ipsec security-association proposal add
IPsecセキュリティアソシエーションプロポーザルを設定する。IPsecセキュリティアソシエーションの設定にIKEを使用する場合に必要となる。
- 実行権限
- admin
- 対象機種
- SEIL/B1, SEIL/X1, SEIL/X2, SEIL/x86 Fuji, SEIL BPV4
Note
IPsecセキュリティアソシエーションプロポーザルは、IKEフェーズ2で使用するパラメータです。
ipsec security-association proposal add
IPsecセキュリティアソシエーションプロポーザルの設定を追加する。
- 設定上限
-
機種 上限 SEIL/B1 32 SEIL/X1 32 SEIL/X2 32 SEIL/x86 Fuji 32 SEIL BPV4 32
ipsec security-association proposal add <name>
authentication-algorithm { hmac-md5 | hmac-sha1 | hmac-sha256 | hmac-sha384 | hmac-sha512 },...
encryption-algorithm { 3des | des | blowfish | cast128 | aes | aes128 | aes192 | aes256 | null },...
[lifetime-of-time { <time> | system-default }]
[pfs-group { modp768 | modp1024 | modp1536 | modp2048 | modp3072 | modp4096 | modp6144 | modp8192 | none }]
- <name>
- IPsecセキュリティアソシエーションプロポーザルの設定名
設定範囲 予約語 1 - 16文字 all - authentication-algorithm
- 認証アルゴリズムを指定する
- カンマ区切りで列挙可能(8個まで)
- hmac-md5
- MD5
- hmac-sha1
- SHA-1
- hmac-sha256
- SHA-256 (SHA-2)
- hmac-sha384
- SHA-384 (SHA-2)
- hmac-sha512
- SHA-512 (SHA-2)
- encryption-algorithm
- 暗号アルゴリズムを指定する
- カンマ区切りで列挙可能(8個まで)
- 3des
- Triple DES
- des
- DES
- blowfish
- blowfish
- cast128
- CAST-128
- aes
- AES
- aes128
- AES(128bit)
- aes192
- AES(192bit)
- aes256
- AES(256bit)
- null
- 暗号化なし
- lifetime-of-time
- IPsecセキュリティアソシエーションの有効時間を指定する
- <time>
- 有効時間
設定範囲 単位 備考 1-99999999 秒 XXhXXmXXs形式での指定も可能 - system-default
- 既定値を使用する
既定値 28800
- pfs-group
- PFS(Perfect Forward Secrecy)に用いる DH(Diffie-Hellman)グループを指定する
- 大きな数字のグループほど盗聴による鍵の解読が困難になりますが、計算時間が長くなります。また、計算時間の長いdh-gourpを選択した場合、最大数のIPsecセッションを張れない場合があります。
- SEIL/B1は4096 bit以上のDHグループを使用するとIKEの折衝が完了しない可能性があります。
既定値 none - modp768
- 768 bit MODP Group (DH Group 1)
- modp1024
- 1024 bit MODP Group (DH Group 2)
- modp1536
- 1536 bit MODP Group (DH Group 5)
- modp2048
- 2048 bit MODP Group (DH Group 14)
- modp3072
- 3072 bit MODP Group (DH Group 15)
- modp4096
- 4096 bit MODP Group (DH Group 16)
- modp6144
- 6144 bit MODP Group (DH Group 17)
- modp8192
- 8192 bit MODP Group (DH Group 18)
- none
- PFSを使用しない
Note
認証・暗号アルゴリズムを複数指定した場合、優先度は設定順に従います。先に指定した順に使用される優先度が高くなります。
AESの鍵長が始動者側、応答者側で不一致の場合は始動者側の設定を優先します。
ipsec security-association proposal delete
IPsecセキュリティアソシエーションプロポーザルの設定を削除する。
ipsec security-association proposal delete { <name> ... | all }
- <name>
- 対象の設定名
- 空白区切りで列挙可能
- all
- すべて
Note
対象の設定に基づくIPsec/IKEセッションは切断されます。ipsec security-association proposal modify
IPsecセキュリティアソシエーションプロポーザルの設定を変更する。
ipsec security-association proposal modify <name>
[authentication-algorithm <auth_algo>[,<auth_algo>...]]
[encryption-algorithm <enc_algo>[,<enc_algo>...]]
[lifetime-of-time { <time> | system-default }]
[pfs-group { <pfs-group> | none }]
- <name>
- 対象の設定名
- パラメータの詳細はipsec security-association proposal addを参照