ipsec security-policy add

IPsecセキュリティポリシーの設定。

実行権限
admin
設定上限
機種 上限
SEIL/B1 512
SEIL/X1 512
SEIL/X2 1024
SEIL/x86 Fuji 1024
SEIL BPV4 1024

ipsec security-policy add

IPsecセキュリティポリシーの設定を追加する。

ipsec security-policy add <name> security-association <SA_name>
 src { <IPaddress>[/<prefixlen>] | <interface> | any}
 dst { <IPaddress>[/<prefixlen>] | any }
 [srcport { <port> | any }]
 [dstport { <port> | any }]
 [protocol <protocol>]
 [enable | disable]
<name>
IPsecセキュリティポリシーの設定名
設定範囲 文字種 予約語
1-16文字 [a-zA-Z0-9_] all
security-association
関連付けるIPsecセキュリティアソシエーションの指定
<SA_name>
IPsecセキュリティアソシエーション設定名
src
送信元の指定
既定値
any
<IPaddress><prefixlen>
送信元IPアドレスとプレフィックス長
<interface>
任意のインタフェースのアドレス
any
すぺてのアドレス
dst
送信先の指定
既定値
any
<IPaddress><prefixlen>
送信先IPアドレスとプレフィックス長
any
すぺてのアドレス
srcport
送信元ポートの指定
既定値
any
<port>
送信元ポート番号
設定範囲
1-65535
any
すべてのポート
dstport
送信先ポートの指定
既定値
any
<port>
送信先ポート番号
設定範囲
1-65535
any
すべてのポート
<protocol>
プロトコルの指定
既定値
any
ipv4
IPv4-IPv4トンネル及びIPv4-IPv6トンネルパケット
ipv6
IPv6-IPv4トンネル及びIPv6-IPv6トンネルパケット
tcp
TCPパケット
udp
UDPパケット
icmp
ICMPv4パケット
ipv6-icmp
ICMPv6パケット
igmp
IGMPパケット
ah
AHパケット
esp
ESPパケット
any
すべてのパケット
0-254
指定したプロトコル番号のパケット
[enable | disable]
セキュリティポリシーの有効性の指定
既定値
enable
enable
有効にする
disable
無効にする

Note

src と dst に同一の <IPaddress> は指定できません。また、srcport, dstport の指定が異なる場合を除き、送信先が同一となる指定はできません。

src と dst の両方に any を指定することはできません。

<interface>の指定は、ホストの指定と解釈します。プレフィックス長はIPv4の場合は32、IPv6の場合は128となります。

セキュリティポリシーに一致するパケットを受信した場合、 IPsecによる保護を解除したパケットに対してfilterコマンド及びnatコマンドの処理は行いません。 これらのコマンドと併用する場合はセキュリティポリシーではなくIPsecインタフェースを利用してください。

セキュリティポリシーが設定されている場合、fastforward機能は無効になります。

ipsec security-policy delete

IPsecセキュリティポリシーの設定を削除する。

ipsec security-policy delete { <name> ... | all }
<name>
対象の設定名
  • 空白区切りで列挙可能
all
すべて

Note

設定を削除した場合、削除対象の設定に基づくIPsec/IKEセッションは切断されます。

削除対象以外の設定に基づくIPsec/IKEセッションは維持されます。

ipsec security-policy modify

IPsecセキュリティポリシーの設定を変更する。

ipsec security-policy modify <name>
 [security-association <SA_name>] [protocol <protocol>]
 [src { <src_IPaddress/prefixlen> | <src_Interface> }] [srcport <src_port>]
 [dst <dst_IPaddress/prefixlen>] [dstport <dst_port>] [enable | disable]
<name>
対象の設定名

Note

設定を変更した場合、変更対象の設定に基づくIPsec/IKEセッションは切断されます。

変更対象以外の設定に基づくIPsec/IKEセッションは維持されます。

ipsec security-policy move

IPsecセキュリティポリシーの評価順位を移動する。

ipsec security-policy move <name>
  { top | bottom | above <base_name> | below <base_name> }
<name>
対象の設定名
top
先頭に移動する
bottom
末尾に移動する
above
基準となる設定の上位に移動する
<base_name>
移動先の基準となる設定名
below
基準となる設定の下位に移動する
<base_name>
移動先の基準となる設定名