interface.ipsec[].floatlink

フロートリンクを使用してルーティングベースIPsecを構成する場合のコンフィグパラメータ

IPsecインタフェース

IPsec/IKEプロトコルにより、ルーティングベースIPsecのトンネルを構成する論理インタフェースです。

コンフィグパラメータ
interface.ipsec[]...
設定数とインタフェース名
1. 設定数とインタフェース名
機種 設定上限 インタフェース名
  • SA-W2
  • SA-W2L
  • 64個
  • ipsec0 - ipsec63

IPsecインタフェースの設定

キー バリュー
interface.ipsec[].floatlink.my-node-id
フロートリンクで使用する自分のノードID
制約事項:
省略不可
<String>
ノードID
文字数 使用できない文字
1-255 空白
interface.ipsec[].floatlink.peer-node-id
フロートリンクで使用する相手のノードID
制約事項:
省略不可
<String>
文字数 使用できない文字
1-255 空白
  • フロートリンク対向のmy-node-idと同じ文字列を指定します。
interface.ipsec[].floatlink.key
フロートリンクで使用するグループキー
制約事項:
省略不可
<String>
文字数 使用できない文字
12-128 空白
interface.ipsec[].floatlink.name-service
フロートリンクのネームサーバのURL
制約事項:
省略不可
<URL>
URL文字列
注:
URLはIIJ MPCサービスのコントロールパネルに記載されます
interface.ipsec[].floatlink.my-address
フロートリンクのネームサーバに登録するIPアドレスを取得するインタフェース
<Interface>
インタフェース名
  • bridge[]
  • ge[]
  • loopback0
  • ppp[]
  • pppoe[]
  • vlan[]
注:
フロートリンクを利用して複数のインタフェースを設定する場合、floatlink.address-family, floatlink.my-node-id, floatlink.key のバリューが全て一致するインタフェースは、floatlink.my-addressも一致させる必要があり、指定したインタフェースが異なる場合はエラーになります。
デフォルト値
ge0
interface.ipsec[].floatlink.address-family
フロートリンクのネームサーバに登録するIPアドレスのアドレスファミリ
<Keyword>
候補
ipv4 | ipv6
デフォルト値
ipv6
interface.ipsec[].preshared-key
IKEの事前共有鍵
制約事項:
省略不可
<String>
事前共有鍵
文字数 使用できない文字
12-128 空白
interface.ipsec[].passive-mode
受動モードでの動作
enable
有効化
  • 暗号化対象の送信パケットが発生するまで接続開始しない
disable
無効化
  • 設定され次第自動的に接続を開始する
デフォルト値
disable
interface.ipsec[].floatlink.dynamic-local-address
ローカルアドレスを非固定とする
制約事項:
dynamic-remote-addressとは排他関係
enable
有効化
disable
無効化
デフォルト値
disable
  • 自身がNAT環境下に設置される場合に有効化します。
interface.ipsec[].floatlink.dynamic-remote-address
リモートアドレスを非固定とする
制約事項:
dynamic-local-addressとは排他関係
enable
有効化
disable
無効化
デフォルト値
disable
  • 対向がNAT環境下に設置される場合に有効化します。
interface.ipsec[].nat-traversal
IPsec NAT Traversalの使用
enable
有効化
  • アドレス書換を検知するとUDPによるカプセル化を適用します。
force
強制モードで有効化
  • アドレス書換の有無によらずUDPによるカプセル化を適用します。
デフォルト値
enable
注:
  • 対向機器がNAT Traversalに対応しない場合は無効化されます。
interface.ipsec[].ipv4.address
インタフェースのIPv4アドレス
制約事項:
IPv4アドレスを設定した場合は ...ipv4.remote を省略不可
<IPv4address/Prefixlen>
IPv4アドレスとプレフィックス長
<Interface>
Unnumberedインタフェースとし、指定インタフェースからIPv4アドレスを借りる
  • bridge[]
  • ge[]
  • loopback0
  • vlan[]
  • wlan[]
デフォルト値
ge1
interface.ipsec[].ipv4.remote
インタフェースのリモート側IPv4アドレス
<IPv4address>
IPv4アドレス
interface.ipsec[].mtu
インタフェースのMTU
<Size>
MTU値
範囲 単位
1280-1500 Octet
デフォルト値
1500
interface.ipsec[].ipv4.tcp-mss
IPsecトンネル上のIPv4通信のTCP-MSS調整
<Size>
TCP MSS値
範囲 単位
32-32767 Octet
none
調整しない
デフォルト値
1240
interface.ipsec[].description
インタフェースの説明
ヒント:
用途等を把握しやすくするための文字列を設定できます。動作に影響しません。
<String>
文字数
0-64

制約

  • [1]フロートリンクを利用して複数のインタフェースを設定する場合、floatlink.address-family, floatlink.my-node-id, floatlink.key のバリューが全て一致するインタフェースは、floatlink.my-addressも一致させる必要があり、指定したインタフェースが異なる場合はエラーとなります。

フロートリンクのノードIDについて

ノードIDは任意の文字列を使用できますが、SAコードをノードIDとすることを推奨します。

また、複数のインタフェースでフロートリンクを使用し、かつ、それぞれ異なる接続元IPアドレス(floatlink.my-address で指定するインタフェース)を使用する場合は、SAコードとfloatlink.my-addressの値を組み合わせたノードIDとすることを推奨します。これによりノードIDごとに接続元IPアドレスを一つだけフロートリンクのネームサーバに登録することになります。

インタフェース名 floatlink.my-address の値 floatlink.my-node-id の例
ipsec0 pppoe0 tsw30000000-pppoe0
ipsec1 pppoe0 tsw30000000-pppoe0
ipsec2 wwan0 tsw30000000-wwan0
tunnel0 pppoe0 tsw30000000-pppoe0
tunnel1 ge0 tsw30000000-ge0

Note

  • IPsecインタフェースのキーの設定が変更されると、当該インタフェースのIPsec/IKE接続は一旦切断され再接続を試みます。