IPsecを設定する
本機にはIPsec機能が搭載されています。IPsecはIPプロトコルのレベルで、セキュアなパケット単位の通信をします。暗号化には送信者、受信者が同じ鍵を保有する共通鍵暗号方式を使用します。本機は通信者双方に共通鍵を設定する方法として、自動鍵交換設定方式を搭載しています。自動鍵交換設定を使用すると、IPsecの共有鍵を設定した時間で更新し、よりセキュリティー強度の高い通信ができます。
「HTTPS通信の除外」で[無効]を選択しているとき、誤った鍵設定をすると、ネットワーク上のパソコンから操作するWeb Image Monitorにアクセスできなくなります。(Web Image Monitorとは、Webブラウザーを使用して本機の監視や設定ができる、本機に搭載されている管理ツールです。)アクセス不能となることを防止するためにHTTPS通信をIPsecの除外対象に設定できます。HTTPS通信もIPsecの対象とするときは、IPsec機能が正しく設定されたことを確認したあとに、「HTTPS通信の除外」で[無効]を選択します。「HTTPS通信の除外」で[有効]を選択し、HTTPS通信をIPsecの対象から外していても、パソコン側でTCPがIPsecの対象になっているとWeb Image Monitorを使用できません。
Web Image Monitor にアクセスできないときは、本体操作部の設定でIPsec を無効にしてからアクセスしてください。
DHCP、DNS、WINSで取得する情報とパケットはIPsecの対象にならないものがあります。
OS | 備考 |
|---|---|
| IPv4/IPv6両方のIPsecが使用できます。 |
ただし、OSによって対応していない設定項目があります。IPsecの設定をするときは、必ずOS側のIPsec設定内容を確認し、同一の設定をしてください。
通信データの暗号化と認証
IPsecには、データの機密性を確保する「暗号化」機能と、データ送信者が正しいこと、またデータが改ざんされていないことを証明する「認証」機能の2つの機能が存在します。本機のIPsec機能は、2つの機能を同時に有効にするESPプロトコルと認証だけの機能を有効にするAHプロトコルの2つのセキュリティープロトコルに対応しています。
ESPプロトコル
データの暗号化と、ヘッダ以外のパケットの認証の両方に対応したセキュリティー通信をします。
暗号化するには送信側、受信側ともに同一の暗号化アルゴリズムと暗号鍵を設定します。自動鍵交換設定では、暗号化アルゴリズムと暗号鍵は自動的に設定されます。
認証をするには送信側、受信側ともに同一の認証アルゴリズムと認証鍵を設定します。自動鍵交換設定では、認証アルゴリズムと認証鍵は自動的に設定されます。
AHプロトコル
ヘッダを含むパケットの認証だけに対応したセキュリティー通信をします。
認証をするには送信側、受信側ともに同一の認証アルゴリズムと認証鍵を設定します。自動鍵交換設定では、認証アルゴリズムと認証鍵は自動的に設定されます。
AHプロトコル + ESPプロトコル
データの暗号化と、ヘッダを含むパケットの認証の両方に対応したセキュリティー通信をします。
暗号化をするには送信側、受信側ともに同一の暗号化アルゴリズムと暗号鍵を設定します。自動鍵交換設定では、暗号化アルゴリズムと暗号鍵は自動的に設定されます。
認証をするには送信側、受信側ともに同一の認証アルゴリズムと認証鍵を設定します。自動鍵交換設定では、認証アルゴリズムと認証鍵は自動的に設定されます。
使用しているOSによっては、「認証」は「整合性」という名称を使用していることがあります。
自動鍵交換設定
本機は鍵の設定方式として、自動鍵交換設定に対応しています。鍵設定によって、IPsec通信に使用するアルゴリズムや鍵などの約束事を送信者、受信者双方に設定します。この約束事をSA (Security Association)と呼びます。送信者、受信者でSA設定内容が一致していないとIPsec通信ができません。
自動鍵交換設定方式では、SAの設定が自動的にされますが、最初にISAKMP SAが自動設定(フェーズ1)され、続いてIPsec通信のためのIPsec SAが自動設定(フェーズ2)されます。また、より高いセキュリティーを確保した通信をするために、設定の有効期間を定めることでSAの定期的な自動更新ができます。本機の自動鍵交換設定方式はIKEv1だけ対応しています。SAの設定は、複数設定できます。
個別設定とデフォルト設定
自動鍵交換設定は、IPsecで使用するアルゴリズムや鍵などのSA設定を個別に4種類設定できます。また個別設定に含まれない通信相手を対象としたデフォルト設定を別途設定できます。個別設定の優先度は1が最も高く4が最も低くなります。優先度の低い個別設定でIPアドレス範囲を指定し、優先度の高い個別設定でその範囲内の特定の通信者を指定した設定ができます。
IPsec設定項目
本機でのIPsec設定は、ネットワーク上のパソコンからWebブラウザーを使用します。(本機に搭載されているWeb Image Monitorという機能を利用します。)ここでは設定項目について説明します。
IPsecの設定項目
設定項目 | 設定内容 | 設定値 |
|---|---|---|
IPsec*1 | IPsec機能を有効にするか無効にするか設定します。 | ・有効 ・無効 |
HTTPS通信の除外 | HTTPS通信をIPsecから除外するかしないかを設定します。 | ・有効 ・無効 HTTPS通信をIPsecの対象から外すときは有効を選択します。 |
*1 「IPsec」の設定は操作部からもできます。
自動鍵交換設定のセキュリティーレベル
自動鍵交換設定では、セキュリティーレベルの項目を選択すると、セキュリティー詳細項目はレベルに応じて自動設定されます。
各セキュリティーレベルの特徴は以下のとおりです。
セキュリティーレベル | セキュリティーレベルの特徴 |
|---|---|
認証のみ | パケットデータの暗号化はしないで、通信相手の認証とデータの改ざん防止だけをするときに選択します。パケット単位のデータは平文のままネットワークを流れるので、盗聴される危険性があります。 |
認証と暗号化(低) | 通信相手の認証と改ざん防止に加え、パケットデータを暗号化するときに選択します。「認証と暗号化(高)」よりもセキュリティーの強度は低い設定です。 |
認証と暗号化(高) | 通信相手の認証と改ざん防止に加え、パケットデータを暗号化するときに選択します。「認証と暗号化(低)」よりもセキュリティー強度の高い設定です。 |
各セキュリティーレベル選択時の自動設定値は以下のとおりです。
設定項目 | 各セキュリティーレベル選択時の設定値 | ||
|---|---|---|---|
認証のみ | 認証と暗号化(低) | 認証と暗号化(高) | |
セキュリティーポリシー | Apply | Apply | Apply |
カプセル化モード | トランスポート | トランスポート | トランスポート |
IPsec要求レベル | 可能な場合使用する | 可能な場合使用する | 必須 |
認証方法 | PSK | PSK | PSK |
フェーズ1 ハッシュアルゴリズム | MD5 | SHA1 | SHA256 |
フェーズ1 暗号化アルゴリズム | DES | 3DES | AES-128-CBC |
フェーズ1 Diffie-Hellmanグループ | 2 | 2 | 2 |
フェーズ2 セキュリティープロトコル | AH | ESP | ESP |
フェーズ2 認証アルゴリズム | HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 | HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 | HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 |
フェーズ2 暗号化アルゴリズム使用許可 | 平文(NULL暗号) | 3DES/AES-128/AES-192/AES-256 | AES-128/AES-192/AES-256 |
フェーズ2 PFS | 無効 | 無効 | 2 |
自動鍵交換設定の設定項目
セキュリティーレベルを選択すると、セキュリティー詳細項目は自動設定されますが、アドレスタイプや、ローカルアドレス、リモートアドレスは手動での入力が必須です。また自動設定された内容を手動で変更すると、セキュリティーレベルの表示は自動的に「ユーザー設定」に切り替わります。
設定項目 | 設定内容 | 設定値 |
|---|---|---|
アドレスタイプ | IPsecの対象とするIPアドレスのタイプを選択します。 | ・無効 ・IPv4 ・IPv6 ・IPv4/IPv6(デフォルト設定のみ) |
ローカルアドレス | 機器のアドレスを設定します。IPv6で複数のアドレスを使用しているときは、範囲の指定もできます。 | ・機器のIPv4アドレス、またはIPv6アドレス 範囲で指定しないときは、IPv4はアドレスの後に32を入力し、IPv6はアドレスの後に128を入力します。 |
リモートアドレス | IPsecの通信対象となる相手先のアドレスを指定します。範囲の指定もできます。 | ・通信相手のIPv4アドレス、またはIPv6アドレス 範囲で指定しないときは、IPv4はアドレスの後に32を入力し、IPv6はアドレスの後に128を入力します。 |
セキュリティーポリシー | IPsecの処理方法を設定します。 | ・IPsecを適用して送受信する(Apply) ・IPsecを適用せずに送受信する(Bypass) ・パケットを破棄する(Discard) |
カプセル化モード | カプセル化モードを選択します。 (自動設定対象項目) | ・トランスポート ・トンネル セキュリティーレベルに関係なくトランスポートモードが選択されます。 トンネルを選択したときは、トンネルエンドポイントで始点IPアドレスと終点IPアドレスを指定します。 トンネルエンドポイントの始点IPアドレスにはローカルアドレスと同じ値を設定します。 |
IPsec要求レベル | 通信相手とIPsecだけで通信するか、IPsecが確立できないときは平文で通信するかを選択します。 (自動設定対象項目) | ・可能な場合使用する ・必須 |
認証方法 | 通信相手の認証をする方式を選択します。 (自動設定対象項目) | ・PSK ・証明書 セキュリティーレベルに関係なく「PSK」方式が選択されます。 「PSK」を使用するときは、PSKの文字列を設定します。「証明書」を選択するときは、事前に機器証明書を導入して、IPsec用の証明書を割り当てておきます。 |
PSK文字列 | 自動鍵交換で使用するPSK文字列を設定します。 | 認証方式がPSKのときに、アスキー文字列で32文字以内の文字列を入力します。 |
フェーズ1 ハッシュアルゴリズム | フェーズ1で使用するハッシュアルゴリズムを選択します。 (自動設定対象項目) | ・MD5 ・SHA1 ・SHA256 ・SHA384 ・SHA512 |
フェーズ1 暗号化アルゴリズム | フェーズ1で使用する暗号化アルゴリズムを選択します。 (自動設定対象項目) | ・DES ・3DES ・AES-128-CBC ・AES-192-CBC ・AES-256-CBC |
フェーズ1 Diffie-Hellmanグループ | IKEの暗号鍵生成に使用するDiffie-Hellmanグループ番号を選択します。 (自動設定対象項目) | ・1 ・2 ・14 |
フェーズ1 有効期間 | フェーズ1で使用するSAの有効期間を設定します。 | 300秒(5分)~172800秒(48時間)の間で秒単位で設定します。 |
フェーズ2 セキュリティープロトコル | フェーズ2で使用するセキュリティープロトコルを選択します。 暗号化と認証を同時にするときはESPまたはESP+AHを、認証だけをするときはAHを選択します。 (自動設定対象項目) | ・ESP ・AH ・ESP+AH |
フェーズ2 認証アルゴリズム | フェーズ2で使用する認証アルゴリズムを選択します。 (自動設定対象項目) | ・HMAC-MD5-96 ・HMAC-SHA1-96 ・HMAC-SHA256-128 ・HMAC-SHA384-192 ・HMAC-SHA512-256 |
フェーズ2 暗号化アルゴリズム使用許可 | フェーズ2で使用する暗号化アルゴリズムを選択します。 (自動設定対象項目) | ・平文(NULL暗号) ・DES ・3DES ・AES-128 ・AES-192 ・AES-256 |
フェーズ2 PFS | PFSの有効/無効と有効時のDiffieHellmanグループ番号を選択します。 (自動設定対象項目) | ・無効 ・1 ・2 ・14 |
フェーズ2 有効期間 | フェーズ2で使用するSAの有効期間を設定します。 | 300秒(5分)~172800秒(48時間)の間で秒単位で設定します。 |
自動鍵交換設定の流れ
自動鍵交換設定は、ネットワーク上のパソコンからWebブラウザーを使用します。(本機に搭載されているWeb Image Monitorという機能を利用します。)
自動鍵交換設定で通信相手の認証方法に証明書を使用するときは、機器証明書の導入が必要です。
IPsecの設定後、正しく通信が確立されているかはPingコマンドで確認できます。ただし、ICMPがIPsecの除外対象になっているときはPingコマンドを使用できません。また、鍵交換設定中は応答がないため、通信確立の確認に時間がかかることがあります。
自動鍵交換設定をする
自動鍵交換設定は、ネットワーク上のパソコンからWebブラウザーを使用します。(本機に搭載されているWeb Image Monitorという機能を利用します。)
自動鍵交換設定の条件設定で送信相手の認証方式を「証明書」に変更するときは、事前に証明書の導入と割り当てをしてください。
ネットワーク上のパソコンからWebブラウザーを起動し、Web Image Monitorにネットワーク管理者がログインします。
[機器の管理]をポイントし、[設定]をクリックします。
「セキュリティー」の[IPsec]をクリックします。
「自動鍵交換設定」の[編集]をクリックします。
「個別設定1」で自動鍵交換設定の条件を設定します。
複数の個別設定条件を設定するときは、個別設定番号を切り替えて追加設定します。
[OK]をクリックします。
「IPsec」の「IPsec」で[有効]を選択します。
「HTTPS通信の除外」でHTTPS通信をIPsecの除外対象とするときは[有効]を選択します。
[OK]をクリックします。
「設定の書き換え中」画面が表示されます。1~2分経過してから[OK]をクリックします。
[OK]をクリックしても画面が表示されないときは、しばらく待ってからWebブラウザーの[更新]ボタンをクリックします。
ログアウトします。
証明書を選択する(IPsec)
あらかじめ本機で作成、導入した機器証明書からIPsecで使用する証明書を選択します。
証明書は、ネットワーク上のパソコンからWebブラウザーを使用して選択します。(本機に搭載されているWeb Image Monitorという機能を利用します。)
ネットワーク上のパソコンからWebブラウザーを起動し、Web Image Monitorにネットワーク管理者がログインします。
[機器の管理]をポイントし、[設定]をクリックします。
「セキュリティー」の[機器証明書]をクリックします。
「利用する証明書」の「IPsec」の欄で、使用する証明書を選択します。
[OK]をクリックします。
「設定の書き換え中」画面が表示されます。1~2分経過してから[OK]をクリックします。
[OK]をクリックしても画面が表示されないときは、しばらく待ってからWebブラウザーの[更新]ボタンをクリックします。
ログアウトします。
パソコンでIPsecの条件を設定する
機器で選択したセキュリティーレベルのIPsec SA設定と同一の条件をパソコン側で設定します。設定方法はOSによって異なります。ここではセキュリティーレベルで「認証と暗号化(低)」を選択したときのWindows 10側の設定を例に説明します。
[スタート]ボタンを右クリックし、[設定]-[コントロールパネル]-[システムとセキュリティ]-[管理ツール]をクリックします。
Windows 11のときは、[スタート]をクリックし、検索窓に「ローカルセキュリティポリシー」と入力します。
[ローカルセキュリティポリシー]をダブルクリックします。
[IPセキュリティポリシー(ローカルコンピュータ)]を右クリックします。
[IPセキュリティポリシーの作成]をクリックします。
[IPセキュリティポリシーウィザード]が表示されます。
[次へ]をクリックします。
任意のIPセキュリティポリシー名を入力し、[次へ]をクリックします。
「既定の応答規則をアクティブにする」のチェックを外し、[次へ]をクリックします。
「プロパティを編集する」にチェックを付け、[完了]をクリックします。
[全般]タブを選択し、[設定]をクリックします。
「新しいキーを認証して生成する間隔」に機器の自動鍵交換設定のフェーズ1で設定した有効期間を分単位で入力し、[メソッド]をクリックします。
機器の自動鍵交換設定のフェーズ1で選択されている「暗号化」(暗号化アルゴリズム)、「整合性」(ハッシュアルゴリズム)、「Diffie-Hellmanグループ」の組み合わせが[セキュリティメソッドの優先順位]に存在しているか確認します。
存在しないときは[追加]をクリックし作成します。
[OK]を2回クリックします。
[規則]タブを選択し、[追加]をクリックします。
「セキュリティの規則ウィザード」または「IPセキュリティの規則の作成ウィザードの開始」が表示されます。
[次へ]をクリックします。
「この規則ではトンネルを指定しない」を選択し、[次へ]をクリックします。
IPsecを適用するネットワークの種類を選択し、[次へ]をクリックします。
「IPフィルター一覧」で[追加]をクリックします。
「名前」に任意のIPフィルター名を入力し、[追加]をクリックします。
「IPフィルターウィザード」が表示されます。
[次へ]をクリックします。
必要に応じてIPフィルターの説明を入力し、[次へ]をクリックします。
「発信元アドレス」で「このコンピューターのIPアドレス」を選択し、[次へ]をクリックします。
「宛先アドレス」で「特定のIPアドレスまたはサブネット」を選択し、機器のIPアドレスを入力して[次へ]をクリックします。
IPsecの対象とするプロトコルを選択し、[次へ]をクリックします。
「TCP」または「UDP」を選択したときは、「IPプロトコルポートの設定」で発信ポートと宛先ポートを指定し、[次へ]をクリックします。
[完了]をクリックします。
[OK]をクリックします。
設定したIPフィルターを選択し、[次へ]をクリックします。
[追加]をクリックします。
「フィルター操作ウィザード」が表示されます。
[次へ]をクリックします。
任意のフィルター操作名を入力し、[次へ]をクリックします。
[セキュリティのネゴシエート]を選択し、[次へ]をクリックします。
[セキュリティで保護された接続が確立できない場合、保護されていない通信を許可する]を選択し、[次へ]をクリックします。
「カスタム」を選択し、[設定]をクリックします。
「整合性アルゴリズム」で機器の自動鍵交換設定のフェーズ2で選択されている認証アルゴリズムを選択します。
「暗号化アルゴリズム」で機器の自動鍵交換設定のフェーズ2で選択されている暗号化アルゴリズムを選択します。
「セッションのキーの設定」で「新しいキーの生成間隔(R)」にチェックを付け、機器の自動鍵交換設定のフェーズ2で設定した有効期間を秒単位で入力します。
[OK]をクリックします。
[次へ]をクリックします。
[完了]をクリックします。
作成したフィルター操作を選択し、[次へ]をクリックします。
自動鍵交換設定でセキュリティーレベルを「認証と暗号化(高)」に指定するときは、作成したフィルター操作を選択し[編集]をクリックします。フィルター操作のプロパティ画面で[セッションキーのPFS (Perfect Forward Secrecy)を使う]をチェックします。WindowsでPFSを使用するときは、自動鍵交換設定のフェーズ2で使用されるPFSグループ番号は、手順11にあるDiffie-Hellmanグループ番号から自動的に変換されます。このため、機器の自動鍵交換設定で指定されたセキュリティーレベルを変更し、「ユーザー設定」が表示される状況でIPsecを有効にするには、機器の「Diffie-Hellmanグループフェーズ1」と「PFSフェーズ2」のグループ番号を同じにします。
認証方法を選択して[次へ]をクリックします。
機器の自動鍵交換設定の認証方法で証明書を選択しているときは、機器証明書を設定します。PSKを選択しているときは、事前共有キーとして機器で設定したPSKと同じ文字列を入力します。
[完了]をクリックします。
IPv6を使用するときは、もう一度手順13から操作してICMPv6の除外設定を追加してください。
そのとき、手順23では対象とするプロトコルで[その他]のプロトコル番号[58]を選択し、[セキュリティのネゴシエート]を許可する設定にしてください。
[OK]をクリックします。
新しいIPセキュリティポリシー(IPsec設定)が設定されます。
設定したセキュリティポリシー名を選択し、右クリックして[割り当て]をクリックします。
パソコンのIPsec設定が有効になります。[割り当ての解除]をクリックすると、パソコンのIPsec設定が無効になります。
Windows 11のときは、設定したセキュリティポリシーが選択されていることを確認し、[OK]を押します。
telnetでIPsecを設定する
本機では、telnetからもIPsec設定の確認、変更ができます。telnetにログインするときのログインユーザー名とパスワードは管理者へ問い合わせてください。
自動鍵交換設定(IKE)で認証方式に証明書を使用するときは、ネットワーク上のパソコンからWebブラウザーを使用して証明書の導入設定をしてください。(本機に搭載されているWeb Image Monitorという機能を利用します。)telnetは証明書の導入に対応していません。
ipsec
IPsec関連の設定情報を表示するには、「ipsec」コマンドを使用します。
現在の設定の表示
msh> ipsec
以下のIPsec関連の設定情報がすべて表示されます。
IPsec設定の設定値
自動鍵交換設定の個別IKE設定値
自動鍵交換設定のデフォルトIKE設定値
現在の設定の分割表示
msh> ipsec -p
IPsec関連の設定情報を分割して表示します。
ipsec exclude
IPsec除外対象プロトコルの表示・設定は、「ipsec exclude」コマンドを使用します。
現在の設定の表示
msh> ipsec exclude
現在の除外対象プロトコルが表示されます。
除外対象プロトコルの設定
msh> ipsec exclude {https|dns|dhcp|wins|all} {on|off}
設定するプロトコルを指定し、除外対象とするときは「on」を、除外対象にしないときは「off」を指定します。プロトコルで「all」を指定するとすべてのプロトコルを一括して設定できます。
ipsec ike
自動鍵交換設定のSA設定の表示・設定は、ipsec ikeコマンドを使用します。
現在の設定の表示
msh> ipsec ike {1|2|3|4|default}
個別設定の設定内容を表示するときは個別設定番号「1~4」を指定します。
デフォルト設定の設定内容を表示するときは「default」を指定します。
設定値を省略したときは、個別設定1~4とデフォルト設定の設定情報がすべて表示されます。
設定の無効化
msh> ipsec ike {1|2|3|4|default} disable
設定を無効化する個別設定番号「1~4」を指定します。
デフォルト設定を無効に設定するときは「default」を指定します。
個別設定のローカルアドレス/リモートアドレスの設定
msh> ipsec ike {1|2|3|4} {ipv4|ipv6} "ローカルアドレス" "リモートアドレス"
個別設定番号を指定し、使用するアドレスタイプを指定してから、ローカルアドレスとリモートアドレスを指定します。
ローカルアドレス、リモートアドレスの値は、アドレスタイプがIPv4のときは、アドレスのあとに「/」を入れて0-32の整数値でマスク長を指定します。アドレスタイプがIPv6のときは、アドレスのあとに「/」を入れて0-128の整数値でマスク長を指定します。
アドレスの指定値を省略したときは、現在の設定が表示されます。
デフォルト設定のアドレスタイプの設定
msh> ipsec ike default {ipv4|ipv6|any}
デフォルト設定のアドレスタイプを指定します。
IPv4とIPv6の両方のアドレスタイプを指定するときは「any」を指定します。
処理方法の設定
msh> ipsec ike {1|2|3|4|default} proc {apply|bypass|discard}
個別設定番号、またはデフォルト設定を指定し、指定したアドレスに該当するパケットの処理方法を指定します。
該当するパケットにIPsecを適用するときは、「apply」を指定し、IPsecを適用しないときは、「bypass」を指定します。
該当するパケットを破棄するときは、「discard」を指定します。
処理方法の指定値を省略したときは、現在の設定が表示されます。
セキュリティープロトコルの指定
msh> ipsec ike {1|2|3|4|default} proto {ah|esp|dual}
個別設定番号、またはデフォルト設定を指定し、使用するセキュリティープロトコルを指定します。
AHを使用するときは「ah」、ESPを使用するときは「esp」、AH+ESPを使用するときは「dual」を指定します。
セキュリティープロトコルの指定値を省略したときは、現在の設定が表示されます。
要求レベルの設定
msh> ipsec ike {1|2|3|4|default} level {require|use}
個別設定番号、またはデフォルト設定を指定し、IPsecの要求レベルを指定します。
「require」を指定すると、IPsecが使用できないときは通信ができません。「use」を指定すると、IPsecが使用できないときは通常の通信をして、IPsecが使用できるときはIPsec通信をします。
要求レベルの指定値を省略したときは、現在の設定が表示されます。
カプセル化モードの設定
msh> ipsec ike {1|2|3|4|default} mode {transport|tunnel}
個別設定番号、またはデフォルト設定を指定し、カプセル化モードを設定します。
トランスポートモードを使用するときは「transport」、トンネルモードを使用するときは「tunnel」を指定します。
デフォルト設定のアドレスタイプで「any」を指定しているときは、カプセル化モードに「tunnel」を指定できません。
カプセル化モードの指定値を省略したときは、現在の設定が表示されます。
トンネルモードの始点/終点IPアドレスの設定
msh> ipsec ike {1|2|3|4|default} tunneladdr "始点IPアドレス" "終点IPアドレス"
個別設定番号、またはデフォルト設定を指定し、トンネルモードの始点IPアドレスと終点IPアドレスを指定します。
始点/終点IPアドレスの指定値を省略したときは、現在の設定が表示されます。
IKEの相手認証方式の設定
msh> ipsec ike {1|2|3|4|default} auth {psk|rsasig}
個別設定番号、またはデフォルト設定を指定し、相手認証方式を指定します。
事前共有鍵による認証方式を使用するときは「psk」を指定し、証明書による認証方式を使用するときは「rsasig」を指定します。証明書による認証方式を使用するときは、事前に機器証明書を導入し、IPsec用の証明書を割り当てておきます。機器証明書の導入は、ネットワーク上のパソコンからWebブラウザーを使用して設定します。(本機に搭載されているWeb Image Monitorという機能を利用します。)
「psk」を指定したときは、PSK文字列の設定が必要です。
PSK文字列の設定
msh> ipsec ike {1|2|3|4|default} psk "PSK文字列"
相手認証方式でPSKを選択しているとき、個別設定番号またはデフォルト設定を指定し、PSK文字列を指定します。
PSK文字列はアスキー文字(32文字以内)で指定します。省略できません。
ISAKMP SA(フェーズ1)のハッシュアルゴリズムの設定
msh> ipsec ike {1|2|3|4|default} ph1 hash {md5|sha1|sha256|sha384|sha512}
個別設定番号、またはデフォルト設定を指定し、ISAKMP SA(フェーズ1)で使用するハッシュアルゴリズムを指定します。
ハッシュアルゴリズムの指定値を省略したときは、現在の設定が表示されます。
ISAKMP SA(フェーズ1)の暗号アルゴリズムの設定
msh> ipsec ike {1|2|3|4|default} ph1 encrypt {des|3des|aes128|aes192|aes256}
個別設定番号、またはデフォルト設定を指定し、ISAKMP SA(フェーズ1)で使用する暗号アルゴリズムを指定します。
暗号アルゴリズムの指定値を省略したときは、現在の設定が表示されます。
ISAKMP SA(フェーズ1)のDiffie-Hellmanグループ番号の設定
msh> ipsec ike {1|2|3|4|default} ph1 dhgroup {1|2|14}
個別設定番号、またはデフォルト設定を指定し、ISAKMP SA(フェーズ1)で使用するDiffie-Hellmanグループ番号を指定します。
使用するグループ番号を番号数値で指定します。
グループ番号の指定値を省略したときは、現在の設定が表示されます。
ISAKMP SA(フェーズ1)の有効期間の設定
msh> ipsec ike {1|2|3|4|default} ph1 lifetime "有効期間"
個別設定番号、またはデフォルト設定を指定し、ISAKMP SA(フェーズ1)の有効期間を指定します。
有効期間は秒単位で300~172800の間の整数値で指定します。
有効期間の指定値を省略したときは、現在の設定が表示されます。
IPsec SA(フェーズ2)の認証アルゴリズムの設定
msh> ipsec ike {1|2|3|4|default} ph2 auth {hmac-md5|hmac-sha1|hmac-sha256|hmac-sha384|hmac-sha512}
個別設定番号、またはデフォルト設定を指定し、IPsec SA(フェーズ2)で使用する認証アルゴリズムを指定します。
複数の認証アルゴリズムを指定するときは(,)で区切って指定します。このとき、現在の設定値表示は優先順位の高いアルゴリズムから表示されます。
認証アルゴリズムの指定値を省略したときは、現在の設定が表示されます。
IPsec SA(フェーズ2)の暗号アルゴリズムの設定
msh> ipsec ike {1|2|3|4|default} ph2 encrypt {null|des|3des|aes128|aes192|aes256}
個別設定番号、またはデフォルト設定を指定し、IPsec SA(フェーズ2)で使用する暗号アルゴリズムを指定します。
複数の暗号アルゴリズムを指定するときは(,)で区切って指定します。このとき、現在の設定値表示は優先順位の高いアルゴリズムから表示されます。
暗号アルゴリズムの指定値を省略したときは、現在の設定が表示されます。
IPsec SA(フェーズ2)のPFSの設定
msh> ipsec ike {1|2|3|4|default} ph2 pfs {none|1|2|14}
個別設定番号、またはデフォルト設定を指定し、IPsec SA(フェーズ2)のPFSで使用するDiffie-Hellmanグループ番号を指定します。
使用するグループ番号を番号数値で指定します。
グループ番号の指定値を省略したときは、現在の設定が表示されます。
IPsec SA(フェーズ2)の有効期間の設定
msh> ipsec ike {1|2|3|4|default} ph2 lifetime "有効期間"
個別設定番号、またはデフォルト設定を指定し、IPsec SA(フェーズ2)の有効期間を指定します。
有効期間は秒単位で300~172800の間の整数値で指定します。
有効期間の指定値を省略したときは、現在の設定が表示されます。
自動鍵(ike)設定値の初期化
msh> ipsec ike {1|2|3|4|default|all} clear
設定値を初期化する個別設定番号、またはデフォルト設定を指定します。「all」を指定するとすべての個別設定とデフォルト設定を初期化します。