec）

ポリシーベースIPsecのIPsecセキュリティアソシエーションを追加する。

設定上限

機種	上限
SEIL/B1	64
SEIL/X1	256
SEIL/X2	512
SEIL/x86 Fuji	512
SEIL BPV4	512

ipsec security-association add <name>
  { tunnel | transport } 
  { <start_IPaddress> <end_IPaddress> | <start_Interface> <end_IPaddress> | dynamic | auto }
  ike <SAP_name> ah { enable | disable } esp { enable | disable }

<name>

IPsecセキュリティアソシエーションの設定名

設定範囲	備考
1-16文字	[a-zA-Z0-9_]

tunnel

トンネルモードを使用する

transport

トランスポートモードを使用する

<start_IPaddress>

IPsecで認証/暗号化するトンネルの始点IPアドレス

<end_IPaddress>

IPsecで認証/暗号化するトンネルの終点IPアドレス

<SAP_name>

使用するSAプロポーザル名

ah

AHの使用/不使用

既定値
disable

enable: 有効にする
disable: 無効にする

esp

ESPの使用/不使用

既定値
disable

enable: 有効にする
disable: 無効にする

Note

トンネルモードはSEILを経由する拠点間の通信にIPsecを適用し、トランスポートモードはSEIL自身が他のノードと安全な通信を行うためにIPsecを適用するモードです。

<start_IPaddress>はSEILのIPアドレスでなければなりません。各インタフェースに付けた IPアドレス及びNAPTのグローバルアドレスの設定で指定したIPアドレスを使用できます。

dynamicを指定した場合、動的IPアドレスを持つノードからの接続を受け付けます。ただし、セキュリティポリシーで指定したリモートネットワーク、ローカルネットワーク以外の接続を要求された場合は接続を拒否します。

autoを指定した場合、動的IPアドレスを持つノードからの接続を受け付け、さらに、セキュリティポリシーを自動的に生成するため、あらかじめセキュリティポリシを設定する必要がありません。ただし、接続を受け付けるのはリモートネットワークのプレフィックス長がIPv4の場合32ビット、 IPv6の場合128ビットの場合に限ります。それ以外のプレフィックス長を持つリモートネットワークと接続するためには、 dynamicを指定し、別途にセキュリティポリシを設定してください。

トンネルモードではESPが必須であり、AHは設定によらず常に無効になります。

ipsec security-association add （ルーティングベースIPsec）

ルーティングベースIPsecのIPsecセキュリティアソシエーションを追加する。

ipsec security-association add <name>
  tunnel-interface <IPsec>
  ike <SAP_name> ah { enable | disable } esp { enable | disable }
  [ipv6 { pass | block }]
  [proxy-id-local { <IPaddress/prefixlen> | any }]
  [proxy-id-remote { <IPaddress/prefixlen> | any }]
  [proxy-id-protocol { <protocol> | any }]

<name>

IPsecセキュリティアソシエーションの設定名

設定範囲	備考
1-16文字	[a-zA-Z0-9_]

tunnel-interface

トンネルインタフェースモードを使用する

<IPsec>: IPsecで認証/暗号化するトンネルの終点IPアドレス

<SAP_name>

使用するSAプロポーザル名

ah

AHの使用/不使用

既定値
disable

enable: 有効にする
disable: 無効にする

esp

ESPの使用/不使用

既定値
disable

enable: 有効にする
disable: 無効にする

ipv6

IPv6パケットのパス/ブロック

proxy-id-* との併用は不可

既定値
pass

pass: パスする（保護する）
block: ブロックする（破棄する）

proxy-id-local

自分側のProxy ID(IKE Phase2 ID)

既定値
any

<IPaddress/prefixlen>: Proxy IDとするIPアドレス形式の文字列
any: Proxy IDを指定しない

proxy-id-remote

相手側のProxy ID(IKE Phase2 ID)

既定値
any

<IPaddress/prefixlen>: Proxy IDとするIPアドレス形式の文字列
any: Proxy IDを指定しない

proxy-id-protocol

Proxy IDのプロトコル

既定値
any

<protocol>: プロトコル番号
any: プロトコルを指定しない

Note

ルーティングベースIPsecでは、トンネルインタフェースモードを使用します。

トンネルインタフェースモードはポリシーベースIPsecのトンネルモードと同様の動作をしますが、IPsecインタフェースと連携する点が異なります。

トンネルインタフェースモードのIPsecセキュリティアソシエーションが設定されると、IPsecインタフェースに対応するIPsecセキュリティポリシーが自動的に生成されます。また、IPsecインタフェースはIP-IPトンネルインタフェースと同様に経路のゲートウェイとして利用できます。

IPv6パケットのパス/ブロック

"ipv6 block" を設定すると、IPsecインタフェースに入力されたIPv6パケットをブロックします。IPv6パケットを保護するためのセキュリティアソシエーションの折衝も行いません。IPv6が必要ない場合は、この設定を行うことでシステム全体のパフォーマンス、およびIPv4のみをサポートする機器との相互接続性が向上します。

"ipv6 pass" を設定すると、IPsecインタフェースに入力されたIPv6パケットをセキュリティアソシエーションにより保護して転送します。

IKE Phase2 ID(Proxy ID)

Proxy IDは、他機種との相互接続に必要となる場合に、対向機器が必要とする値に合わせて設定してください。Proxy IDを設定しない場合のIKE Phase2 IDは、IPv4について "0.0.0.0/0"、IPv6について "::/0" を使用します。

注: IKE Phase-2 ID(Proxy ID)を明示的に設定する場合、IPsecインタフェース上の通信はIPv4に限られます。

ipsec security-association add (pass)

暗号化せずにパス（フォワーディング）する特殊なIPsecセキュリティアソシエーションを追加する。

ipsec security-association add <name> pass

<name>

IPsecセキュリティアソシエーションの設定名

設定範囲	備考
1-16文字	[a-zA-Z0-9_]

ipsec security-association add (block)

暗号化せずにブロック（破棄）する特殊なIPsecセキュリティアソシエーションを追加する。

ipsec security-association add <name> block

<name>

IPsecセキュリティアソシエーションの設定名

設定範囲	備考
1-16文字	[a-zA-Z0-9_]

ipsec security-association delete

IPsecセキュリティアソシエーションを削除する。

ipsec security-association delete { <SA_name> ... | all }

<name>

対象の設定名

空白区切りで列挙可能

all

すべて

Note

対象の設定に基づくIPsec/IKEセッションは切断されます。

対象のセキュリティアソシエーションを使用するセキュリティポリシーの設定も同時に削除されます。

ipsec security-association modify

IPsecセキュリティアソシエーションを変更する。

ipsec security-association modify <name>
  [ike <SAP_name>] [ah { enable | disable }] [esp { enable | disable }]
  [ipv6 { pass | block }]
  [proxy-id-local { <IPaddress/prefixlen> | any }]
  [proxy-id-remote { <IPaddress/prefixlen> | any }]
  [proxy-id-protocol { <protocol> | any }]

<name>: 対象の設定名

パラメータの詳細はipsec secirity-association addを参照

Note

対象の設定に基づくIPsec/IKEセッションは切断されます。