IPsec コマンドリファレンス


[コマンドの一覧]

ipsec auto refresh SAを自動更新するか否かの設定
ipsec ike always-on IKEを常時接続するか否かの設定
ipsec ike duration ipsec-sa IPsec SAの寿命の設定
ipsec ike duration isakmp-sa ISAKMP SAの寿命の設定
ipsec ike encryption IKEが用いる暗号アルゴリズムの設定
ipsec ike group IKEが用いるグループの設定
ipsec ike hash IKEが用いるハッシュアルゴリズムの設定
ipsec ike keepalive log IKEキープアライブのログを出力するか否かの設定
ipsec ike keepalive use IKEキープアライブの設定
ipsec ike local address 自分側のセキュリティゲートウェイのアドレスの設定
ipsec ike local id 自分側のIDの設定
ipsec ike local name 自分側の名前の設定
ipsec ike log IKEのログの種類の設定
ipsec ike esp-encapsulation ESPのカプセル化の設定
ipsec ike payload type IKEペイロードのタイプの設定
ipsec ike pfs PFSを用いるか否かの設定
ipsec ike pre-shared-key 事前共有鍵(pre-shared key)の登録
ipsec ike remote address 相手側のセキュリティゲートウェイのアドレスの設定
ipsec ike remote id 相手側のIDの設定
ipsec ike remote name 相手側の名前の設定
ipsec ike retry 鍵交換の再送回数と間隔の設定
ipsec ike send info IKEの情報ペイロードを送信するか否かの設定
ipsec ike xauth myname XAUTHの設定
ipsec ipcomp type IPCompの設定
ipsec refresh sa SAの管理状態の初期化
ipsec sa delete SAの削除
ipsec sa policy (delete) SAのポリシーの定義 (削除)
ipsec transport トランスポートモードの定義
ipsec tunnel トンネルインタフェースで使用するSAのポリシーの設定
ipsec use IPsecを使用するか否かの設定
show ipsec sa SAに関する情報の表示

※ 以下の説明では、 Rev.3、Rev.4系のファームウェアに関する記述には(*1)をつけている。 同様に、Rev.6系のファームウェアに関する記述には(*2)をつけている。


ipsec auto refresh
... SAを自動更新するか否かの設定

[入力形式]
ipsec auto refresh SW
no ipsec auto refresh [SW] (*2)
[パラメータ]
SW ... スイッチ
on ... 自動更新する
off ... 自動更新しない
[説明]
SAを自動更新するか否かを設定する。
[デフォルト値]
off (*1)
設定されない (*2)

このドキュメントの先頭へ


ipsec ike always-on
... IKEを常時接続するか否かの設定

[入力形式]
ipsec ike always-on GATEWAY_ID SW
no ipsec ike always-on GATEWAY_ID [SW] (*2)
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
SW ... スイッチ
on ... 常時接続する
off ... 常時接続しない
[説明]
IKEで常時接続するか否かを設定する。常時接続するときには、 鍵交換に失敗しても鍵交換を休止せずに鍵交換を継続する。 IKEキープアライブを設定しているときには、 このコマンドの設定にかかわらず、常にIKEを常時接続する。
[デフォルト値]
off
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec sa duration ipsec-sa
... IPsec SAの寿命の設定

[入力形式]
ipsec ike duration ipsec-sa GATEWAY_ID SECOND [KILOBYTE] [rekey REKEY] [forced-reduction=DEL_TIME]
no ipsec ike duration ipsec-sa [GATEWAY_ID ...] (*2)
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
SECOND ... 寿命 (秒)
300..691200
KILOBYTE
  • NVR510 Rev.15.01.25以降、NVR700W Rev.15.00.24以降、RTX830 Rev.15.02.27以降、RTX1220 Rev.15.04.05以降、RTX1300、RTX3510、RTX5000 / RTX3500 Rev.14.00.34以降、vRX Amazon EC2版、vRX VMware ESXi版
    • 100..2147483647 ... キロ単位のバイト数
    • off ... バイト寿命を設定しない
  • 上記以外
    • 100..100000 ... キロ単位のバイト数
REKEY ... SA を更新するタイミング
70%..90%
DEL_TIME ... 古くなったSAの寿命を強制的に短縮する時間
1..691200
[説明]
IKEで提案するIPsec SAの寿命を設定する
[ノート]
forced-reduction オプションは以下の機種およびリビジョンで使用可能。
NVR510 は Rev.15.01.25 以降。
NVR700W は Rev.15.00.24 以降。
RTX830 は Rev.15.02.27 以降。
RTX1220 は Rev.15.04.05以降。
RTX1300 は Rev.23.00.05 以降。
RTX3510 は すべてのリビジョン。
RTX5000、RTX3500 Rev.14.00.34以降
[デフォルト値]
SECOND = 28800
KILOBYTE =
  • 2000000 (NVR510 Rev.15.01.25以降、NVR700W Rev.15.00.24以降、RTX830 Rev.15.02.27以降、RTX1220 Rev.15.04.05以降、RTX1300、RTX3510、RTX5000 / RTX3500 Rev.14.00.34以降、vRX Amazon EC2版、vRX VMware ESXi版)
  • なし (他の機種)
REKEY = 75%
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec sa duration isakmp-sa
... ISAKMP SAの寿命の設定

[入力形式]
ipsec ike duration isakmp-sa GATEWAY_ID SECOND [KILOBYTE] [rekey REKEY] [forced-reduction=DEL_TIME]
no ipsec ike duration isakmp-sa [GATEWAY_ID ...] (*2)
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
SECOND ... 寿命 (秒)
300..691200
KILOBYTE ... キロ単位のバイト数
  • NVR510 Rev.15.01.25以降、NVR700W Rev.15.00.24以降、RTX830 Rev.15.02.27以降、RTX1220 Rev.15.04.05以降、RTX1300、RTX3510、RTX5000 / RTX3500 Rev.14.00.34以降、vRX Amazon EC2版、vRX VMware ESXi版
    • 100..2147483647 ... キロ単位のバイト数
    • off ... バイト寿命を設定しない
  • 上記以外
    • 100..100000 ... キロ単位のバイト数
REKEY ... SA を更新するタイミング
70%..90%
off
DEL_TIME ... 古くなったSAの寿命を強制的に短縮する時間
1..691200
[説明]
IKEで提案するISAKMP SAの寿命を設定する
[ノート]
forced-reduction オプションは以下の機種およびリビジョンで使用可能。
NVR510 は Rev.15.01.25 以降。
NVR700W は Rev.15.00.24 以降。
RTX830 は Rev.15.02.27 以降。
RTX1220 は Rev.15.04.05 以降。
RTX1300 は Rev.23.00.05 以降。
RTX3510 は すべてのリビジョン。
RTX5000、RTX3500 は Rev.14.00.34 以降。
[デフォルト値]
SECOND = 28800
KILOBYTE =
  • 2000000 (NVR510 Rev.15.01.25以降、NVR700W Rev.15.00.24以降、RTX830 Rev.15.02.27以降、RTX1220 Rev.15.04.05以降、RTX1300、RTX3510、RTX5000 / RTX3500 Rev.14.00.34以降、vRX Amazon EC2版、vRX VMware ESXi版)
  • なし (他の機種)
REKEY = 75%
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec ike encryption
... IKEが用いる暗号アルゴリズムの設定

[入力形式]
ipsec ike encryption GATEWAY_ID ALGORITHM
no ipsec ike encryption GATEWAY_ID [...] (*2)
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
ALGORITHM ... 暗号アルゴリズム
3des-cbc ... 3DES-CBC
des-cbc ... DES-CBC
aes-cbc ... AES-CBC
[説明]
IKEが用いる暗号アルゴリズムを設定する
[ノート]
IKEで始動側として働くときには、このコマンドで設定された アルゴリズムを提案する。応答側として働くときは、このコ マンドの設定に関係なく、DES-CBCと3DES-CBCを用いることが できる。
[デフォルト値]
des-cbc
[注意]
'aes-cbc'はRev.6.03.04以降のファームウェアで指定できる。
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec ike group
... IKEが用いるグループの設定

[入力形式]
ipsec ike group GATEWAY_ID GROUP [GROUP]
no ipsec ike group GATEWAY_ID [...] (*2)
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
GROUP ... グループ
modp768 ... MODP768 (グループ1)
modp1024 ... MODP1024 (グループ2)
[説明]
IKEが用いるグループを設定する
[ノート]
IKEで始動側として働くときには、このコマンドで設定された グループを提案する。応答側として働くときは、このコマンド の設定に関係なく、MODP768とMODP1024を用いることができる。 2種類のグループを設定したときには、1つ目がフェーズ1で、 2つ目がフェーズ2で提案される。グループを1種類しか 設定しないときは、フェーズ1とフェーズ2の両方で、設定 したグループが提案される。
[デフォルト値]
modp768
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec ike hash
... IKEが用いるハッシュアルゴリズムの設定

[入力形式]
ipsec ike hash GATEWAY_ID ALGORITHM
no ipsec ike hash GATEWAY_ID [...] (*2)
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
ALGORITHM ... ハッシュアルゴリズム
md5 ... MD5
sha ... SHA-1
[説明]
IKEが用いるハッシュアルゴリズムを設定する
[ノート]
IKEで始動側として働くときには、このコマンドで設定された アルゴリズムを提案する。応答側として働くときは、このコ マンドの設定に関係なく、MD5とSHAを用いることができる。
[デフォルト値]
md5
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec ike keepalive log
... IKEキープアライブのログを出力するか否かの設定

[入力形式]
ipsec ike keepalive log GATEWAY_ID SW
no ipsec ike keepalive log GATEWAY_ID [SW] (*2)
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
SW ... スイッチ
on ... 出力する
off ... 出力しない
[説明]
IKEキープアライブのログをsyslogに出力するか否かを設定する。
[デフォルト値]
on
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec ike keepalive use
... IKEキープアライブの設定

[入力形式]
ipsec ike keepalive use GATEWAY_ID SW [down=disconnect] [send-only-new-sa=SEND]
ipsec ike keepalive use GATEWAY_ID SW heartbeat [INTERVAL COUNT [UPWAIT]] [down=disconnect] [send-only-new-sa=SEND]
ipsec ike keepalive use GATEWAY_ID SW icmp-echo ADDRESS [length=LENGTH] [INTERVAL COUNT [UPWAIT]] [down=disconnect]
ipsec ike keepalive use GATEWAY_ID SW dpd [INTERVAL COUNT [UPWAIT]]
ipsec ike keepalive use GATEWAY_ID SW rfc4306 [INTERVAL COUNT [UPWAIT]]
no ipsec ike keepalive use GATEWAY_ID [SW ....]
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
SW ... スイッチ
on ... 使用する
off ... 使用しない
auto ... 対向のルータからキープアライブを受信したときに 限って送信する
ADDRESS ... ping を送信する宛先の IP アドレス (IPv4/IPv6)
-
LENGTH ... ICMP Echo のデータ部の長さ
64..1500
INTERVAL ... キープアライブパケットの送信間隔秒数
1..600
COUNT ... キープアライブパケットが届かないときに障害とみなすまでの試行回数
1..50
UPWAIT ... IPsec SA が生成されてから実際にトンネルインタフェースを有効にするまでの時間
1..1000000
SEND ... キープアライブの動作
on ... 新旧の SA が混在する場合、新しい SA のみに対してキープアライブパケットを送信する
off ... 新旧の SA が混在する場合、新旧 SA の両方に対してキープアライブパケットを送信する
[説明]
IKEキープアライブの動作を設定する。このコマンドの設定は、 双方のルータで一致させる必要がある。
[デフォルト値]
SW = on (Rev.6.03系よりも前のファームウェア)
= auto (Rev.6.03系以降のファームウェア)
LENGTH = 64
INTERVAL = 10
COUNT = 6
UPWAIT = 0
SEND = off
[注意]
autoという引数はRev.6.03系以降のファームウェアで利用できる。
DPD は Rev.8.03 系以降のすべてのファームウェアで利用できる。
RFC4306 は RTX3000 Rev.9.00.50 以降、RTX1200 Rev.10.01.22 以降のファームウェア、および、Rev.11.01 系以降のすべてのファームウェアで利用できる。
down オプションは RTX1200 Rev.10.01.16 以降のファームウェア、および、Rev.11.01 系以降のすべてのファームウェアで利用できる。
send-only-new-sa オプションは Rev.14.01 系以降のすべてのファームウェアで利用できる。
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec ike local address
... 自分側のセキュリティゲートウェイのアドレスの設定

[入力形式]
ipsec ike local address GATEWAY_ID ADDRESS
ipsec ike local address GATEWAY_ID vrrp INTERFACE VRID (*2)
ipsec ike local address GATEWAY_ID clear (*1)
no ipsec ike local address GATEWAY_ID [...] (*2)
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
ADDRESS ... IPアドレス
-
INTERFACE ... LANインタフェース
lan、lan1、lan2 ...
VRID ... VRRPグループID
1..255
[説明]
自分側のセキュリティゲートウェイのIPアドレスを設定する。
[デフォルト値]
clear(*1)
設定されない(*2)
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec ike local id
... 自分側のIDの設定

[入力形式]
ipsec ike local id GATEWAY_ID ADDRESS/MASK
ipsec ike local id GATEWAY_ID clear (*1)
no ipsec ike local id GATEWAY_ID [...] (*2)
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
ADDRESS ... IPアドレス
-
MASK ... ネットマスク
-
[説明]
IKEのフェーズ2で用いる自分側のIDを設定する
[ノート]
IDが設定されないときには、IDを送信しない。 MASKを省略したときは、タイプ1のIDが送信される。 また、MASKを指定したときは、タイプ4のIDが送信される。
[デフォルト値]
clear (*1)
設定されない (*2)
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec ike local name
... 自分側のセキュリティゲートウェイの名前の設定

[入力形式]
ipsec ike local name GATEWAY_ID NAME [TYPE]
ipsec ike local name GATEWAY_ID clear (*1)
no ipsec ike local name GATEWAY_ID [...] (*2)
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
NAME ... 名前
ASCII文字列
TYPE ... IDの種類
fqdn ... ID_FQDN
user-fqdn ... ID_USER_FQDN
key-id ... ID_KEY_ID
[説明]
自分側のセキュリティゲートウェイの名前を設定する。 TYPEの値については、RFC2407 4.6.2.1にしたがう。
[デフォルト値]
clear(*1)
設定されない(*2)
[注意]
TYPEパラメータは以下のファームウェアで利用できる。
Rev.6.02系: Rev.6.02.16以降
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec ike log
... IKEのログの種類の設定

[入力形式]
ipsec ike log GATEWAY_ID TYPE [TYPE ...]
ipsec ike log GATEWAY_ID clear (*1)
no ipsec ike log GATEWAY_ID [...] (*2)
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
TYPE ... ログの種類
message-info ... IKEメッセージの内容
payload-info ... ペイロードの処理内容
key-info ... 鍵計算の処理内容
[説明]
出力するログの種類を設定する。ログはすべて、 syslogのdebugレベルで出力される。
[ノート]
このコマンドが設定されないときには、最小限のログ しか出力しない。引数として複数の種類を設定することもできる。
[デフォルト値]
clear (*1)
設定されない (*2)
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec ike esp-encapsulation
... ESPのカプセル化の設定

[入力形式]
ipsec ike esp-encapsulation GATEWAY_ID SW
no ipsec ike esp-encapsulation GATEWAY_ID [SW] (*2)
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
SW ... スイッチ
on ... 使用する
off ... 使用しない
[説明]
NATなどの影響でESPが通過できない環境でIPsecの通信を確立するため に、ESPをUDPでカプセル化して送受信できるようにする。このコマンド の設定は双方のルータで一致させる必要がある。
[デフォルト値]
off
[注意]
このコマンドはRev.6.03系以降のファームウェアで利用できる。
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec ike payload type
... IKEペイロードのタイプの設定

[入力形式]
ipsec ike payload type GATEWAY_ID TYPE
no ipsec ike payload type GATEWAY_ID [TYPE] (*2)
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
TYPE ... ペイロードのタイプ
1 ... IPsecリリース2以前
2 ... IPsecリリース3
3 ... 初期ベクトル(IV)の生成方法を一部の実装に合わせる
[説明]
IKEペイロードのタイプを設定する。RTの古いリビジョンと 接続するときには、タイプを1に設定する必要がある。
[ノート]
TYPEの3はRev.7.01.08以降のファームウェアでサポートしている。
[デフォルト値]
2
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec ike pfs
... PFSを用いるか否かの設定

[入力形式]
ipsec ike pfs GATEWAY_ID SW
no ipsec ike pfs GATEWAY_ID [SW] (*2)
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
SW ... スイッチ
on ... PFSを使用する
off ... PFSを使用しない
[説明]
IKEでPFSを用いるか否かを設定する。
[ノート]
相手側のセキュリティゲートウェイと同じように 設定する必要がある。
[デフォルト値]
off
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec ike pre-shared-key
... 事前共有鍵の登録

[入力形式]
ipsec ike pre-shared-key GATEWAY_ID text TEXT_KEY
ipsec ike pre-shared-key GATEWAY_ID BINARY_KEY
ipsec ike pre-shared-key GATEWAY_ID clear (*1)
no ipsec ike pre-shared-key GATEWAY_ID [...] (*2)
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
TEXT_KEY ... テキスト形式の鍵
ASCII文字列 (最大32文字)
BINARY_KEY ... バイナリ形式の鍵
0xで始まる16進数列 (最大32バイト)
[説明]
IKEが用いる事前共有鍵を設定する。
[ノート]
相手側のセキュリティゲートウェイでも同じ鍵を 設定する必要がある。
[デフォルト値]
clear(*1)
設定されない(*2)
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec ike remote address
... 相手側のセキュリティゲートウェイのアドレスの設定

[入力形式]
ipsec ike remote address GATEWAY_ID ADDRESS
ipsec ike remote address GATEWAY_ID clear (*1)
no ipsec ike remote address GATEWAY_ID [...] (*2)
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
ADDRESS ... アドレス
IPアドレス ... 指定されたIPアドレスからの要求を受け付ける
any ... 相手を特定しない
文字列 ... DNSの名前
[説明]
相手側のセキュリティゲートウェイのIPアドレスを設定する。 相手のIPアドレスが動的に変化する場合にはanyを指定する。 この場合には、相手側には、ipsec ike local nameコマンドを 設定し、自分側には、ipsec ike remote nameコマンドを設定 する必要がある。
[ノート]
Rev.7.01.08以降のファームウェアでは、 ADDRESSとしてDNSの名前を設定することができる。この場合には、 鍵交換の直前に名前の解決を行う。
IPsecメインモード接続では、相手側セキュリティ・ゲートウェイの IP アドレスおよびホスト名を重複して設定しない。 相手側セキュリティ・ゲートウェイの IP アドレスおよびホスト名を重複して設定した場合の動作は保証されない。
[デフォルト値]
clear(*1)
設定されない(*2)
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec ike remote id
... 相手側のIDの設定

[入力形式]
ipsec ike remote id GATEWAY_ID ADDRESS/MASK
ipsec ike remote id GATEWAY_ID clear (*1)
no ipsec ike remote id GATEWAY_ID [...] (*2)
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
ADDRESS ... IPアドレス
-
MASK ... ネットマスク
-
[説明]
IKEのフェーズ2で用いる自分側のIDを設定する
[ノート]
IDが設定されないときには、IDを送信しない。 MASKを省略したときは、タイプ1のIDが送信される。 また、MASKを指定したときは、タイプ4のIDが送信される。
[デフォルト値]
clear (*1)
設定されない (*2)
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec ike remote name
... 相手側のセキュリティゲートウェイの名前の設定

[入力形式]
ipsec ike remote name GATEWAY_ID NAME
ipsec ike remote name GATEWAY_ID clear (*1)
no ipsec ike remote name GATEWAY_ID [...] (*2)
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
NAME ... 名前
ASCII文字列
[説明]
相手側のセキュリティゲートウェイの名前を設定する。
[デフォルト値]
clear(*1)
設定されない(*2)
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec ike retry
... 鍵交換の再送回数と間隔の設定

[入力形式]
ipsec ike retry COUNT INTERVAL
no ipsec ike retry [COUNT ...] (*2)
[パラメータ]
COUNT ... 再送回数
1..50
INTERVAL ... 再送間隔(秒)
1..100
[説明]
鍵交換が失敗した時に鍵交換を繰り返す回数とその時間間隔を 設定する。
[デフォルト値]
COUNT = 10
INTERVAL = 5

このドキュメントの先頭へ


ipsec ike send info
... IKEの情報ペイロードを送信するか否かの設定

[入力形式]
ipsec ike send info GATEWAY_ID SW
no ipsec ike send info GATEWAY_ID [SW] (*2)
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
SW ... スイッチ
on ... 送信する
off ... 送信しない
[説明]
IKEの情報ペイロードを送信するか否かを設定する。 受信に関しては、この設定に関わらず、すべての情報 ペイロードを解釈する。
[ノート]
このコマンドは、接続性の検証などの特別な目的で 使用される。定常の運用時はonに設定する必要がある。
[デフォルト値]
on
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec ike xauth myname
... XAUTHの設定

[入力形式]
ipsec ike xauth myname GATEWAY_ID NAME PASSWORD
no ipsec xauth myname GATEWAY_ID [NAME [PASSWORD]]
[パラメータ]
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
NAME ... XAUTHで通知する名前
32文字までの文字列
PASSWORD ... XAUTHで通知するパスワード
32文字までの文字列
[説明]
XAUTHの認証を要求されたときに通知する名前とパスワードを設定する。
[ノート]
このコマンドは、Rev.7.00.14以降のファームウェアで利用できる。
[デフォルト値]
設定されない
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec ipcomp type
... IPCompの設定

[入力形式]
ipsec ipcomp type TYPE
no ipsec ipcomp type [TYPE] (*2)
[パラメータ]
TYPE ... 使用するアルゴリズム
none ... IPCompを使用しない
deflate ... アルゴリズムとしてdeflateを使って圧縮する
[説明]
IPCompでデータ圧縮を行うかどうかを設定する。サポートしている アルゴリズムはdeflateのみである。受信したIPCompパケットを 展開するためには、特別な設定を必要としない。すなわち、サポート しているアルゴリズムで圧縮されたIPCompパケットを受信した場合には、 設定に関係なく展開する。 必ずしも双方のルータにこのコマンドを設定する必要はない。 片側にのみ設定した場合には、そのルータから送信されるIPパケット のみが圧縮される。トランスポートモードではIPCompを使用すること はできない。
[デフォルト値]
none

このドキュメントの先頭へ


ipsec refresh sa
... IPsecの状態の初期化

[入力形式]
ipsec refresh sa
[パラメータ]
なし
[説明]
管理されているSAをすべて削除して、IKEの状態を初期化する。 通常の運用では、ipsec sa deleteコマンドを用いることが 望ましい。

このドキュメントの先頭へ


ipsec sa delete
... SAの削除

[入力形式]
ipsec sa delete SA
ipsec sa delete all
[パラメータ]
SA ... SAの識別子
1..
[説明]
指定したSAを削除する。 SAのIDは自動的に付与されるので、show ipsec saコマンドで 確認すること。

このドキュメントの先頭へ


ipsec sa policy
... SAのポリシーの定義

[入力形式]
ipsec sa policy POLICY-ID GATEWAY_ID ah HMAC-ALG [local-id=LOCAL-ID remote-id=REMOTE-ID]
ipsec sa policy POLICY-ID GATEWAY_ID esp ENCRYPT-ALG [HMAC-ALG] [local-id=LOCAL-ID remote-id=REMOTE-ID]
ipsec sa policy delete POLICY-ID (*1)
no ipsec sa policy POLICY-ID [GATEWAY_ID ...] (*2)
[パラメータ]
POLICY-ID ... ポリシーの識別子
1..
GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
1..
ah ... 認証ヘッダ
-
esp ... 暗号ペイロード
-
HMAC-ALG ... 認証アルゴリズム
md5-hmac ... HMAC-MD5
sha-hmac ... HMAC-SHA-1
ENCRYPT-ALG ... 暗号アルゴリズム
3des-cbc ... 3DES-CBC
des-cbc ... DES-CBC
aes-cbc ... AES-CBC
LOCAL-ID ... 自分側のネットワーク識別子
ネットワークアドレス/ネットワークマスク
REMOTE-ID ... 相手側のネットワーク識別子
ネットワークアドレス/ネットワークマスク
[説明]
SAのポリシーを定義する。 この定義はトンネルモード及びトランスポートモードの設定に 必要である。この定義は複数のトンネルモード及びトランス ポートモードで使用できる。
[デフォルト値]
定義されない
[注意]
'aes-cbc'はRev.6.03.04以降のファームウェアで指定できる。 また'local-id'と'remote-id'は Rev.6.03.18以降のファームウェアで指定できる。
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ


ipsec transport
... トランスポートモードの定義

[入力形式]
ipsec transport ID POLICY-ID [PROTO [SRC-PORT-LIST [DST-PORT-LIST]]]
ipsec transport delete ID (*1)
no ipsec transport ID [POLICY-ID ...] (*2)
[パラメータ]
ID ... 識別子
1..255
POLICY-ID ... ポリシーの識別子
1..
PROTO ... プロトコル
-
SRC-PORT-LIST ... UDP、TCPの始点ポート番号列
-
DST-PORT-LIST ... UDP、TCPの終点ポート番号列
-
[説明]
トランスポートモードを定義する。 定義後、パラメータに合致する IPパケットに対してトランスポートモードでの通信を開始する。

このドキュメントの先頭へ


ipsec tunnel
... トンネルインタフェースで使用するSAのポリシーの設定

[入力形式]
ipsec tunnel POLICY-ID
ipsec tunnel clear (*1)
no ipsec tunnel [POLICY-ID] (*2)
[パラメータ]
POLICY-ID ... ポリシーの識別子
1..255
[説明]
選択されているトンネルインタフェースで使用するSAのポリシーを 設定します。
[デフォルト値]
clear (*1)
設定されない (*2)

このドキュメントの先頭へ


ipsec use
... IPsecを使用するか否かの設定

[入力形式]
ipsec use SW
no ipsec use [SW] (*2)
[パラメータ]
SW ... スイッチ
on ... 使用する
off ... 使用しない
[説明]
IPsecを使用するか否かを設定する。この設定がoffのときには、 IKEで使用するUDPの500番のポートが閉じられる。
[デフォルト値]
on
[注意]
このコマンドはRev.6.01.06以降のファームウェアで利用できる。

このドキュメントの先頭へ


show ipsec sa
... SAに関する情報の表示

[入力形式]
show ipsec sa SA [gateway [GATEWAY_ID] [detail]]
[パラメータ]
SA ... SAの識別子
整数値 ... 指定されたSAのみを表示する
all ... すべてのSAを表示する
GATEWAY_ID ... セキュリティゲートウェイの識別子
1..
detail ... 詳細な情報を表示するときのキーワード
-
[説明]
管理しているSAを表示する。
[注意]
gateway以降のパラメータは、Rev.6.03.11以降のファームウェ アでのみ指定できる。
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
  • GATEWAY_ID
    ライセンス名
    拡張後の上限値
    ( ライセンス本数ごとの値 )
    1本 2本 3本 4本
    YSL-VPN-EX1 100 - - -
    YSL-VPN-EX3 1500 2000 2500 3000

このドキュメントの先頭へ



IPsec機能のトップページへ

[関連ドキュメント]


※「戻る/進む」はブラウザの履歴が使用されます