Security Gateway and IPsec release 3
作成日 | 2000/May/18 |
最終変更日 | 2018/Nov/06 |
文書サイズ | 23KB |
[ コマンド一覧 ]
[入力形式] ipsec ike pre-shared-key GATEWAY clear ipsec ike pre-shared-key GATEWAY text TEXT_KEY ipsec ike pre-shared-key GATEWAY BINARY_KEY [パラメータ] GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) TEXT_KEY テキスト鍵 最大32文字まで BINARY_KEY = '0x...' バイナリ鍵 最大32バイトまで [説明] IKEが用いる事前共有鍵を設定する。 [ノート] 相手側のセキュリティゲートウェイでも同じ鍵を 設定する必要がある。 [デフォルト値] clear
[入力形式] ipsec ike remote address GATEWAY ADDRESS ipsec ike remote address GATEWAY clear [パラメータ] GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) ADDRESS IPアドレス [説明] 相手側のセキュリティゲートウェイのIPアドレスを設定する。 [デフォルト値] clear
[入力形式] ipsec ike local address GATEWAY ADDRESS ipsec ike local address GATEWAY clear [パラメータ] GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) ADDRESS IPアドレス [説明] 自分側のセキュリティゲートウェイのIPアドレスを設定する。 [ノート] clearを設定したときには、相手側のセキュリティゲートウェイに 近いインタフェースのアドレスを用いてIKEを起動する。 [デフォルト値] clear
[入力形式] ipsec ike retry COUNT INTERVAL [パラメータ] COUNT 再送回数(1..50) INTERVAL 再送間隔の秒数(1..100) [説明] 鍵交換が失敗した時に鍵交換を繰り返す回数とその時間間隔を 設定する。 [デフォルト値] COUNT = 10 INTERVAL = 5
[入力形式] ipsec ike encryption GATEWAY ALGORITHM [パラメータ] GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) ALGORITHM 暗号アルゴリズム des-cbc 3des-cbc [説明] IKEが用いる暗号アルゴリズムを設定する [ノート] IKEで始動側として働くときには、このコマンドで設定された アルゴリズムを提案する。応答側として働くときは、このコ マンドの設定に関係なく、DES-CBCと3DES-CBCを用いることが できる。 [デフォルト値] des-cbc
[入力形式] ipsec ike group GATEWAY GROUP [GROUP] [パラメータ] GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) GROUP グループ識別子 modp768 modp1024 [説明] IKEで用いるグループを設定する [ノート] IKEで始動側として働くときには、このコマンドで設定された グループを提案する。応答側として働くときは、このコマンド の設定に関係なく、MODP768とMODP1024を用いることができる。 2種類のグループを設定したときには、1つ目がフェーズ1で、 2つ目がフェーズ2で提案される。グループを1種類しか 設定しないときは、フェーズ1とフェーズ2の両方で、設定 したグループが提案される。 [デフォルト値] modp768
[入力形式] ipsec ike hash GATEWAY ALGORITHM [パラメータ] GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) ALGORITHM ハッシュアルゴリズム md5 sha [説明] IKEが用いるハッシュアルゴリズムを設定する [ノート] IKEで始動側として働くときには、このコマンドで設定された アルゴリズムを提案する。応答側として働くときは、このコ マンドの設定に関係なく、MD5とSHAを用いることができる。 [デフォルト値] md5
[入力形式] ipsec ike local id GATEWAY ADDRESS[/NETMASK] ipsec ike local id GATEWAY clear [パラメータ] GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) ADDRESS IPアドレス NETMASK ネットマスク [説明] IKEのフェーズ2で用いる自分側のIDを設定する。 [ノート] clearを設定したときには、IDを送信しない。 NETMASKを省略したときは、タイプ1のIDが送信される。 また、NETMASKを指定したときは、タイプ4のIDが送信される。 [デフォルト値] clear
[入力形式] ipsec ike log GATEWAY TYPE [TYPE ... ] ipsec ike log GATEWAY clear [パラメータ] GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) TYPE 出力するログの種類 message-info IKEメッセージの内容 payload-info ペイロードの処理内容 key-info 鍵計算の処理内容 [説明] 出力するログの種類を設定する。ログはすべて、 syslogのdebugレベルで出力される。 [ノート] 引数として、clearを設定したときには、最小限のログ しか出力しない。引数として複数の種類を設定することもできる。 [デフォルト値] clear
[入力形式] ipsec ike payload type GATEWAY type [パラメータ] GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) TYPE ペイロードのタイプ 1 Rev.3.01.07〜Rev.4.00.14で使用しているもの 2 新規 [説明] IKEペイロードのタイプを設定する。RTの古いリビジョンと 接続するときには、タイプを1に設定する必要がある。 [デフォルト値] 2
[入力形式] ipsec ike pfs GATEWAY SW [パラメータ] GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) SW スイッチ on 用いる off 用いない [説明] IKEでPFSを用いるか否かを設定する。 [ノート] 相手側のセキュリティゲートウェイと同じように 設定する必要がある。 [デフォルト値] off
[入力形式] ipsec ike remote id GATEWAY ADDRESS[/NETMASK] ipsec ike remote id GATEWAY clear [パラメータ] GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) ADDRESS IPアドレス NETMASK ネットマスク [説明] IKEのフェーズ2で用いる相手側のIDを設定する。 [ノート] clearを設定したときには、IDを送信しない。 NETMASKを省略したときは、タイプ1のIDが送信される。 また、NETMASKを指定したときは、タイプ4のIDが送信される。 [デフォルト値] clear
[入力形式] ipsec ike send info GATEWAY SW [パラメータ] GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) SW スイッチ on 送信する off 送信しない [説明] IKEの情報ペイロードを送信するか否かを設定する。 受信に関しては、この設定に関わらず、すべての情報 ペイロードを解釈する。 [ノート] このコマンドは、接続性の検証などの特別な目的で 使用される。定常の運用時はonに設定する必要がある。 [デフォルト値] on
[入力形式] ipsec sa policy POLICY-ID GATEWAY ah HMAC-ALG ipsec sa policy POLICY-ID GATEWAY esp ENCRYPT-ALG [HMAC-ALG] [パラメータ] POLICY-ID ポリシーID(1..255) GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) ah 認証ヘッダ(Authentication Header)を示すキーワード esp 暗号ペイロード(Encapsulating Security Payload)を 示すキーワード HMAC-ALG md5-hmac HMAC-MD5 sha-hmac HMAC-SHA ENCRYPT-ALG 3des-cbc 3DES-CBC des-cbc DES-CBC [説明] SAのポリシーを定義する。 この定義はトンネルモード及びトランスポートモードの設定に 必要である。この定義は複数のトンネルモード及びトランス ポートモードで使用できる。
[入力形式] ipsec sa policy delete POLICY-ID [パラメータ] POLICY-ID ポリシーID(1..255) [説明] 指定したポリシーIDのポリシーを削除する。
[入力形式] ipsec ike duration ipsec-sa GATEWAY SECOND [KILOBYTE] [パラメータ] GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) SECOND 秒寿命 KILOBYTE キロバイト寿命 [説明] IKEで提案するIPsec SAの寿命を設定する [デフォルト値] 28800
[入力形式] ipsec ike duration isakmp-sa GATEWAY SECOND [KILOBYTE] [パラメータ] GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) SECOND 秒寿命 KILOBYTE キロバイト寿命 [説明] IKEで提案するISAKMP SAの寿命を設定する [デフォルト値] 28800
[入力形式] ipsec sa delete ID [パラメータ] ID 整数 SAのID all すべてのSAを削除する [説明] 指定したSAを削除する。 SAのIDは自動的に付与されるので、show ipsec saコマンドで 確認すること。
[入力形式] ipsec refresh sa [説明] 管理されているSAをすべて削除して、IKEの状態を初期化する。
[入力形式] ipsec auto refresh SW [パラメータ] SW スイッチ on 自動更新する off 自動更新しない [説明] SAを自動更新するか否かを設定する。 [ノート] 古いSAを削除せずに新しいSAを生成する。 [デフォルト値] off
[入力形式] ipsec tunnel POLICY-ID [パラメータ] POLICY-ID ポリシーID(1..255) clear ポリシーをクリアする [説明] 選択されているトンネルインタフェースで使用するSAのポリシーを 設定します。 [デフォルト値] clear
[入力形式] ip tunnel route add NET-HOST DESTINATION/MASK METRIC [パラメータ] NET-HOST net destination がネットワークの時に指定する host destination がホストの時に指定する DESTINATION 送り先のホスト/ネットワークIP アドレス xxx.xxx.xxx.xxx (xxx は十進数) default MASK 送り先がネットワークである時のネットマスク xxx.xxx.xxx.xxx(xxx は十進数) 0xに続く十六進数 マスクビット数 METRIC 送り先に到達するまでのゲートウェイの数 [説明] 経路情報テーブルにトンネルインタフェースに対する経路情報を追加する。 [ノート] 既に経路情報テーブルにdestination が存在する時は追加されない。
[入力形式] ip tunnel route delete DESTINATION [パラメータ] DESTINATION 送り先のホスト/ネットワークIP アドレス xxx.xxx.xxx.xxx (xxx は十進数) default [説明] 経路情報テーブルから指定したトンネルインタフェースの経路情報を 削除する。
[入力形式] ip tunnel secure filter DIRECTION FILTER-LIST [パラメータ] DIRECTION in トンネル側から入ってくるパケットのフィルタリング out トンネル側に出ていくパケットのフィルタリング FILTER-LIST 空白で区切られたfilter_number の並び(100 個以内) clear (フィルタリングしない) [説明] ip filter コマンドによるパケットのフィルタを組み合わせて、 トンネルインタフェースを通るパケットの種類の制限を設定する。 [デフォルト値] clear
[入力形式] ipsec transport ID POLICY-ID [PROTO [SRC-PORT-LIST [DST-PORT-LIST]]] [パラメータ] ID トランスポートID(1..255) POLICY-ID ポリシーID(1..255) PROTO プロトコル SRC-PORT-LIST UDP、TCPのソースポート番号列 ポート番号を表す十進数 ポート番号を表すニーモニック *(すべてのポート) DST-PORT-LIST UDP、TCP のデスティネーションポート番号列 ポート番号を表す十進数 ポート番号を表すニーモニック *(すべてのポート) [説明] トランスポートモードを定義する。 定義後、proto, src_port_list, dst_port_list パラメータに合致する IPパケットに対してトランスポートモードでの通信を開始する。
[入力形式] ipsec transport delete ID [パラメータ] ID トランスポートID(1..255) [説明] 定義してあるトランスポートモードを削除する。
[入力形式] tunnel select INTERFACE [パラメータ] INTERFACE インタフェース番号 none [説明] トンネルインタフェースを選択する
[入力形式] tunnel enable INTERFACE [パラメータ] INTERFACE インタフェース番号 all [説明] トンネルインタフェースを有効にする
[入力形式] tunnel disable INTERFACE [パラメータ] INTERFACE インタフェース番号 all [説明] トンネルインタフェースを無効にする