IKEパラメータの既定値
本装置が用いるIKEパラメータの既定値を紹介します。
ヒント:
IPsec/IKEを使用して他の機種とVPNを接続する場合は、一時的にVPN通信が可能であっても実装上の差異(値の解釈や挙動の違いなど)により突然通信不能に陥る可能性があるため、IKEパラメータの同一性について注意する必要があります。
IKEv2について
本装置はIKEを用いる一部の機能においてIKEv2をサポートします。
- 対応機能
- ルーティングベースIPsec(IPsecインタフェース)。ただし、フロートリンク機能を併用する場合はIKEv1に固定される
ルーティングベースIPsec(IKEv1)
パラメータ | 項目 | 値 |
---|---|---|
IKEの調整項目 (IKE Phase-1) |
暗号アルゴリズム | AES256, AES128, 3DES |
ハッシュアルゴリズム | SHA-256, SHA-1 | |
DHグループ | MODP1536 | |
ライフタイム | 24h(86400秒) | |
IPsecの調整項目 (IKE Phase-2) |
暗号アルゴリズム | AES256, AES128, 3DES |
メッセージ認証アルゴリズム | HMAC-SHA-256, HMAC-SHA-1 | |
ライフタイム | 8h(28800秒, イニシエータに従う) | |
PFSグループ | なし(イニシエータに従う) | |
暗号化対象プロトコル | IPv4のみ | |
IKEの対向との調整項目 | 鍵交換モード:既定値 | メインモード |
鍵交換モード:アドレス書き換え検知使用時 | アグレッシブモード | |
ポート番号 | UDP 500 | |
値の同一性確認の厳密さ | イニシエータに従う | |
INITIAL-CONTACTメッセージ | 送信する | |
自己識別子 | IPアドレス | |
相手識別子 | IPアドレス | |
Nonce値の大きさ | 16 bytes | |
DPD(Dead Peer Detection) | 有効 | |
パディング値のランダム化 | 有効 | |
パディング長のランダム化 | 無効 | |
ランダム化したパディング長の最大値 | 20 bytes | |
パディングの末尾のパディング長の検査 | 無効 | |
パディングの末尾のパディングに自身の長さを含める | 有効 | |
再送回数 | 5回 | |
再送間隔 | 10秒 | |
Phase-1のタイムアウト | 30秒 | |
Phase-2のタイムアウト | 30秒 | |
1回の送信で送るパケット数 | 1個 | |
DPDの送信間隔 | 20秒 | |
DPDで接続断と見なす連続無応答回数 | 5回 | |
IPsecセキュリティアソシエーション | セキュリティプロトコル | ESP有効, AH無効 |
ルーティングベースIPsec(IKEv2)
パラメータ | 項目 | 値 |
---|---|---|
IKEの調整項目 (IKE Phase-1) |
暗号アルゴリズム | AES256, AES128, 3DES |
ハッシュアルゴリズム | SHA-256, SHA-1 | |
DHグループ | MODP1536 | |
ライフタイム | 24h(86400秒) | |
IPsecの調整項目 (IKE Phase-2) |
暗号アルゴリズム | AES256, AES128, 3DES |
メッセージ認証アルゴリズム | HMAC-SHA-256, HMAC-SHA-1 | |
ライフタイム | 8h(28800秒, イニシエータに従う) | |
PFSグループ | なし(イニシエータに従う) | |
暗号化対象プロトコル | IPv4のみ | |
IKEの対向との調整項目 | 鍵交換モード:既定値 | メインモード |
鍵交換モード:アドレス書き換え検知使用時 | アグレッシブモード | |
ポート番号 | UDP 500 | |
値の同一性確認の厳密さ | イニシエータに従う | |
INITIAL-CONTACTメッセージ | 送信する | |
自己識別子 | IPアドレス | |
相手識別子 | IPアドレス | |
Nonce値の大きさ | 16 bytes | |
DPD(Dead Peer Detection) | 有効 | |
パディング値のランダム化 | 有効 | |
パディング長のランダム化 | 無効 | |
ランダム化したパディング長の最大値 | 20 bytes | |
パディングの末尾のパディング長の検査 | 無効 | |
パディングの末尾のパディングに自身の長さを含める | 有効 | |
再送回数 | 5回 | |
再送間隔 | 10秒 | |
Phase-1のタイムアウト | 30秒 | |
Phase-2のタイムアウト | 30秒 | |
1回の送信で送るパケット数 | 1個 | |
DPDの送信間隔 | 20秒 | |
DPDで接続断と見なす連続無応答回数 | 5回 | |
IPsecセキュリティアソシエーション | セキュリティプロトコル | ESP有効, AH無効 |
ポリシーベースIPsec
パラメータ | 項目 | 値 |
---|---|---|
IKEの調整項目 (IKE Phase-1) |
暗号アルゴリズム | AES256, AES128, 3DES |
ハッシュアルゴリズム | SHA-256, SHA-1 | |
DHグループ | MODP1536 | |
ライフタイム | 86400秒 | |
IPsecの調整項目 (IKE Phase-2) |
暗号アルゴリズム | AES256, AES128, 3DES |
メッセージ認証アルゴリズム | HMAC-SHA-256, HMAC-SHA-1 | |
ライフタイム | 28800秒(イニシエータに従う) | |
PFSグループ | なし(イニシエータに従う) | |
暗号化対象プロトコル | IPv4のみ | |
IKEの対向との調整項目 | 鍵交換モード | コンフィグで指定必須(メインモード, アグレッシブモード) |
ポート番号 | UDP 500 | |
値の同一性確認の厳密さ | イニシエータに従う | |
INITIAL-CONTACTメッセージ | 送信する | |
自己識別子 | IPアドレス | |
相手識別子 | IPアドレス | |
Nonce値の大きさ | 16 bytes | |
DPD(Dead Peer Detection) | 無効 | |
パディング値のランダム化 | 有効 | |
パディング長のランダム化 | 無効 | |
ランダム化したパディング長の最大値 | 20 bytes | |
パディングの末尾のパディング長の検査 | 無効 | |
パディングの末尾のパディングに自身の長さを含める | 有効 | |
再送回数 | 5回 | |
再送間隔 | 10秒 | |
Phase-1のタイムアウト | 30秒 | |
Phase-2のタイムアウト | 30秒 | |
1回の送信で送るパケット数 | 1個 | |
DPDの送信間隔 | 20秒 | |
DPDで接続断と見なす連続無応答回数 | 5回 | |
IPsecセキュリティアソシエーション | セキュリティプロトコル | ESP有効, AH無効 |
L2TPv3 + IPsec
パラメータ | 項目 | 値 |
---|---|---|
IKEの調整項目 (IKE Phase-1) |
暗号アルゴリズム | AES256, AES128, 3DES |
ハッシュアルゴリズム | SHA-256, SHA-1 | |
DHグループ | MODP1536 | |
ライフタイム | 24h(86400秒) | |
IPsecの調整項目 (IKE Phase-2) |
暗号アルゴリズム | AES256, AES128, 3DES |
メッセージ認証アルゴリズム | HMAC-SHA-256, HMAC-SHA-1 | |
ライフタイム | 8h(28800秒, イニシエータに従う) | |
PFSグループ | なし(イニシエータに従う) | |
暗号化対象プロトコル | IPv4のみ | |
IKEの対向との調整項目 | 鍵交換モード:既定値 | メインモード |
鍵交換モード:アドレス書き換え検知使用時 | アグレッシブモード | |
ポート番号 | UDP 500 | |
値の同一性確認の厳密さ | イニシエータに従う | |
INITIAL-CONTACTメッセージ | 送信する | |
自己識別子 | IPアドレス | |
相手識別子 | IPアドレス | |
Nonce値の大きさ | 16 bytes | |
DPD(Dead Peer Detection) | 有効 | |
パディング値のランダム化 | 有効 | |
パディング長のランダム化 | 無効 | |
ランダム化したパディング長の最大値 | 20 bytes | |
パディングの末尾のパディング長の検査 | 無効 | |
パディングの末尾のパディングに自身の長さを含める | 有効 | |
再送回数 | 5回 | |
再送間隔 | 10秒 | |
Phase-1のタイムアウト | 30秒 | |
Phase-2のタイムアウト | 30秒 | |
1回の送信で送るパケット数 | 1個 | |
DPDの送信間隔 | 20秒 | |
DPDで接続断と見なす連続無応答回数 | 5回 | |
IPsecセキュリティアソシエーション | セキュリティプロトコル | ESP有効, AH無効 |
L2TP/IPsec (PPPAC)
DHグループ | 暗号アルゴリズム | ハッシュアルゴリズム | ライフタイム |
---|---|---|---|
MODP2048 | AES256 | SHA-1 | 8時間 |
MODP1024 | AES256 | SHA-1 | 8時間 |
MODP1536 | AES256 | SHA-1 | 8時間 |
MODP1024 | 3DES | SHA-1 | 8時間 |
MODP1024 | 3DES | MD5 | 8時間 |
PFSグループ | 暗号アルゴリズム | メッセージ認証アルゴリズム | ライフタイム |
---|---|---|---|
なし | AES256, AES128, 3DES | HMAC-SHA-1, HMAC-MD5 | 1時間 |
送信元IPアドレス : ポート番号 | 送信先 : ポート番号 | プロトコル | AH | ESP | モード | ポリシー |
---|---|---|---|---|---|---|
自身のIPアドレス : 1701 | any : any | UDP | なし | あり | トランスポート | IPsec必須 |
any : any | 自身のIPアドレス : 1701 | UDP | なし | あり | トランスポート | IPsec必須 |
項目 | 値 |
---|---|
鍵交換モード | メインモード |
ポート番号 | UDP 500, 4500 |
値の同一性確認の厳密さ | イニシエータに従う |
INITIAL-CONTACTメッセージ | 送信する |
自己識別子 | IPアドレス |
相手識別子 | IPアドレス |
Nonce値の大きさ | 16 bytes |
DPD(Dead Peer Detection) | 無効 |
パディング値のランダム化 | 有効 |
パディング長のランダム化 | 無効 |
ランダム化したパディング長の最大値 | 20 bytes |
パディングの末尾のパディング長の検査 | 無効 |
パディングの末尾のパディングに自身の長さを含める | 有効 |
再送回数 | 5回 |
再送間隔 | 10秒 |
Phase-1のタイムアウト | 30秒 |
Phase-2のタイムアウト | 30秒 |
1回の送信で送るパケット数 | 1個 |