ipsec security-policy add
IPsecセキュリティポリシーの設定。
- 実行権限
- admin
- 設定上限
-
機種 上限 SEIL/B1 512 SEIL/X1 512 SEIL/X2 1024 SEIL/x86 Fuji 1024 SEIL BPV4 1024
ipsec security-policy add
IPsecセキュリティポリシーの設定を追加する。
ipsec security-policy add <name> security-association <SA_name>
src { <IPaddress>[/<prefixlen>] | <interface> | any}
dst { <IPaddress>[/<prefixlen>] | any }
[srcport { <port> | any }]
[dstport { <port> | any }]
[protocol <protocol>]
[enable | disable]
- <name>
- IPsecセキュリティポリシーの設定名
設定範囲 文字種 予約語 1-16文字 [a-zA-Z0-9_] all - security-association
- 関連付けるIPsecセキュリティアソシエーションの指定
- <SA_name>
- IPsecセキュリティアソシエーション設定名
- src
- 送信元の指定
既定値 any - <IPaddress><prefixlen>
- 送信元IPアドレスとプレフィックス長
- <interface>
- 任意のインタフェースのアドレス
- any
- すぺてのアドレス
- dst
- 送信先の指定
既定値 any - <IPaddress><prefixlen>
- 送信先IPアドレスとプレフィックス長
- any
- すぺてのアドレス
- srcport
- 送信元ポートの指定
既定値 any - <port>
- 送信元ポート番号
設定範囲 1-65535 - any
- すべてのポート
- dstport
- 送信先ポートの指定
既定値 any - <port>
- 送信先ポート番号
設定範囲 1-65535 - any
- すべてのポート
- <protocol>
- プロトコルの指定
既定値 any - ipv4
- IPv4-IPv4トンネル及びIPv4-IPv6トンネルパケット
- ipv6
- IPv6-IPv4トンネル及びIPv6-IPv6トンネルパケット
- tcp
- TCPパケット
- udp
- UDPパケット
- icmp
- ICMPv4パケット
- ipv6-icmp
- ICMPv6パケット
- igmp
- IGMPパケット
- ah
- AHパケット
- esp
- ESPパケット
- any
- すべてのパケット
- 0-254
- 指定したプロトコル番号のパケット
- [enable | disable]
- セキュリティポリシーの有効性の指定
既定値 enable - enable
- 有効にする
- disable
- 無効にする
Note
src と dst に同一の <IPaddress> は指定できません。また、srcport, dstport の指定が異なる場合を除き、送信先が同一となる指定はできません。
src と dst の両方に any を指定することはできません。
<interface>の指定は、ホストの指定と解釈します。プレフィックス長はIPv4の場合は32、IPv6の場合は128となります。
セキュリティポリシーに一致するパケットを受信した場合、 IPsecによる保護を解除したパケットに対してfilterコマンド及びnatコマンドの処理は行いません。 これらのコマンドと併用する場合はセキュリティポリシーではなくIPsecインタフェースを利用してください。
セキュリティポリシーが設定されている場合、fastforward機能は無効になります。
ipsec security-policy delete
IPsecセキュリティポリシーの設定を削除する。
ipsec security-policy delete { <name> ... | all }
- <name>
- 対象の設定名
- 空白区切りで列挙可能
- all
- すべて
Note
設定を削除した場合、削除対象の設定に基づくIPsec/IKEセッションは切断されます。
削除対象以外の設定に基づくIPsec/IKEセッションは維持されます。
ipsec security-policy modify
IPsecセキュリティポリシーの設定を変更する。
ipsec security-policy modify <name>
[security-association <SA_name>] [protocol <protocol>]
[src { <src_IPaddress/prefixlen> | <src_Interface> }] [srcport <src_port>]
[dst <dst_IPaddress/prefixlen>] [dstport <dst_port>] [enable | disable]
- <name>
- 対象の設定名
- パラメータの詳細は
ipsec security-policy add
を参照
Note
設定を変更した場合、変更対象の設定に基づくIPsec/IKEセッションは切断されます。
変更対象以外の設定に基づくIPsec/IKEセッションは維持されます。
ipsec security-policy move
IPsecセキュリティポリシーの評価順位を移動する。
ipsec security-policy move <name>
{ top | bottom | above <base_name> | below <base_name> }
- <name>
- 対象の設定名
- top
- 先頭に移動する
- bottom
- 末尾に移動する
- above
- 基準となる設定の上位に移動する
- <base_name>
- 移動先の基準となる設定名
- below
- 基準となる設定の下位に移動する
- <base_name>
- 移動先の基準となる設定名