interface.ipsec[].floatlink

フロートリンクを使用してルーティングベースIPsecを構成する場合のコンフィグパラメータ

IPsecインタフェース

IPsec/IKEプロトコルにより、ルーティングベースIPsecのトンネルを構成する論理インタフェースです。

コンフィグパラメータ
interface.ipsec[]...
設定数とインタフェース名
1. 設定数とインタフェース名
機種 設定上限 インタフェース名
SEIL/X4 1024個 ipsec0 - ipsec1023
SEIL/x86 Ayame 1024個 ipsec0 - ipsec1023
SEILアプライアンスシリーズ CA10 1024個 ipsec0 - ipsec1023

IPsecインタフェースの設定

キー バリュー
interface.ipsec[].floatlink.my-node-id
フロートリンクで使用する自分のノードID
制約事項:
省略不可
<String>
ノードID
文字数 使用できない文字
1-255 空白
interface.ipsec[].floatlink.peer-node-id
フロートリンクで使用する相手のノードID
制約事項:
省略不可
<String>
文字数 使用できない文字
1-255 空白
  • フロートリンク対向のmy-node-idと同じ文字列を指定します。
interface.ipsec[].floatlink.key
フロートリンクで使用するグループキー
制約事項:
省略不可
<String>
文字数 使用できない文字
12-128 空白
interface.ipsec[].floatlink.name-service
フロートリンクのネームサーバのURL
制約事項:
省略不可
<URL>
URL文字列
注:
URLはSACMパートナー向け窓口にお問い合わせください
interface.ipsec[].floatlink.my-address
フロートリンクのネームサーバに登録するIPアドレスを取得するインタフェース
<Interface>
インタフェース名
  • bridge[]
  • ge[]
  • lag[]
  • loopback0
  • ppp[]
  • pppoe[]
  • vlan[]
注:
フロートリンクを利用して複数のインタフェースを設定する場合、floatlink.address-family, floatlink.my-node-id, floatlink.key のバリューが全て一致するインタフェースは、floatlink.my-addressも一致させる必要があり、指定したインタフェースが異なる場合はエラーになります。
デフォルト値
ge0
interface.ipsec[].floatlink.address-family
フロートリンクのネームサーバに登録するIPアドレスのアドレスファミリ
<Keyword>
候補
ipv4 | ipv6
デフォルト値
ipv6
interface.ipsec[].preshared-key
IKEの事前共有鍵
制約事項:
省略不可
<String>
事前共有鍵
文字数 使用できない文字
12-128 空白
interface.ipsec[].passive-mode
受動モードでの動作
enable
有効化
  • 暗号化対象の送信パケットが発生するまで接続開始しない
disable
無効化
  • 設定され次第自動的に接続を開始する
デフォルト値
disable
interface.ipsec[].floatlink.dynamic-local-address
ローカルアドレスを非固定とする
制約事項:
dynamic-remote-addressとは排他関係
enable
有効化
disable
無効化
デフォルト値
disable
  • 自身がNAT環境下に設置される場合に有効化します。
interface.ipsec[].floatlink.dynamic-remote-address
リモートアドレスを非固定とする
制約事項:
dynamic-local-addressとは排他関係
enable
有効化
disable
無効化
デフォルト値
disable
  • 対向がNAT環境下に設置される場合に有効化します。
interface.ipsec[].nat-traversal
IPsec NAT Traversalの使用
enable
有効化
  • アドレス書換を検知するとUDPによるカプセル化を適用します。
force
強制モードで有効化
  • アドレス書換の有無によらずUDPによるカプセル化を適用します。
disable
無効化
  • アドレス書換を検知せずUDPによるカプセル化を適用しません。
デフォルト値
enable
注:
  • 対向機器がNAT Traversalに対応しない場合は無効化されます。
interface.ipsec[].ipv6.forward
IPv6パケットの転送可否
pass
許可
block
禁止
注:
禁止する場合、IPv6通信用のIPsecセキュリティアソシエーションを折衝せず、IPv6パケットを破棄します。
デフォルト値
block
interface.ipsec[].ipv4.address
インタフェースのIPv4アドレス
制約事項:
IPv4アドレスを設定した場合は ...ipv4.remote を省略不可
<IPv4address/Prefixlen>
IPv4アドレスとプレフィックス長
<Interface>
Unnumberedインタフェースとし、指定インタフェースからIPv4アドレスを借りる
  • bridge[]
  • ge[]
  • lag[]
  • loopback0
  • vlan[]
デフォルト値
ge1
interface.ipsec[].ipv4.remote
インタフェースのリモート側IPv4アドレス
<IPv4address>
IPv4アドレス
interface.ipsec[].ipv6.address
インタフェースのIPv6アドレス
<IPv6address/Prefixlen>
IPv6アドレスとプレフィックス長
interface.ipsec[].ipv6.remote
インタフェースのリモート側IPv6アドレス
制約事項:
インタフェースのIPv6アドレスのプレフィックス長が128の場合のみ設定可
<IPv6address>
IPv6アドレス
interface.ipsec[].tx-tos-set
カプセル化後のパケットに設定するToS/Traffic Class値
<Number>
範囲
0x00-0xff(16進数) または 0-255(10進数) 接頭辞 "0x" を付加した場合16進数とします
copy
カプセル化前のパケットのToS/Traffic Class値をコピーする
デフォルト値
0x00
interface.ipsec[].mtu
インタフェースのMTU
<Size>
MTU値
範囲 単位
1280-1500 Octet
デフォルト値
1500
interface.ipsec[].ipv4.tcp-mss
IPsecトンネル上のIPv4通信のTCP-MSS調整
<Size>
TCP MSS値
範囲 単位
32-32767 Octet
none
調整しない
デフォルト値
1240
interface.tunnelipsec[].ipv6.tcp-mss
IP-IPトンネル上でのIPv6通信のTCP-MSS調整
<Size>
TCP MSS値
範囲 単位
32-32767 Octet
none
調整しない
デフォルト値
1240
interface.ipsec[].description
インタフェースの説明
ヒント:
用途等を把握しやすくするための文字列を設定できます。動作に影響しません。
<String>
文字数
0-64

制約

  • [1]フロートリンクを利用して複数のインタフェースを設定する場合、floatlink.address-family, floatlink.my-node-id, floatlink.key のバリューが全て一致するインタフェースは、floatlink.my-addressも一致させる必要があり、指定したインタフェースが異なる場合はエラーとなります。

フロートリンクのノードIDについて

ノードIDは任意の文字列を使用できますが、SAコードをノードIDとすることを推奨します。

また、複数のインタフェースでフロートリンクを使用し、かつ、それぞれ異なる接続元IPアドレス(floatlink.my-address で指定するインタフェース)を使用する場合は、SAコードとfloatlink.my-addressの値を組み合わせたノードIDとすることを推奨します。これによりノードIDごとに接続元IPアドレスを一つだけフロートリンクのネームサーバに登録することになります。

インタフェース名 floatlink.my-address の値 floatlink.my-node-id の例
ipsec0 pppoe0 tsw30000000-pppoe0
ipsec1 pppoe0 tsw30000000-pppoe0
ipsec2 wwan0 tsw30000000-wwan0
tunnel0 pppoe0 tsw30000000-pppoe0
tunnel1 ge0 tsw30000000-ge0

IKEのオプション設定

IKEの動作を調整する必要がある場合に設定します。IKEを使用するすべての機能に影響します。

キー バリュー
ike.auto-initiation
IKEセッションの自動始動
enable
有効化
disable
無効化
デフォルト値
enable
ike.nat-keepalive-interval
NAT-Traversal使用時にNATセッションを維持するためのキープアライブパケットの送信間隔
<Time>
範囲 単位
5-3600
none
キープアライブパケットを送信しない
デフォルト値
120
ike.dpd-interval
DPD使用時のDPDメッセージの送信間隔
<Time>
範囲 単位
1-3600
デフォルト値
20
ike.dpd-maxfail
セッション断とみなすDPDメッセージ無応答回数
<Number>
範囲 単位
1-20
デフォルト値
5
ike.phase1-timeout
IKE Phase1 のタイムアウト
<Time>
範囲 単位
1-86400
デフォルト値
30
ike.phase2-timeout
IKE Phase2 のタイムアウト
<Time>
範囲 単位
1-86400
デフォルト値
30
ike.retry
IKEパケットの再送回数
<Number>
範囲 単位
1-60
デフォルト値
5
ike.interval
IKEパケットの再送間隔
<Number>
範囲 単位
1-300
デフォルト値
10
ike.per-send
IKEパケットの送信個数
<Number>
範囲 単位
1-10
デフォルト値
1
ike.randomize-padding-value
IKEパケットのパディング値のランダム化
enable
有効化
disable
無効化
デフォルト値
enable
ike.randomize-padding-length
IKEパケットのパディング長のランダム化
enable
有効化
disable
無効化
デフォルト値
disable
ike.maximum-padding-length
IKEパケットのランダム化したパディング長の最大値
<Size>
範囲 単位
1-1500 Octet
デフォルト値
20
ike.exclusive-tail
IKEパケットのパディング末尾にパディング長を付加する
enable
有効化
disable
無効化
デフォルト値
enable
ike.strict-padding-byte-check
IKEパケットのパディング長の厳密な検査
enable
有効化
disable
無効化
デフォルト値
disable

Note

  • IPsecインタフェースのキーの設定が変更されると、当該インタフェースのIPsec/IKE接続は一旦切断され再接続を試みます。