ipsec security-association proposal add

IPsecセキュリティアソシエーションプロポーザルを設定する。IPsecセキュリティアソシエーションの設定にIKEを使用する場合に必要となる。

実行権限
admin
対象機種
SEIL/B1, SEIL/X1, SEIL/X2, SEIL/x86 Fuji, SEIL BPV4

Note

IPsecセキュリティアソシエーションプロポーザルは、IKEフェーズ2で使用するパラメータです。

ipsec security-association proposal add

IPsecセキュリティアソシエーションプロポーザルの設定を追加する。

設定上限
機種 上限
SEIL/B1 32
SEIL/X1 32
SEIL/X2 32
SEIL/x86 Fuji 32
SEIL BPV4 32
ipsec security-association proposal add <name>
  authentication-algorithm { hmac-md5 | hmac-sha1 | hmac-sha256 | hmac-sha384 | hmac-sha512 },...
  encryption-algorithm { 3des | des | blowfish | cast128 | aes | aes128 | aes192 | aes256 | null },...
  [lifetime-of-time { <time> | system-default }]
  [pfs-group { modp768 | modp1024 | modp1536 | modp2048 | modp3072 | modp4096 | modp6144 | modp8192 | none }]
<name>
IPsecセキュリティアソシエーションプロポーザルの設定名
設定範囲 予約語
1 - 16文字 all
authentication-algorithm
認証アルゴリズムを指定する
  • カンマ区切りで列挙可能(8個まで)
hmac-md5
MD5
hmac-sha1
SHA-1
hmac-sha256
SHA-256 (SHA-2)
hmac-sha384
SHA-384 (SHA-2)
hmac-sha512
SHA-512 (SHA-2)
encryption-algorithm
暗号アルゴリズムを指定する
  • カンマ区切りで列挙可能(8個まで)
3des
Triple DES
des
DES
blowfish
blowfish
cast128
CAST-128
aes
AES
aes128
AES(128bit)
aes192
AES(192bit)
aes256
AES(256bit)
null
暗号化なし
lifetime-of-time
IPsecセキュリティアソシエーションの有効時間を指定する
<time>
有効時間
設定範囲 単位 備考
1-99999999 XXhXXmXXs形式での指定も可能
system-default
既定値を使用する
既定値
28800
pfs-group
PFS(Perfect Forward Secrecy)に用いる DH(Diffie-Hellman)グループを指定する
  • 大きな数字のグループほど盗聴による鍵の解読が困難になりますが、計算時間が長くなります。また、計算時間の長いdh-gourpを選択した場合、最大数のIPsecセッションを張れない場合があります。
  • SEIL/B1は4096 bit以上のDHグループを使用するとIKEの折衝が完了しない可能性があります。
既定値
none
modp768
768 bit MODP Group (DH Group 1)
modp1024
1024 bit MODP Group (DH Group 2)
modp1536
1536 bit MODP Group (DH Group 5)
modp2048
2048 bit MODP Group (DH Group 14)
modp3072
3072 bit MODP Group (DH Group 15)
modp4096
4096 bit MODP Group (DH Group 16)
modp6144
6144 bit MODP Group (DH Group 17)
modp8192
8192 bit MODP Group (DH Group 18)
none
PFSを使用しない

Note

認証・暗号アルゴリズムを複数指定した場合、優先度は設定順に従います。先に指定した順に使用される優先度が高くなります。

AESの鍵長が始動者側、応答者側で不一致の場合は始動者側の設定を優先します。

ipsec security-association proposal delete

IPsecセキュリティアソシエーションプロポーザルの設定を削除する。

ipsec security-association proposal delete { <name> ... | all }
<name>
対象の設定名
  • 空白区切りで列挙可能
all
すべて

Note

対象の設定に基づくIPsec/IKEセッションは切断されます。

ipsec security-association proposal modify

IPsecセキュリティアソシエーションプロポーザルの設定を変更する。

ipsec security-association proposal modify <name>
 [authentication-algorithm <auth_algo>[,<auth_algo>...]]
 [encryption-algorithm <enc_algo>[,<enc_algo>...]]
 [lifetime-of-time { <time> | system-default }]
 [pfs-group { <pfs-group> | none }]
<name>
対象の設定名

Note

対象の設定に基づくIPsec/IKEセッションは切断されます。