ipsec ike

自動鍵交換設定のSA設定の表示・設定は、ipsec ikeコマンドを使用します。

現在の設定の表示

msh> ipsec ike {1|2|3|4|default}

  • 個別設定の設定内容を表示するときは個別設定番号「1~4」を指定します。

  • デフォルト設定の設定内容を表示するときは「default」を指定します。

  • 設定値を省略したときは、個別設定1~4とデフォルト設定の設定情報がすべて表示されます。

設定の無効化

msh> ipsec ike {1|2|3|4|default} disable

  • 設定を無効化する個別設定番号「1~4」を指定します。

  • デフォルト設定を無効に設定するときは「default」を指定します。

個別設定のローカルアドレス/リモートアドレスの設定

msh> ipsec ike {1|2|3|4} {ipv4|ipv6} "ローカルアドレス" "リモートアドレス"

  • 個別設定番号を指定し、使用するアドレスタイプを指定してから、ローカルアドレスとリモートアドレスを指定します。

  • ローカルアドレス、リモートアドレスの値は、アドレスタイプがIPv4のときは、アドレスのあとに「/」を入れて0-32の整数値でマスク長を指定します。アドレスタイプがIPv6のときは、アドレスのあとに「/」を入れて0-128の整数値でマスク長を指定します。

  • アドレスの指定値を省略したときは、現在の設定が表示されます。

デフォルト設定のアドレスタイプの設定

msh> ipsec ike default {ipv4|ipv6|any}

  • デフォルト設定のアドレスタイプを指定します。

  • IPv4とIPv6の両方のアドレスタイプを指定するときは「any」を指定します。

処理方法の設定

msh> ipsec ike {1|2|3|4|default} proc {apply|bypass|discard}

  • 個別設定番号、またはデフォルト設定を指定し、指定したアドレスに該当するパケットの処理方法を指定します。

  • 該当するパケットにIPsecを適用するときは、「apply」を指定し、IPsecを適用しないときは、「bypass」を指定します。

  • 該当するパケットを破棄するときは、「discard」を指定します。

  • 処理方法の指定値を省略したときは、現在の設定が表示されます。

セキュリティープロトコルの指定

msh> ipsec ike {1|2|3|4|default} proto {ah|esp|dual}

  • 個別設定番号、またはデフォルト設定を指定し、使用するセキュリティープロトコルを指定します。

  • AHを使用するときは「ah」、ESPを使用するときは「esp」、AH+ESPを使用するときは「dual」を指定します。

  • セキュリティープロトコルの指定値を省略したときは、現在の設定が表示されます。

要求レベルの設定

msh> ipsec ike {1|2|3|4|default} level {require|use}

  • 個別設定番号、またはデフォルト設定を指定し、IPsecの要求レベルを指定します。

  • 「require」を指定すると、IPsecが使用できないときは通信ができません。「use」を指定すると、IPsecが使用できないときは通常の通信をして、IPsecが使用できるときはIPsec通信をします。

  • 要求レベルの指定値を省略したときは、現在の設定が表示されます。

カプセル化モードの設定

msh> ipsec ike {1|2|3|4|default} mode {transport|tunnel}

  • 個別設定番号、またはデフォルト設定を指定し、カプセル化モードを設定します。

  • トランスポートモードを使用するときは「transport」、トンネルモードを使用するときは「tunnel」を指定します。

  • デフォルト設定のアドレスタイプで「any」を指定しているときは、カプセル化モードに「tunnel」を指定できません。

  • カプセル化モードの指定値を省略したときは、現在の設定が表示されます。

トンネルモードの始点/終点IPアドレスの設定

msh> ipsec ike {1|2|3|4|default} tunneladdr "始点IPアドレス" "終点IPアドレス"

  • 個別設定番号、またはデフォルト設定を指定し、トンネルモードの始点IPアドレスと終点IPアドレスを指定します。

  • 始点/終点IPアドレスの指定値を省略したときは、現在の設定が表示されます。

IKEの相手認証方式の設定

msh> ipsec ike {1|2|3|4|default} auth {psk|rsasig}

  • 個別設定番号、またはデフォルト設定を指定し、相手認証方式を指定します。

  • 事前共有鍵による認証方式を使用するときは「psk」を指定し、証明書による認証方式を使用するときは「rsasig」を指定します。

    証明書による認証方式を使用するときは、事前に機器証明書を導入し、IPsec用の証明書を割り当てておきます。機器証明書の導入はWeb Image Monitorを使用して設定します。

  • 「psk」を指定したときは、PSK文字列の設定が必要です。

PSK文字列の設定

msh> ipsec ike {1|2|3|4|default} psk "PSK文字列"

  • 相手認証方式でPSKを選択しているとき、個別設定番号またはデフォルト設定を指定し、PSK文字列を指定します。

  • PSK文字列はアスキー文字(32文字以内)で指定します。省略できません。

ISAKMP SA(フェーズ1)のハッシュアルゴリズムの設定

msh> ipsec ike {1|2|3|4|default} ph1 hash {md5|sha1|sha256|sha384|sha512}

  • 個別設定番号、またはデフォルト設定を指定し、ISAKMP SA(フェーズ1)で使用するハッシュアルゴリズムを指定します。

  • ハッシュアルゴリズムの指定値を省略したときは、現在の設定が表示されます。

ISAKMP SA(フェーズ1)の暗号アルゴリズムの設定

msh> ipsec ike {1|2|3|4|default} ph1 encrypt {des|3des|aes128|aes192|aes256}

  • 個別設定番号、またはデフォルト設定を指定し、ISAKMP SA(フェーズ1)で使用する暗号アルゴリズムを指定します。

  • 暗号アルゴリズムの指定値を省略したときは、現在の設定が表示されます。

ISAKMP SA(フェーズ1)のDiffie-Hellmanグループ番号の設定

msh> ipsec ike {1|2|3|4|default} ph1 dhgroup {1|2|14}

  • 個別設定番号、またはデフォルト設定を指定し、ISAKMP SA(フェーズ1)で使用するDiffie-Hellmanグループ番号を指定します。

  • 使用するグループ番号を番号数値で指定します。

  • グループ番号の指定値を省略したときは、現在の設定が表示されます。

ISAKMP SA(フェーズ1)の有効期間の設定

msh> ipsec ike {1|2|3|4|default} ph1 lifetime "有効期間"

  • 個別設定番号、またはデフォルト設定を指定し、ISAKMP SA(フェーズ1)の有効期間を指定します。

  • 有効期間は秒単位で300~172800の間の整数値で指定します。

  • 有効期間の指定値を省略したときは、現在の設定が表示されます。

IPsec SA(フェーズ2)の認証アルゴリズムの設定

msh> ipsec ike {1|2|3|4|default} ph2 auth {hmac-md5|hmac-sha1|hmac-sha256|hmac-sha384|hmac-sha512}

  • 個別設定番号、またはデフォルト設定を指定し、IPsec SA(フェーズ2)で使用する認証アルゴリズムを指定します。

  • 複数の認証アルゴリズムを指定するときは(,)で区切って指定します。このとき、現在の設定値表示は優先順位の高いアルゴリズムから表示されます。

  • 認証アルゴリズムの指定値を省略したときは、現在の設定が表示されます。

IPsec SA(フェーズ2)の暗号アルゴリズムの設定

msh> ipsec ike {1|2|3|4|default} ph2 encrypt {null|des|3des|aes128|aes192|aes256}

  • 個別設定番号、またはデフォルト設定を指定し、IPsec SA(フェーズ2)で使用する暗号アルゴリズムを指定します。

  • 複数の暗号アルゴリズムを指定するときは(,)で区切って指定します。このとき、現在の設定値表示は優先順位の高いアルゴリズムから表示されます。

  • 暗号アルゴリズムの指定値を省略したときは、現在の設定が表示されます。

IPsec SA(フェーズ2)のPFSの設定

msh> ipsec ike {1|2|3|4|default} ph2 pfs {none|1|2|14}

  • 個別設定番号、またはデフォルト設定を指定し、IPsec SA(フェーズ2)のPFSで使用するDiffie-Hellmanグループ番号を指定します。

  • 使用するグループ番号を番号数値で指定します。

  • グループ番号の指定値を省略したときは、現在の設定が表示されます。

IPsec SA(フェーズ2)の有効期間の設定

msh> ipsec ike {1|2|3|4|default} ph2 lifetime "有効期間"

  • 個別設定番号、またはデフォルト設定を指定し、IPsec SA(フェーズ2)の有効期間を指定します。

  • 有効期間は秒単位で300~172800の間の整数値で指定します。

  • 有効期間の指定値を省略したときは、現在の設定が表示されます。

自動鍵(ike)設定値の初期化

msh> ipsec ike {1|2|3|4|default|all} clear

  • 設定値を初期化する個別設定番号、またはデフォルト設定を指定します。「all」を指定するとすべての個別設定とデフォルト設定を初期化します。