IPsec コマンドリファレンス

[コマンドの一覧]

ipsec auto refresh	SAを自動更新するか否かの設定
ipsec ike always-on	IKEを常時接続するか否かの設定
ipsec ike duration ipsec-sa	IPsec SAの寿命の設定
ipsec ike duration isakmp-sa	ISAKMP SAの寿命の設定
ipsec ike encryption	IKEが用いる暗号アルゴリズムの設定
ipsec ike group	IKEが用いるグループの設定
ipsec ike hash	IKEが用いるハッシュアルゴリズムの設定
ipsec ike keepalive log	IKEキープアライブのログを出力するか否かの設定
ipsec ike keepalive use	IKEキープアライブの設定
ipsec ike local address	自分側のセキュリティゲートウェイのアドレスの設定
ipsec ike local id	自分側のIDの設定
ipsec ike local name	自分側の名前の設定
ipsec ike log	IKEのログの種類の設定
ipsec ike esp-encapsulation	ESPのカプセル化の設定
ipsec ike payload type	IKEペイロードのタイプの設定
ipsec ike pfs	PFSを用いるか否かの設定
ipsec ike pre-shared-key	事前共有鍵(pre-shared key)の登録
ipsec ike remote address	相手側のセキュリティゲートウェイのアドレスの設定
ipsec ike remote id	相手側のIDの設定
ipsec ike remote name	相手側の名前の設定
ipsec ike retry	鍵交換の再送回数と間隔の設定
ipsec ike send info	IKEの情報ペイロードを送信するか否かの設定
ipsec ike xauth myname	XAUTHの設定
ipsec ipcomp type	IPCompの設定
ipsec refresh sa	SAの管理状態の初期化
ipsec sa delete	SAの削除
ipsec sa policy (delete)	SAのポリシーの定義 (削除)
ipsec transport	トランスポートモードの定義
ipsec tunnel	トンネルインタフェースで使用するSAのポリシーの設定
ipsec use	IPsecを使用するか否かの設定
show ipsec sa	SAに関する情報の表示

※ 以下の説明では、 Rev.3、Rev.4系のファームウェアに関する記述には(*1)をつけている。同様に、Rev.6系のファームウェアに関する記述には(*2)をつけている。

ipsec auto refresh ... SAを自動更新するか否かの設定

[入力形式]

ipsec auto refresh SW
no ipsec auto refresh [SW] (*2)

[パラメータ]

SW ... スイッチ

on ...	自動更新する
off ...	自動更新しない

[説明]

SAを自動更新するか否かを設定する。

[デフォルト値]

off (*1)
設定されない (*2)

このドキュメントの先頭へ

ipsec ike always-on ... IKEを常時接続するか否かの設定

[入力形式]

ipsec ike always-on GATEWAY SW
no ipsec ike always-on GATEWAY [SW] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子

1..

SW ... スイッチ

on ...	常時接続する
off ...	常時接続しない

[説明]

IKEで常時接続するか否かを設定する。常時接続するときには、鍵交換に失敗しても鍵交換を休止せずに鍵交換を継続する。 IKEキープアライブを設定しているときには、このコマンドの設定にかかわらず、常にIKEを常時接続する。

[デフォルト値]

off

このドキュメントの先頭へ

ipsec sa duration ipsec-sa ... IPsec SAの寿命の設定

[入力形式]

ipsec ike duration ipsec-sa GATEWAY SECOND [KILOBYTE]
no ipsec ike duration ipsec-sa [GATEWAY ...] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子: 1..
SECOND ... 寿命 (秒): 300..691200
KILOBYTE ... 寿命 (キロバイト): 100..100000

[説明]

IKEで提案するIPsec SAの寿命を設定する

[デフォルト値]

SECOND = 28800

このドキュメントの先頭へ

ipsec sa duration isakmp-sa ... ISAKMP SAの寿命の設定

[入力形式]

ipsec ike duration isakmp-sa GATEWAY SECOND [KILOBYTE]
no ipsec ike duration isakmp-sa [GATEWAY ...] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子: 1..
SECOND ... 寿命 (秒): 300..691200
KILOBYTE ... 寿命 (キロバイト): 100..100000

[説明]

IKEで提案するISAKMP SAの寿命を設定する

[デフォルト値]

SECOND = 28800

このドキュメントの先頭へ

ipsec ike encryption ... IKEが用いる暗号アルゴリズムの設定

[入力形式]

ipsec ike encryption GATEWAY ALGORITHM
no ipsec ike encryption GATEWAY [...] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子

1..

ALGORITHM ... 暗号アルゴリズム

3des-cbc ...	3DES-CBC
des-cbc ...	DES-CBC
aes-cbc ...	AES-CBC

[説明]

IKEが用いる暗号アルゴリズムを設定する

[ノート]

IKEで始動側として働くときには、このコマンドで設定されたアルゴリズムを提案する。応答側として働くときは、このコマンドの設定に関係なく、DES-CBCと3DES-CBCを用いることができる。

[デフォルト値]

des-cbc

[注意]

'aes-cbc'はRev.6.03.04以降のファームウェアで指定できる。

このドキュメントの先頭へ

ipsec ike group ... IKEが用いるグループの設定

[入力形式]

ipsec ike group GATEWAY GROUP [GROUP]
no ipsec ike group GATEWAY [...] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子

1..

GROUP ... グループ

modp768 ...	MODP768 (グループ1)
modp1024 ...	MODP1024 (グループ2)

[説明]

IKEが用いるグループを設定する

[ノート]

IKEで始動側として働くときには、このコマンドで設定されたグループを提案する。応答側として働くときは、このコマンドの設定に関係なく、MODP768とMODP1024を用いることができる。 2種類のグループを設定したときには、1つ目がフェーズ1で、 2つ目がフェーズ2で提案される。グループを1種類しか設定しないときは、フェーズ1とフェーズ2の両方で、設定したグループが提案される。

[デフォルト値]

modp768

このドキュメントの先頭へ

ipsec ike hash ... IKEが用いるハッシュアルゴリズムの設定

[入力形式]

ipsec ike hash GATEWAY ALGORITHM
no ipsec ike hash GATEWAY [...] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子

1..

ALGORITHM ... ハッシュアルゴリズム

md5 ...	MD5
sha ...	SHA-1

[説明]

IKEが用いるハッシュアルゴリズムを設定する

[ノート]

IKEで始動側として働くときには、このコマンドで設定されたアルゴリズムを提案する。応答側として働くときは、このコマンドの設定に関係なく、MD5とSHAを用いることができる。

[デフォルト値]

md5

このドキュメントの先頭へ

ipsec ike keepalive log ... IKEキープアライブのログを出力するか否かの設定

[入力形式]

ipsec ike keepalive log GATEWAY SW
no ipsec ike keepalive log GATEWAY [SW] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子

1..

SW ... スイッチ

on ...	出力する
off ...	出力しない

[説明]

IKEキープアライブのログをsyslogに出力するか否かを設定する。

[デフォルト値]

このドキュメントの先頭へ

ipsec ike keepalive use ... IKEキープアライブの設定

[入力形式]

ipsec ike keepalive use GATEWAY SW
no ipsec ike keepalive use GATEWAY [SW] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子

1..

SW ... スイッチ

on ...	使用する
off ...	使用しない
auto ...	対向のルータからキープアライブを受信したときに限って送信する

[説明]

IKEキープアライブの動作を設定する。このコマンドの設定は、双方のルータで一致させる必要がある。

[デフォルト値]

on (Rev.6.03系よりも前のファームウェア)
auto (Rev.6.03系以降のファームウェア)

[注意]

autoという引数はRev.6.03系以降のファームウェアで利用できる。

このドキュメントの先頭へ

ipsec ike local address ... 自分側のセキュリティゲートウェイのアドレスの設定

[入力形式]

ipsec ike local address GATEWAY ADDRESS
ipsec ike local address GATEWAY vrrp INTERFACE VRID (*2)
ipsec ike local address GATEWAY clear (*1)
no ipsec ike local address GATEWAY [...] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子: 1..
ADDRESS ... IPアドレス: -
INTERFACE ... LANインタフェース: lan、lan1、lan2 ...
VRID ... VRRPグループID: 1..255

[説明]

自分側のセキュリティゲートウェイのIPアドレスを設定する。

[デフォルト値]

clear(*1)
設定されない(*2)

このドキュメントの先頭へ

ipsec ike local id ... 自分側のIDの設定

[入力形式]

ipsec ike local id GATEWAY ADDRESS/MASK
ipsec ike local id GATEWAY clear (*1)
no ipsec ike local id GATEWAY [...] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子: 1..
ADDRESS ... IPアドレス: -
MASK ... ネットマスク: -

[説明]

IKEのフェーズ2で用いる自分側のIDを設定する

[ノート]

IDが設定されないときには、IDを送信しない。 MASKを省略したときは、タイプ1のIDが送信される。また、MASKを指定したときは、タイプ4のIDが送信される。

[デフォルト値]

clear (*1)
設定されない (*2)

このドキュメントの先頭へ

ipsec ike local name ... 自分側のセキュリティゲートウェイの名前の設定

[入力形式]

ipsec ike local name GATEWAY NAME [TYPE]
ipsec ike local name GATEWAY clear (*1)
no ipsec ike local name GATEWAY [...] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子

1..

NAME ... 名前

ASCII文字列

TYPE ... IDの種類

fqdn ...	ID_FQDN
user-fqdn ...	ID_USER_FQDN
key-id ...	ID_KEY_ID

[説明]

自分側のセキュリティゲートウェイの名前を設定する。 TYPEの値については、RFC2407 4.6.2.1にしたがう。

[デフォルト値]

clear(*1)
設定されない(*2)

[注意]

TYPEパラメータは以下のファームウェアで利用できる。
Rev.6.02系: Rev.6.02.16以降

このドキュメントの先頭へ

ipsec ike log ... IKEのログの種類の設定

[入力形式]

ipsec ike log GATEWAY TYPE [TYPE ...]
ipsec ike log GATEWAY clear (*1)
no ipsec ike log GATEWAY [...] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子

1..

TYPE ... ログの種類

message-info ...	IKEメッセージの内容
payload-info ...	ペイロードの処理内容
key-info ...	鍵計算の処理内容

[説明]

出力するログの種類を設定する。ログはすべて、 syslogのdebugレベルで出力される。

[ノート]

このコマンドが設定されないときには、最小限のログしか出力しない。引数として複数の種類を設定することもできる。

[デフォルト値]

clear (*1)
設定されない (*2)

このドキュメントの先頭へ

ipsec ike esp-encapsulation ... ESPのカプセル化の設定

[入力形式]

ipsec ike esp-encapsulation GATEWAY SW
no ipsec ike esp-encapsulation GATEWAY [SW] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子

1..

SW ... スイッチ

on ...	使用する
off ...	使用しない

[説明]

NATなどの影響でESPが通過できない環境でIPsecの通信を確立するために、ESPをUDPでカプセル化して送受信できるようにする。このコマンドの設定は双方のルータで一致させる必要がある。

[デフォルト値]

off

[注意]

このコマンドはRev.6.03系以降のファームウェアで利用できる。

このドキュメントの先頭へ

ipsec ike payload type ... IKEペイロードのタイプの設定

[入力形式]

ipsec ike payload type GATEWAY TYPE
no ipsec ike payload type GATEWAY [TYPE] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子

1..

TYPE ... ペイロードのタイプ

1 ...	IPsecリリース2以前
2 ...	IPsecリリース3
3 ...	初期ベクトル(IV)の生成方法を一部の実装に合わせる

[説明]

IKEペイロードのタイプを設定する。RTの古いリビジョンと接続するときには、タイプを1に設定する必要がある。

[ノート]

TYPEの3はRev.7.01.08以降のファームウェアでサポートしている。

[デフォルト値]

このドキュメントの先頭へ

ipsec ike pfs ... PFSを用いるか否かの設定

[入力形式]

ipsec ike pfs GATEWAY SW
no ipsec ike pfs GATEWAY [SW] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子

1..

SW ... スイッチ

on ...	PFSを使用する
off ...	PFSを使用しない

[説明]

IKEでPFSを用いるか否かを設定する。

[ノート]

相手側のセキュリティゲートウェイと同じように設定する必要がある。

[デフォルト値]

off

このドキュメントの先頭へ

ipsec ike pre-shared-key ... 事前共有鍵の登録

[入力形式]

ipsec ike pre-shared-key GATEWAY text TEXT_KEY
ipsec ike pre-shared-key GATEWAY BINARY_KEY
ipsec ike pre-shared-key GATEWAY clear (*1)
no ipsec ike pre-shared-key GATEWAY [...] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子: 1..
TEXT_KEY ... テキスト形式の鍵: ASCII文字列 (最大32文字)
BINARY_KEY ... バイナリ形式の鍵: 0xで始まる16進数列 (最大32バイト)

[説明]

IKEが用いる事前共有鍵を設定する。

[ノート]

相手側のセキュリティゲートウェイでも同じ鍵を設定する必要がある。

[デフォルト値]

clear(*1)
設定されない(*2)

このドキュメントの先頭へ

ipsec ike remote address ... 相手側のセキュリティゲートウェイのアドレスの設定

[入力形式]

ipsec ike remote address GATEWAY ADDRESS
ipsec ike remote address GATEWAY clear (*1)
no ipsec ike remote address GATEWAY [...] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子

1..

ADDRESS ... アドレス

IPアドレス ...	指定されたIPアドレスからの要求を受け付ける
any ...	相手を特定しない
文字列 ...	DNSの名前

[説明]

相手側のセキュリティゲートウェイのIPアドレスを設定する。相手のIPアドレスが動的に変化する場合にはanyを指定する。この場合には、相手側には、ipsec ike local nameコマンドを設定し、自分側には、ipsec ike remote nameコマンドを設定する必要がある。

[ノート]

Rev.7.01.08以降のファームウェアでは、 ADDRESSとしてDNSの名前を設定することができる。この場合には、鍵交換の直前に名前の解決を行う。

[デフォルト値]

clear(*1)
設定されない(*2)

このドキュメントの先頭へ

ipsec ike remote id ... 相手側のIDの設定

[入力形式]

ipsec ike remote id GATEWAY ADDRESS/MASK
ipsec ike remote id GATEWAY clear (*1)
no ipsec ike remote id GATEWAY [...] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子: 1..
ADDRESS ... IPアドレス: -
MASK ... ネットマスク: -

[説明]

IKEのフェーズ2で用いる自分側のIDを設定する

[ノート]

[デフォルト値]

clear (*1)
設定されない (*2)

このドキュメントの先頭へ

ipsec ike remote name ... 相手側のセキュリティゲートウェイの名前の設定

[入力形式]

ipsec ike remote name GATEWAY NAME
ipsec ike remote name GATEWAY clear (*1)
no ipsec ike remote name GATEWAY [...] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子: 1..
NAME ... 名前: ASCII文字列

[説明]

相手側のセキュリティゲートウェイの名前を設定する。

[デフォルト値]

clear(*1)
設定されない(*2)

このドキュメントの先頭へ

ipsec ike retry ... 鍵交換の再送回数と間隔の設定

[入力形式]

ipsec ike retry COUNT INTERVAL
no ipsec ike retry [COUNT ...] (*2)

[パラメータ]

COUNT ... 再送回数: 1..50
INTERVAL ... 再送間隔(秒): 1..100

[説明]

鍵交換が失敗した時に鍵交換を繰り返す回数とその時間間隔を設定する。

[デフォルト値]

COUNT = 10
INTERVAL = 5

このドキュメントの先頭へ

ipsec ike send info ... IKEの情報ペイロードを送信するか否かの設定

[入力形式]

ipsec ike send info GATEWAY SW
no ipsec ike send info GATEWAY [SW] (*2)

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子

1..

SW ... スイッチ

on ...	送信する
off ...	送信しない

[説明]

IKEの情報ペイロードを送信するか否かを設定する。受信に関しては、この設定に関わらず、すべての情報ペイロードを解釈する。

[ノート]

このコマンドは、接続性の検証などの特別な目的で使用される。定常の運用時はonに設定する必要がある。

[デフォルト値]

このドキュメントの先頭へ

ipsec ike xauth myname ... XAUTHの設定

[入力形式]

ipsec ike xauth myname GATEWAY NAME PASSWORD
no ipsec xauth myname GATEWAY [NAME [PASSWORD]]

[パラメータ]

GATEWAY ... セキュリティ・ゲートウェイの識別子: 1..
NAME ... XAUTHで通知する名前: 32文字までの文字列
PASSWORD ... XAUTHで通知するパスワード: 32文字までの文字列

[説明]

XAUTHの認証を要求されたときに通知する名前とパスワードを設定する。

[ノート]

このコマンドは、Rev.7.00.14以降のファームウェアで利用できる。

[デフォルト値]

設定されない

このドキュメントの先頭へ

ipsec ipcomp type ... IPCompの設定

[入力形式]

ipsec ipcomp type TYPE
no ipsec ipcomp type [TYPE] (*2)

[パラメータ]

TYPE ... 使用するアルゴリズム

none ...	IPCompを使用しない
deflate ...	アルゴリズムとしてdeflateを使って圧縮する

[説明]

IPCompでデータ圧縮を行うかどうかを設定する。サポートしているアルゴリズムはdeflateのみである。受信したIPCompパケットを展開するためには、特別な設定を必要としない。すなわち、サポートしているアルゴリズムで圧縮されたIPCompパケットを受信した場合には、設定に関係なく展開する。必ずしも双方のルータにこのコマンドを設定する必要はない。片側にのみ設定した場合には、そのルータから送信されるIPパケットのみが圧縮される。トランスポートモードではIPCompを使用することはできない。

[デフォルト値]

none

このドキュメントの先頭へ

ipsec refresh sa ... IPsecの状態の初期化

[入力形式]: ipsec refresh sa
[パラメータ]: なし
[説明]: 管理されているSAをすべて削除して、IKEの状態を初期化する。通常の運用では、ipsec sa deleteコマンドを用いることが望ましい。

このドキュメントの先頭へ

ipsec sa delete ... SAの削除

[入力形式]

ipsec sa delete SA
ipsec sa delete all

[パラメータ]

SA ... SAの識別子: 1..

[説明]

指定したSAを削除する。 SAのIDは自動的に付与されるので、show ipsec saコマンドで確認すること。

このドキュメントの先頭へ

ipsec sa policy ... SAのポリシーの定義

[入力形式]

ipsec sa policy POLICY-ID GATEWAY ah HMAC-ALG [local-id=LOCAL-ID remote-id=REMOTE-ID]
ipsec sa policy POLICY-ID GATEWAY esp ENCRYPT-ALG [HMAC-ALG] [local-id=LOCAL-ID remote-id=REMOTE-ID]
ipsec sa policy delete POLICY-ID (*1)
no ipsec sa policy POLICY-ID [GATEWAY ...] (*2)

[パラメータ]

POLICY-ID ... ポリシーの識別子

1..

GATEWAY ... セキュリティ・ゲートウェイの識別子

1..

ah ... 認証ヘッダ

esp ... 暗号ペイロード

HMAC-ALG ... 認証アルゴリズム

md5-hmac ...	HMAC-MD5
sha-hmac ...	HMAC-SHA-1

ENCRYPT-ALG ... 暗号アルゴリズム

3des-cbc ...	3DES-CBC
des-cbc ...	DES-CBC
aes-cbc ...	AES-CBC

LOCAL-ID ... 自分側のネットワーク識別子

ネットワークアドレス/ネットワークマスク

REMOTE-ID ... 相手側のネットワーク識別子

ネットワークアドレス/ネットワークマスク

[説明]

SAのポリシーを定義する。この定義はトンネルモード及びトランスポートモードの設定に必要である。この定義は複数のトンネルモード及びトランスポートモードで使用できる。

[デフォルト値]

定義されない

[注意]

'aes-cbc'はRev.6.03.04以降のファームウェアで指定できる。また'local-id'と'remote-id'は Rev.6.03.18以降のファームウェアで指定できる。

このドキュメントの先頭へ

ipsec transport ... トランスポートモードの定義

[入力形式]

ipsec transport ID POLICY-ID [PROTO [SRC-PORT-LIST [DST-PORT-LIST]]]
ipsec transport delete ID (*1)
no ipsec transport ID [POLICY-ID ...] (*2)

[パラメータ]

ID ... 識別子: 1..255
POLICY-ID ... ポリシーの識別子: 1..
PROTO ... プロトコル: -
SRC-PORT-LIST ... UDP、TCPの始点ポート番号列: -
DST-PORT-LIST ... UDP、TCPの終点ポート番号列: -

[説明]

トランスポートモードを定義する。定義後、パラメータに合致する IPパケットに対してトランスポートモードでの通信を開始する。

このドキュメントの先頭へ

ipsec tunnel ... トンネルインタフェースで使用するSAのポリシーの設定

[入力形式]

ipsec tunnel POLICY-ID
ipsec tunnel clear (*1)
no ipsec tunnel [POLICY-ID] (*2)

[パラメータ]

POLICY-ID ... ポリシーの識別子: 1..255

[説明]

選択されているトンネルインタフェースで使用するSAのポリシーを設定します。

[デフォルト値]

clear (*1)
設定されない (*2)

このドキュメントの先頭へ

ipsec use ... IPsecを使用するか否かの設定

[入力形式]

ipsec use SW
no ipsec use [SW] (*2)

[パラメータ]

SW ... スイッチ

on ...	使用する
off ...	使用しない

[説明]

IPsecを使用するか否かを設定する。この設定がoffのときには、 IKEで使用するUDPの500番のポートが閉じられる。

[デフォルト値]

[注意]

このコマンドはRev.6.01.06以降のファームウェアで利用できる。

このドキュメントの先頭へ

show ipsec sa ... SAに関する情報の表示

[入力形式]

show ipsec sa SA [gateway [GATEWAY] [detail]]

[パラメータ]

SA ... SAの識別子

整数値 ...	指定されたSAのみを表示する
all ...	すべてのSAを表示する

GATEWAY ... セキュリティゲートウェイの識別子

1..

detail ... 詳細な情報を表示するときのキーワード

[説明]

管理しているSAを表示する。

[注意]

gateway以降のパラメータは、Rev.6.03.11以降のファームウェアでのみ指定できる。

このドキュメントの先頭へ

IPsec機能のトップページへ

[関連ドキュメント]

[ YAMAHA RT / ネットボランチ / 検索 / RFC / 技術資料 / 設定例集 / RT's FAQ ]

Copyright (C) 1995～2006, YAMAHA Corporation.