IKEv2

$Date: 2024/03/07 11:44:46 $

1. 概要
2. 注意事項
3. 対応機種とファームウェアリビジョン
4. 詳細
5. コマンド仕様
6. 設定例
7. SYSLOG一覧
8. 関連文書

概要

ヤマハルーターに搭載されているIKEv2の機能について説明します。
本機能は以下のRFCを基にして実装されています。

なお、IKEv2では鍵交換時の認証方式として、新たにデジタル署名方式とEAP-MD5認証方式が追加されます。これらの詳細については以下のドキュメントをご覧ください。

• IPsec/IKE デジタル署名、EAP-MD5認証対応

注意事項

• 1つのセキュリティ・ゲートウェイ設定をIKEv1、IKEv2の両方に対応させて動作させることはできません。ipsec ike versionコマンドの設定に従い、どちらか一方に固定されます。
• メッセージ交換で使用されるTS (トラフィックセレクタ) ペイロードに関して、イニシエータとして動作する場合は、常にIPv4/IPv6すべてのアドレス、プロトコル番号、ポート番号を許可する内容を送信します。またレスポンダとして動作する場合は、常に提案されたTSペイロードを受理します。
  なお、TSは既存のルーティング処理に影響を与えません。ルーティングの結果、トンネル経路へ向けられたパケットに対してTSは適用されます。
• IKE_SA_INIT以外のメッセージ交換で暗号ペイロードを含まないメッセージは受理しません。
• RTX1200のRev.10.01.32より古いファームウェアは、それ以降のファームウェアや他の機種と相互接続する際、必ずイニシエータ (始動側) として動作させる必要があります。
• RTX1200 Rev.10.01.47以降、RTX810 Rev.11.01.09以降、および、Rev.11.03 系以降のファームウェアでは、鍵交換や鍵の使用方法を一部の実装に合わせられるようにしました。
  以下の旧実装の機種と接続する場合、ipsec ike payload typeコマンドのTYPE2パラメーターを1に設定する必要があります。
  • RTX3000 ... Rev.9.00.56以前
  • RTX1200 ... Rev.10.01.45以前
  • RTX810 ... Rev.11.01.06以前
  • FWX120 ... Rev.11.03.02
  
  なお、新実装と旧実装のルーター同士で相互接続する場合、キープアライブやリキーに失敗してトンネルダウンしたり、リキー後にデータの送受信ができなくなります。
  
• IKEv2を使用したリモートアクセスVPNの仕様、接続方法については「リモートアクセスVPN(IKEv2)」を参照してください。

対応機種とファームウェアリビジョン

詳細

• 設定

  IKEv2の設定には従来のIKEv1と同様にipsec ike 〜コマンド群を使用します。IKEv1とIKEv2に直接的な互換性はありませんが、設定すべき項目そのものはほぼ共通している為です。しかしながら細かな仕様の違いなどから、IKEv2として動作する場合には、一部の既存コマンドで設定内容が反映されない、もしくは設定内容の解釈の仕方が若干異なる場合があります。これらの詳細についてはコマンド仕様を参照してください。

  • IKEv2におけるパラメーター折衝の方針

    IKEv2ではSA (Security Association) を構築するために必要な各折衝パラメーターの複数同時提案が容易になっています。
    RTのIKEv2実装ではこれを利用し、イニシエーターである場合はサポート範囲内でできるだけ多くの折衝パラメーターを同時に提案します。
    ただし、ipsec ike proposal-limitationコマンドに対応する機種では、ipsec ike proposal-limitationコマンドをonに設定することで特定の折衝パラメーターのみを提案することができます。
    また、レスポンダーの場合は提案内容からできるだけ安全な組み合わせを選択する方式をとります。
    なお、折衝されるパラメーターは以下となります。

    • IKE SA、およびCHILD SA 折衝時の 暗号アルゴリズム
    • IKE SA、およびCHILD SA 折衝時の 認証アルゴリズム
    • IKE SA 折衝時のPRF
    • IKE SA、およびCHILD SA 折衝時の DHグループ

    なお、イニシエーターとして動作する場合にIKE_SA_INIT交換で送信するKEペイロードは、ipsec ike groupコマンドで設定したグループを使用します。

  • IKEv1からIKEv2への移行

    これまでIPsec(IKEv1)を運用されてきた場合は、既存の設定を流用しながらIKEv2へ移行することができます。主な違いは、ipsec ike remote nameコマンドとipsec ike local nameコマンドの設定が共に必須になっている点と、ipsec ike versionコマンドで明示的にIKEv2の使用を宣言する必要があるという点です。

  • 設定が無効なコマンド

    以下に示すコマンドは、IKEv2で動作する場合に設定内容が考慮されません。

    • ipsec ike negotiate-strictly GATEWAY_ID SWITCH
    • ipsec ike remote id GATEWAY_ID IP_ADDRESS[/MASK]
    • ipsec ike local id GATEWAY_ID IP_ADDRESS[/MASK]
    • ipsec ike send info GATEWAY_ID INFO
    • ipsec ike esp-encapsulation GATEWAY_ID ENCAP
    • ipsec ike restrict-dangling-sa GATEWAY_ID ACTION

    また以下のコマンドについても、ipsec ike proposal-limitationコマンドをonに設定してイニシエーターとして動作する場合を除いて、設定内容が考慮されません。

    • ipsec ike encryption GATEWAY_ID ALGORITHM
    • ipsec ike hash GATEWAY_ID ALGORITHM
    • ipsec sa policy POLICY_ID GATEWAY_ID ... 　※アルゴリズムパラメーターのみ考慮しない
    
    
• 対応する機能／しない機能

  IKEv2に関する主な機能のうち、対応するものを以下に挙げます。
  ※以下は最新リビジョンに基いています。古いリビジョンでは一部対応していない場合があるのでご注意ください。

  • 対応機能一覧
    • 交換モード
      • initial (IKE_SA_INIT、IKE_AUTH) exchange
      • CREATE_CHILD_SA exchange
      • INFORMATIONAL exchange
    • 認証方式
      • 事前共有鍵 (Pre-Shared Key)
      • デジタル署名 (Certificate)
      • リモート認証 (EAP-MD5)
    • 暗号アルゴリズム
      • ENCR_AES_CBC (128/192/256)
      • ENCR_3DES
      • ENCR_DES
    • PRF (Pseudo-Random Function)
      • PRF_HMAC_SHA2_256
      • PRF_HMAC_SHA1
      • PRF_HMAC_MD5
    • 認証アルゴリズム
      • AUTH_HMAC_SHA2_256_128
      • AUTH_HMAC_MD5_96
      • AUTH_HMAC_SHA1_96
      • NONE (ESPのみ)
    • DHグループ
      • 768-bit MODP Group
      • 1024-bit MODP Group
      • 1536-bit MODP Group
      • 2048-bit MODP Group
    • キープアライブ
      • ICMP
      • DPD (RFC3706ではなく、RFC4306で記述された方法による)
    • IDタイプ
      • ID_IPV4_ADDR
      • ID_FQDN
      • ID_USER_FQDN (ID_RFC822_ADDRと同義)
      • ID_IPV6_ADDR
      • ID_KEY_ID
    • ウィンドウサイズ
      • 1 (固定)
    • Traffic Selector
      • any (固定、提案時) (IPv4/IPv6)
  • リモートアクセスVPN(IKEv2)のみに対応
  • Configuration ペイロード
    • INTERNAL_IP4_ADDRESS
    • INTERNAL_IP4_NETMASK
    • INTERNAL_IP4_DNS

  以下の機能には対応していません。

  • 未対応／非対応機能一覧
    • IPComp
    • Vender ID ペイロード
    • トランスポートモード
  
  
• Notifyメッセージタイプの対応状況

  Notifyメッセージタイプの対応状況について以下にまとめます。
  ※以下は最新リビジョンに基いています。古いリビジョンでは一部対応していない場合があるのでご注意ください。

  • エラータイプ

    種類	対応状況
    UNSUPPORTED_CRITICAL_PAYLOAD	送信に対応。受信した場合はそのメッセージを破棄する
    INVALID_IKE_SPI	送信に対応。受信した場合はそのメッセージを破棄する ※RTX1200 Rev.10.01.59以降、RTX810 Rev.11.01.21以降、FWX120 Rev.11.03.13以降、RTX3500/RTX5000 Rev.14.00.18以降、 RTX1210 Rev.14.01.09以降、および、Rev.15系以降は送受信に対応。受信した場合は対応するIKE SAを削除する
    INVALID_MAJOR_VERSION	送信しない。受信した場合はそのメッセージを破棄する
    INVALID_SYNTAX	送信に対応。受信した場合はそのメッセージを破棄する
    INVALID_MESSAGE_ID	送信しない。受信した場合はそのメッセージを破棄する
    INVALID_SPI	送信しない。受信した場合はそのメッセージを破棄する
    NO_PROPOSAL_CHOSEN	送信に対応。受信した場合はそのメッセージを破棄する
    INVALID_KE_PAYLOAD	送信に対応。受信した場合はリトライ時のKEペイロードを指定のグループに切り替える
    AUTHENTICATION_FAILED	送信に対応。受信した場合はそのメッセージを破棄する
    SINGLE_PAIR_REQUIRED	送信しない。受信した場合はそのメッセージを破棄する
    NO_ADDITIONAL_SAS	送信しない。受信した場合はそのメッセージを破棄する
    INTERNAL_ADDRESS_FAILURE	送信しない。受信した場合はそのメッセージを破棄する
    FAILED_CP_REQUIRED	送信しない。受信した場合はそのメッセージを破棄する
    TS_UNACCEPTABLE	送信しない。受信した場合はそのメッセージを破棄する
    INVALID_SELECTORS	送信しない。受信した場合はそのメッセージを破棄する
    TEMPORARY_FAILURE	送信しない。受信した場合はそのメッセージを破棄する
    CHILD_SA_NOT_FOUND	送信に対応。受信した場合はそのメッセージを破棄する

    
    

  • ステータスタイプ

    種類	対応状況
    INITIAL_CONTACT	送信しない。受信した場合は無視する
    SET_WINDOW_SIZE	送信しない。受信した場合は無視する
    ADDITIONAL_TS_POSSIBLE	送信しない。受信した場合は無視する
    IPCOMP_SUPPORTED	送信しない。受信した場合は無視する
    NAT_DETECTION_SOURCE_IP	送受信共に対応
    NAT_DETECTION_DESTINATION_IP	送受信共に対応
    COOKIE	レスポンダとして送信はしない。イニシエータとして受信した場合はリトライ時のリクエストにCOOKIEを追加して送信する
    USE_TRANSPORT_MODE	送信しない。受信した場合は無視する
    HTTP_CERT_LOOKUP_SUPPORTED	送信しない。受信した場合は無視する
    REKEY_SA	送受信共に対応
    ESP_TFC_PADDING_NOT_SUPPORTED	送信に対応。受信の有無に関わらず、TFCパディングには対応しない
    NON_FIRST_FRAGMENTS_ALSO	送信に対応。受信の有無に関わらず、第2フラグメント以降も送信する

    
    
• その他

  RTX1200 Rev.10.01.59以降、RTX810 Rev.11.01.21以降、FWX120 Rev.11.03.13以降、RTX3500/RTX5000 Rev.14.00.18以降、RTX1210 Rev.14.01.09以降、および、Rev.15系以降のファームウェアでは、IKEv2でipsec ike keepaliveコマンドをonに設定しているとき、対象のゲートウェイを使用するトンネルに対してshow status tunnelコマンドを実行することで、自機から送信するIKEキープアライブの状態を取得することができます。
  取得できる情報は以下の通りです。

  • [タイプ]:
    • rfc4306 ... Informational exchangeを使用する方式
    • icmp-echo ... ICMP Echoを使用する方式
  • [アドレス]: ターゲットのIPアドレス　※icmp-echo方式時のみ表示
  • [状態]:
    • "OK" ... 送受信OK
    • "送信" ... 送信したがレスポンスが受信できていない
    • "リトライ X回目" ... リトライ中
    • "NG" ... 送信したがレスポンスが受信できていない
  • [次の送信]: 次のキープアライブを送信するタイミング
  
  show status tunnelコマンド表示例

  　　# show status tunnel 1
  　　TUNNEL[1]:
  　　説明:
  　　　インタフェースの種類: IPsec
  　　　トンネルインタフェースは接続されています
  　　　開始: 2014/04/16 15:28:05
  　　　通信時間: 11分4秒
  　　　受信: (IPv4) 112 パケット [10304 オクテット]
  　　　　　 (IPv6) 0 パケット [0 オクテット]
  　　　送信: (IPv4) 115 パケット [10580 オクテット]
  　　　　　 (IPv6) 0 パケット [0 オクテット]
  　　　IKEキープアライブ:
  　　　　　　　 [タイプ]: icmp-echo
  　　　　　　 [アドレス]: 192.168.200.1
  　　　　　　　　 [状態]: OK
  　　　　　　 [次の送信]: 13 秒後
  

コマンド仕様

IPsec動作の設定
IKEバージョンの設定
事前共有鍵の登録
IKEの鍵交換を始動するか否かの設定
設定が異なる場合に鍵交換を拒否するか否かの設定
IKEの鍵交換に失敗したときに鍵交換を休止せずに継続するか否かの設定
鍵交換の再送回数と間隔の設定
相手側のセキュリティ・ゲートウェイの名前の設定
相手側セキュリティ・ゲートウェイのIPアドレスの設定
相手側のIDの設定
自分側のセキュリティ・ゲートウェイの名前の設定
自分側セキュリティ・ゲートウェイのIPアドレスの設定
自分側のIDの設定
IKEキープアライブ機能の設定
IKEキープアライブに関するSYSLOGを出力するか否かの設定
IKEが用いる暗号アルゴリズムの設定
受信したIKEパケットを蓄積するキューの長さの設定
IKEが用いるグループの設定
IKEが用いるハッシュアルゴリズムの設定
折衝パラメーターを制限するか否かの設定
IKEのメッセージID管理の設定
CHILD SA作成方法の設定
受信したパケットのSPI値が無効な値の場合にログに出力するか否かの設定
IKEペイロードタイプの設定
IKEの情報ペイロードを送信するか否かの設定
PFSを用いるか否かの設定
IKEのログの種類の設定
ESPをUDPでカプセル化して送受信するか否かの設定
SAの寿命の設定
SAのポリシーの定義
SAの手動更新
ダングリングSAの動作の設定
IPsec NATトラバーサルを利用するための設定
SAの削除

• IPsec動作の設定

  [書式]

  ipsec use USE
  no ipsec use

  [設定値]

  • USE
    • on .......... 動作させる
    • off ......... 動作させない

  [説明]

  IPsecを動作させるか否かを設定する。

  [初期値]

  on

  
  
• IKEバージョンの設定

  [書式]

  ipsec ike version GATEWAY_ID VERSION
  no ipsec ike version GATEWAY_ID

  [設定値]

  • GATEWAY_ID ..... セキュリティ・ゲートウェイの識別子
  • VERSION ........ 使用するIKEのバージョン
    • 1 ........... IKEバージョン1
    • 2 ........... IKEバージョン2

  [説明]

  セキュリティ・ゲートウェイで使用するIKEのバージョンを設定する。

  [ノート]

  VERSIONで指定したバージョン以外での接続は受け付けない。

  [初期値]

  VERSION = 1

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• 事前共有鍵の登録

  [書式]

  ipsec ike pre-shared-key GATEWAY_ID KEY
  ipsec ike pre-shared-key GATEWAY_ID text TEXT
  no ipsec ike pre-shared-key GATEWAY_ID

  [設定値]

  • GATEWAY_ID .... セキュリティ・ゲートウェイの識別子
  • KEY ........... 鍵となる0xではじまる十六進数列 (128バイト以内)
  • TEXT .......... ASCII文字列で表した鍵 (128文字以内)

  [説明]

  事前共有鍵を設定する。設定されていない場合には、事前共有鍵方式による鍵交換は行われない。
  鍵交換を行う相手ルーターには同じ事前共有鍵が設定されている必要がある。

  [初期値]

  事前共有鍵は設定されていない

  [設定例]

  ipsec ike pre-shared-key 1 text himitsu
  ipsec ike pre-shared-key 8 0xCDEEEDC0CDEDCD

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• IKEの鍵交換を始動するか否かの設定

  [書式]

  ipsec auto refresh [GATEWAY_ID] SWITCH
  no ipsec auto refresh [GATEWAY_ID]

  [設定値]

  • GATEWAY_ID ...... セキュリティ・ゲートウェイの識別子
  • SWITCH
    • on .......... 鍵交換を始動する
    • off ......... 鍵交換を始動しない

  [説明]

  IKEの鍵交換を始動するかどうかを設定する。他のルーターが始動する鍵交換については、このコマンドに関係なく常に受け付ける。

  GATEWAY_IDパラメータを指定しない書式は、ルーターの全体的な動作を決める。この設定がoffのときにはルーターは鍵交換を始動しない。

  GATEWAY_IDパラメータを指定する書式は、指定したセキュリティ・ゲートウェイに対する鍵交換の始動を抑制するために用意されている。
  例えば、次の設定では、1番のセキュリティ・ゲートウェイのみが鍵交換を始動しない。

  ipsec auto refresh on
  ipsec auto refresh 1 off

  [ノート]

  ipsec auto refresh off の設定では、GATEWAY_IDパラメータ指定する書式は効力を持たない。例えば、次の設定では、1番のセキュリティ・ゲートウェイでは鍵交換を始動しない。

  ipsec auto refresh off (デフォルトの設定)
  ipsec auto refresh 1 on

  なお、GATEWAY_IDパラメータの指定ができるのは、Rev.7.01.15以降のファームウェアに限られる。

  [初期値]

  ipsec auto refresh off
  ipsec auto refresh GATEWAY_ID on

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• 設定が異なる場合に鍵交換を拒否するか否かの設定

  [書式]

  ipec ike negotiate-strictly GATEWAY_ID SWITCH
  no ipec ike negotiate-strictly GATEWAY_ID

  [設定値]

  • GATEWAY_ID ..... セキュリティ・ゲートウェイの識別子
  • SWITCH
    • on .......... 鍵交換を拒否する
    • off ......... 鍵交換を受理する

  [説明]

  IKEv1として動作する際、設定が異なる場合に鍵交換を拒否するか否かを設定する。

  このコマンドの設定が off のときには、相手の提案するパラメータが自分の設定と異なる場合でも、そのパラメータをサポートしていれば、それを受理する。このコマンドの設定が on のときには、同様の状況で相手の提案を拒否する。このコマンドが適用されるパラメータと対応するコマンドは以下の通りである。

  パラメータ	対応するコマンド
  暗号アルゴリズム	ipsec ike encryption
  グループ	ipsec ike group
  ハッシュアルゴリズム	ipsec ike hash
  PFS	ipsec ike pfs
  フェーズ1のモード	ipsec ike local nameなど

  [ノート]

  本コマンドはIKEv2としての動作には影響を与えない。

  [初期値]

  off

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• IKEの鍵交換に失敗したときに鍵交換を休止せずに継続するか否かの設定

  [書式]

  ipsec ike always-on GATEWAY_ID SWITCH
  no ipsec ike always-on GATEWAY_ID

  [設定値]

  • GATEWAY_ID ....... セキュリティ・ゲートウェイの識別子
  • SWITCH
    • on ........... 鍵交換を継続する
    • off .......... 鍵交換を休止する

  [説明]

  IKEの鍵交換に失敗したときに鍵交換を休止せずに継続するか否かを設定する。IKEキープアライブが有効 (ipsec ike keepalive useコマンドのSWITCHパラメータが on)である場合は、このコマンドに設定に関わらず、常に鍵交換を継続する。

  [初期値]

  off

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• 鍵交換の再送回数と間隔の設定

  [書式]

  ipsec ike retry COUNT INTERVAL [MAX_SESSION]
  no ipsec ike retry

  [設定値]

  • COUNT ......... 再送回数 (1..50)
  • INTERVAL ...... 再送間隔の秒数 (1..100)
  • MAX_SESSION ... 同時に動作するIKEv1フェーズ1の最大数 (1..5)

  [説明]

  鍵交換のパケットが相手に届かないときに実施する再送の回数と間隔を設定する。
  また、MAX_SESSIONパラメータは、IKEv1において同時に動作するフェーズ1の最大数を指定する。ルーターは、フェーズ1が確立せずに再送を継続する状態にあるとき、鍵の生成を急ぐ目的で、新しいフェーズ1を始動することがある。このパラメータは、このような状況で、同時に動作するフェーズ1の数を制限するものである。なお、このパラメータは、始動側のフェーズ1のみを制限するものであり、応答側のフェーズ1に対しては効力を持たない。

  IKEv2では、COUNTパラメータの数だけCREATE_CHILD_SA交換によるIKE SAのリキーを連続して行い、その次のリキーではIKE_SA_INIT、IKE_AUTH交換を行う。

  [ノート]

  MAX_SESSIONパラメータはRev.7.01.47以降で使用可能。

  [初期値]

  COUNT = 10
  INTERVAL = 5
  MAX_SESSION = 3

  
  
• 相手側のセキュリティ・ゲートウェイの名前の設定

  [書式]

  ipsec ike remote name GATEWAY_ID NAME [TYPE]
  no ipsec ike remote name GATEWAY_ID [NAME ...]

  [設定値]

  • GATEWAY_ID ........ セキュリティ・ゲートウェイの識別子
  • NAME .............. 名前（RTX3000 Rev.9.00.50以降、RTX1200 Rev.10.01.22 以降、および、Rev.11.01 系以降は256文字以内、それ以外のリビジョンは32文字以内）
  • TYPE .............. IDの種類
    • ipv4-addr ..... ID_IPV4_ADDR
    • fqdn .......... ID_FQDN
    • user-fqdn (もしくはrfc822-addr) ..... ID_USER_FQDN (ID_RFC822_ADDR)
    • ipv6-addr ..... ID_IPV6_ADDR
    • key-id ........ ID_KEY_ID
    • tel ... NGN網電話番号(ID_IPV6_ADDR)
    • tel-key ... NGN網電話番号(ID_KEY_ID)

  [説明]

  相手側のセキュリティ・ゲートウェイの名前とIDの種類を設定する。 その他、動作するIKEのバージョンによって異なる、本コマンドの影響、注意点については以下の通り。

  ○IKEv1

  このコマンドの設定は、フェーズ1のアグレッシブモードで使用され、メインモードでは使用されない。
  また、TYPEパラメータの設定は相手側セキュリティ・ゲートウェイの判別時に考慮されない。

  ○IKEv2

  相手側セキュリティ・ゲートウェイの判別時にはNAME、TYPE パラメータの 設定が共に一致している必要がある。TYPE パラメータが'tel'の場合、 相手側IPv6アドレス(ID_IPV6_ADDR)を相手側セキュリティ・ゲート ウェイの判別に使用する。TYPE パラメータが'tel-key'の場合、設定値を ID_KEY_IDとして相手側セキュリティ・ゲートウェイの判別に使用する。 TYPE パラメータが'key-id'以外の場合、NAMEから相手側セキュリティ・ゲート ウェイの IP アドレスの特定を試み、特定できれば、そのホストに対して鍵交換を始動する。 この場合、ipsec ike remote address コマンドの設定は不要である。 ただし、ipsec ike remote address コマンドが設定されている場合は、そちらの 設定にしたがって始動時の接続先ホストが決定される。

  [ノート]

  TYPE パラメータは、RTX3000 Rev.9.00.50 以降、RTX1200 Rev.10.01.22 以降のファームウェア、および、Rev.11.01 系以降のすべてのファームウェアで指定可能。
  'tel'および'tel-key'は、RTX3000 Rev.9.00.50以降、RTX1200 Rev.10.01.29 以降のファームウェア、および、Rev.11.01 系以降のすべてのファームウェアで指定可能であり、データコネクト拠点間接続機能でのみ使用する。

  [初期値]

  TYPE = key-id

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• 相手側セキュリティ・ゲートウェイのIPアドレスの設定

  [書式]

  ipsec ike remote address GATEWAY_ID IP_ADDRESS
  no ipsec ike remote address GATEWAY_ID

  [初期値]

  • GATEWAY_ID ...... セキュリティ・ゲートウェイの識別子
  • IP_ADDRESS
    • 相手側セキュリティ・ゲートウェイのIPアドレス、またはホスト名 (半角255文字以内)
    • any ......... 自動選択

  [説明]

  相手側セキュリティ・ゲートウェイのIP アドレスまたはホスト名を設定する。ホスト名で設定した場合には、鍵交換の始動時にホスト名からIPアドレスをDNSにより検索する。
  その他、動作するIKEのバージョンによって異なる、本コマンドの影響、注意点については以下の通り。

  ○IKEv1

  応答側となる場合、本コマンドで指定したホストは相手側セキュリティ・ゲートウェイの判別に使用される。
  'any' が設定された場合は、相手側セキュリティ・ゲートウェイとして任意のホストからの鍵交換を受け付ける。その代わりに、自分から鍵交換を始動することはできない。 例えば、アグレッシブモードで固定のグローバルアドレスを持つ側の場合などに利用する。

  ○IKEv2

  このコマンドで指定したホストは、鍵交換を始動する際の接続先としてのみ使用される。'any' は自分側から鍵交換を始動しないことを明示的に示す。
  応答側となる場合、本コマンドの設定による相手側セキュリティ・ゲートウェイの判別は行わない。相手側セキュリティ・ゲートウェイの判別はipsec ike remote nameコマンド等の設定によって行われる。

  [ノート]

  ホスト名を指定する場合には、dns serverコマンドなどで必ずDNSサーバーを設定しておくこと。
  IPsecメインモード接続では、相手側セキュリティ・ゲートウェイの IP アドレスおよびホスト名を重複して設定しない。 相手側セキュリティ・ゲートウェイの IP アドレスおよびホスト名を重複して設定した場合の動作は保証されない。

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• 相手側のIDの設定

  [書式]

  ipsec ike remote id GATEWAY_ID IP_ADDRESS[/MASK]
  no ipsec ike remote id GATEWAY_ID

  [設定値]

  • GATEWAY_ID ....... ゲートウェイの識別子
  • IP_ADDRESS ....... IPアドレス
  • MASK ............. ネットマスク

  [説明]

  IKEv1のフェーズ2で用いる相手側のIDを設定する。

  このコマンドが設定されていない場合は、フェーズ2でIDを送信しない。
  MASKパラメータを省略した場合は、タイプ1のIDが送信される。また、MASKパラメータを指定した場合は、タイプ4のIDが送信される。

  [ノート]

  本コマンドはIKEv2としての動作には影響を与えない。

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• 自分側のセキュリティ・ゲートウェイの名前の設定

  [書式]

  ipsec ike local name GATEWAY_ID NAME [TYPE]
  no ipsec ike local name GATEWAY_ID

  [設定値]

  • GATEWAY_ID ...... セキュリティ・ゲートウェイの識別子
  • NAME ............ （RTX3000 Rev.9.00.50以降、RTX1200 Rev.10.01.22 以降、および、Rev.11.01 系以降は256文字以内、それ以外のリビジョンは32文字以内）
  • TYPE ............ IDの種類
    • ipv4-addr ..... ID_IPV4_ADDR
    • fqdn .......... ID_FQDN
    • user-fqdn (もしくはrfc822-addr) ..... ID_USER_FQDN (ID_RFC822_ADDR)
    • ipv6-addr ..... ID_IPV6_ADDR
    • key-id ........ ID_KEY_ID
    • tel ... NGN網電話番号(ID_IPV6_ADDR)
    • tel-key ... NGN網電話番号(ID_KEY_ID)

  [説明]

  自分側のセキュリティゲートウェイの名前とIDの種類を設定する。

  なお、IKEv1として動作する際に TYPE パラメータが 'ipv4-addr'、 'ipv6-addr'、'tel'、'tel-key' に設定されていた場合は 'key-id' を設定したときと同等の動作となる。IKEv2かつ TYPE パラメータが 'tel'の場合、自分側IPv6アドレス(ID_IPV6_ADDR)を鍵交換に使用する。 IKEv2かつ TYPE パラメータが'tel-key'の場合、設定値 をID_KEY_IDとして 鍵交換に使用する。

  [ノート]

  'ipv4-addr'および'ipv6-addr'は、RTX3000 Rev.9.00.50以降、RTX1200 Rev.10.01.22以降のファームウェア、および、Rev.11.01 系以降のすべてファームウェアで指定可能。
  'tel'および'tel-key'は、RTX3000 Rev.9.00.50以降、RTX1200 Rev.10.01.29以降のファームウェア、および、Rev.11.01 系以降のすべてファームウェアで指定可能であり、データコネクト拠点間接続機能でのみ使用する。

  [初期値]

  TYPE = key-id

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• 自分側セキュリティ・ゲートウェイのIPアドレスの設定

  [書式]

  ipsec ike local address GATEWAY_ID IP_ADDRESS
  ipsec ike local address GATEWAY_ID vrrp INTERFACE VRID
  ipsec ike local address GATEWAY_ID ipv6 prefix PREFIX on INTERFACE
  ipsec ike local address GATEWAY_ID ipcp pp PEER_NUM
  no ipsec ike local address GATEWAY_ID
  

  [設定値]

  • GATEWAY_ID ............ セキュリティ・ゲートウェイの識別子
  • IP_ADDRESS ............ 自分側セキュリティ・ゲートウェイのIPアドレス
  • INTERFACE ............. LANインタフェース名
  • VRID .................. VRRPグループID (1..255)
  • PEER_NUM .............. PPインタフェース番号

  [説明]

  自分側セキュリティ・ゲートウェイのIPアドレスを設定する。

  vrrpキーワードを指定する第2書式では、VRRPマスターとして動作している場合のみ、指定したLANインタフェース/VRRPグループIDの仮想IPアドレスを自分側セキュリティ・ゲートウェイアドレスとして利用する。
  VRRP マスターでない場合には鍵交換は行わない。

  ipv6キーワードを指定する第3書式では、IPv6のダイナミックアドレスを指定する。

  ipcpキーワードを指定する第4書式では、IPCPアドレスを取得するPPインタフェースを指定する。

  本コマンドが設定されていない場合には、相手側のセキュリティ・ゲートウェイに近いインタフェースのIPアドレスを用いてIKEを起動する。

  [ノート]

  第4書式はRev.8.03系以降で使用可能。

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  • PEER_NUM

    ライセンス名	拡張後の上限値
    YSL-VPN-EX1	100

  
  
• 自分側のIDの設定

  [書式]

  ipsec ike local id GATEWAY_ID IP_ADDRESS[/MASK]
  no ipsec ike local id GATEWAY_ID

  [設定値]

  • GATEWAY_ID ......... セキュリティ・ゲートウェイの識別子
  • IP_ADDRESS ......... IPアドレス
  • MASK ............... ネットマスク

  [説明]

  IKEv1のフェーズ2で用いる自分側のIDを設定する。

  このコマンドが設定されていない場合にはフェーズ2でIDを送信しない。
  MASKパラメータを省略した場合は、タイプ1のIDが送信される。また、MASKパラメータを指定した場合は、タイプ4のIDが送信される。

  [ノート]

  本コマンドはIKEv2としての動作には影響を与えない。

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• IKEキープアライブ機能の設定

  [書式]

  ipsec ike keepalive use GATEWAY_ID SWITCH [down=disconnect] [send-only-new-sa=SEND]
  ipsec ike keepalive use GATEWAY_ID SWITCH heartbeat [INTERVAL COUNT [UPWAIT]] [down=disconnect] [send-only-new-sa=SEND]
  ipsec ike keepalive use GATEWAY_ID SWITCH icmp-echo IP_ADDRESS [length=LENGTH] [INTERVAL COUNT [UPWAIT]] [down=disconnect]
  ipsec ike keepalive use GATEWAY_ID SWITCH dpd [INTERVAL COUNT [UPWAIT]]
  ipsec ike keepalive use GATEWAY_ID SWITCH rfc4306 [INTERVAL COUNT [UPWAIT]]
  no ipsec ike keepalive use GATEWAY_ID [SWITCH ....]

  [設定値]

  • GATEWAY_ID ..... セキュリティ・ゲートウェイの識別子
  • SWITCH ......... キープアライブの動作
    • on........... キープアライブを使用する
    • off.......... キープアライブを使用しない
    • auto ........ 対向のルーターがキープアライブを送信するときに限って送信する (heartbeat、rfc4306で有効)
  • IP_ADDRESS ..... pingを送信する宛先のIPアドレス (IPv4/IPv6)
  • LENGTH ......... pingを送信する際のデータ部の長さ (64..1500)
  • INTERVAL ....... キープアライブパケットの送信間隔秒数 (1..600)
  • COUNT .......... キープアライブパケットが届かないときに障害とみなすまでの試行回数 (1..50)
  • UPWAIT ......... IPsec SAが生成されてから実際にトンネルインタフェースを有効にするまでの時間 (0..1000000)
  • SEND ......... キープアライブの動作
    • on........... 新旧の SA が混在する場合、新しい SA のみに対してキープアライブパケットを送信する
    • off.......... 新旧の SA が混在する場合、新旧 SA の両方に対してキープアライブパケットを送信する

  [説明]

  IKEのキープアライブ動作を設定する。
  本コマンドは、動作するIKEのバージョンによって以下のように動作が異なる。

  ○IKEv1

  キープアライブの方式として、heartbeat、ICMP Echo、DPD (RFC3706)の3種類から選ぶことができる。第1書式は自動的にheartbeat方式となる。

  heartbeat方式を利用するには第1、第2書式を使用する。heartbeat方式においてSIWTCHパラメータが auto に設定されている場合は、相手からheartbeatパケットを受信したときだけheartbeatパケットを送信する。従って、双方の設定が auto になっているときには、IKEキープアライブは動作しない。

  ICMP Echoを利用するときには第3書式を使用し、送信先のIPアドレスを設定する。オプションとして、ICMP Echoのデータ部の長さを指定することができる。この方式では、SWITCHパラメータが auto でも on の場合と同様に動作する。

  DPDを利用するときには第4書式を使用する。この方式では、SWITCHパラメータが auto でも on の場合と同様に動作する。

  その他、IKEv1で対応していない方式(書式)が設定されている場合は、代替方式としてheartbeatで動作する。このとき、SWITCH、COUNT、INTERVAL、UPWAITパラメータは設定内容が反映される。

  ○IKEv2

  キープアライブの方式として、RFC4306 (IKEv2標準)、ICMP Echoの2種類から選ぶことができる。第1書式は自動的にRFC4306方式となる。

  SWITCHパラメータが auto の場合は、RFC4306方式のキープアライブパケットを受信したときだけ応答パケットを送信する。なお、IKEv2ではこの方式のキープアライブパケットには必ず応答しなければならないため、SWITCHパラメータが off の場合でも auto と同様に動作する。

  ICMP Echoを利用するときには第3書式を使用し、送信先のIPアドレスを設定する。オプションとして、ICMP Echoのデータ部の長さを指定することができる。この方式では、SWITCHパラメータが auto でも on の場合と同様に動作する。

  その他、IKEv2で対応していない方式(書式)が設定されている場合は、代替方式としてRFC4306で動作する。このとき、SWITCH、COUNT、INTERVAL、UPWAITパラメータは設定内容が反映される。

  [ノート]

  相手先が PP インタフェースの先にある場合、down オプションを指定することができる。
  down オプションを指定すると、キープアライブダウン検出時と IKE の再送回数満了時に PP インタフェースの切断を行うことができる。
  網側の状態などで PP インタフェースの再接続によりトンネル確立状態の改善を望める場合に利用することができる。
  

  キープアライブの方式として heartbeat を使用する場合、IKEv1ではsend-only-new-sa オプションを指定することができる。
  send-only-new-sa オプションに on を設定すると、鍵交換後の新旧のSAが混在するときに新しい SA のみに対してキープアライブパケットを送信するようになり、鍵交換時の負荷を軽減することができる。
  ただし、send-only-new-sa オプションに対応していないファームウェアとトンネルを構築する場合は、send-only-new-sa オプションを off に設定しておかなければトンネルがダウンする。
  

  LENGTHパラメータで指定するのはICMPデータ部分の長さであり、IPパケット全体の長さではない。LENGTHパラメータは、Rev.7.01系以降で指定可能である。
  同じ相手に対して、複数の方法を併用することはできない。
  DPD (RFC3706)を利用できるのはRev.8.03以降のファームウェアである。
  down オプションは RTX1200 Rev.10.01.16 以降のファームウェア、および、Rev.11.01 系以降のすべてのファームウェアで利用できる。
  send-only-new-sa オプションは RTX5000/RTX3500 Rev.14.00.29 以降のファームウェア、および、 Rev.14.01 系以降のすべてのファームウェアで利用できる。
  

  [初期値]

  SWITCH = auto
  LENGTH = 64
  INTERVAL = 10
  COUNT = 6
  UPWAIT = 0

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• IKEキープアライブに関するSYSLOGを出力するか否かの設定

  [書式]

  ipsec ike keepalive log GATEWAY_ID LOG
  no ipsec ike keepalive log GATEWAY_ID

  [設定値]

  • GATEWAY_ID ........ セキュリティ・ゲートウェイの識別子
  • LOG
    • on ............ 出力する
    • off ........... 出力しない

  [説明]

  IKEキープアライブに関するSYSLOGを出力するか否かを設定する。このSYSLOGはDEBUGレベルの出力である。

  [初期値]

  on

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• IKEが用いる暗号アルゴリズムの設定

  [書式]

  ipsec ike encryption GATEWAY_ID ALGORITHM
  no ipsec ike encryption GATEWAY_ID

  [設定値]

  • GATEWAY_ID ........ セキュリティ・ゲートウェイの識別子
  • ALGORITHM
    • des-cbc ....... DES-CBC
    • 3des-cbc ...... 3DES-CBC
    • aes-cbc ....... AES128-CBC
    • aes256-cbc .... AES256-CBC

  [説明]

  IKEが用いる暗号アルゴリズムを設定する。

  始動側として働く場合に、本コマンドで設定されたアルゴリズムを提案する。応答側として働く場合は本コマンドの設定に関係なく、サポートされている任意のアルゴリズムを用いることができる。

  ただし、IKEv1でipsec ike negotiate-strictlyコマンドがonの場合は、応答側であっても設定したアルゴリズムしか利用できない。

  [ノート]

  'aes256-cbc'は RTX3000 Rev.9.00.50以降、RTX1200 Rev.10.01.32以降のファームウェア、および、Rev.11.01系以降のすべてのファームウェアで指定可能。

  IKEv2でipsec ike proposal-limitation コマンドがonに設定されているとき、本コマンドで設定されたアルゴリズムを提案する。ipsec ike proposal-limitationコマンドがoffに設定されているとき、または、ipsec ike proposal-limitationコマンドに対応していない機種では、本コマンドの設定にかかわらず、サポートするすべてのアルゴリズムを同時に提案し、相手側セキュリティ・ゲートウェイに選択させる。
  また応答側として働く場合は、提案されたものからより安全なアルゴリズムを選択する。

  IKEv2でサポート可能な暗号アルゴリズム、および応答時の選択の優先順位は以下の通り。

  AES256-CBC > AES192-CBC > AES128-CBC > 3DES-CBC > DES-CBC
  

  ※IKEv2でのみAES192-CBCをサポートする。ただし、コマンドでAES192-CBCを選択することはできない。

  [初期値]

  3des-cbc (vRX VMware ESXi版、vRX Amazon EC2版、RTX5000、RTX3510、RTX3500、RTX3000、RTX1300、RTX1220、RTX1210、RTX1200、RTX830、RTX810、FWX120、SRT100、NVR700W)
  des-cbc ( 上記以外の機種)

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• 受信したIKEパケットを蓄積するキューの長さの設定

  [書式]

  ipsec ike queue length LENGTH
  no ipsec ike queue length

  [設定値]

  • LENGTH ........ キュー長

    6000..24000 (vRX VMware ESXi版 (通常モード)、vRX Amazon EC2版 (通常モード))
    3000..12000 (RTX5000、RTX3510)
    1100..4400 (RTX1300 (Rev.23.00.09以降))
    1000..4000 (vRX VMware ESXi版 (コンパクトモード)、vRX Amazon EC2版 (コンパクトモード)、RTX3500)
    1000..2000 (RTX3000)
    100..200 (RTX1300、RTX1220、RTX1210、RTX1200、RTX830 (Rev.15.02.22以降))
    30..60 (FWX120、NVR700W)
    20..40 (RTX830)
    10..20 (SRT100)
    6..12 (RTX810)
    8..64 (上記以外の機種)

  [説明]

  受信したIKEパケットを蓄積するキューの長さを設定する。
  この設定は、短時間に集中してIKEパケットを受信した際のルーターの振る舞いを決定する。設定した値が大きいほど、IKEパケットが集中したときにより多くのパケットを取りこぼさないで処理することができるが、逆にIKEパケットがルーターに滞留する時間が長くなるためキープアライブの応答が遅れ、トンネルの障害を間違って検出する可能性が増える。
  通常の運用では、この設定を変更する必要はないが、多数のトンネルを構成しており、多数のSAを同時に消す状況があるならば値を大きめに設定するとよい。

  [ノート]

  Rev.7.01.15以前のファームウェアでは、このキューの長さは8で固定されていた。

  キューの長さを長くすると、一度に受信して処理できるIKEパケットの数を増やすことができる。しかし、あまり大きくすると、ルーター内部にたまったIKEパケットの処理が遅れ、対向のルーターでタイムアウトと検知されてしまう可能性が増える。そのため、このコマンドの設定を変更する時には、慎重に行う必要がある。

  通常の運用では、この設定を変更する必要はない。

  [初期値]

  12000 (vRX VMware ESXi版 (通常モード)、vRX Amazon EC2版 (通常モード))
  6000 (RTX5000)
  2200 (RTX1300 (Rev.23.00.09以降))
  2000 (vRX VMware ESXi版 (コンパクトモード)、vRX Amazon EC2版 (コンパクトモード)、RTX3510、RTX3500、RTX3000)
  200 (RTX1300、RTX1220、RTX1210、RTX1200、RTX830 (Rev.15.02.22以降))
  60 (FWX120、NVR700W)
  40 (RTX830)
  20 (SRT100)
  12 (RTX810)
  8 (上記以外の機種)

  
  
• IKEが用いるグループの設定

  [書式]

  ipsec ike group GATEWAY_ID GROUP [GROUP]
  no ipsec ike group GATEWAY_ID

  [設定値]

  • GATEWAY_ID ..... セキュリティ・ゲートウェイの識別子
  • GROUP........... グループ識別子
    • modp768
    • modp1024
    • modp1536
    • modp2048

  [説明]

  IKEで用いるグループを設定する。
  始動側として働く場合には、このコマンドで設定されたグループを提案する。応答側として働く場合には、このコマンドの設定に関係なく、サポート可能な任意のグループを用いることができる。

  その他、動作するIKEのバージョンによって異なる本コマンドの影響、注意点については以下の通り。

  ○IKEv1

  2種類のグループを設定した場合には、1つ目がフェーズ1、2つ目がフェーズ2で提案される。グループを1種類しか設定しない場合は、フェーズ1、フェーズ2の両方で同じグループが提案される。

  また、ipsec ike negotiate-strictlyコマンドが on の場合は、応答側であっても設定したグループしか利用できない。

  ○IKEv2

  常に1つ目に設定したグループのみが使用される。2つ目に設定したグループは無視される。

  また、始動側として提案したグループが相手側に拒否され、別のグループを要求された場合は、そのグループで再度提案する (要求されたグループがサポート可能な場合)。
  以後、IPsecの設定を変更するか再起動するまで、同じ相手側セキュリティ・ゲートウェイに対しては再提案したグループが優先的に使用される。

  [初期値]

  modp1024 (vRX VMware ESXi版、vRX Amazon EC2版、RTX5000、RTX3510、RTX3500、RTX3000、RTX1300、RTX1220、RTX1210、RTX1200、RTX830、RTX810、FWX120、SRT100、NVR700W)
  modp768 (上記以外の機種)

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• IKEが用いるハッシュアルゴリズムの設定

  [書式]

  ipsec ike hash GATEWAY_ID ALGORITHM
  no ipsec ike hash GATEWAY_ID

  [設定値]

  • GATEWAY_ID ........... セキュリティ・ゲートウェイの識別子
  • ALGORITHM
    • md5 .............. MD5
    • sha .............. SHA-1
    • sha256 ........... SHA-256
    • sha384 ........... SHA-384
    • sha512 ........... SHA-512

  [説明]

  IKEが用いるハッシュアルゴリズムを設定する。

  始動側として働く場合に、このコマンドで設定されたアルゴリズムを提案する。応答側として働く場合はこのコマンドに関係なく、サポートされている任意のアルゴリズムを用いることができる。

  ただし、IKEv1でipsec ike negotiate-strictlyコマンドがonの場合は、応答側であっても設定したアルゴリズムしか利用できない。

  [ノート]

  IKEv2では、IKEv1のハッシュアルゴリズムに相当する折衝パラメーターとして、認証アルゴリズム (Integrity Algorithm)とPRF(Pseudo-Random Function)がある。
  IKEv2でipsec ike proposal-limitation コマンドがonに設定されているとき、本コマンドで設定されたアルゴリズムを提案する。ipsec ike proposal-limitationコマンドがoffに設定されているとき、または、ipsec ike proposal-limitationコマンドに対応していない機種では、本コマンドの設定にかかわらず、サポートするすべてのアルゴリズムを同時に提案し、相手側セキュリティ・ゲートウェイに選択させる。
  また応答側として働く場合は、提案されたものからより安全なアルゴリズムを選択する。

  IKEv2でサポート可能な認証アルゴリズム、および応答時の選択の優先順位は以下の通り。

  HMAC-SHA2-512-256 > HMAC-SHA2-384-192 > HMAC-SHA2-256-128 > HMAC-SHA-1-96 > HMAC-MD5-96

  ※HMAC-SHA2-256-128はRev.9.00.50、Rev.10.01.32以降、および、Rev.11.01系以降で対応。
  ※HMAC-SHA2-512-256、HMAC-SHA2-384-192はRev.23.00系以降で対応。

  また、IKEv2でサポート可能なPRF、および応答時の選択の優先順位は以下の通り。

  HMAC-SHA2-512 > HMAC-SHA2-384 > HMAC-SHA2-256 > HMAC-SHA-1 > HMAC-MD5

  ※HMAC-SHA2-256はRev.9.00.50、Rev.10.01.32以降、および、Rev.11.01系以降で対応。
  ※HMAC-SHA2-512、HMAC-SHA2-384はRev.23.00系以降で対応。

  ALGORITHMパラメーターの sha256 キーワードは RTX3000 Rev.9.00.50以降、RTX1200 Rev.10.01.32以降のファームウェア、および、Rev.11.01系以降のすべてのファームウェアで指定可能。
  sha384、および sha512 キーワードは Rev.23.00系以降のファームウェアで指定可能。

  [初期値]

  sha (vRX VMware ESXi版、vRX Amazon EC2版、RTX5000、RTX3510、RTX3500、RTX3000、RTX1300、RTX1220、RTX1210、RTX1200、RTX830、RTX810、FWX120、SRT100、NVR700W)
  md5 (上記以外の機種)

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• 折衝パラメーターを制限するか否かの設定

  [書式]

  ipsec ike proposal-limitation GATEWAY_ID SWITCH
  no ipsec ike proposal-limitation GATEWAY_ID [SWITCH]

  [設定値]

  • GATEWAY_ID ........... セキュリティ・ゲートウェイの識別子
  • SWITCH
    • on .............. 折衝パラメーターを制限する
    • off ............. 折衝パラメーターを制限しない

  [説明]

  IKEv2で鍵交換を始動するときに、SAを構築するための各折衝パラメーターを、 特定のコマンド設定値に限定して提案するか否かを設定する。このコマンドの設定がoffのときは、サポート可能な折衝パラメーター全てを提案する。
  このコマンドが適用されるパラメーターと対応するコマンドは以下の通りである。

  • 暗号アルゴリズム .............. ipsec ike encryption
  • グループ ...................... ipsec ike group
  • ハッシュアルゴリズム .......... ipsec ike hash
  • 暗号・認証アルゴリズム ........ ipsec sa policy ※CHILD SA 作成時

  [ノート]

  本コマンドはIKEv1としての動作には影響を与えない。
  RTX1200 Rev.10.01.59以降、RTX810 Rev.11.01.21以降、FWX120 Rev.11.03.13以降、RTX5000/RTX3500 Rev.14.00.18以降、RTX1210 Rev.14.01.09以降、および、NVR700W、RTX830、RTX1220、RTX1300、RTX3510、vRX Amazon EC2版、vRX VMware ESXi版で使用可能。

  [初期値]

  off

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• IKEのメッセージID管理の設定

  [書式]

  ipsec ike message-id-control GATEWAY_ID SWITCH
  no ipsec ike message-id-control GATEWAY_ID [SWITCH]

  [設定値]

  • GATEWAY_ID ........... セキュリティ・ゲートウェイの識別子
  • SWITCH
    • on .............. リクエストメッセージの送信をメッセージIDで管理する
    • off ............. リクエストメッセージの送信をメッセージIDで管理しない

  [説明]

  自機からIKEv2のリクエストメッセージを送信するときのメッセージID管理方法を設定する。
  このコマンドの設定がonのときは、同じIKE SAを使用して送信済みのIKEメッセージに対する全てのレスポンスメッセージを受信していない場合、新しいIKEメッセージは送信しない。

  [ノート]

  本コマンドはIKEv1としての動作には影響を与えない。
  RTX1200 Rev.10.01.59以降、RTX810 Rev.11.01.21以降、FWX120 Rev.11.03.13以降、RTX5000/RTX3500 Rev.14.00.18以降、RTX1210 Rev.14.01.09以降、および、NVR700W、RTX830、RTX1220、RTX1300、RTX3510、vRX Amazon EC2版、vRX VMware ESXi版で使用可能。

  [初期値]

  off

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• CHILD SA作成方法の設定

  [書式]

  ipsec ike child-exchange type GATEWAY_ID TYPE
  no ipsec ike child-exchange type GATEWAY_ID [TYPE]

  [設定値]

  • GATEWAY_ID ........... セキュリティ・ゲートウェイの識別子
  • TYPE
    • 1 .............. ヤマハルーターのIKEv2の従来の動作との互換性を保持する
    • 2 .............. CREATE_CHILD_SA交換を一部の実装にあわせる

  [説明]

  IKEv2のCHILD SA作成方法を設定する。
  このコマンドに対応する機種同士で接続する場合、TYPEを同じ設定にして接続する必要がある。

  [ノート]

  本コマンドはIKEv2でのみ有効であり、IKEv1としての動作には影響を与えない。
  RTX1200 Rev.10.01.71以降、RTX810 Rev.11.01.28以降、FWX120 Rev.11.03.22以降、RTX5000/RTX3500 Rev.14.00.18以降、RTX1210 Rev.14.01.11以降、および、NVR700W、RTX830、RTX1220、RTX1300、RTX3510、vRX Amazon EC2版、vRX VMware ESXi版で使用可能。

  [初期値]

  1

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• 受信したパケットのSPI値が無効な値の場合にログに出力するか否かの設定

  [書式]

  ipsec log illegal-spi SWITCH
  no ipsec log illegal-spi

  [設定値]

  • SWITCH
    • on .......... ログに出力する
    • off ......... ログに出力しない

  [説明]

  IPsecで、受信したパケットのSPI値が無効な値の場合に、その旨をログに出力するか否かを設定する。SPI値と相手のIPアドレスがログに出力される。
  無効なSPI値を含むパケットを大量に送り付けられることによるDoSの可能性を減らすため、ログは1秒あたり最大10種類のパケットだけを記録する。実際に受信したパケットの数を知ることはできない。

  [ノート]

  鍵交換時には、鍵の生成速度の差により一方が新しい鍵を使い始めても他方ではまだその鍵が使用できない状態になっているためにこのログが一時的に出力されてしまうことがある。

  [初期値]

  off

  
  
• IKEペイロードタイプの設定

  [書式]

  ipsec ike payload type GATEWAY_ID TYPE1 [TYPE2]
  no ipsec ike payload type GATEWAY_ID [TYPE1 ...]

  [設定値]

  • GATEWAY_ID ......... セキュリティ・ゲートウェイの識別子
  • TYPE1 ............... IKEv1のメッセージのフォーマット
    • 1 .............. ヤマハルーターのリリース2との互換性を保持する
    • 2 .............. ヤマハルーターのリリース3に合わせる
    • 3 .............. 初期ベクトル(IV)の生成方法を一部の実装に合わせる
  • TYPE2 ............... IKEv2のメッセージのフォーマット
    • 1 .............. ヤマハルーターのIKEv2のリリース1との互換性を保持する
    • 2 .............. 鍵交換や鍵の使用方法を一部の実装に合わせる

  [説明]

  IKEv1およびIKEv2ペイロードのタイプを設定する。
  IKEv1でヤマハルーターの古いリビジョンと接続する場合には、TYPE1を1に設定する必要がある。
  IKEv2でヤマハルーターの以下のリビジョンと接続する場合には、TYPE2を1に設定する必要がある。

  • RTX3000 ... Rev.9.00.56以前
  • RTX1200 ... Rev.10.01.45以前
  • RTX810 ... Rev.11.01.06以前
  • FWX120 ... Rev.11.03.02

  [ノート]

  Rev.7.01.08以降で、TYPE1パラメーターのタイプ3が指定可能。
  TYPE2パラメーターの設定値が異なるルーター同士で相互接続する場合、キープアライブやリキーに失敗してトンネルダウンしたり、リキー後にデータの送受信ができなくなる。
  RTX1200 Rev.10.01.47以降、RTX810 Rev.11.01.09以降のファームウェア、および、Rev.11.03 系以降のすべてのファームウェアでTYPE2パラメーターが指定可能。
  

  [初期値]

  TYPE1 = 2, TYPE2 = 2

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• IKEの情報ペイロードを送信するか否かの設定

  [書式]

  ipsec ike send info GATEWAY_ID INFO
  no ipsec ike send info GATEWAY_ID

  [設定値]

  • GATEWAY_ID ......... セキュリティ・ゲートウェイの識別子
  • INFO
    • on ............. 送信する
    • off ............ 送信しない

  [説明]

  IKEv1動作時に、情報ペイロードを送信するか否かを設定する。受信に関しては、この設定に関わらず、すべての情報ペイロードを解釈する。

  [ノート]

  このコマンドは、接続性の検証などの特別な目的で使用される。定常の運用時はonに設定する必要がある。

  本コマンドはIKEv2としての動作には影響を与えない。IKEv2では常に、必要に応じて情報ペイロードの送受信を行う。

  [初期値]

  on

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• PFSを用いるか否かの設定

  [書式]

  ipsec ike pfs GATEWAY_ID PFS
  no ipsec ike pfs GATEWAY_ID

  [設定値]

  • GATEWAY_ID ....... セキュリティ・ゲートウェイの識別子
  • PFS
    • on ........... 用いる
    • off .......... 用いない

  [説明]

  IKEの始動側として働く場合に、PFS (Perfect Forward Security)を用いるか否かを設定する。応答側として働く場合は、このコマンドの設定に関係なく、相手側セキュリティ・ゲートウェイのPFSの使用有無に合わせて動作する。

  ただし、IKEv1として動作し、且つipsec ike negotiate-strictlyコマンドが on の場合は、本コマンドの設定と相手側セキュリティ・ゲートウェイのPFSの使用有無が一致していなければならない。

  [初期値]

  off

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• IKEのログの種類の設定

  [書式]

  ipsec ike log [GATEWAY_ID] TYPE [...]
  no ipsec ike log GATEWAY_ID

  [設定値]

  • GATEWAY_ID ....... セキュリティ・ゲートウェイの識別子
  • TYPE
    • message-info ... IKEメッセージの内容
    • payload-info ... ペイロードの処理内容
    • key-info ....... 鍵計算の処理内容

  [説明]

  出力するログの種類を設定する。ログはすべて、debugレベルのSYSLOGで出力される。

  GATEWAY_IDを省略した設定は、応答側として働く際、セキュリティ・ゲートウェイが特定できない時点での通信に対して適用される。

  [ノート]

  このコマンドが設定されていない場合には、最小限のログしか出力しない。複数のTYPEパラメータを設定することもできる。

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• ESPをUDPでカプセル化して送受信するか否かの設定

  [書式]

  ipsec ike esp-encapsulation GATEWAY_ID ENCAP
  no ipsec ike esp-encapsulation GATEWAY_ID

  [設定値]

  • GATEWAY_ID ...... セキュリティ・ゲートウェイの識別子
  • ENCAP
    • on .......... ESPをUDPでカプセル化して送信する
    • off ......... ESPをUDPでカプセル化しないで送信する

  [説明]

  NATなどの影響でESPが通過できない環境でIPsecの通信を確立するために、ESPをUDPでカプセル化して送受信できるようにする。このコマンドは双方のルーターで一致させる必要がある。

  [ノート]

  本コマンドは、IKEv2により確立されたSAを伴うIPsec通信には影響を与えない。

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• SAの寿命の設定

  [書式]

  ipsec ike duration SA GATEWAY_ID SECOND [KBYTES] [rekey REKEY] [forced-reduction=DEL_TIME]
  no ipsec ike duration SA GATEWAY_ID [SECOND [KBYTES] [rekey REKEY] [forced-reduction=DEL_TIME]]

  [設定値]

  • SA
    • ipsec-sa (もしくはchild-sa) ...... IPsec SA (CHILD SA)
    • isakmp-sa (もしくはike-sa) ....... ISAKMP SA (IKE SA)
  • GATEWAY_ID ........ セキュリティ・ゲートウェイの識別子
  • SECOND ............ 秒数 (300..691200)
  • KBYTES
    • NVR510 Rev.15.01.25以降、NVR700W Rev.15.00.24以降、RTX830 Rev.15.02.27以降、RTX1220 Rev.15.04.05以降、RTX1300、RTX3510、RTX5000 / RTX3500 Rev.14.00.34以降、vRX Amazon EC2版、vRX VMware ESXi版
      • 100..2147483647 ....... キロ単位のバイト数
      • off ....... バイト寿命を設定しない
    • 上記以外
      • 100..100000 ....... キロ単位のバイト数
  • REKEY ............. SAを更新するタイミング
    • パーセント(70%-90%)
    • off ........... 更新しない(SAパラメータでisakmp-sa (ike-sa)を指定したときのみ指定可能)
  • DEL_TIME .......... 古くなったSAの寿命を強制的に短縮する時間(1..691200)

  [説明]

  各SAの寿命を設定する。

  KBYTESパラメーターを指定した場合には、SECONDパラメーターで指定した時間が経過するか、指定したバイト数のデータを処理した後にSAは消滅する。KBYTESパラメーターはSAパラメーターとしてipsec-sa (child-sa)を指定したときのみ有効である。SAの更新はKBYTESパラメーターに設定したバイト数の75％を処理したタイミングで行われる。また、IPsec SA (CHILD SA)が更新されたとき、古くなった既存のIPsec SA (CHILD SA)の寿命が30秒以上である場合は、寿命が30秒に短縮される。

  REKEYパラメーターはSAを更新するタイミングを決定する。例えば、SECONDパラメーターで20000を指定し、REKEYパラメーターで75%を指定した場合には、SAを生成してから15000秒経過したときに新しいSAを生成する。REKEYパラメーターはSECONDパラメーターに対する比率を表すもので、KBYTESパラメーターの値とは関係がない。

  SAパラメーターでisakmp-sa(ike-sa)を指定したときに限り、REKEYパラメーターで 'off' を設定できる。このとき、IPsec SA (CHILD SA)を作る必要がない限り、ISAKMP SA (IKE SA)の更新を保留するので、ISAKMP SA (IKE SA)の生成を最小限に抑えることができる。

  その他、動作するIKEのバージョンによって異なる、本コマンドの影響、注意点については以下の通り。

  ○IKEv1

  始動側として働く場合に、このコマンドで設定した寿命値が提案される。応答側として働く場合は、このコマンドの設定に関係なく相手側から提案された寿命値に合わせる。

  また、ISAKMP SAに対するREKEYパラメーターを off に設定した場合、その効果を得るためには、次の2点に注意して設定する必要がある。

  1. IPsec SAよりもISAKMP SAの寿命を短く設定する。
  2. ダングリングSAを許可する。すなわち、ipsec ike restrict-dangling-saコマンドの設定を off にする。

  以下の機種およびリビジョンが始動側になる場合は、最大で2147483647KBのバイト寿命値を相手側へ提案可能であるが、相手側機器が以下の機種およびリビジョン以外の場合は2GBを超えるバイト寿命値を正しく認識できないため、以下の機種およびリビジョン以外と接続する場合は必ず2GB以下に設定する必要がある。

  • NVR510 Rev.15.01.25以降
  • NVR700W Rev.15.00.24以降
  • RTX830 Rev.15.02.27以降
  • RTX1220 Rev.15.04.05以降
  • RTX1300
  • RTX3510
  • RTX5000、RTX3500 Rev.14.00.34以降
  • vRX Amazon EC2版
  • vRX VMware ESXi版

  ○IKEv2

  IKEv2ではSA寿命値は折衝されず、各セキュリティ・ゲートウェイが独立して管理するものとなっている。従って、確立されたSAには、常にこのコマンドで設定した寿命値がセットされる。ただし、相手側セキュリティ・ゲートウェイの方がSA更新のタイミングが早ければ、SAはその分早く更新されることになる。

  forced-reductionオプションに時間を指定すると、SAを更新した際に古くなった既存のSAの寿命を強制的に設定値に変更し、消滅までの時間を早めることができる。ただし、IPsec SA (CHILD SA)でKBYTESパラメーターにバイト寿命値を指定している場合は、DEL_TIMEパラメーターで31秒以上の値を設定していても、短縮される値は30秒となる。また、IKEv1では寿命が設定値よりも短い場合は変更しない。

  ISAKMP SA (IKE SA)の寿命がIPsec SA (CHILD SA)の寿命より先に尽きた場合は、ISAKMP SA (IKE SA)の寿命値をIPsec SA (CHILD SA)の寿命値に合わせる。

  なお、このコマンドを設定しても、すでに存在するSAの寿命値は変化せず、新しく作られるSAにのみ、新しい寿命値が適用される。

  [ノート]

  forced-reductionオプションは以下の機種およびリビジョンで使用可能。
  NVR510 は Rev.15.01.25 以降。
  NVR700W は Rev.15.00.24 以降。
  RTX830 は Rev.15.02.27 以降。
  RTX1220 は Rev.15.04.05 以降。
  RTX1300 は Rev.23.00.05 以降。
  RTX5000、RTX3500 は Rev.14.00.34 以降。
  Rev.23.01 系以降のすべてのファームウェアで使用可能。

  [初期値]

  SECOND : 28800秒
  KBYTES :

  • 2000000 (NVR510 Rev.15.01.25以降、NVR700W Rev.15.00.24以降、RTX830 Rev.15.02.27以降、RTX1220 Rev.15.04.05以降、RTX1300、RTX3510、RTX5000 / RTX3500 Rev.14.00.34以降、vRX Amazon EC2版、vRX VMware ESXi版)
  • なし(上記以外)

  REKEY : 75%

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• SAのポリシーの定義

  [書式]

  ipsec sa policy POLICY_ID GATEWAY_ID ah [AH_ALGORITHM] [local-id=LOCAL-ID] [remote-id=REMOTE-ID] [anti-replay-check=CHECK]
  ipsec sa policy POLICY_ID GATEWAY_ID esp [ESP_ALGORITHM [AH_ALGORITHM]] [local-id=LOCAL-ID] [remote-id=REMOTE-ID] [anti-replay-check=CHECK]
  no ipsec sa policy POLICY_ID

  [設定値]

  • POLICY_ID ....... ポリシーID (1..2147483647)
  • GATEWAY_ID ...... セキュリティ・ゲートウェイの識別子
  • ah .............. 認証ヘッダ (Authentication Header)を示すキーワード
  • esp ............. 暗号ペイロード (Encapsulating Security Payload)を示すキーワード
  • AH_ALGORITHM
    • md5-hmac ........ HMAC-MD5
    • sha-hmac ........ HMAC-SHA-1
    • sha256-hmac ..... HMAC-SHA2-256
    • sha384-hmac ..... HMAC-SHA2-384
    • sha512-hmac ..... HMAC-SHA2-512
  • ESP_ALGORITHM
    • 3des-cbc ......... 3DES-CBC
    • des-cbc .......... DES-CBC
    • aes-cbc .......... AES128-CBC
    • aes256-cbc ....... AES256-CBC
  • LOCAL-ID ............ 自分側のプライベートネットワーク
  • REMOTE-ID ........... 相手側のプライベートネットワーク
  • CHECK
    • on .............. シーケンス番号のチェックを行う
    • off ............. シーケンス番号のチェックを行わない

  [説明]

  SAのポリシーを定義する。この定義はトンネルモードおよびトランスポートモードの設定に必要である。この定義は複数のトンネルモードおよびトランスポートモードで使用できる。

  LOCAL-ID、REMOTE-IDには、カプセル化したいパケットの始点／終点アドレスの範囲をネットワークアドレスで記述する。これにより、1つのセキュリティ・ゲートウェイに対して、複数のIPsec SAを生成し、IPパケットの内容に応じてSAを使い分けることができるようになる。

  CHECK = 'on' の場合、受信パケット毎にシーケンス番号の重複や番号順のチェックを行い、エラーとなるパケットは破棄する。破棄する際にはdebugレベルで

  [IPSEC] sequence difference
  [IPSEC] sequence number is wrong

  といったログが記録される。
  

  相手側が、トンネルインタフェースでの優先/ 帯域制御を行っている場合、シーケンス番号の順序が入れ替わってパケットを受信することがある。その場合、実際にはエラーではないのに上のログが表示され、パケットが破棄されることがあるので、そのような場合には設定を off にするとよい。

  IKEv2では、ipsec ike proposal-limitationコマンドがonに設定されているとき、本コマンドのAH_ALGORITHM、およびESP_ALGORITHMパラメーターで設定されたアルゴリズムを提案する。ipsec ike proposal-limitation コマンドがoffに設定されているとき、または、ipsec ike proposal-limitationコマンドに対応していない機種では、本コマンドの設定にかかわらず、サポートするすべてのアルゴリズムを同時に提案し、相手側セキュリティ・ゲートウェイに選択させる。
  また応答側として働く場合は受け取った提案から以下の優先順位でアルゴリズムを選択する。

  • 認証アルゴリズム
    HMAC-SHA2-512 > HMAC-SHA2-384 > HMAC-SHA2-256 > HMAC-SHA-1 > HMAC-MD5

    ※HMAC-SHA2-256はRev.9.00.50、Rev.10.01.32以降、および、Rev.11.01系以降で対応。
    ※HMAC-SHA2-512、HMAC-SHA2-384はRev.23.00系以降で対応。

  • 暗号アルゴリズム
    AES256-CBC > AES192-CBC > AES128-CBC > 3DES-CBC > DES-CBC
    

    ※IKEv2でのみAES192-CBCをサポートする。ただし、コマンドでAES192-CBCを選択することはできない。

  また、IKEv2ではLOCAL-ID、REMOTE-IDパラメーターに関しても効力を持たない。

  [ノート]

  LOCAL-IDとREMOTE-IDはRev.6.03.18以降、Rev.7.00.14以降で使用可能。
  双方で設定するLOCAL-IDとREMOTE-IDは一致している必要がある。
  CHECKパラメーターはRev.7.01.26以降で使用可能。
  

  ESP_ALGORITHMパラメーターの aes256-cbc キーワードは RTX3000 Rev.9.00.50以降、RTX1200 Rev.10.01.32以降のファームウェア、および、Rev.11.01 系以降のすべてのファームウェアで指定可能。

  AH_ALGORITHMパラメーターの sha256-hmac キーワードは RTX3000 Rev.9.00.50以降、RTX1200 Rev.10.01.32以降のファームウェア、および、Rev.11.01 系以降のすべてのファームウェアで指定可能。
  sha384-hmac、および sha512-hmac キーワードは Rev.23.00 系以降のファームウェアで指定可能。

  [初期値]

  AH_ALGORITHM = sha-hmac(第1書式) ／ なし(第2書式)
  ESP_ALGORITHM = aes-cbc(RTX3000 Rev.9.00.50 以降、RTX1200 Rev.10.01.22 以降、および、Rev.11.01 系以降) ／ なし(他の機種)
  anti-replay-check = on

  [設定例]

  # ipsec sa policy 101 1 esp aes-cbc sha-hmac

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• SAの手動更新

  [書式]

  ipsec refresh sa

  [説明]

  管理されているSAをすべて削除して、IKEの状態を初期化する。
  このコマンドでは、SAの削除を相手に通知しないので、通常の運用ではipsec sa delete allコマンドの方が望ましい。

  
  
• ダングリングSAの動作の設定

  [書式]

  ipsec ike restrict-dangling-sa GATEWAY_ID ACTION
  no ipsec ike restrict-dangling-sa GATEWAY_ID

  [設定値]

  • GATEWAY_ID ........ セキュリティ・ゲートウェイの識別子
  • ACTION
    • auto .......... アグレッシブモードの始動側でのみIKE SAとIPsec　SAを同期させる。
    • off ........... IKE SAとIPsec SAを同期させない。

  [説明]

  このコマンドは、IKEv1のダングリングSAの動作に制限を設ける。

  ダングリングSAとは、IKE SAを削除するときに対応するIPsec SAを削除せずに残したときの状態を指す。
  RTシリーズのIKEv1実装では基本的にはダングリングSAを許す方針となっており、IKE SAとIPsec SAを独立のタイミングで削除する。

  auto を設定したときには、アグレッシブモードの始動側でダングリングSAを排除し、IKE SAとIPsec SA を同期して削除する。この動作はIKEキープアライブを正常に動作させるために必要な処置である。
  off を設定したときには、常にダングリングSA を許す動作となり、IKE SA とIPsec SA を独立なタイミングで削除する。
  ダイヤルアップVPN のクライアント側ではない場合には、このコマンドの設定に関わらず常にIKE SA とIPsec SA は独立に管理され、削除のタイミングは必ずしも同期しない。

  [ノート]

  ダングリングSA の強制削除が行われても、通常は新しいIKE SA に基づいた新しいIPsec SA が存在するので通信に支障が出ることはない。

  ダイヤルアップVPN のクライアント側でダングリングSA を許さないのは、IKE キープアライブを正しく機能させるために必要なことである。
  IKE キープアライブでは、IKE SA に基づいてキープアライブを行う。ダングリングSA が発生した場合には、そのSA についてはキープアライブを行うIKE SA が存在せず、キープアライブ動作が行えない。そのため、IKE キープアライブを有効に動作させるにはダングリングSA が発生したら強制的に削除して、通信は対応するIKE SA が存在するIPsec SA で行われるようにしなくてはいけない。

  ダングリングSA の扱いについては、動作モードとリビジョンによって動作が異なる。

  リビジョン	7.01.15以前	7.01.08	7.01.15	7.01.16以降
  ダイヤルアップVPNのクライアント側	(A)	(B)		(C)
  それ以外	(A)	(B)	(A)

  (A) ダングリングSA が発生しても何もせず通信を続ける
  (B) ダングリングSA が発生した時にはそれを消去し、必要であれば新しいSA を作成して通信を行う
  (C) このコマンドにより動作を変更できる

  本コマンドはIKEv2の動作には影響を与えない。IKEv2では仕様として、ダングリングSAの存在を禁止している。

  [初期値]

  auto

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• IPsec NATトラバーサルを利用するための設定

  [書式]

  ipsec ike nat-traversal GATEWAY_ID SWITCH [keepalive=INTERVAL] [force=FORCE_SWITCH]
  no ipsec ike nat-traversal GATEWAY_ID

  [設定値]

  • GATEWAY_ID ....... セキュリティ・ゲートウェイの識別子
  • SWITCH ........... 動作の有無
    • on ........... NATトラバーサルの動作を有効にする
    • off .......... NATトラバーサルの動作を無効にする
  • INTERVAL ......... NATキープアライブの送信間隔
    • off .......... 送信しない
    • 時間 ......... 30-100000[秒]
  • FORCE_SWITCH
    • on ........... 通信経路上にNATがなくてもNATトラバーサルを使用する
    • off .......... 通信経路上にNATがなければNATトラバーサルを使用しない

  [説明]

  NATトラバーサルの動作を設定する。この設定があるときには、IKEでNATトラバーサルの交渉を行う。
  相手がNATトラバーサルに対応していないときや、通信経路上にNATの処理がないときには、NATトラバーサルを使用せず、ESPパケットを使って通信する。
  対向のルーターや端末でもNATトラバーサルの設定が必要である。いずれか一方にしか設定がないときには、NATトラバーサルを使用せず、ESPパケットを使って通信する。

  IKEv2では、イニシエータとして動作する場合のみSWITCHパラメータが影響する。レスポンダとして動作する場合は、SWITCHパラメータに関係なく常に相手からの交渉に応じる。いずれの場合も、NATトラバーサルが有効になった際にはNATキープアライブを設定に従って送信する。

  forceオプションはIKEv2のイニシエータとして動作する場合のみ影響する。このオプションは、通信経路上にNAT処理がなくてもNATトラバーサル動作が必要な対向機器と接続する場合に使用する。なお、通常は'off'にしておくことが望ましい。

  [ノート]

  ipsec ike esp-encapsulation コマンドとの併用はできない。
  また、IPComp が設定されているトンネルインタフェースでは利用できない。
  IKEv1では、アグレッシブモードでESPトンネルを確立する場合のみ利用できる。メインモードやAHでは利用できず、トランスポートモードでも利用できない。
  IKEv2ではESPトンネルを確立する場合のみ利用できる。AHでは利用できず、トランスポートモードでも利用できない。
  本コマンドはRev.8.03.43 以降で使用可能。
  forceオプションは RTX3000 Rev.9.00.50 以降、RTX1200 Rev.10.01.22 以降のファームウェア、および、Rev.11.01 系以降のすべてのファームウェアで使用可能。
  

  [初期値]

  SWITCH = off
  INTERVAL = 300
  FORCE_SWITCH = off

  [拡張ライセンス対応]

  拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

  • GATEWAY_ID

    ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
    	1本	2本	3本	4本
    YSL-VPN-EX1	100	-	-	-
    YSL-VPN-EX3	1500	2000	2500	3000

  
  
• SAの削除

  [書式]

  ipsec sa delete ID

  [設定値]

  • ID
    • SAのID
    • all .......... すべてのSA

  [説明]

  指定したSAを削除する。
  SAのIDは自動的に付与され、 show ipsec saコマンドで確認することができる。

  
  

設定例

• 設定例１
  • 構成図

    IPアドレス不定 IPアドレス固定 PC---+ 10.0.0.1 +-----PC | +------------+ +------------+ | PC---+------- | RTX1200(1) | ----(VPN)--- | RTX1200(2) |-----------+-----PC | +------------+ +------------+ | . 192.168.100.1 192.168.0.1 . . . 192.168.100.0/24 192.168.0.0/24 暗号アルゴリズム：AES256-CBC 認証アルゴリズム：HMAC-SHA1 IKE認証方式：事前共有鍵

  • 設定

    ・RTX1200(1) ... Initiator
    
    ip route default gateway tunnel 1
    ip lan1 address 192.168.100.1/24
    ip lan2 address dhcp
    tunnel select 1
     ipsec tunnel 1
      ipsec sa policy 1 1 esp
      ipsec ike version 1 2
      ipsec ike pre-shared-key 1 text himitsu
      ipsec ike local name 1 kyoten-xxx key-id
      ipsec ike remote name 1 10.0.0.1 ipv4-addr
    tunnel enable 1
    ipsec auto refresh on
    
    
    ・RTX1200(2) ... Responder
    
    ip route 192.168.100.0/24 gateway tunnel 1
    ip lan1 address 192.168.0.1/24
    ip lan2 address 10.0.0.1/24
    tunnel select 1
     ipsec tunnel 1
      ipsec sa policy 1 1 esp
      ipsec ike version 1 2
      ipsec ike pre-shared-key 1 text himitsu
      ipsec ike local name 1 10.0.0.1 ipv4-addr
      ipsec ike remote name 1 kyoten-xxx key-id
    tunnel enable 1
    ipsec auto refresh on
    

  • RTX1200(1)側 show ipsec saコマンド表示例

    # show ipsec sa
    Total: isakmp:1 send:1 recv:1
    
    sa   sgw isakmp connection   dir  life[s] remote-id
    -----------------------------------------------------------------------------
    1     1    -    ike          -    28780   10.0.0.1
    2     1    1    tun[001]esp  send 28781   10.0.0.1
    3     1    1    tun[001]esp  recv 28781   10.0.0.1
    
    #
    # show ipsec sa gateway 1 detail
    SA[1] 状態: 確立済  寿命: 28762秒
    プロトコル: IKEv2
    ローカルホスト: 10.0.0.11:500             ※LAN2(WAN側)に割り当てられたIPアドレス
    リモートホスト: 10.0.0.1:500              ※アドレス解決後の相手側IPアドレス
    暗号アルゴリズム: AES_CBC(256)  PRF       : HMAC_SHA1
    認証アルゴリズム: HMAC_SHA1_96  DHグループ: MODP_1024
    SPI: 6e 7f 6d a2 8a 37 d3 a8 a0 15 63 61 de 1e 8b 2b
    鍵 : 63 29 da f4 7d 5b 84 ef d0 f1 39 0e 0e 14 aa 32      ※IKE SAのKEYMAT
    ----------------------------------------------------
    SA[2] 状態: 確立済  寿命: 28763秒
    送受信方向: 送信
    プロトコル: ESP (モード: tunnel)
    ローカルID: 85 15 ff 8e 13 dc 2c 62  (KEY_ID) ※自分側のIDペイロードで使用したID
    リモートID: 10.0.0.1 (IPv4_ADDR)              ※相手側のIDペイロードで使用したID
    暗号アルゴリズム: AES_CBC(256)
    認証アルゴリズム: HMAC_SHA1_96  ESN: DISABLE
    始点トラフィック セレクタ (タイプ / プロトコル / ポート / アドレス)
     IPv4-range / any /     0-65535 / 0.0.0.0-255.255.255.255
     IPv6-range / any /     0-65535 / ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
    終点トラフィック セレクタ (タイプ / プロトコル / ポート / アドレス)
     IPv4-range / any /     0-65535 / 0.0.0.0-255.255.255.255
     IPv6-range / any /     0-65535 / ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
    SPI: ad 53 8f 7e
    鍵 : d2 89 7c 70 49 e2 04 20 8b 0b 14 ff 8b 9f 5c 67
    ----------------------------------------------------
    SA[3] 状態: 確立済  寿命: 28763秒
    送受信方向: 受信
    プロトコル: ESP (モード: tunnel)
    ローカルID: 85 15 ff 8e 13 dc 2c 62  (KEY_ID)
    リモートID: 10.0.0.1 (IPv4_ADDR)
    暗号アルゴリズム: AES_CBC(256)
    認証アルゴリズム: HMAC_SHA1_96  ESN: DISABLE
    SPI: 85 bc 7c 25
    鍵 : c6 cc ea 63 1a 06 80 b7 42 e1 2e e8 84 84 b8 e3
    ----------------------------------------------------
    
    #
    

SYSLOG一覧

本機能において出力されるSYSLOGメッセージを以下に示します。なお、実際に出力される各メッセージの先頭には"[IKE2]"というプレフィックスが付与されます。また、ログの内容に応じて更に以下のサブプレフィックスのいずれかが付与されることがあります。

主に出力されるSYSLOGメッセージについては以下の通りです。

その他、鍵交換に失敗した場合等に、そのエラー内容に応じたSYSLOGが出力されることがあります。

関連文書

• IPsec
• IPsec/IKE デジタル署名、EAP-MD5認証対応