ipsec security-association add(IKEを使用しない)

IKEを使用しないIPsecセキュリティアソシエーションを設定する。

実行権限
admin
対象機種
SEIL/B1, SEIL/X1, SEIL/X2, SEIL/x86 Fuji, SEIL BPV4

ipsec security-association add

IPsecで通信を行うためのセキュリティアソシエーションを設定する。

設定上限
機種 上限
SEIL/B1 64
SEIL/X1 256
SEIL/X2 512
SEIL/x86 Fuji 512
SEIL BPV4 512
ipsec security-association add <SA_name>
  { { tunnel | transport }
   { <start_IPaddress> <end_IPaddress> | <start_Interface> <end_IPaddress> | dynamic | auto | any } |
    tunnel-interface <ipsec_Interface> }
  [to-auth { none | ah <spi> <ah_auth_algorithm> <auth_keyphrase> }]
  [to-encap { esp <spi> <esp_algorithm> <esp_keyphrase> |
    esp-auth <spi> <esp_algorithm> <esp_keyphrase>
    <auth_algorithm> <auth_keyphrase> }]
  [from-auth { none | ah <spi> <auth_algorithm> <auth_keyphrase> }]
  [from-encap { esp <spi> <esp_algorithm> <esp_keyphrase> |
    esp-auth <spi> <esp_algorithm> <esp_keyphrase>
    <auth_algorithm> <auth_keyphrase> }]
<name>
IPsecセキュリティアソシエーションの設定名
設定範囲 備考
1-16文字 [a-zA-Z0-9_]
<start_IPaddress>
IPsecで認証/暗号化を行うトンネルの始点IPアドレス
<end_IPaddress>
IPsecで認証/暗号化を行うトンネルの終点IPアドレス
<start_Interface>
IPsecで認証/暗号化を行うトンネルの始点IPアドレスに、インタフェースのアドレスを利用する
dynamic
IPsecで認証/暗号化を行うトンネルの始点/終点IPアドレスに動的アドレスを利用する
auto
IPsecで認証/暗号化を行うトンネルの始点/終点IPアドレスに動的アドレスを利用し、対応するセキュリティポリシを自動生成する
any
トランスポートモードの場合にIPsecで認証/暗号化を行う始点/終点IPアドレスを無制限にする。
tunnel
トンネルモードでIPsecを使用する
transport
トランスポートモードでIPsecを使用する
tunnel-interface
トンネルインタフェースモードでIPsecを利用する
<spi>
0x100〜0xffffffff
セキュリティアソシエーションを一意に識別するための値
<auth_algorithm>
認証アルゴリズム
<esp_algorithm>
暗号アルゴリズム
<auth_keyphrase>
認証パスワード(ASCII文字列または16進数)
認証アルゴリズム 入力範囲(ASCII文字, 16進数)
hmac-md5 128bit(32文字, 64文字)
keyed-md5 128bit(32文字, 64文字)
hmac-sha1 160bit(40文字, 80文字)
keyed-sha1 160bit(40文字, 80文字)
<esp_keyphrase>
暗号化パスワード(ASCII文字列または16進数)
暗号アルゴリズム 入力範囲(ASCII文字, 16進数)
des 64bit(16文字, 32文字)
3des 192bit(48文字, 96文字)
blowfish 40 - 448bit(10 - 112文字, 20 - 224文字)
cast128 40 - 128bit(10 - 32文字, 20 - 64文字)
aes 128 - 256bit(32 - 64文字, 64 - 128文字)

Note

トンネルモードはSEILを経由しての通信にIPsecを適用し、トランスポートモードはSEIL自身が他のノードと 安全な通信を行うためにIPsecを適用するモードです。

トンネルインタフェースモードはトンネルモードとほぼ同じですが、ipsecインタフェースを利用して通信を行なうモードです。

ipsecインタフェースでは通常のトンネルインタフェースと同様の経路制御が可能です。

<start_IPaddress>はSEILのIPアドレスでなければなりません。 各インタフェースに付けたIPアドレス及びNAPTのグローバルアドレスの設定で指定したIPアドレスを使用する事ができます。

<start_IPaddress>の代わりに<start_Interface>を指定すると、 指定したインタフェースのアドレスを自動的に取得して利用します。 インタフェースのアドレスが動的に変更された場合も自動的にアドレスを再取得してセキュリティアソシエーションを作成し直します。

to-authはSEILからの送信時に認証ヘッダを付ける設定、from-authはSEILが受信時に認証ヘッダを確認する設定です。 to-encapはSEILからの送信時にパケットを暗号化する設定、from-encapはSEILが受信時に暗号化されたパケットを復号する設定です。

トンネルモードでは、to-encap、from-encapを省略することはできません。また、to-auth、from-auth を設定すると通信できません。

アドレスにautoを指定した場合には、対向機器から通知された始点/終点アドレスとセキュリティポリシ情報を利用します。 この際の、セキュリティポリシ情報は対向機器側のプレフィックス長がIPv4の場合32、IPv6の場合128でなければなりません。 セキュリティポリシは設定する必要はありません。

セキュリティアソシエーションが設定されている場合、fastforward機能は無効になります。

デフォルト値

キーワード 備考
to-auth none
from-auth none

ipsec security-association add (pass)

暗号化せずにパス(フォワーディング)する特殊なIPsecセキュリティアソシエーションを追加する。

ipsec security-association add <name> pass
<name>
IPsecセキュリティアソシエーションの設定名
設定範囲 備考
1-16文字 [a-zA-Z0-9_]

ipsec security-association add (block)

暗号化せずにブロック(破棄)する特殊なIPsecセキュリティアソシエーションを追加する。

ipsec security-association add <name> block
<name>
IPsecセキュリティアソシエーションの設定名
設定範囲 備考
1-16文字 [a-zA-Z0-9_]

ipsec security-association delete

IPsecセキュリティアソシエーションを削除する。

ipsec security-association delete { <SA_name> ... | all }
<name>
対象の設定名
  • 空白区切りで列挙可能
all
すべて

Note

対象のセキュリティアソシエーションを使用するセキュリティポリシーの設定も同時に削除されます。

ipsec security-association modify

IPsecセキュリティアソシエーションを変更する。

ipsec security-association modify <name>
  [to-auth { none | ah <spi> <ah_auth_algorithm> <auth_keyphrase> }]
  [to-encap { esp <spi> <esp_algorithm> <esp_keyphrase> |
    esp-auth <spi> <esp_algorithm> <esp_keyphrase>
    <auth_algorithm> <auth_keyphrase> }]
  [from-auth { none | ah <spi> <auth_algorithm> <auth_keyphrase> }]
  [from-encap { esp <spi> <esp_algorithm> <esp_keyphrase> |
    esp-auth <spi> <esp_algorithm> <esp_keyphrase>
    <auth_algorithm> <auth_keyphrase> }]
<name>
対象の設定名