Security Gateway and IPsec release 3
| 作成日 | 2000/May/18 |
| 最終変更日 | 2018/Nov/06 |
| 文書サイズ | 23KB |
[ コマンド一覧 ]
[入力形式]
ipsec ike pre-shared-key GATEWAY clear
ipsec ike pre-shared-key GATEWAY text TEXT_KEY
ipsec ike pre-shared-key GATEWAY BINARY_KEY
[パラメータ]
GATEWAY セキュリティゲートウェイの識別子
1 - 10 (RT103i)
1 - 20 (RT140/RT200i)
TEXT_KEY テキスト鍵 最大32文字まで
BINARY_KEY = '0x...' バイナリ鍵 最大32バイトまで
[説明]
IKEが用いる事前共有鍵を設定する。
[ノート]
相手側のセキュリティゲートウェイでも同じ鍵を
設定する必要がある。
[デフォルト値]
clear
[入力形式]
ipsec ike remote address GATEWAY ADDRESS
ipsec ike remote address GATEWAY clear
[パラメータ]
GATEWAY セキュリティゲートウェイの識別子
1 - 10 (RT103i)
1 - 20 (RT140/RT200i)
ADDRESS IPアドレス
[説明]
相手側のセキュリティゲートウェイのIPアドレスを設定する。
[デフォルト値]
clear
[入力形式]
ipsec ike local address GATEWAY ADDRESS
ipsec ike local address GATEWAY clear
[パラメータ]
GATEWAY セキュリティゲートウェイの識別子
1 - 10 (RT103i)
1 - 20 (RT140/RT200i)
ADDRESS IPアドレス
[説明]
自分側のセキュリティゲートウェイのIPアドレスを設定する。
[ノート]
clearを設定したときには、相手側のセキュリティゲートウェイに
近いインタフェースのアドレスを用いてIKEを起動する。
[デフォルト値]
clear
[入力形式]
ipsec ike retry COUNT INTERVAL
[パラメータ]
COUNT 再送回数(1..50)
INTERVAL 再送間隔の秒数(1..100)
[説明]
鍵交換が失敗した時に鍵交換を繰り返す回数とその時間間隔を
設定する。
[デフォルト値]
COUNT = 10
INTERVAL = 5
[入力形式]
ipsec ike encryption GATEWAY ALGORITHM
[パラメータ]
GATEWAY セキュリティゲートウェイの識別子
1 - 10 (RT103i)
1 - 20 (RT140/RT200i)
ALGORITHM 暗号アルゴリズム
des-cbc
3des-cbc
[説明]
IKEが用いる暗号アルゴリズムを設定する
[ノート]
IKEで始動側として働くときには、このコマンドで設定された
アルゴリズムを提案する。応答側として働くときは、このコ
マンドの設定に関係なく、DES-CBCと3DES-CBCを用いることが
できる。
[デフォルト値]
des-cbc
[入力形式]
ipsec ike group GATEWAY GROUP [GROUP]
[パラメータ]
GATEWAY セキュリティゲートウェイの識別子
1 - 10 (RT103i)
1 - 20 (RT140/RT200i)
GROUP グループ識別子
modp768
modp1024
[説明]
IKEで用いるグループを設定する
[ノート]
IKEで始動側として働くときには、このコマンドで設定された
グループを提案する。応答側として働くときは、このコマンド
の設定に関係なく、MODP768とMODP1024を用いることができる。
2種類のグループを設定したときには、1つ目がフェーズ1で、
2つ目がフェーズ2で提案される。グループを1種類しか
設定しないときは、フェーズ1とフェーズ2の両方で、設定
したグループが提案される。
[デフォルト値]
modp768
[入力形式]
ipsec ike hash GATEWAY ALGORITHM
[パラメータ]
GATEWAY セキュリティゲートウェイの識別子
1 - 10 (RT103i)
1 - 20 (RT140/RT200i)
ALGORITHM ハッシュアルゴリズム
md5
sha
[説明]
IKEが用いるハッシュアルゴリズムを設定する
[ノート]
IKEで始動側として働くときには、このコマンドで設定された
アルゴリズムを提案する。応答側として働くときは、このコ
マンドの設定に関係なく、MD5とSHAを用いることができる。
[デフォルト値]
md5
[入力形式]
ipsec ike local id GATEWAY ADDRESS[/NETMASK]
ipsec ike local id GATEWAY clear
[パラメータ]
GATEWAY セキュリティゲートウェイの識別子
1 - 10 (RT103i)
1 - 20 (RT140/RT200i)
ADDRESS IPアドレス
NETMASK ネットマスク
[説明]
IKEのフェーズ2で用いる自分側のIDを設定する。
[ノート]
clearを設定したときには、IDを送信しない。
NETMASKを省略したときは、タイプ1のIDが送信される。
また、NETMASKを指定したときは、タイプ4のIDが送信される。
[デフォルト値]
clear
[入力形式]
ipsec ike log GATEWAY TYPE [TYPE ... ]
ipsec ike log GATEWAY clear
[パラメータ]
GATEWAY セキュリティゲートウェイの識別子
1 - 10 (RT103i)
1 - 20 (RT140/RT200i)
TYPE 出力するログの種類
message-info IKEメッセージの内容
payload-info ペイロードの処理内容
key-info 鍵計算の処理内容
[説明]
出力するログの種類を設定する。ログはすべて、
syslogのdebugレベルで出力される。
[ノート]
引数として、clearを設定したときには、最小限のログ
しか出力しない。引数として複数の種類を設定することもできる。
[デフォルト値]
clear
[入力形式]
ipsec ike payload type GATEWAY type
[パラメータ]
GATEWAY セキュリティゲートウェイの識別子
1 - 10 (RT103i)
1 - 20 (RT140/RT200i)
TYPE ペイロードのタイプ
1 Rev.3.01.07〜Rev.4.00.14で使用しているもの
2 新規
[説明]
IKEペイロードのタイプを設定する。RTの古いリビジョンと
接続するときには、タイプを1に設定する必要がある。
[デフォルト値]
2
[入力形式]
ipsec ike pfs GATEWAY SW
[パラメータ]
GATEWAY セキュリティゲートウェイの識別子
1 - 10 (RT103i)
1 - 20 (RT140/RT200i)
SW スイッチ
on 用いる
off 用いない
[説明]
IKEでPFSを用いるか否かを設定する。
[ノート]
相手側のセキュリティゲートウェイと同じように
設定する必要がある。
[デフォルト値]
off
[入力形式]
ipsec ike remote id GATEWAY ADDRESS[/NETMASK]
ipsec ike remote id GATEWAY clear
[パラメータ]
GATEWAY セキュリティゲートウェイの識別子
1 - 10 (RT103i)
1 - 20 (RT140/RT200i)
ADDRESS IPアドレス
NETMASK ネットマスク
[説明]
IKEのフェーズ2で用いる相手側のIDを設定する。
[ノート]
clearを設定したときには、IDを送信しない。
NETMASKを省略したときは、タイプ1のIDが送信される。
また、NETMASKを指定したときは、タイプ4のIDが送信される。
[デフォルト値]
clear
[入力形式]
ipsec ike send info GATEWAY SW
[パラメータ]
GATEWAY セキュリティゲートウェイの識別子
1 - 10 (RT103i)
1 - 20 (RT140/RT200i)
SW スイッチ
on 送信する
off 送信しない
[説明]
IKEの情報ペイロードを送信するか否かを設定する。
受信に関しては、この設定に関わらず、すべての情報
ペイロードを解釈する。
[ノート]
このコマンドは、接続性の検証などの特別な目的で
使用される。定常の運用時はonに設定する必要がある。
[デフォルト値]
on
[入力形式]
ipsec sa policy POLICY-ID GATEWAY ah HMAC-ALG
ipsec sa policy POLICY-ID GATEWAY esp ENCRYPT-ALG [HMAC-ALG]
[パラメータ]
POLICY-ID ポリシーID(1..255)
GATEWAY セキュリティゲートウェイの識別子
1 - 10 (RT103i)
1 - 20 (RT140/RT200i)
ah 認証ヘッダ(Authentication Header)を示すキーワード
esp 暗号ペイロード(Encapsulating Security Payload)を
示すキーワード
HMAC-ALG
md5-hmac HMAC-MD5
sha-hmac HMAC-SHA
ENCRYPT-ALG
3des-cbc 3DES-CBC
des-cbc DES-CBC
[説明]
SAのポリシーを定義する。
この定義はトンネルモード及びトランスポートモードの設定に
必要である。この定義は複数のトンネルモード及びトランス
ポートモードで使用できる。
[入力形式]
ipsec sa policy delete POLICY-ID
[パラメータ]
POLICY-ID ポリシーID(1..255)
[説明]
指定したポリシーIDのポリシーを削除する。
[入力形式]
ipsec ike duration ipsec-sa GATEWAY SECOND [KILOBYTE]
[パラメータ]
GATEWAY セキュリティゲートウェイの識別子
1 - 10 (RT103i)
1 - 20 (RT140/RT200i)
SECOND 秒寿命
KILOBYTE キロバイト寿命
[説明]
IKEで提案するIPsec SAの寿命を設定する
[デフォルト値]
28800
[入力形式]
ipsec ike duration isakmp-sa GATEWAY SECOND [KILOBYTE]
[パラメータ]
GATEWAY セキュリティゲートウェイの識別子
1 - 10 (RT103i)
1 - 20 (RT140/RT200i)
SECOND 秒寿命
KILOBYTE キロバイト寿命
[説明]
IKEで提案するISAKMP SAの寿命を設定する
[デフォルト値]
28800
[入力形式]
ipsec sa delete ID
[パラメータ]
ID
整数 SAのID
all すべてのSAを削除する
[説明]
指定したSAを削除する。
SAのIDは自動的に付与されるので、show ipsec saコマンドで
確認すること。
[入力形式]
ipsec refresh sa
[説明]
管理されているSAをすべて削除して、IKEの状態を初期化する。
[入力形式]
ipsec auto refresh SW
[パラメータ]
SW スイッチ
on 自動更新する
off 自動更新しない
[説明]
SAを自動更新するか否かを設定する。
[ノート]
古いSAを削除せずに新しいSAを生成する。
[デフォルト値]
off
[入力形式]
ipsec tunnel POLICY-ID
[パラメータ]
POLICY-ID
ポリシーID(1..255)
clear ポリシーをクリアする
[説明]
選択されているトンネルインタフェースで使用するSAのポリシーを
設定します。
[デフォルト値]
clear
[入力形式]
ip tunnel route add NET-HOST DESTINATION/MASK METRIC
[パラメータ]
NET-HOST
net destination がネットワークの時に指定する
host destination がホストの時に指定する
DESTINATION 送り先のホスト/ネットワークIP アドレス
xxx.xxx.xxx.xxx (xxx は十進数)
default
MASK 送り先がネットワークである時のネットマスク
xxx.xxx.xxx.xxx(xxx は十進数)
0xに続く十六進数
マスクビット数
METRIC 送り先に到達するまでのゲートウェイの数
[説明]
経路情報テーブルにトンネルインタフェースに対する経路情報を追加する。
[ノート]
既に経路情報テーブルにdestination が存在する時は追加されない。
[入力形式]
ip tunnel route delete DESTINATION
[パラメータ]
DESTINATION 送り先のホスト/ネットワークIP アドレス
xxx.xxx.xxx.xxx (xxx は十進数)
default
[説明]
経路情報テーブルから指定したトンネルインタフェースの経路情報を
削除する。
[入力形式]
ip tunnel secure filter DIRECTION FILTER-LIST
[パラメータ]
DIRECTION
in トンネル側から入ってくるパケットのフィルタリング
out トンネル側に出ていくパケットのフィルタリング
FILTER-LIST
空白で区切られたfilter_number の並び(100 個以内)
clear (フィルタリングしない)
[説明]
ip filter コマンドによるパケットのフィルタを組み合わせて、
トンネルインタフェースを通るパケットの種類の制限を設定する。
[デフォルト値]
clear
[入力形式]
ipsec transport ID POLICY-ID [PROTO [SRC-PORT-LIST [DST-PORT-LIST]]]
[パラメータ]
ID トランスポートID(1..255)
POLICY-ID ポリシーID(1..255)
PROTO プロトコル
SRC-PORT-LIST UDP、TCPのソースポート番号列
ポート番号を表す十進数
ポート番号を表すニーモニック
*(すべてのポート)
DST-PORT-LIST UDP、TCP のデスティネーションポート番号列
ポート番号を表す十進数
ポート番号を表すニーモニック
*(すべてのポート)
[説明]
トランスポートモードを定義する。
定義後、proto, src_port_list, dst_port_list パラメータに合致する
IPパケットに対してトランスポートモードでの通信を開始する。
[入力形式]
ipsec transport delete ID
[パラメータ]
ID トランスポートID(1..255)
[説明]
定義してあるトランスポートモードを削除する。
[入力形式]
tunnel select INTERFACE
[パラメータ]
INTERFACE
インタフェース番号
none
[説明]
トンネルインタフェースを選択する
[入力形式]
tunnel enable INTERFACE
[パラメータ]
INTERFACE
インタフェース番号
all
[説明]
トンネルインタフェースを有効にする
[入力形式]
tunnel disable INTERFACE
[パラメータ]
INTERFACE
インタフェース番号
all
[説明]
トンネルインタフェースを無効にする