interface.ipsec[].ipv4

静的IPv4アドレスを使用してルーティングベースIPsecを構成する場合のコンフィグパラメータ

IPsecインタフェース

IPsec/IKEプロトコルにより、ルーティングベースIPsecのトンネルを構成する論理インタフェースです。

コンフィグパラメータ
interface.ipsec[]...
設定数とインタフェース名
1. 設定数とインタフェース名
機種 設定上限 インタフェース名
SEIL/X4 1024個 ipsec0 - ipsec1023
SEIL/x86 Ayame 1024個 ipsec0 - ipsec1023
SEILアプライアンスシリーズ CA10 1024個 ipsec0 - ipsec1023

IPsecインタフェースの設定

キー バリュー
interface.ipsec[].ipv4.source
IPsec/IKEの接続元(自分側)IPv4アドレス
制約事項:
省略不可
<IPv4address>
IPv4アドレス
any
任意のアドレス
  • IKEv2使用時(...ike.version : 2 設定時)のみ指定できます。
  • ...ipv4.destination : any と同時に設定できません。
  • ...ike.v2.my-identifier.type : address と同時に設定できません。
interface.ipsec[].ipv4.destination
IPsec/IKEの対向装置(相手側)IPv4アドレス
制約事項:
省略不可
<IPv4address>
IPv4アドレス
any
任意のアドレス
  • IKEv2使用時(...ike.version : 2 設定時)のみ指定できます。
  • ...ipv4.source : any と同時に設定できません。
  • ...ike.v2.peers-identifier.type : address と同時に設定できません。
interface.ipsec[].preshared-key
IKEの事前共有鍵
制約事項:
省略不可
<String>
文字数 使用できない文字
12-128 空白
interface.ipsec[].ipv6.forward
IPv6パケットの転送可否
pass
許可
block
禁止
注:
禁止する場合、IPv6通信用のIPsecセキュリティアソシエーションを折衝せず、IPv6パケットを破棄します。
デフォルト値
block
interface.ipsec[].ipv4.address
インタフェースのIPv4アドレス
制約事項:
IPv4アドレスを設定した場合は ...ipv4.remote を省略不可
<IPv4address/Prefixlen>
IPv4アドレスとプレフィックス長
<Interface>
Unnumberedインタフェースとし、指定インタフェースからIPv4アドレスを借りる
  • bridge[]
  • ge[]
  • lag[]
  • loopback0
  • vlan[]
デフォルト値
ge1
interface.ipsec[].ipv4.remote
インタフェースのリモート側IPv4アドレス
<IPv4address>
IPv4アドレス
interface.ipsec[].ipv6.address
インタフェースのIPv6アドレス
<IPv6address/Prefixlen>
IPv6アドレスとプレフィックス長
interface.ipsec[].ipv6.remote
インタフェースのリモート側IPv6アドレス
制約事項:
インタフェースのIPv6アドレスのプレフィックス長が128の場合のみ設定可
<IPv6address>
IPv6アドレス
interface.ipsec[].tx-tos-set
カプセル化後のパケットに設定するToS/Traffic Class値
<Number>
範囲
0x00-0xff(16進数) または 0-255(10進数) 接頭辞 "0x" を付加した場合16進数とします
copy
カプセル化前のパケットのToS/Traffic Class値をコピーする
デフォルト値
0x00
interface.ipsec[].mtu
インタフェースのMTU
<Size>
MTU値
範囲 単位
1280-1500 Octet
デフォルト値
1500
interface.ipsec[].ipv4.tcp-mss
IPsecトンネル上のIPv4通信のTCP-MSS調整
<Size>
TCP MSS値
範囲 単位
32-32767 Octet
none
調整しない
デフォルト値
1240
interface.ipsec[].ipv6.tcp-mss
IP-IPトンネル上でのIPv6通信のTCP-MSS調整
<Size>
TCP MSS値
範囲 単位
32-32767 Octet
none
調整しない
デフォルト値
1240
interface.ipsec[].description
インタフェースの説明
ヒント:
用途等を把握しやすくするための文字列を設定できます。動作に影響しません。
<String>
文字数
0-64
interface.ipsec[].passive-mode
受動モードでの動作
enable
有効化
  • 暗号化対象の送信パケットが発生するまで接続開始しない
disable
無効化
  • 設定され次第自動的に接続を開始する
デフォルト値
disable
interface.ipsec[].nat-traversal
IPsec NAT Traversalの使用
enable
有効化
  • アドレス書換を検知するとUDPによるカプセル化を適用します。
force
強制モードで有効化
  • アドレス書換の有無によらずUDPによるカプセル化を適用します。
disable
無効化
  • アドレス書換を検知せずUDPによるカプセル化を適用しません。
デフォルト値
enable
注:
  • 対向機器がNAT Traversalに対応しない場合は無効化されます。
  • NATによるアドレス書換が行われるネットワークではフロートリンクを使用する必要があります。

IKEプロポーザルの設定

対向装置とパラメータのすり合わせが必要な場合に設定します。
キー バリュー
interface.ipsec[].ike.proposal.phase1.encryption.[].algorithm
IKE Phase1プロポーザルに含める暗号アルゴリズム
設定上限
4個
<Keyword>
使用可能な暗号アルゴリズム
aes128, aes192, aes256, 3des, des
  • 未指定時はaes256, aes128, 3desをプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
interface.ipsec[].ike.proposal.phase1.hash.[].algorithm
IKE Phase1プロポーザルに含めるハッシュアルゴリズム
設定上限
4個
<Keyword>
使用可能なハッシュアルゴリズム
sha1, sha256, sha384, sha512, md5
  • 未指定時はsha256, sha1をプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
interface.ipsec[].ike.proposal.phase1.dh-group
IKE Phase1プロポーザルに含めるISAKMP SAのDHグループ
<Keyword>
使用可能なDHグループ
modp768, modp1024, modp1536, modp2048, modp3072, modp4096, mopd6144, modp8192
デフォルト値
modp1536
interface.ipsec[].ike.proposal.phase1.lifetime
IKE Phase1プロポーザルに含めるISAKMP SAのライフタイム
<Time>
範囲 書式
1m-1440h [書式の詳細]
デフォルト値
24h
interface.ipsec[].ike.proposal.phase2.authentication.[].algorithm
IKE Phase2プロポーザルに含める認証アルゴリズム
設定上限
4個
<Keyword>
使用可能な認証アルゴリズム
hmac-sha512, hmac-sha384, hmac-sha256, hmac-sha1, hmac-md5
  • 未指定時はhmac-sha256, hmac-sha1をプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
interface.ipsec[].ike.proposal.phase2.encryption.[].algorithm
IKE Phase2プロポーザルに含める暗号アルゴリズム
設定上限
4個
<Keyword>
使用可能な暗号アルゴリズム
aes128, aes192, aes256, 3des, des
  • 未指定時はaes256, aes128, 3desをプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
interface.ipsec[].ike.proposal.phase2.pfs-group
IKE Phase2プロポーザルに含めるIPsec SAのPFSグループ
<Keyword>
使用可能なPFSグループ
modp768, modp1024, modp1536, modp2048, modp3072, modp4096, mopd6144, modp8192
interface.ipsec[].ike.proposal.phase2.lifetime-of-time
IKE Phase2プロポーザルに含めるIPsec SAのライフタイム
<Time>
範囲 書式
1m-1440h [書式の詳細]
デフォルト値
8h
interface.ipsec[].ike.proposal.phase2.use-transport-mode
IKE Phase2プロポーザルに含めるIPsec SAの通信モードにトランスポートモードを指定する
enable
有効化
disable
無効化
デフォルト値
disable

IKEの詳細パラメータの設定

対向装置とパラメータのすり合わせが必要な場合に設定します。
キー バリュー
interface.ipsec[].ike.exchange-mode
鍵交換モード
main
メインモード
aggressive
アグレッシブモード
デフォルト値
main
interface.ipsec[].ike.my-identifier.type
自己識別子の種類
address
IPアドレス
fqdn
FQDN
user-fqdn
ユーザFQDN
デフォルト値
address
interface.ipsec[].ike.my-identifier.fqdn
FQDN形式の自己識別子
<String>
文字数
1-255
interface.ipsec[].ike.my-identifier.user-fqdn
ユーザFQDN(メールアドレス)形式の自己識別子
<String>
文字数 制約
1-255 ローカルパート(@の左側)は64文字以内
interface.ipsec[].ike.peers-identifier.type
相手識別子の種類
address
IPアドレス
fqdn
FQDN
user-fqdn
ユーザFQDN
interface.ipsec[].ike.peers-identifier.fqdn
FQDN形式の自己識別子
<String>
文字数
1-255
interface.ipsec[].ike.peers-identifier.user-fqdn
ユーザFQDN(メールアドレス)形式の自己識別子
<String>
文字数 制約
1-255 ローカルパート(@の左側)は64文字以内
interface.ipsec[].ike.dpd
IKE DPD (Dead Peer Detection)の動作
制約事項:
...passive-modeが設定されている場合、このキーは無視されます
enable
有効化
disable
無効化
デフォルト値
enable
interface.ipsec[].ike.responder-only
レスポンダ(受動側)専用としIKE Phase1の自動折衝開始を抑止する
  • ike.auto-initiation : enableが設定されていても抑止します
  • 有効なPhase1セッションを保持しているときのPhase2の折衝開始には影響しません
制約事項:
...passive-modeが設定されている場合、このキーは無視されます
enable
有効化
disable
無効化
デフォルト値
disable
interface.ipsec[].ike.check-level
パラメータの同一性確認の厳密さ
obey
IKE Phase2のlifetime及びPFSは始動側に従う
claim
IKE Phase2のlifetimeは短いものを、PFSは一致したものを使用する
strict
IKE Phase2のlifetimeは始動側が短ければ使用し、PFSは一致したものを使用する
exact
IKE Phase2のlifetime及びPFSは一致したもののみ使用する
デフォルト値
obey
interface.ipsec[].ike.initial-contact
INITIAL-CONTACTメッセージの送信
enable
有効化
disable
無効化
デフォルト値
enable
interface.ipsec[].ike.nonce-size
Nonce 値の大きさ
<Size>
範囲 単位
8-256 Octet
デフォルト値
16
interface.ipsec[].ike.prefer-new-phase1
IKE Phase1(ISAKMP SA)が更新されたとき、既存のIKE Phase2(IPsec SA)を新しいIKE Phase1に関連付ける
enable
有効化
disable
無効化
デフォルト値
disable
interface.ipsec[].ike.proposal.phase2.proxy-id.ipv4.local
IKE Phase2プロポーザルに含める自分側のIPv4 Proxy ID
<IPv4Networkaddress/Prefixlen>
IPv4ネットワークアドレスとプレフィックス長
注:
IPv6 Proxy IDと同時に設定できません
interface.ipsec[].ike.proposal.phase2.proxy-id.ipv4.remote
IKE Phase2プロポーザルに含める相手側のIPv4 Proxy ID
<IPv4Networkaddress/Prefixlen>
IPv4ネットワークアドレスとプレフィックス長
注:
IPv6 Proxy IDと同時に設定できません
interface.ipsec[].ike.proposal.phase2.proxy-id.ipv6.local
IKE Phase2プロポーザルに含める自分側のIPv6 Proxy ID
<IPv6Networkaddress/Prefixlen>
IPv6ネットワークアドレスとプレフィックス長
注:
IPv4 Proxy IDと同時に設定できません
interface.ipsec[].ike.proposal.phase2.proxy-id.ipv6.remote
IKE Phase2プロポーザルに含める相手側のIPv6 Proxy ID
<IPv6Networkaddress/Prefixlen>
IPv6ネットワークアドレスとプレフィックス長
注:
IPv4 Proxy IDと同時に設定できません
interface.ipsec[].ike.proposal.phase2.proxy-id.protocol
IKE Phase2プロポーザルに含めるProxy ID のプロトコル
<Number>
プロトコル番号
範囲
0-254
<Keyword>
使用可能なプロトコル名
ipv4, ipv6, icmp, ipv6-icmp, tcp, udp, igmp, ah, esp
any
任意のプロトコル
デフォルト値
any

IKEのオプション設定

IKEの動作を調整する必要がある場合に設定します。IKEを使用するすべての機能に影響します。

キー バリュー
ike.auto-initiation
IKEセッションの自動始動
enable
有効化
disable
無効化
デフォルト値
enable
ike.nat-keepalive-interval
NAT-Traversal使用時にNATセッションを維持するためのキープアライブパケットの送信間隔
<Time>
範囲 単位
5-3600
none
キープアライブパケットを送信しない
デフォルト値
120
ike.dpd-interval
DPD使用時のDPDメッセージの送信間隔
<Time>
範囲 単位
1-3600
デフォルト値
20
ike.dpd-maxfail
セッション断とみなすDPDメッセージ無応答回数
<Number>
範囲 単位
1-20
デフォルト値
5
ike.phase1-timeout
IKE Phase1 のタイムアウト
<Time>
範囲 単位
1-86400
デフォルト値
30
ike.phase2-timeout
IKE Phase2 のタイムアウト
<Time>
範囲 単位
1-86400
デフォルト値
30
ike.retry
IKEパケットの再送回数
<Number>
範囲 単位
1-60
デフォルト値
5
ike.interval
IKEパケットの再送間隔
<Number>
範囲 単位
1-300
デフォルト値
10
ike.per-send
IKEパケットの送信個数
<Number>
範囲 単位
1-10
デフォルト値
1
ike.randomize-padding-value
IKEパケットのパディング値のランダム化
enable
有効化
disable
無効化
デフォルト値
enable
ike.randomize-padding-length
IKEパケットのパディング長のランダム化
enable
有効化
disable
無効化
デフォルト値
disable
ike.maximum-padding-length
IKEパケットのランダム化したパディング長の最大値
<Size>
範囲 単位
1-1500 Octet
デフォルト値
20
ike.exclusive-tail
IKEパケットのパディング末尾にパディング長を付加する
enable
有効化
disable
無効化
デフォルト値
enable
ike.strict-padding-byte-check
IKEパケットのパディング長の厳密な検査
enable
有効化
disable
無効化
デフォルト値
disable

IKEv2の詳細パラメータの設定

IKEv1の代わりにIKEv2を使用する場合に設定します。

キー バリュー
interface.ipsec[].ike.version
使用するIKEバージョン
制約事項:
IKEv2を使用する場合は省略不可(2を指定する)
1
IKEv1
2
IKEv2
デフォルト値
1
interface.ipsec[].ike.v2.my-identifier.type
自己識別子の種類
address
IPアドレス
fqdn
FQDN
user-fqdn
ユーザFQDN
デフォルト値
address
interface.ipsec[].ike.v2.my-identifier.fqdn
FQDN形式の自己識別子
<String>
文字数
1-255
interface.ipsec[].ike.v2.my-identifier.user-fqdn
ユーザFQDN(メールアドレス)形式の自己識別子
<String>
文字数 制約
1-255 ローカルパート(@の左側)は64文字以内
interface.ipsec[].ike.v2.peers-identifier.type
相手識別子の種類
address
IPアドレス
fqdn
FQDN
user-fqdn
ユーザFQDN
interface.ipsec[].ike.v2.peers-identifier.fqdn
FQDN形式の自己識別子
<String>
文字数
1-255
interface.ipsec[].ike.v2.peers-identifier.user-fqdn
ユーザFQDN(メールアドレス)形式の自己識別子
<String>
文字数 制約
1-255 ローカルパート(@の左側)は64文字以内
interface.ipsec[].ike.v2.keepalive
IKEv2 Keepaliveの動作
制約事項:
...passive-modeが設定されている場合、このキーは無視されます
enable
有効化
disable
無効化
デフォルト値
enable
interface.ipsec[].ike.v2.responder-only
レスポンダ(受動側)専用としIKE Phase1の自動折衝開始を抑止する
  • ike.auto-initiation : enableが設定されていても抑止します
  • 有効なPhase1セッションを保持しているときのPhase2の折衝開始には影響しません
制約事項:
...passive-modeが設定されている場合、このキーは無視されます
enable
有効化
disable
無効化
デフォルト値
disable
interface.ipsec[].ike.v2.mobike
IKEv2 MOBIKEの動作
enable
有効化
disable
無効化
デフォルト値
disable
interface.ipsec[].ike.v2.proposal.ike-sa.encryption.[].algorithm
IKE-SAのプロポーザルに含める暗号アルゴリズム
設定上限
3個
<Keyword>
使用可能なアルゴリズム
aes128, aes192, aes256
  • 未指定時はaes256をプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
interface.ipsec[].ike.v2.proposal.ike-sa.prf.[].algorithm
IKE-SAのプロポーザルに含めるPRFアルゴリズム
設定上限
4個
<Keyword>
使用可能なアルゴリズム
hmac-md5, hmac-sha1, hmac-sha256, hmac-sha384, hmac-sha512
  • 未指定時はhmac-sha256をプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
interface.ipsec[].ike.v2.proposal.ike-sa.integrity.[].algorithm
IKE-SAのプロポーザルに含める完全性アルゴリズム
設定上限
4個
<Keyword>
使用可能なアルゴリズム
hmac-md5, hmac-sha1, hmac-sha256, hmac-sha384, hmac-sha512
  • 未指定時はhmac-sha256をプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
interface.ipsec[].ike.v2.proposal.ike-sa.dh-group.[].algorithm
IKE-SAのプロポーザルに含めるDHグループ
<Keyword>
使用可能なアルゴリズム
modp1024, modp1536, modp2048, ecp192, ecp224, ecp256, ecp384, ecp521, curve25519
  • 未指定時はmodp2048およびecp521をプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
interface.ipsec[].ike.v2.proposal.ike-sa.lifetime
IKE-SAのライフタイム
<Time>
範囲 書式
1m-1440h [書式の詳細]
デフォルト値
8h
interface.ipsec[].ike.v2.proposal.child-sa.encryption.[].algorithm
CHILD-SAのプロポーザルに含める暗号アルゴリズム
設定上限
3個
<Keyword>
使用可能なアルゴリズム
aes128, aes192, aes256
  • 未指定時はaes256をプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
interface.ipsec[].ike.v2.proposal.child-sa.integrity.[].algorithm
CHILD-SAのプロポーザルに含める完全性アルゴリズム
設定上限
4個
<Keyword>
使用可能なアルゴリズム
hmac-md5, hmac-sha1, hmac-sha256, hmac-sha384, hmac-sha512
  • 未指定時はhmac-sha256をプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
interface.ipsec[].ike.v2.proposal.child-sa.pfs-group.[].algorithm
CHILD-SAのプロポーザルに含めるPFSグループ
none
使用しない
<Keyword>
使用可能なアルゴリズム
modp1024, modp1536, modp2048, ecp192, ecp224, ecp256, ecp384, ecp521, curve25519
  • noneと同時に設定できません。
  • 優先度はインデックス番号の昇順に従います。
デフォルト値
none
interface.ipsec[].ike.v2.proposal.child-sa.lifetime-of-time
CHILD-SAのライフタイム
<Time>
範囲 書式
1m-1440h [書式の詳細]
デフォルト値
7h30m
interface.ipsec[].ike.v2.proposal.child-sa.use-transport-mode
通信モードにトランスポートモードを使用する
enable
有効化
disable
無効化
デフォルト値
disable
interface.ipsec[].ike.v2.proposal.child-sa.proxy-traffic-selector.[]
CHILD-SAのプロポーザルに含めるTraffic Selector
設定上限
4個
interface.ipsec[].ike.v2.proposal.child-sa.proxy-traffic-selector.[].source.ipv4.address
Traffic Selector - Initiator のIPv4アドレス
<IPv4Networkaddress/Prefixlen>
IPv4ネットワークアドレスとプレフィックス長
注:
  • IPv4のTraffic Selectorを設定する場合は、...source.ipv4.address...destination.ipv4.addressを両方指定する必要があります。
  • IPv4のTraffic SelectorとIPv6のTraffic Selectorを両方設定する場合は、それぞれ異なるエントリに設定する必要があります。
interface.ipsec[].ike.v2.proposal.child-sa.proxy-traffic-selector.[].destination.ipv4.address
Traffic Selector - Responder のIPv4アドレス
<IPv4Networkaddress/Prefixlen>
IPv4ネットワークアドレスとプレフィックス長
注:
  • IPv4のTraffic Selectorを設定する場合は、...source.ipv4.address...destination.ipv4.addressを両方指定する必要があります。
  • IPv4のTraffic SelectorとIPv6のTraffic Selectorを両方設定する場合は、それぞれ異なるエントリに設定する必要があります。
interface.ipsec[].ike.v2.proposal.child-sa.proxy-traffic-selector.[].source.ipv6.address
Traffic Selector - Initiator のIPv6アドレス
<IPv6Networkaddress/Prefixlen>
IPv6ネットワークアドレスとプレフィックス長
注:
  • IPv6のTraffic Selectorを設定する場合は、...source.ipv6.address...destination.ipv6.addressを両方指定する必要があります。
  • IPv4のTraffic SelectorとIPv6のTraffic Selectorを両方設定する場合は、それぞれ異なるエントリに設定する必要があります。
interface.ipsec[].ike.v2.proposal.child-sa.proxy-traffic-selector.[].destination.ipv6.address
Traffic Selector - Responder のIPv6アドレス
<IPv6Networkaddress/Prefixlen>
IPv6ネットワークアドレスとプレフィックス長
注:
  • IPv6のTraffic Selectorを設定する場合は、...source.ipv6.address...destination.ipv6.addressを両方指定する必要があります。
  • IPv4のTraffic SelectorとIPv6のTraffic Selectorを両方設定する場合は、それぞれ異なるエントリに設定する必要があります。
interface.ipsec[].ike.v2.proposal.child-sa.proxy-traffic-selector.[].protocol
Traffic Selectorのプロトコル
<Number>
プロトコル番号
範囲
0-254
<Keyword>
使用可能なプロトコル名
ipv4, ipv6, icmp, ipv6-icmp, tcp, udp, igmp, ah, esp
any
任意のプロトコル
デフォルト値
any
注:
  • IPv4のTraffic Selectorを設定する場合はipv6-icmpを指定できません
  • IPv6のTraffic Selectorを設定する場合はicmpを指定できません
interface.ipsec[].ike.v2.proposal.child-sa.proxy-traffic-selector.[].source.port
Traffic Selector - Initiatorのポート番号
<Number>
範囲
0-65535
  • 0を指定した場合は0-65535として扱います。
デフォルト値
0-65535
interface.ipsec[].ike.v2.proposal.child-sa.proxy-traffic-selector.[].destination.port
Traffic Selector - Responderのポート番号
<Number>
範囲
0-65535
  • 0を指定した場合は0-65535として扱います。
デフォルト値
0-65535

設定変更の影響

  • IPsecインタフェースのキーの設定が変更されると、当該インタフェースのIPsec/IKE接続は一旦切断され再接続を試みます。